Análise: a relação entre Inteligência Artificial e cibersegurança
Até o fim de 2023, a União Europeia prevê aprovar a lei que regulamenta a IA. Como a tecnologia está revolucionando a área e o que isso significa para proteger seus dados? Por que é importante ter uma legislação para tal e quais são os benefícios para os negócios?
A Inteligência Artificial (IA) representa implicações significativas para a segurança em diversos aspectos. Embora possa ser empregada para fortalecer a segurança e proteção de diversas áreas, apresenta desafios e preocupações no que diz respeito à segurança cibernética, privacidade, manipulação de dados e ética.
Esta que, segundo o The McKinsey Global Institute, ocupa a segunda posição das tecnologias que transformarão a economia global até 2025.
Assim, com o crescimento e a adoção exponenciais da IA, questionamentos sobre o uso e sua aplicação passaram a ser feitos. Em decorrência, o Parlamento Europeu foi o primeiro do mundo a propor uma regulamentação para a tecnologia.
O projeto está atrelado à proposta da Comissão Europeia para a regulamentação da Inteligência Artificial na União Europeia (UE). Em abril de 2021, foi apresentada a Regulation on a European Approach for Artificial Intelligence (Regulamento para uma Abordagem Europeia para a Inteligência Artificial), uma proposta legislativa abrangente.
Seu objetivo é estabelecer um quadro regulatório para a IA na UE, garantindo a proteção dos direitos fundamentais, a segurança e a confiança dos cidadãos europeus. Diferentes aspectos da IA são abordados na proposta, que busca equilibrar a inovação com a proteção dos direitos humanos.
Vale lembrar que veio da Europa a primeira lei para a proteção de dados, a GDPR que, no Brasil, foi o modelo para a LGPD.
Por que é importante ter uma legislação para a Inteligência Artificial
Baseado na proposta da Comissão Europeia, os principais pontos a serem destacados são:
1. Categorias de IA de alto risco: A proposta classifica determinadas aplicações de Inteligência Artificial como de alto risco. Entre elas, sistemas de reconhecimento facial em tempo real, de pontuação de crédito social e de segurança em infraestrutura crítica. Assim, essas aplicações seriam sujeitas a requisitos mais rigorosos e sob supervisão regulatória.
2. Obrigação de conformidade: Os provedores de IA com alto grau de ameaça devem cumprir requisitos específicos, incluindo avaliação de risco, garantia de qualidade dos dados, documentação técnica, registro com as autoridades competentes e implementação de medidas de mitigação de perigo.
3. Proibições específicas: A proposta proíbe certas práticas de IA que são consideradas inaceitáveis e representam uma ameaça aos direitos e à segurança dos cidadãos. Isso inclui a Inteligência Artificial que manipula o comportamento humano de maneira oculta ou explora fraquezas específicas de grupos vulneráveis.
4. Transparência e explicabilidade: Os sistemas de IA devem ser transparentes e fornecer explicações quando solicitados pelos usuários. Os cidadãos têm o direito de entender como a IA toma decisões que podem afetar suas vidas.
5. Reforço da supervisão regulatória: É estabelecido um sistema de supervisão e governança para a Inteligência Artificial na UE. Isso envolve a criação de um Comitê Europeu para a IA, juntamente com autoridades nacionais designadas para supervisionar a aplicação e o cumprimento das regras.
É importante destacar que a proposta de regulamentação da IA ainda está sujeita à discussões, emendas e aprovação pelos legisladores da UE. Se aprovada, terá um impacto significativo no desenvolvimento e uso da tecnologia na Europa, com foco principalmente na promoção da inovação responsável e na proteção dos direitos dos cidadãos.
Relação entre Inteligência Artificial e segurança
De forma concisa, a IA representa benefícios e desafios para a segurança. Por isso, é essencial abordar as implicações de segurança desde o início do desenvolvimento e implementação de sistemas de IA, garantindo a privacidade, a proteção dos dados e a redução dos riscos associados.
O time da SECUREWAY lista a seguir as principais implicações da IA para a segurança.
• Segurança cibernética: A IA pode ser aplicada tanto para melhorar a segurança cibernética quanto para fins maliciosos. Por um lado, seus algoritmos podem ser usados para detectar e prevenir ataques cibernéticos, identificar comportamentos suspeitos e fortalecer as defesas de sistemas e redes. Já do outro, os atacantes podem explorar a IA para desenvolver ataques mais sofisticados, como malware avançado, phishing baseado em IA e técnicas de engenharia social aprimoradas.
• Privacidade e proteção de dados: Uma vez que a Inteligência Artificial depende de grandes conjuntos de dados para treinamento e aprendizado, levanta preocupações sobre a privacidade e a proteção dos dados pessoais. Se as informações forem mal gerenciadas, podem ocorrer violações de privacidade e vazamentos de informações sensíveis. Além disso, existe o risco de uso indevido ou manipulação dos dados por meio de técnicas de IA, como a geração de deepfakes.
• Manipulação de dados e informações: A capacidade da tecnologia de processar grandes quantidades de informações em tempo real pode ser explorada para manipular dados e informações. Assim, os algoritmos podem ser usados para criar notícias falsas, espalhar desinformação e manipular opiniões públicas. A detecção de deepfakes e a verificação de informações se tornam desafios importantes nesse contexto.
• Robustez e segurança dos sistemas de IA: A segurança dos sistemas de IA em si é uma preocupação. Os algoritmos podem ser suscetíveis a ataques e vulnerabilidades. Adversários podem explorar as falhas nos modelos de IA para manipulá-los ou obter acesso não autorizado aos sistemas que os utilizam. A segurança da infraestrutura subjacente e dos algoritmos de IA deve ser considerada para garantir sistemas robustos e confiáveis.
• Viés e discriminação algorítmica: A IA pode ser tendenciosa e perpetuar ou ampliar viés e discriminação existentes nos dados de treinamento. Isso pode ter implicações significativas em termos de segurança, como a aplicação de sistemas de IA em contextos como justiça criminal, segurança pública e triagem de candidatos. É necessário garantir que a IA seja justa, transparente e imparcial para evitar consequências negativas.
• Ataques baseados em IA: A crescente sofisticação da tecnologia também pode levar ao surgimento de ataques baseados em IA. Adversários podem usar estes algoritmos para otimizar e automatizar ataques, explorar vulnerabilidades em sistemas de IA e contornar as defesas tradicionais. Essa ação requer o desenvolvimento de contramedidas e técnicas de defesa que considerem essas ameaças emergentes.
Para driblar as ações cibercriminosas que utilizem ou mirem a IA, bem como proteger os sistemas organizacionais baseados na tecnologia, os times de cibersegurança devem apostar na automação da área.
As opções mais recomendadas são contar com uma plataforma de endpoint baseada na nuvem e que integra todo o ambiente em uma só tela, alertando caso haja uma ameaça; gerenciar a estrutura como código (IaC); incluir o DevSecOps em todas as implantações de aplicações; manter a gestão de identidades em todos os sistemas.
À medida que a tecnologia avança, a segurança deve acompanhá-la. Ferramentas baseadas em Inteligência Artificial já são realidade e as regulamentações que devem surgir nos próximos anos auxiliarão a estabelecer parâmetros, ajudando ainda mais na proteção das organizações.