É mais importante do que nunca que os CIO, os CISO e outros líderes tecnológicos nas empresas implementem processos para que os profissionais de segurança validem as bibliotecas ou plataformas em que se baseiam muitos destes programas de IA.
Por José Manuel Antón, Senior Sales Engineer da Commvault
O mundo empresarial foi tomado pela febre da inteligência artificial. Quase todas as empresas estão a falar sobre a melhor forma de utilizar estas novas ferramentas de IA, enquanto os seus colaboradores fazem download de aplicações de IA para descobrir como a tecnologia os pode ajudar nas suas tarefas mais rotineiras.
Por outro lado, as organizações estão a responder a esta tendência incorporando novas ferramentas e funcionalidades baseadas em IA nas suas soluções. A IDC prevê que os investimentos das empresas com a inteligência artificial aumentem 27% este ano, para os 154 mil milhões de dólares.
No entanto, há que ter cuidado. À medida que as empresas se apressam a adotar a tecnologia da IA nas suas várias formas, correm o risco de negligenciar etapas críticas da sua segurança que, mais cedo ou mais tarde, poderão expô-las a ataques devastadores. Isto porque muitas das novas ferramentas de IA dependem de infraestruturas de código aberto ou de repositórios de dados, o que pode exigir uma estratégia defensiva totalmente nova.
É mais importante do que nunca que os CIO, os CISO e outros líderes tecnológicos nas empresas implementem processos para que os profissionais de segurança validem as bibliotecas ou plataformas em que se baseiam muitos destes programas de IA.
O código aberto nem sempre é bom
Com uma simples pesquisa no Google, é possível encontrar um produto apoiado em IA para ajudar em praticamente qualquer tarefa profissional comum. Alguns podem ser inclusive experimentados gratuitamente.
Não se trata de um problema novo. A chamada “TI sombra” – software e dispositivos que os funcionários utilizam sem o conhecimento do seu empregador – tem sido um espinho para os CISO e CIO durante anos. Mas a IA pode agravar muito o problema, uma vez que as ferramentas modernas de IA se baseiam cada vez mais numa arquitetura de código aberto.
Como parte desta onda, já existem legiões de bibliotecas de dados disponíveis online. E esse número só está a crescer à medida que empresas como a OpenAI lançam os seus próprios conjuntos de dados para que os programadores os utilizem.
O código aberto é uma ferramenta poderosa. Mas há riscos. Alguns cibercriminosos têm como alvo as plataformas abertas. E o ataque à SolarWinds, há alguns anos, em que milhares de redes de dados foram comprometidas, mostra os danos que podem ser causados por violações na cadeia de abastecimento de TI. É por isso que, do ponto de vista da segurança, estamos tão preocupados com a corrida ao ouro da IA: quanto mais plataformas abertas de IA forem adotadas, mais as empresas ficam expostas a violações potencialmente catastrófica da cadeia de abastecimento de TI.
Felizmente, há medidas que os responsáveis de segurança podem tomar para ajudar a monitorizar continuamente as ferramentas de código aberto para detetar potenciais vulnerabilidades.
Dar luz às sombras
É mais importante do que nunca que as empresas façam o seu trabalho de casa e examinem minuciosamente qualquer fornecedor que lhe possa vir a fornecer serviços de TI. Mas também é importante que os CISO e as suas equipas estejam constantemente a par das ferramentas que os funcionários tencionam utilizar.
Agora, as equipas de segurança devem trabalhar em estreita colaboração com os seus colegas de desenvolvimento para qualificar os fornecedores e descobrir que protocolos de segurança são utilizados para proteger as bibliotecas de código aberto.
Assim que a equipa de TI interna souber se os repositórios são seguros, pode começar a desenvolver diretrizes de acesso que permitam aos funcionários descarregar as aplicações da sua escolha ou começar a utilizar determinadas bibliotecas para ajudar a alimentar os algoritmos de aprendizagem automática.
Analisar os fornecedores
Mas isso não significa que os colaboradores das empresas se devam apressar a experimentar todas as ferramentas disponíveis. Continua a ser importante que tanto estes como os profissionais de segurança ponderem o valor que o software pode trazer versus a potencial ameaça que pode representar.
A análise dos fornecedores pode desempenhar um papel importante na avaliação de potenciais ameaças. Passar algum tempo a comparar os fornecedores de TI entre si pode fornecer às empresas as informações de que necessitam para decidir quais os que devem contratar.
Esta avaliação comparativa já se tornou uma prática normal para qualquer equipa de TI empresarial responsável. Mas a IA criou todo um novo ecossistema de potenciais fornecedores e parceiros que têm de ser geridos. As empresas devem procurar respostas para perguntas como:
- Que metodologia de desenvolvimento foi utilizada por este fornecedor?
- O fornecedor terá analisado o código suficientemente?
- O fornecedor tem a verificação dinâmica ativada, o que ajudaria a detetar anomalias?
- Que processo tem o fornecedor em vigor para remediar quaisquer vulnerabilidades encontradas?
- O fornecedor dispõe dos sistemas necessários para compreender o impacto nos seus produtos em caso de pirataria na cadeia de abastecimento?
Uma vez feita esta análise, as equipas internas de TI podem decidir se dão luz verde ao fornecedor como uma entidade de confiança. Mas o trabalho não fica por aqui. À medida que mais ferramentas de código aberto são implementadas, é imperativo que as equipas de segurança monitorizem constantemente as suas aplicações para detetar código desconhecido ou potenciais falhas de segurança.
Felizmente, e algo paradoxalmente, a IA pode ajudar as equipas de segurança nesta tarefa, uma vez que podem agora automatizar grande parte da monitorização diária. Isto permite que os analistas passem mais tempo a proteger o software de IA da próxima geração.
Embora compreendamos o entusiasmo em torno da IA, este precisa de ser acompanhado por um maior escrutínio. As empresas precisam de ir além do hype para compreender tanto o valor que o software pode realmente oferecer como os riscos associados à sua adoção. Caso contrário, em vez de beneficiarem da corrida ao ouro da IA, podem dar por si a lutar para proteger os seus sistemas contra uma nova vaga de cibercriminosos oportunistas.