As organizações e, em especial, suas equipes de segurança e conformidade, estão se conscientizando de que a adoção da inteligência artificial generativa traz riscos e ameaças exclusivos que não são facilmente compreendidos. Entretanto, elas ainda desconhecem muitos aspectos dessas tecnologias.
A Techopedia conversou com especialistas para descobrir como os profissionais de segurança estão se adaptando, como os líderes devem trabalhar para resolver essa lacuna de conhecimento e se as estruturas e leis de IA estão ajudando-os. Essas conversas renderam algumas conclusões interessantes. A primeira é que as equipes de segurança estão adotando rapidamente ferramentas de IA generativa, mas nem todos entendem completamente os riscos envolvidos. Essa lacuna de conhecimento cria vulnerabilidades que os criminosos cibernéticos podem explorar em seu benefício.
Um estudo da Splunk descobriu que 91% das equipes de segurança usavam GenAI, mas apenas 70% estavam cientes de suas implicações.
Essa análise também constatou que existe uma "TI invisível" com o uso não declarado de IA generativa e a natureza muito opaca dos algoritmos de IA, o que dificulta para as equipes de segurança avaliar os riscos e confiar nos resultados da IA.
Kevin Breen, diretor sênior de pesquisa de ameaças cibernéticas da Immersive Labs, tem uma visão clara do motivo pelo qual as equipes não entendem essa tecnologia em detalhes.
"A rápida adoção da IA generativa pelas organizações significa que as equipes de segurança e risco estão correndo para acompanhar", diz ele.
Ele acredita que a GenAI é ativada sem aviso prévio em muitos serviços on-line e que os dados de uma organização podem ser processados por um provedor de serviços, como a Open AI ou a Anthropic, quando eles não tiverem sido declarados processadores de dados.
Além disso, Breen acredita que, em geral, há uma falta de educação e compreensão de como a GenAI funciona e como os dados são processados.
No caso de Cache Merrill, CTO da Zibtek, ele argumenta que a principal batalha para os profissionais de segurança costuma ser a complexidade e a opacidade dos algoritmos de IA.
Ele diz que a natureza de "caixa preta" dos sistemas de IA dificulta que as equipes de segurança confiem ou entendam totalmente as avaliações de risco e as decisões tomadas pela IA.
O fato de todos falarem sobre inteligência artificial e de todas as empresas quererem colocar "seu selo" nela para aproveitar a onda também não ajuda. Erich Kron, da KnowBe4, explica que a maior parte da culpa é dos departamentos de marketing, que pressionaram para promover ao máximo os recursos relacionados à IA nos produtos.
"O uso excessivo da palavra-chave IA torna muito difícil para os profissionais de segurança entender o que é realmente útil e o que é trapaça", explica ele.
"Essa pressão dos fornecedores geralmente resulta no lançamento de produtos sem os devidos testes, pois eles lutam para acompanhar a concorrência", acrescenta.
Ryan Smith, especialista em segurança cibernética e inteligência artificial e fundador da QFunction, argumenta que algumas perguntas precisam ser feitas e resolvidas, como, por exemplo, se e como a IA facilitará seu trabalho.
"Até que essas perguntas sejam feitas e respondidas, os profissionais de segurança cibernética continuarão a não entender totalmente suas implicações", diz ele.
O que os líderes devem fazer
Diante desse novo cenário, os líderes devem decidir sobre uma das duas opções: atualizar as habilidades da equipe existente, contratar novos especialistas em IA (o que é caro e desafiador) ou terceirizar projetos específicos. Aqui, a opinião dos especialistas é mista.
Merrill, da Zibtek, diz que melhorar as habilidades da equipe existente é "crucial", mas para obter conhecimento especializado é melhor trazer novos talentos com experiência em IA e aprendizado de máquina.
Kron também defende o aumento das habilidades da força de trabalho e que há "planos para treinar e atualizar a equipe à medida que mais ferramentas e recursos baseados em IA são lançados".
Falta de política
O relatório da Splunk mencionado anteriormente destaca que a política de IA é um território desconhecido. Embora existam estruturas como o NIST AI RMF ou a Lei de IA da União Europeia para gerenciar os riscos inerentes à IA, muitas equipes não têm conhecimento delas. Para piorar a situação, 34% das organizações não têm nenhuma política de GenAI.
Para outros 45%, "um melhor alinhamento com os requisitos de conformidade" é uma área importante a ser melhorada.