Por Neil Hodge | Fonte: Risk Management Magazine- RIMS

inteligência artificial IA e gerenciamento de riscos de segurança de dados

Nos últimos meses, a inteligência artificial gerou interesse e conversas generalizadas, pois ferramentas como o ChatGPT demonstram uma ampla gama de aplicações pessoais e profissionais. Talvez igualmente importante para esta discussão, no entanto, seja a compreensão dos riscos representados pela tecnologia de IA, incluindo as ameaças significativas à segurança de dados que já estão tendo consequências não intencionais para as empresas.

Com a atual tecnologia de IA, os usuários podem inserir mais dados do que nunca e usar essas informações para aprender padrões de comportamento; descobrir e prever tendências futuras; e criar e emular obras, sons e imagens de forma rápida e eficiente. Embora isso possa ter muitos aplicativos benéficos para as organizações, os especialistas alertam que a exposição de dados, a perda de propriedade intelectual e outros riscos de segurança de dados aumentarão exponencialmente.

Essas ameaças já estão se materializando. Em março, a Samsung descobriu da maneira mais difícil com que facilidade funcionários agindo de boa fé podem violar inadvertidamente a confidencialidade da empresa e comprometer sua propriedade intelectual usando ferramentas de IA de terceiros. Em três incidentes separados no espaço de um mês, os funcionários vazaram involuntariamente informações confidenciais da empresa quando tentaram usar o ChatGPT para resolver problemas relacionados ao trabalho. Um funcionário solicitou ao ChatGPT a otimização das sequências de testes para identificação de falhas em chips, que é um processo confidencial. Procurando ajuda para escrever uma apresentação, outro funcionário inseriu notas de reunião no ChatGPT, colocando informações confidenciais para uso interno em domínio público. Os funcionários também colaram código-fonte sensível e cheio de bugs do banco de dados de semicondutores da empresa no ChatGPT na tentativa de melhorá-lo.

O problema de pedir ao ChatGPT ou a outras plataformas públicas baseadas em IA para ajudar a corrigir esses problemas é que as informações inseridas se tornam dados de treinamento para o modelo de linguagem grande (LLM) da plataforma. E como o ChatGPT retém a entrada de dados dos usuários para se treinar ainda mais, os segredos comerciais e a propriedade intelectual da Samsung foram efetivamente colocados nas mãos da empresa controladora da plataforma, a OpenAI.

Embora a OpenAI tenha reconhecido posteriormente que era possível para uma organização recuperar essas informações, a principal conclusão dessa violação autoinfligida é que as informações proprietárias nunca devem ser coladas no ChatGPT ou em qualquer outro serviço baseado em LLM. Além disso, as empresas devem perguntar a qualquer provedor de IA terceirizado o que acontece com as entradas e saídas de dados de quaisquer consultas ou solicitações inseridas por seus funcionários.

Desenvolvimento de Políticas para Uso de IA

Esses erros forçaram as empresas a reconsiderar quem na organização deve ter acesso às ferramentas de IA e para qual finalidade. A resposta da Samsung foi restringir o uso da ferramenta pelos funcionários a um volume tão baixo de dados que é improvável que outro erro de segurança de magnitude semelhante possa ocorrer. Várias outras grandes empresas, incluindo Amazon, Apple e Verizon, proibiram os funcionários de usar o ChatGPT, enquanto os gigantes de Wall Street JPMorgan Chase, Bank of America e Citigroup também reduziram seu uso.

Mas proibir ou restringir o uso dessas soluções comuns e fáceis de usar pode levar a outros problemas. “O problema com essa resposta é que alguns funcionários vão usar LLMs no local de trabalho, independentemente de uma política da empresa que os proíba”, disse Greg Hatcher, cofundador da consultoria de segurança cibernética White Knight Labs. “Os LLMs tornam os funcionários exponencialmente mais produtivos, e a produtividade está diretamente relacionada à remuneração no local de trabalho. As empresas lutam contra a TI paralela há 20 anos - não queremos uma situação de 'enxágue e repita' com os LLMs se tornando IA sombra”.

O melhor caminho a seguir é que as empresas digam explicitamente aos funcionários o que constitui o uso aceitável e inaceitável da IA ​​no local de trabalho. “Embora estejamos relativamente adiantados na adoção de AI/LLM, eventualmente haverá conformidade e requisitos regulatórios em torno do uso de AI em ambientes sensíveis onde a privacidade é crítica”, disse ele. “Ainda não chegamos lá.”

No futuro, os especialistas acreditam que é essencial aumentar a conscientização sobre os riscos dos funcionários por meio de treinamento. De acordo com Kevin Curran, professor de segurança cibernética da Ulster University, a alta administração precisa priorizar o treinamento de segurança para cada nível de funcionário. “Todo o treinamento deve fornecer exemplos do mundo real e estudos de caso com os quais os funcionários possam se relacionar, mostrando o impacto das práticas de segurança em seu trabalho”, disse ele. “É importante incentivar a educação contínua dos funcionários e que as organizações ofereçam oportunidades regulares para que os funcionários se mantenham atualizados sobre ameaças e contramedidas emergentes à segurança. Também deve haver uma participação muito mais ativa em iniciativas de segurança, como relatar atividades suspeitas e contribuir para discussões ou até mesmo oferecer sugestões para melhorar as medidas de segurança.”

Também é vital que as empresas desenvolvam e divulguem uma política corporativa sobre o uso de tecnologias de IA que impeça as pessoas de usar tais ferramentas até que tenham sido totalmente treinadas e conscientizadas dos riscos associados, disse a Dra. Clare Walsh, diretora de educação no Instituto de Analítica.

Ela recomendou que as empresas estabeleçam regras claras sobre o que pode e o que não pode ser inserido na ferramenta, como nenhum dado pessoal, nada que tenha valor comercial para a empresa e nenhum código de sistema. Todos os funcionários também devem ser obrigados a declarar quando qualquer material foi produzido pela IA.

Outra precaução sensata seria sancionar apenas solicitações de dados de “baixo risco” e “defender o uso dessas tecnologias apenas quando o humano que solicita a saída tiver treinamento e conhecimento para supervisionar e verificar se a máquina produziu algo preciso”. Walsh disse. Para tanto, os funcionários devem ser treinados para procurar anomalias simples em apresentações, material de marketing e outros documentos, como saídas que não fazem sentido, são irrelevantes ou são factualmente imprecisas. 

Tanto os empregadores quanto os funcionários têm o dever de questionar como usam a IA e se a estão usando com segurança, concordou Ed Williams, vice-presidente regional de pentesting da EMEA na empresa de segurança cibernética Trustwave. Eles devem considerar questões-chave como: se o modelo de IA (incluindo sua infraestrutura) é seguro por design; quais vulnerabilidades podem ter que podem levar a uma possível exposição de dados ou saídas prejudiciais; e quais medidas podem ser implementadas para garantir autenticação e autorização corretas, bem como registro e monitoramento apropriados.

“Depois que a empresa e o funcionário tiverem respondido adequadamente a essas perguntas, torna-se uma questão de aceitação ou mitigação de riscos sempre que possível e avaliação consistente das habilidades dos funcionários, recursos internos de segurança cibernética e detecção de ameaças daqui para frente”, disse ele.

O Papel da Gestão de Riscos

Os gerentes de risco têm um papel fundamental a desempenhar na proteção das empresas contra o aumento dos riscos de segurança cibernética e de dados introduzidos pela IA. Primeiro, as empresas devem realizar avaliações de risco completas. “Comece avaliando os riscos potenciais associados às tecnologias de IA dentro da organização”, disse Rom Hendler, CEO e cofundador da empresa de segurança cibernética Trustifi. “Identifique os sistemas de IA em uso, os dados que eles processam e os potenciais vetores de ameaças. Avalie as medidas de segurança existentes e identifique as lacunas que precisam ser abordadas.”

Outra etapa importante é implementar uma governança de dados robusta, desenvolvendo políticas e procedimentos abrangentes para garantir a coleta, armazenamento e processamento seguros de dados. As empresas devem criptografar dados confidenciais, implementar controles de acesso e auditar regularmente as práticas de manipulação de dados. Eles também devem promover uma cultura de conscientização de segurança, enfatizando as melhores práticas para manipulação de dados, reconhecendo técnicas de engenharia social e relatando possíveis vulnerabilidades. As estratégias de minimização de dados também são essenciais para reduzir o impacto potencial das violações. Quanto mais dados uma empresa tiver, mais dados poderão ser roubados, resultando potencialmente em maiores demandas de ransomware e multas de reguladores de dados em todo o mundo.

Estabelecer uma estrutura de governança de dados de IA pode não ser tão difícil quanto parece. Muitas empresas provavelmente já possuem a infraestrutura de governança e controle para lidar com vários riscos emergentes importantes de IA – elas simplesmente podem não estar cientes disso. “Alguns riscos importantes de IA são muito semelhantes aos riscos de segurança cibernética já conhecidos e as empresas podem calibrar suas medidas técnicas e organizacionais para levar em conta as variações do tema”, disse Brock Dahl, sócio e chefe de fintech dos EUA no escritório de advocacia Freshfields.

Ele aconselhou as empresas a se basearem nas atuais estruturas de governança de riscos de segurança cibernética, continuando a garantir que permaneçam flexíveis e adaptáveis. As organizações devem questionar se o uso de novas tecnologias é parte integrante de seus ativos e atividades e se há algum recurso dessa tecnologia que apresente desafios familiares de governança ou introduza novos.

“Na era da rápida inovação, a chave não é simplesmente acompanhar cada novo desenvolvimento, mas dar um passo para trás e garantir que a arquitetura de gerenciamento de riscos da organização seja voltada para absorver o fluxo constante”, disse ele. “Haverá surpresas, mas o objetivo da empresa de gerenciamento de risco é criar uma capacidade de mitigação robusta para quando essas surpresas surgirem, ao mesmo tempo em que limita a surpresa ao máximo possível.”

No entanto, os gerentes de risco precisam estar cientes de outros riscos que podem ser mais exclusivos da IA. Por exemplo, em ataques de inversão, os hackers tentam determinar informações pessoais sobre um titular de dados examinando as saídas de um modelo de aprendizado de máquina. Em casos de envenenamento de dados, agentes mal-intencionados inserem informações incorretas para distorcer os resultados. Mesmo que os controles necessários sejam semelhantes às medidas de governança existentes, esses riscos exigirão abordagens de mitigação especializadas. 

Também é fundamental monitorar o desenvolvimento da regulamentação de IA, dados e segurança cibernética. Como o uso de chatbots nos negócios ainda é relativamente novo, as regras atuais podem ser vagas.

“Estamos vendo passos em direção à legislação específica de IA em várias jurisdições ao redor do mundo”, disse Sarah Pearce, sócia do escritório de advocacia Hunton Andrews Kurth. “De longe, o mais avançado deles é o AI Act da União Europeia, que está passando por suas fases finais antes de entrar em vigor. Certos aspectos da legislação proposta certamente exigirão esclarecimentos no devido tempo. A própria definição de IA, por exemplo, provavelmente apresentará problemas de interpretação e, em última instância, de identificação de quais tecnologias estão sujeitas aos requisitos da lei”.

Os gerentes de risco devem fazer um esforço dedicado para promover a colaboração em toda a organização, envolvendo especialistas em segurança cibernética, especialistas em IA e equipes jurídicas e de conformidade, para que haja um entendimento compartilhado dos riscos relacionados à IA e das proteções apropriadas. De acordo com David L. Schwed, professor de segurança cibernética e profissional residente na Katz School of Science and Health da Universidade Yeshiva, os gerentes de risco devem se alinhar com profissionais de segurança cibernética que entendam esses vetores de ataque exclusivos para estabelecer controles fortes. “Controles que foram bons o suficiente na semana passada podem não ser bons o suficiente nesta semana”, disse ele. “Dado o avanço dos riscos cibernéticos mais amplos e relacionados à IA, a mentalidade de 'enxaguar e repetir' não funcionará neste novo mundo.”

Focando em uma melhor segurança de dados

Alguns especialistas acreditam que o aumento do risco cibernético não é culpa da IA ​​– é devido ao gerenciamento de riscos inadequado. De acordo com Richard Bird, diretor de segurança da empresa de segurança de IA Traceable, o aumento da exposição se deve “em grande parte” ao fato de as empresas lidarem mal com dados e segurança de TI há anos. Tentar adotar as tecnologias de IA em escala corporativa apenas expôs ainda mais as fraquezas.

“Não é hora de integrar a IA em todos os aspectos do fluxo de trabalho de qualquer empresa por um motivo muito simples, mas obviamente esquecido: ninguém se deu ao trabalho de descobrir as mudanças operacionais, funcionais e corporativas necessárias para consumir, alavancar e otimizar seus usos de IA”, disse ele.

“Nossos fluxos de trabalho operacionais foram condicionados para direcionar a interação humana por séculos”, explicou Bird. “Uma abordagem simples de 'rasgar e substituir' para implementar a IA levará a um surto maciço de consequências não intencionais. Grandes e médias empresas são instituições rígidas e inflexíveis quando se trata de mudanças, agravadas pelos problemas de política corporativa, restrições orçamentárias e responsabilidades dos acionistas. Simplesmente colocar a IA na mistura resultará em muita dor e falha evitáveis”.

Bird acrescentou: “Quando se trata de segurança, está claro que a maioria das empresas está em condições muito piores para mitigar os riscos de roubo ou vazamento de dados corporativos e de clientes do que há apenas seis meses”. Isso ocorre porque a maioria das empresas já lutava para manter seus dados seguros antes do surgimento da IA ​​generativa. A facilidade com que os funcionários podem tirar proveito da tecnologia e a falta de controles de segurança adequados aumentam ainda mais o risco para as empresas.

A tecnologia de IA está evoluindo rapidamente. As organizações e os profissionais de risco precisam agir rapidamente para entender os riscos da IA ​​e garantir que não apenas tenham os controles apropriados em vigor, mas também que suas estruturas de governança de risco sejam flexíveis o suficiente para se adaptar à medida que novas ameaças surgem. Qualquer coisa menos pode colocar dados valiosos da empresa em risco.

Neil Hodge é um jornalista freelancer e fotógrafo do Reino Unido.

http://www.rmmagazine.com/articles/article/2023/08/01/managing-data-security-risks-of-ai-technology

---------------------------------------------------------------------------

XV Seminário de Gestão de Riscos e Seguros - EXPO ABGR 2023

https://abgr.com.br/expoabgr2023/

Parceria ABGR e ENS - Escola de Negócios e Seguros - Desconto aos Associados!

Mais informações em: www.abgr.com.br- comunicados

Save the Date - V Encontro Nacional de Seguro de Responsabilidade Civil - Apoio ABGR 

Nos dias 19 e 26 de outubro, em formato híbrido, o V Encontro Nacional de Responsabilidade Civil e Seguro, evento organizado pelo Grupo Nacional de Trabalho de Responsabilidade Civil da AIDA Brasil.
Continue acompanhando as redes sociais para ficar por dentro das novidades desse grande evento!

Curso Preparatório e Certificação Profissional Internacional em Gestão de Riscos.

Associados ABGR têm desconto para inscrições antecipadas. Solicite mais informações através do e-mail: abgr@abgr.com.br

RIMS e ABGR anunciam nova parceria de colaboração que oferece benefícios para os associados da ABGR

Saiba mais em: https://www.rims.org/community/global-professionals/abgr-offer

Acesse as edições mais recentes das publicações do Mercado de Seguros: 

Revista Apólice: https://www.revistaapolice.com.br/2023/07/revista-apolice-289/

Revista Cobertura: https://www.revistacobertura.com.br/revistas/revista-cobertura-edicao-254/#1

Revista Insurance Corp: http://insurancecorp.com.br/pt/content/pdf/ic_ed48_2023.pdf

Revista Seguro Total : https://revistasegurototal.com.br/2023/07/24/investimento-em-tecnologia-e-capacitacao/

Revista Segurador Brasil: https://revistaseguradorbrasil.com.br/edicao-179/

Revista de Seguros: https://cnseg.org.br/publicacoes/revista-de-seguros-n925.html

Conjuntura CNseg: https://cnseg.org.br/publicacoes/conjuntura-cnseg-n90.html

Revista Insurtalks: https://www.flipsnack.com/FEDBBBDD75E/revista-insurtalks-6/full-view.html

Revista Brasil Energia: https://editorabrasilenergia.com.br/wp-content/uploads/sites/1/flips/135028/Bia481/index.html

Portal CQCS: https://cqcs.com.br/