Assistentes de IA: um novo desafio para a segurança cibernética

No último ano, a inovação da inteligência artificial (IA) se espalhou pelo local de trabalho. Em todos os setores e em todas as funções da equipe, estamos vendo funcionários usando assistentes de IA para simplificar várias tarefas, como registrar atas, escrever e-mails, desenvolver códigos, elaborar estratégias de marketing e até mesmo ajudar a gerenciar as finanças da empresa. Já estou imaginando um assistente de IA que ajudará com a estratégia de conformidade, monitorando ativamente as alterações regulamentares e identificando áreas de melhoria.  

No entanto, em meio a todo esse entusiasmo, há um desafio muito real: como proteger os dados corporativos e a propriedade intelectual contra vazamentos por meio dessas plataformas de IA geradoras e para provedores terceirizados. 

Embora muitas empresas tenham pensado em bloquear completamente essas ferramentas em seus sistemas, fazer isso poderia limitar a inovação, criar uma cultura de desconfiança em relação aos funcionários ou até mesmo levar à “IA sombra” – o uso não aprovado de aplicativos de IA de terceiros fora da rede corporativa.

Até certo ponto, o cavalo já fugiu. Os dados mostram que, nas empresas, os assistentes de IA já estão integrados às tarefas cotidianas. O assistente de redação Grammarly, o segundo aplicativo de IA generativa mais popular, é usado atualmente por 3,1% dos funcionários, e percebo que cerca de um terço das teleconferências de que participo agora têm um assistente de IA na lista de convidados. 

Em vez de bloquear totalmente as ferramentas, os diretores de segurança (CISOs) podem implementar políticas de proteção contínua usando ferramentas inteligentes de DLP (Data Loss Prevention, prevenção contra perda de dados) para usar aplicativos de IA com segurança. As ferramentas de DLP podem garantir que nenhuma informação confidencial seja usada em consultas de entrada para aplicativos de IA protegendo dados essenciais e evitando acesso não autorizado, vazamentos ou uso indevido.  

Leia mais:

• A IA está moldando o futuro da cibersegurança
• PC com IA é aposta para empresas; vale a pena trocar dispositivos agora?
• Uma breve história sobre a IA

Os CISOs também devem ter um papel ativo na avaliação dos aplicativos usados pelos funcionários, restringindo o acesso àqueles que não se alinham às necessidades da empresa ou que representam um risco indevido. Quando um assistente de IA é considerado relevante para sua organização, a próxima etapa envolve a verificação do fornecedor e a avaliação de suas políticas de dados. Durante esse processo, é importante fazer o seguinte questionamento: 

1. Práticas de tratamento de dados: O que acontece com os dados inseridos por um funcionário?
   
   Entender como o fornecedor gerencia e protege os dados é fundamental para garantir a privacidade e a segurança dos dados. Um estudo do Fórum Econômico Mundial constatou que 95% dos incidentes de segurança cibernética resultam de erro humano – e confiar dados confidenciais a um assistente de IA de terceiros pode exacerbar esse risco.
   
   Há um motivo ainda maior para pausa: ao alimentar essas ferramentas com dados, as organizações podem estar contribuindo inadvertidamente para o treinamento de modelos de IA potencialmente competitivos. Isso pode levar a um cenário em que informações proprietárias ou insights sobre as operações da organização podem ser aproveitados pelos concorrentes, representando riscos significativos para a vantagem competitiva e a posição de mercado da organização.

2. O modelo é usado para serviços adicionais de forma privada ou pública? Foi desenvolvido pela própria empresa ou é baseado em uma solução de terceiros?
   
   Muitos aplicativos de assistente de IA usados pelos funcionários geralmente dependem de serviços de terceiros. É comum que os funcionários usem aplicativos sem saber que a infraestrutura de back-end opera em uma plataforma acessível ao público. Estamos particularmente atentos aos custos significativos associados à tecnologia de IA e, portanto, sabemos que as opções gratuitas ou baratas ganham dinheiro de outras maneiras – vendendo dados ou a inteligência de IA para a qual contribuíram. Nesses casos, um exame minucioso das letras miúdas torna-se imperativo para garantir a proteção e a privacidade dos dados confidenciais.

3. O que acontece com o resultado? Eles são empregados para treinar modelos subsequentes?
   
   Muitos fornecedores de IA não usam apenas a entrada de dados para treinar seus modelos – eles também usam a saída de dados. Esse ciclo cria maneiras cada vez mais complicadas pelas quais os aplicativos podem expor inadvertidamente informações confidenciais da empresa ou levar à violação de direitos autorais – e pode ser difícil de desvendar no planejamento da proteção de dados da cadeia de suprimentos.

Olhando para dentro de casa

Como as empresas privadas aguardam uma orientação legislativa mais forte sobre IA, é importante que os executivos responsáveis por segurança e compliance promovam a autorregulação e as práticas éticas de IA em suas organizações. Com a proliferação de assistentes de IA, é fundamental que eles ajam agora para avaliar as implicações destas ferramentas no local de trabalho.

Em breve, todos os funcionários realizarão muitas tarefas diárias em conjunto com seus assistentes de IA e isso deve motivar as empresas a criarem comitês internos de governança não apenas para avaliar as ferramentas e seus aplicativos, mas também para discutir a ética da IA analisar os processos e discutir a estratégia antes de uma adoção e regulamentação mais ampla.

É exatamente assim que estamos abordando o desafio dentro das equipes de segurança aqui na Netskope; com um comitê de governança de IA responsável por nossa estratégia de IA e que criou os mecanismos para inspecionar adequadamente os fornecedores emergentes e suas abordagens de processamento de dados.