Por Corey McReynolds |  Fonte : Risk Management Magazine - RIMS

À medida que o ChatGPT e outras novas ferramentas generativas de IA recebem mais atenção e se tornam mais facilmente acessíveis, as empresas começaram a explorar como integrá-las de forma eficaz nos seus fluxos de trabalho. Embora este processo possa exigir deliberação do ponto de vista corporativo, muitos funcionários não esperarão pela luz verde da administração antes de explorar a tecnologia. Em vez disso, muitos funcionários provavelmente já estão usando essas ferramentas de alguma forma para ajudar nas tarefas relacionadas ao trabalho.

Na verdade, num inquérito a 2.000 trabalhadores americanos, a Business.com descobriu que 57% experimentaram o ChatGPT e 16% utilizam-no regularmente no trabalho. Dados da Cyberhaven descobriram de forma semelhante que, em 1º de junho, 10,8% dos funcionários usaram o ChatGPT no trabalho e 8,6% até colaram dados da empresa nele. Em muitos casos, os funcionários realizam este trabalho na ausência de qualquer política da empresa sobre a utilização de IA e sem uma compreensão completa dos riscos potenciais.

“As empresas estão percebendo cada vez mais que os funcionários em toda a organização estão usando IA generativa de maneiras que não apreciavam totalmente”, disse Sarah Rugnetta, vice-presidente e sócia da equipe cibernética do escritório de advocacia Constangy, Brooks, Smith & Prophete. “Nos últimos meses, temos visto uma atenção cada vez maior à IA. O desenvolvimento de uma política de uso de IA tornou-se uma alta prioridade organizacional, e a diretriz para desenvolver uma política de uso de IA muitas vezes vem diretamente do alto escalão.”

É claro que só porque os funcionários usam ferramentas generativas de IA não significa necessariamente que estejam envolvidos em qualquer comportamento de risco. Muitas pessoas ainda estão um pouco cautelosas em relação a esta tecnologia nesta fase e estão apenas testando o terreno. Mas testar as águas ainda pode apresentar riscos. Embora tenha havido uma extensa cobertura sobre IA generativa este ano, continua a existir uma falta geral de conhecimento sobre como ela realmente funciona, representando um perigo facilmente esquecido. Uma melhor compreensão da IA ​​generativa e dos riscos envolvidos pode ajudar as organizações e os seus funcionários a prepararem-se melhor para tirar o máximo partido do potencial das ferramentas de IA generativa, garantindo ao mesmo tempo que o fazem de forma mais segura.

Preocupações com segurança de dados

Uma das principais características da IA ​​generativa é que ela recebe tanto quanto dá, o que significa que a qualidade dos resultados futuros depende das informações inseridas no sistema para treiná-lo. Os usuários podem não perceber que, quando inserem informações, a IA não está apenas cuspindo algo de volta para eles, mas também absorvendo esse conhecimento e garantindo que ele seja acessível a qualquer pessoa que use a ferramenta daqui para frente. É aí que reside o risco.

Uma vez que a IA generativa consome informações – sejam essas informações disponíveis publicamente ou altamente confidenciais, como informações de identificação pessoal, informações de saúde protegidas ou propriedade intelectual de uma organização – elas existem perpetuamente como parte do conjunto de dados da ferramenta e podem, portanto, ser acessíveis a qualquer pessoa que usa essa plataforma. No futuro, outra parte poderá acessar informações confidenciais divulgadas inadvertidamente à IA generativa, aumentando riscos significativos de propriedade intelectual e legais.

Considere um cenário hipotético: um funcionário está trabalhando com IA generativa para apresentar uma descrição das capacidades de um novo produto ou serviço. Quaisquer ideias e conceitos que eles alimentem na IA generativa para produzir as mensagens desejadas estão agora no conjunto de informações que a IA generativa pode utilizar no futuro. Se o funcionário solicitar ajuda para transformar um resumo de mensagens em slides estampados com o nome da empresa para uma apresentação interna, um concorrente poderia, em teoria, perguntar à IA: “Em que nova tecnologia a Empresa A está trabalhando?” ou “Preciso de uma ideia para o produto X” e poderá acessar as informações inseridas.

Além disso, se um concorrente consultar a mesma IA generativa relativamente a um novo produto ou serviço semelhante, essa IA generativa poderá ser capaz de aproveitar as informações da Empresa A e fornecê-las à Empresa B como parte da sua resposta. Isto poderia resultar num nível mais elevado de conflito potencial relativamente a quem é o proprietário dessa propriedade intelectual.

A possibilidade de violação da infraestrutura destas ferramentas apresenta outro risco à segurança dos dados. Por exemplo, a OpenAI teve que retirar o ChatGPT do ar em março para corrigir um bug que permitia ao usuário recuperar os títulos dos bate-papos de outros usuários. “Se houvesse uma violação maior, que detalhes adicionais poderiam ser descobertos e que tipo de atribuição poderia ser feita?” disse Marc Bleicher, diretor de tecnologia da Surefire Cyber. “Se os funcionários se inscrevessem em contas usando o domínio de sua empresa, outros usuários poderiam ver que tipo de perguntas estão usando para interagir com uma IA generativa. Isso é um tesouro de informações.”

Outra preocupação é que os agentes de ameaças utilizem ferramentas de IA para conduzir ataques cibernéticos mais sofisticados, quer isso signifique escrever malware mais eficaz ou inventar melhores esquemas de phishing. Por exemplo, para evitar ameaças de phishing e spearphishing no passado, as organizações alertaram os funcionários para prestarem atenção a erros ortográficos e outros elementos que pareciam “errados” em um e-mail ou site. As tecnologias de IA generativa podem agora ser aproveitadas para criar comunicações e websites limpos e com aparência profissional que não deixam indicações de que sejam fraudulentos.

Além disso, os malfeitores podem combinar as capacidades de processamento de linguagem natural da IA ​​generativa com tecnologias visuais de falsificação profunda e de recriação de voz para criar uma imagem física de uma pessoa que se move e fala naturalmente. Ao obter imagens e amostras de voz de mídias sociais, vídeos de discursos ou até mesmo ligações não solicitadas à moda antiga para gravar uma voz, eles podem até fazer com que pareça e soe como alguém que um funcionário conhece. O resultado pode ser muito convincente, tornando mais fácil para os atores da ameaça se passarem por supervisores ou membros do alto escalão para conseguir que um funcionário, organização parceira ou terceiro faça algo em nome da empresa.

À medida que a tecnologia melhora, os cibercriminosos encontrarão formas adicionais de tirar partido das suas capacidades para criar novos ataques e automatizá-los e disseminá-los de forma mais eficaz. “A IA generativa ainda está em sua infância”, disse Rugnetta. “Estamos esperando para ver se e como essa tecnologia será aproveitada para aumentar o atual cenário de ameaças.”

Educação e Conscientização

Promover a educação e a conscientização é vital para evitar consequências indesejadas do uso do ChatGPT e de outras plataformas generativas de IA pelos funcionários. As organizações devem despender tempo, dinheiro e esforço desde o início e com frequência para garantir que os funcionários compreendem a tecnologia, o que ela faz, do que é capaz, de onde extrai informações e o que faz com as informações recebidas.

Um elemento importante que os funcionários devem compreender é que a IA generativa nem sempre produz resultados precisos. “A IA generativa pode criar problemas nos resultados da tecnologia”, disse Rugnetta. “Como a IA é treinada com base em dados anteriores, ela pode gerar preconceitos e imprecisões que os funcionários podem não necessariamente apreciar ou detectar.”

A IA generativa também pode ser propensa a “alucinações”, em que a tecnologia simplesmente cria informações fictícias em resposta a uma solicitação, criando potencialmente problemas para as organizações que utilizam essas informações a título oficial.

Para evitar estes problemas, é essencial desenvolver um processo de revisão que não considere os resultados gerados pela IA pelo seu valor nominal. “Não remova o humano”, disse Bleicher. “Quer você confie na IA generativa por meio de um aplicativo ou de seus serviços, até que isso esteja mais desenvolvido, tenha alguém para verificar a precisão e a validade desses dados.”

Em algumas circunstâncias, pode até fazer sentido realizar uma auditoria independente e humana da ferramenta. “Por exemplo, se houver preocupações sobre preconceitos no contexto de RH, essa é uma área onde você provavelmente gostaria de dar o próximo passo e realizar uma auditoria real ou uma avaliação de impacto na privacidade de dados, a fim de detectar e documentar as descobertas”, Rugnetta disse.

As empresas precisam essencialmente tratar a IA generativa como tratariam qualquer outra ferramenta nova e estabelecer parâmetros para implementação. “Crie uma política de uso aceitável em torno da IA ​​generativa e estabeleça controles técnicos para garantir que essas políticas sejam seguidas”, disse Bleicher. As empresas devem definir claramente políticas e procedimentos para restringir ou promover a utilização segura destas tecnologias, adaptando esta orientação a cada organização e aos seus funcionários. No entanto, a pesquisa Business.com descobriu que poucas empresas deram esse passo, com apenas 17% dos trabalhadores afirmando que suas empresas tinham uma política clara sobre o uso do ChatGPT. As organizações que tomam este tipo de medidas têm maior probabilidade de estar conscientes dos riscos apresentados pela IA generativa e mais bem posicionadas para tomar decisões informadas sobre os riscos.

Para que as políticas de IA sejam eficazes, elas precisam ser personalizadas. Dependendo do setor e da estrutura de governança de dados de uma organização, Rugnetta recomendou envolver pessoas das equipes de segurança da informação, jurídico, privacidade, operações, recursos humanos e conformidade no desenvolvimento de políticas de IA. Este grupo será capaz de identificar os casos de utilização e os riscos em torno de cada uma dessas utilizações, avaliar se deve investir numa plataforma empresarial de IA e debater a melhor forma de divulgar a política e formar a força de trabalho.

A política também deve ser revista periodicamente como parte do ciclo de governação da organização. As políticas devem incluir diretrizes a nível de processo em vez de abordar tecnologias específicas, embora Rugnetta tenha observado que “as organizações podem incluir plataformas de IA generativa aprovadas num apêndice que pode ser mais facilmente atualizado para refletir a nova tecnologia”. Para esse fim, uma vez que os avanços na IA generativa acontecerão muito rapidamente, as organizações devem realizar regularmente sessões de formação para ajudar os funcionários a manterem-se atualizados sobre as tendências e capacidades tecnológicas atuais.

Tal como acontece com qualquer nova tecnologia importante, a IA generativa está repleta de possibilidades, mas também de perigos potenciais. As organizações que não tomam medidas proativas para desenvolver políticas, educação e comunicação para ajudar os funcionários a compreender estas ferramentas abrem-se a uma ampla gama de novas exposições a riscos.

Corey McReynolds é consultor sênior de serviços profissionais da empresa de segurança de TI Avertium.

https://www.rmmagazine.com/articles/article/2023/12/01/generating-risk-new-exposures-from-chatgpt-and-other-ai-tools

------------------------------------------