Inteligência Artificial será ocasionadora de uma série de novos ataques. Por outro lado, companhias devem usar a própria IA para aprimorar segurança cibernética
Em 29 de março deste ano, mais de mil pesquisadores, especialistas e executivos do setor de tecnologia, entre eles Elon Musk, CEO da Tesla, e Steve Wozniak, cofundador da Apple, pediram em carta aberta uma pausa de seis meses no desenvolvimento das novas ferramentas de inteligência artificial (IA), chamando a situação atual de “perigosa” corrida armamentista. O contexto apresentado pelas mentes mais brilhantes da tecnologia expõe uma dicotomia em torno de um dos temas mais falados no momento: se por um lado é comemorado que a IA trará benefícios claros para o desenvolvimento da economia e sociedade, por outro, é inevitável que ela tem o potencial de colocar em xeque as bases mais fundamentais desses sistemas.
Para o Security Design Lab (SDL), rede global de pesquisa e desenvolvimento de cibersegurança com operação na América do Sul e Europa, a Inteligência Artificial e a Segurança Cibernética estão trilhando caminhos da integração e a convivência entre ambas será inevitável. Um exemplo é a Microsoft, parceira da OpenAI, empresa criadora do ChatGPT: enquanto anunciou a injeção de bilhões de dólares na evolução ferramenta, por outro lado, também dobrará o investimento em pesquisa e desenvolvimento em segurança cibernética, para cifras na casa de US$ 20 bilhões.
Quais os riscos que a Inteligência Artificial poderá trazer para a segurança das empresas?
Um dos maiores desafios são os hackers usarem a Inteligência Artificial para desenvolver ameaças cibernéticas mais sofisticadas, como e-mails de phishing realistas, implantar malwares ou criar vídeos deepfake convincentes. Em recente evento da Dell em Las Vegas, um dos maiores golpistas da história dos Estados Unidos, Frank Abagnale Jr, que teve a sua vida retratada no filme “Prenda-me se for capaz”, foi bastante claro: “O que eu fiz há 40 anos, hoje está muito mais fácil de fazer por conta das tecnologias existentes. Não apenas do ponto de vista de tecnologia, mas especialmente, das pessoas. A engenharia social é uma realidade e não vai mudar. Os cibercriminosos vão usar a Inteligência Artificial. Ela será do mal”, apontou o especialista, que se tornou consultor do FBI e palestrante sobre segurança da informação.
“O ChatGPT, por exemplo, poderia ser usado, facilmente, por um hacker para gerar uma mensagem de spear phishing personalizada com base nos materiais de marketing de uma empresa e em e-mails comuns do dia a dia. Ele consegue enganar as pessoas que foram bem treinadas em reconhecimento de mensagens fraudulentas, porque não se parecerá com as mensagens que foram treinadas para detectar”, alerta Alexandre Vasconcelos, diretor para a América Latina do Security Design Lab.
Christiano Sobral, sócio-diretor e especialista em direito digital no Urbano Vitalino Advogados, diz que experts em cibersegurança descreveram, recentemente, o potencial perigoso do ChatGPT e sua capacidade de criar um malware polimórfico que é quase impossível de identificar usando detecção e resposta de endpoint (EDR). “EDR é um tipo de técnica de segurança cibernética que pode ser implantada para capturar software malicioso. No entanto, os especialistas sugerem que esse protocolo tradicional não é páreo para o dano potencial que o ChatGPT pode criar. O código que pode sofrer mutações – é aqui que entra o termo polimórfico – por ser muito mais difícil de detectar. A maioria dos modelos de aprendizado de idiomas, como o ChatGPT, são projetados com filtros para evitar a geração de conteúdo impróprio, conforme considerado por seus criadores. Isso pode variar de tópicos específicos a, neste caso, código malicioso. No entanto, não demorou muito para que os usuários encontrassem maneiras de burlar esses filtros. É essa tática que torna o ChatGPT particularmente vulnerável a indivíduos que procuram criar scripts nocivos”, explica.
Como a Inteligência Artificial poderá auxiliar na evolução de ferramentas de cibersegurança?
Se a capacidade de identificar ameaças cibernéticas tornou-se e será cada vez mais difícil, quando integrados a algoritmos de aprendizado que utilizam Inteligência Artificial, os sistemas de segurança poderão trazer vantagens significativas para a segurança cibernética. “Por exemplo, identificar as variantes de um malware pode ser um desafio, especialmente quando enormes volumes de código o mascaram. No entanto, lidar com essa ameaça cibernética será mais fácil, quando as soluções de segurança utilizarem mecanismos de Inteligência Artificial, que incluam bancos de dados de malwares existentes e a capacidade de detectar padrões para descobrir novos códigos maliciosos”, aponta Cristiano Iop, fundador da Sikur, empresa fabricante de soluções de cibersegurança.
Com a utilização da Inteligência Artificial, o executivo defende que os sistemas de segurança cibernética terão capacidade de reconhecer padrões, o que significa que esses sistemas podem detectar desvios de normas, respondendo adequadamente às ameaças nos ecossistemas de TI (Tecnologia da Informação), TO (Tecnologia Operacional) e SCI (Sistema de Controle Industrial).
O caminho da regulação no Brasil e no mundo
No Brasil o Senado está analisando um projeto de lei para regulamentar os sistemas de inteligência artificial. Ele é baseado no trabalho de uma comissão de juristas que analisou, ao longo de 2022, outras propostas relacionadas ao assunto, além da legislação já existente em outros países. O texto cria regras para que os sistemas de inteligência sejam disponibilizados no Brasil, estabelecendo os direitos das pessoas afetadas por seu funcionamento e define critérios para o uso pelo poder público. Violações das regras previstas poderão acarretar multas de até R$ 50 milhões por infração ou até 2% do faturamento, no caso de empresas. Outras punições possíveis são a proibição de participar dos ambientes regulatórios experimentais e a suspensão temporária ou definitiva do sistema.
No exterior, o Reino Unido – terceiro lugar no mundo em publicações de IA, publicou um White Paper sobre sua abordagem à regulamentação. Segundo Marcello Junqueira, sócio do Urbano Vitalino Advogados e especialista em direito digital, o primeiro-ministro Rishi Sunak anunciou que o país sediará uma cúpula global sobre a regulamentação da Inteligência Artificial entre setembro e dezembro de 2023.
“O material elaborado no Reino Unido propõe um conjunto de princípios abrangentes de regulamentação que contempla segurança, proteção e robustez, transparência e explicabilidade, justiça, responsabilidade e governança e contestabilidade e reparação. O conteúdo conta com um anexo sobre as intenções do país de promover o desenvolvimento de padrões internacionais de IA e aponta para os fóruns existentes para engajamento multilateral sobre o tema, como o Grupo de Trabalho de Governança da Inteligência Artificial da OCDE, G7 e Comitê do Conselho da Europa sobre Inteligência Artificial – o último dos quais está atualmente desenvolvendo um tratado de direitos humanos”, explica Junqueira.