O gerenciador de senhas 1Password divulgou hoje um relatório mostrando que 9 em cada 10 (92%) dos profissionais de segurança têm preocupações com a segurança da IA generativa.
Algumas das preocupações listadas pela pesquisa incluem funcionários que inserem dados confidenciais em ferramentas de IA (48%), usam sistemas de IA treinados com dados incorretos ou maliciosos (44%) e caem em tentativas de phishing aprimoradas por IA (42%).
O estudo pesquisou 1.500 trabalhadores norte-americanos, incluindo 500 profissionais de segurança de TI, para avaliar o estado da segurança empresarial.
No processo, os pesquisadores revelaram que os profissionais de segurança estão profundamente preocupados com sua capacidade de controlar os riscos de IA no local de trabalho, tanto devido ao uso por parte dos funcionários quanto a golpes de phishing alimentados por modelos de linguagem ampla (LLMs).
Por que a IA generativa está causando tanta ansiedade às equipes de segurança?
Um dos principais motivos pelos quais a IA generativa está causando ansiedade às equipes de segurança é o uso generalizado do trabalho remoto e do trabalho híbrido.
Jeff Shiner, CEO da 1Password, disse no comunicado de imprensa: “Desde a pandemia, os funcionários ganharam uma flexibilidade sem precedentes em relação a onde e como trabalham, e essa flexibilidade geralmente se estende aos aplicativos e dispositivos que usam.
“A produtividade se tornou primordial, deixando desafios de segurança significativos para os líderes de TI e segurança, que muitas vezes sentem que não têm largura de banda ou orçamento para manter os funcionários seguros.”
Em um curto espaço de tempo, os profissionais de segurança não só tiveram que desenvolver políticas para proteger ambientes de trabalho remotos pós-COVID-19, mas também tiveram que acompanhar a onda de ameaças geradas por IA após o lançamento do ChatGPT em novembro de 2022.
Em uma extremidade do espectro, as equipes precisam lidar com a segurança de ambientes de trabalho remotos e a proteção de dispositivos e identidades localizados fora do local, nas casas dos funcionários e em espaços públicos.
Da mesma forma, do outro lado, elas precisam implementar controles que permitam o uso de IA generativa sem expor dados proprietários a vazamentos se um funcionário inserir acidentalmente segredos da empresa, informações que violem as leis de privacidade ou informações de identificação pessoal (PII) em um prompt do ChatGPT.
Fatores como o trabalho remoto e a IA generativa dividiram a atenção das equipes de segurança, e a pesquisa descobriu que mais de dois terços dos profissionais de segurança (69%) admitem que são, pelo menos em parte, reativos quando se trata de segurança. O principal motivo citado foi que eles estavam sendo puxados em muitas direções conflitantes (61%).
Recentemente, informamos sobre o aumento do número de diretores de segurança da informação (CISOs) que estão pensando em deixar seus cargos, bem como sobre os cargos de segurança cibernética mais difíceis de preencher em 2024.
Trabalho remoto e a porta para a IA sombria
O trabalho remoto pode ter dado aos funcionários a liberdade de trabalhar onde eles são mais produtivos ou se sentem mais confortáveis, mas também introduziu algumas complicações sérias de segurança.
Em um primeiro momento, as organizações não têm como saber se os funcionários que trabalham remotamente estão usando as práticas recomendadas de segurança cibernética ou agindo de forma negligente.
Ações simples, como visitar sites restritos, usar um dispositivo pessoal não autorizado ou deixar de atualizar o software, podem introduzir vulnerabilidades que a organização não sabe que existem.
Um risco comum identificado no relatório foi o uso de Shadow IT. Mais especificamente, o estudo constatou que 34% dos funcionários usam aplicativos e ferramentas não aprovados.
Em geral, esses funcionários usam um total de cinco aplicativos ou ferramentas de shadow IT, que não são mantidos pela equipe de segurança e são propensos a vazamentos.
Ashley Leonard, CEO da Syxsense, disse à Techopedia:
“As empresas devem considerar o aumento do risco de os funcionários usarem a genAI e inserirem dados confidenciais em sistemas não aprovados”.
“Uma maneira de abordar isso é incentivar o uso da genAI, mas dentro de limites e ferramentas específicos. Já vimos funcionários utilizarem ferramentas de TI não aprovadas para realizar seus trabalhos, e as empresas ainda lutam contra a Shadow IT atualmente. Ao permitir o uso dessa nova tecnologia – dentro de limites – você pode reduzir o risco.”
Examinando os riscos da IA generativa no local de trabalho
A IA generativa apresenta alguns riscos significativos no local de trabalho e exige que os usuários tenham um alto nível de conhecimento sobre as limitações da tecnologia.
Acima de tudo, os funcionários precisam estar cientes de que as informações inseridas nos prompts podem ser usadas para treinar os modelos do fornecedor, o que torna inadequada a inserção de dados proprietários, PII ou outras informações confidenciais.
Embora algumas soluções, como o ChatGPT Enterprise, ofereçam garantias de que os prompts não são usados para treinar modelos, não se pode confiar nessas garantias devido à falta de transparência em relação às práticas de treinamento e manuseio de dados de uma organização terceirizada.
Há também o risco de os sistemas de IA serem treinados com materiais protegidos por direitos autorais, dados incorretos ou conteúdo preconceituoso, o que pode resultar em resultados prejudiciais.
Também vale a pena observar que as equipes de segurança não podem necessariamente contar com os funcionários para usar as soluções de IA de forma responsável, com 22% dos funcionários admitindo violar conscientemente as regras da empresa sobre o uso de IA generativa.
Como se isso não fosse ruim o suficiente, mais um em cada quatro funcionários (26%) afirmou não entender as preocupações de segurança sobre o uso de ferramentas de IA no trabalho.
Ao considerar esses fatores juntamente com o risco de phishing devido ao conteúdo gerado por IA, não é surpresa que as equipes de segurança estejam preocupadas com o impacto que a IA generativa teve no cenário de ameaças.
Para onde vamos agora
Enfrentar os desafios de segurança da IA generativa em ambientes de trabalho descentralizados é um processo difícil, mas, para muitas organizações, a resposta está no investimento em IA e no conhecimento de IA.
Em 2023, 40% das equipes de segurança implementaram ferramentas de segurança específicas de IA e 42% das equipes contrataram funcionários de TI ou de segurança com conhecimentos específicos de IA.
Com o uso da IA, as empresas podem identificar automaticamente o acesso anômalo a contas de usuários e impedir que indivíduos não autorizados acessem dados privilegiados. Isso reduz significativamente a pressão sobre os profissionais de segurança humanos para que reajam com rapidez.
Da mesma forma, investir tempo e dinheiro para educar os funcionários sobre como os LLMs e outras ferramentas orientadas por IA podem ajudar a educar os funcionários sobre as práticas recomendadas de segurança e os riscos do uso negligente.
O resultado final
A IA generativa abre novas oportunidades para a produtividade dos funcionários, mas as organizações precisam priorizar o investimento de tempo e dinheiro na educação dos funcionários sobre o risco de uso indevido para reduzir o potencial de vazamento de dados.
Outras medidas que as organizações estão adotando para diminuir o risco em ambientes de trabalho remoto incluem software antivírus, redes privadas virtuais (VPNs), gerenciamento de incidentes e eventos de segurança, biometria, autenticação multifator e chaves de acesso.
O principal desafio agora é parar de usar essas ferramentas como parte de uma colcha de retalhos díspares e investir na criação de soluções centralizadas para que as equipes de segurança possam gerenciar cada componente como parte de uma solução unificada.