As maiores ameaças de IA vêm de dentro – 12 maneiras de defender sua organização

Siga ZDNET: Adicione-nos como fonte preferencial no Google.

Principais conclusões da ZDNET

• A IA está capacitando equipes de segurança cibernética e criminosos cibernéticos.
• A consultoria EY incentiva os CISOs a serem proativos para minimizar riscos.
• A empresa compartilha 12 dicas de segurança em um novo relatório.

Tornou-se um pouco clichê descrever a IA como uma faca de dois gumes, mas isso não torna a frase falsa.

Os especialistas em segurança cibernética têm sido particularmente expressivos neste ponto. “A IA amplifica a defesa através de detecção e resposta mais rápidas, mas ao mesmo tempo reduz o custo e a complexidade dos ataques”, escreveu a empresa de consultoria EY em um comunicado. relatório publicado no início deste mês chamado “IA e segurança cibernética: a nova fronteira da resiliência empresarial”.

“Enquanto os defensores usam a IA para identificar ameaças, os adversários utilizam as mesmas tecnologias para enganar”, afirma o relatório.

Além disso: lançando IA? 5 táticas de segurança que sua empresa não pode errar – e por quê

A tecnologia que está a tornar as defesas de segurança cibernética mais robustas, por outras palavras, também está a capacitar os cibercriminosos que tentam quebrar essas proteções. Como Thor e Loki, ou Batman e o Coringa, os dois inimigos constantemente precisam se superar e manobrar um ao outro no que parece ser uma longa e possivelmente interminável corrida armamentista. (Em uma nota relacionada, os desenvolvedores de IA como a OpenAI têm sua própria corrida armamentista de segurança pela frente: quanto melhor seus modelos puderem proteger contra ataques de injeção imediata, mais astutos esses ataques se tornarão.)

Contraintuitivamente, no entanto, alguns especialistas dizem que a ameaça mais grave alimentada pela IA aos sistemas de segurança cibernética não vem de hackers externos. Em vez disso, a maior ameaça surge dentro das próprias organizações, quando os funcionários utilizam a tecnologia sem protecções internas adequadas.

Na sequência de um estudo divisor de águas do MIT no ano passado, que concluiu que mais de nove em cada 10 iniciativas de IA das empresas não conseguiram produzir resultados significativos, tem havido muito debate em torno do valor de uma abordagem descendente à tecnologia (na qual os líderes organizacionais controlam a forma como os seus empregados a utilizam) e uma abordagem ascendente (onde os empregados têm mais liberdade para experimentar diferentes ferramentas). E de acordo com Dan Mellen, diretor global de tecnologia cibernética da EY, adotar uma abordagem de baixo para cima em relação à segurança cibernética na era da IA ​​é procurar problemas.

Além disso: a IA tornará a segurança cibernética obsoleta ou o Vale do Silício está confabulando novamente?

“As organizações devem absolutamente adotar uma abordagem de cima para baixo para implementar barreiras de segurança em torno do uso de IA pelos funcionários”, disse Mellen à ZDNET. Em comparação com ameaças externas, como ataques de injeção imediata, disse Mellen, “o uso de ferramentas inteligentes não governadas por pessoas internas… representa um risco significativamente maior para a empresa”.

O novo relatório da EY chega num momento em que agentes de IA estão a ser vendidos às empresas como impulsionadores da produtividade dos funcionários. Mas embora a capacidade destes sistemas para criar aplicações e lidar com uma série de outras tarefas complexas continue a crescer, eles ainda apresentam preocupações de segurança ainda não resolvidas. A preocupação mais notável é que a maior autonomia dos agentes acarreta o potencial para comportamentos inesperados. As evidências sugerem que os agentes são propensos a comportar-se de forma imprevisível, por vezes com consequências desastrosas.

Além disso: por que os agentes empresariais de IA podem se tornar a maior ameaça interna

Mellen é, portanto, apenas uma voz entre um coro crescente de especialistas em segurança cibernética que têm emitido alarmes de que a implantação de agentes nas empresas está a ultrapassar a implementação de barreiras de proteção eficazes.

12 dicas para CISOs

Este paradigma do risco vindo de dentro é precisamente o que a EY queria abordar no seu novo relatório sobre IA e segurança cibernética.

Além disso: as ameaças de IA vão piorar: 6 maneiras de igualar a tenacidade de seus adversários digitais

Em termos gerais, o relatório insta os CISOs a abordarem a segurança cibernética com a maior visibilidade possível, de cima para baixo: mapeando claramente como, onde e por que razão a IA está a ser usada internamente e formulando planos de ação para quando esses sistemas se comportam de forma inesperada.

Aqui estão resumidas as 12 recomendações estratégicas da empresa:

1. Em primeiro lugar, desenvolver políticas internas de governança de IA. Estas políticas devem abranger considerações fundamentais, tais como como, onde, quando e por que razão a tecnologia pode ser utilizada e quais os modelos de dados que podem ser acedidos.
2. Expanda seu horizonte de possibilidades. De acordo com a EY, os profissionais de segurança cibernética historicamente concentraram o uso da IA ​​principalmente na defesa contra ataques. Seguindo em frente, eles deveriam abraçar uma abordagem mais ofensiva mentalidade, usando IA “para identificar e neutralizar ameaças antes que elas possam impactar os sistemas”, escreveu a empresa em seu relatório, por meio de exercícios como red-teaming.
3. Construa uma estrutura para medir o ROI do uso interno de IA que leva em conta ganhos quantitativos (como economia de tempo e dinheiro) e ganhos qualitativos (como segurança aprimorada).
4. Tenha um sistema em funcionamento para monitorar continuamente o desempenho dos seus sistemas internos de IA e sua conformidade com o cenário regulatório em constante mudança.
5. Voltando à governança, certifique-se de que os funcionários entendam quais usos da IA ​​são aceitáveis ​​e quais não sãoe como responder nos casos em que os modelos começam a agir de forma inesperada.
6. Ser capaz de visualize o uso interno de IA da sua organização. Crie um painel que os funcionários possam acessar para obter uma visão geral rápida e clara de quais modelos estão em uso, os conjuntos de dados que estão usando, os requisitos de treinamento e assim por diante.
7. Expanda seu portfólio de plataformas de IA. Comece a adotar ferramentas baseadas em IA projetadas para funções específicas de segurança cibernética, incluindo ferramentas de resposta automatizada como SmiForce e ferramentas de gerenciamento de eventos e informações de segurança (SIEM), como SentinelaOne.
8. Com cuidado mapeie as fontes de dados usadas pelos seus sistemas internos de IA e para onde eles estão viajando, especialmente se você estiver lidando com dados em várias jurisdições com diferentes leis de IA e privacidade (por exemplo, entre os EUA e a UE). Para obter uma camada extra de segurança, considere a implementação de arquiteturas de confiança zero que tratem qualquer pessoa ou rede que tente acessar um banco de dados interno como um invasor em potencial que requer autenticação.
9. Treine seus funcionários para detectar golpes gerados por IAcomo deepfakes e ataques de phishing.
10. Cutuque e cutuque seus sistemas internos de IA para tentar detectar e reforçar vulnerabilidades. Use exercícios de red-team para simular ataques de injeção imediata e outros cenários. Implementar medidas de autenticação multifatorial para agentes que realizam tarefas confidenciais (idealmente, um desses fatores seria uma ação humana para autenticar o agente).
11. Participe da conversa mais ampla. Participe de conferências organizadas por organizações como o Instituto Nacional de Padrões e Tecnologia e o Open Worldwide Application Security Project para acompanhar os desenvolvimentos mais recentes no campo em constante evolução da segurança cibernética alimentada por IA. Inicie conversas com outros especialistas do setor sobre ameaças emergentes e as táticas que estão sendo implementadas para proteção contra elas.
12. Preste atenção ao tabuleiro de xadrez geopolítico. O fornecimento limitado de GPUs tornou-se um grande ponto de preocupação na corrida entre os EUA e a China para construir as suas respectivas indústrias de IA. Fique de olho nas mudanças nos controles de exportação e em outros fatores que possam limitar seu fornecimento futuro de chips e planeje-se adequadamente.