Por Aras Nazarov
A recente cúpula de IA em Paris promoveu uma visão otimista do potencial da tecnologia, concentrando-se em como a IA pode resolver grandes problemas na medicina, ciência do clima e além, em vez de priorizar a segurança. Mas o mundo não pode ficar apenas animado. É crucial lembrar que a IA também é uma ferramenta poderosa para agentes mal-intencionados – que já está sendo usada em ataques cibernéticos e pode evoluir para uma ameaça muito maior.
Hoje, a IA está sendo implantada para amplificar ataques cibernéticos de várias maneiras. Um estudo da Universidade de Cambridge mostrou como os ataques cibernéticos orientados por IA estão se tornando mais sofisticados. Os invasores estão usando cada vez mais algoritmos de aprendizado de máquina para automatizar ataques de phishing, visando indivíduos e organizações com conteúdo altamente personalizado. Esses sistemas orientados por IA podem analisar grandes quantidades de dados – em perfis de mídia social, histórico de navegação e até padrões de e-mail – para criar ataques convincentes que são mais difíceis de detectar do que os tradicionais.
As ferramentas de IA reduzem a barreira de entrada para o crime cibernético, permitindo que invasores menos experientes lancem ataques que, de outra forma, não teriam as habilidades ou conhecimentos para realizar. Por exemplo, indivíduos que não possuem habilidades de programação agora podem simplesmente pedir a ferramentas de IA como o ChatGPT para escrever bots que automatizam o processo de violação de servidores. Embora esses ataques possam não ser novos, eles ainda aumentam o volume de ameaças potenciais contra as quais as empresas precisam se defender, drenando os recursos de equipes de segurança já subfinanciadas.
Encontrando o equilíbrio certo entre inovação e segurança
À medida que as ferramentas de IA se tornam mais incorporadas às operações de negócios, as apostas aumentam ainda mais. Por exemplo, uma pesquisa recente da KPMG com líderes financeiros revelou que 84% planejam aumentar seus investimentos em IA generativa (GenAI).
Embora eles e presumivelmente outros setores estejam acelerando a adoção de ferramentas de IA, o Fórum Econômico Mundial relata que quase 47% das organizações pesquisadas já notaram avanços adversários alimentados pelo GenAI como sua principal preocupação, permitindo ataques mais sofisticados e escaláveis. Além disso, o mesmo relatório afirma que apenas 37% das organizações possuem processos para avaliar a segurança das ferramentas de IA antes da implantação.
Enquanto isso, a Lei de IA da UE, que visa regular os sistemas de IA de alto risco, está sendo implementada ao longo de vários anos, com implementação total prevista até 2027. No entanto, há um debate crescente na Europa sobre como equilibrar a regulamentação com a promoção da inovação. Durante a cúpula de IA de Paris, o presidente francês Emmanuel Macron observou que a Europa pode reduzir os encargos regulatórios para permitir que a IA floresça na região.
Isso apresenta um desafio potencial: enquanto a Europa luta com preocupações com o excesso de regulamentação, sua abordagem de esperar para ver pode fazer com que eles percam o barco à medida que a tecnologia de IA evolui a uma velocidade incrível. Quando a Lei de IA estiver totalmente em vigor, poderemos enfrentar uma onda totalmente nova de ataques cibernéticos alimentados por IA, muitos além do escopo dos regulamentos atuais.
Então, o que isso significa para a segurança cibernética se a IA for regulada por uma estrutura regulatória leve? Embora a inovação seja essencial, a ausência de regulamentação focada na segurança significa que as ferramentas de IA já estão nas mãos de cibercriminosos que podem transformá-las em armas com o mínimo de supervisão.
No momento, a capacidade dos sistemas de IA para automatizar e otimizar ataques cibernéticos já se estende muito além do phishing mencionado. As ferramentas baseadas em IA podem ser usadas para explorar vulnerabilidades em sistemas de infraestrutura crítica, lançar ataques maiores de negação de serviço distribuído (DDoS) ou até mesmo manipular os mercados financeiros. Em 2023, o Departamento de Segurança Interna dos EUA emitiu um alerta de que os sistemas baseados em IA poderão em breve ser capazes de lançar ataques cibernéticos autônomos difíceis de neutralizar usando mecanismos de defesa convencionais. Essas ameaças apresentam um pesadelo de segurança que os formuladores de políticas não podem se dar ao luxo de ignorar.
Se os sistemas de IA evoluírem a ponto de poderem comprometer a infraestrutura digital de forma autônoma, poderemos ver uma escalada na frequência e na gravidade dos ataques cibernéticos, potencialmente paralisando os sistemas globais.
A segurança cibernética deve evoluir – agora
Independentemente de a IA ser robustamente regulamentada ou não, as empresas devem fazer mais do que o mínimo necessário para a segurança cibernética. Primeiro, é essencial investir em ferramentas de segurança adicionais orientadas por IA, em vez de substituir as existentes por soluções baseadas em IA. Embora a IA e o aprendizado de máquina possam ser incrivelmente úteis para detectar e prevenir ataques em tempo real, eles também podem tomar decisões incorretas. A IA deve servir como um recurso adicional para aprimorar os esforços de segurança cibernética, não como um substituto para as ferramentas tradicionais. Ao analisar padrões no tráfego de rede, a IA pode identificar anomalias que podem sinalizar uma violação. À medida que os ataques cibernéticos se tornam mais automatizados, a IA pode ajudar as equipes de segurança a identificarem ameaças com mais rapidez e eficiência, permitindo que façam mais com a mesma quantidade de recursos.
Outro passo é começar a incorporar a modelagem de ameaças de IA aos protocolos de segurança. A IA pode ser aproveitada para prever e prevenir ataques. As equipes de segurança precisam pensar como invasores, usando IA para simular como seus sistemas podem ser violados e corrigindo proativamente essas vulnerabilidades antes que possam ser exploradas.
Por fim, as empresas devem investir em treinamento contínuo para suas equipes de segurança. À medida que os ataques orientados por IA evoluem, não basta simplesmente confiar em firewalls e software antivírus. Os profissionais de segurança precisam estar preparados para lidar com ameaças mais sofisticadas e baseadas em IA. Isso inclui ficar à frente das tendências, entender como as ferramentas de IA estão sendo usadas contra elas e desenvolver estratégias que vão além das defesas tradicionais.
Sem dúvida, a IA tem o potencial de revolucionar a segurança cibernética e todos os outros setores, mas também introduz uma nova onda de riscos. Embora os formuladores de políticas possam ser pegos na corrida da IA, os profissionais de segurança cibernética devem agir agora. A IA pode ser uma aliada na luta contra o crime cibernético e na viabilização das operações comerciais, mas também pode se tornar um adversário se não for controlada. À medida que corremos em direção a um futuro moldado pela IA, proteger nossos sistemas contra seu lado mais sombrio deve ser uma prioridade.
