A IA generativa está abrindo um mundo de possibilidades para as empresas revolucionarem a maneira com que as pessoas vivem e trabalham. Estudo da Bloomberg Intelligence (BI), mostra que esse mercado deve movimentar cerca de US$ 1,3 trilhão até 2032, com um crescimento anual de 42%.
Apesar desses números deixarem claro que a tecnologia já faz parte do dia a dia das pessoas, a maioria das empresas ainda está adotando a IA generativa com cautela. Pesquisa da Thomson Reuters Institute mostra que 62% dos entrevistados demonstram preocupações com o uso do ChatCPT e outras plataformas no trabalho e todos afirmaram não confiar em ferramentas de IA generativa com dados confidenciais de clientes.
Eles não estão errados, muitas vezes as equipes de TI adotam novas ferramentas sem entender completamente os riscos de segurança que elas podem apresentar, e isso não é diferente em relação a ferramentas de inteligência artificial. O grande problema, é que funcionários e lideranças estão usando a IA generativa sem o aval da área de TI e sem saber quais vulnerabilidades essa adoção pode trazer para a empresa.
Riscos da IA generativa para sistemas SaaS
As equipes de segurança cibernética já estão sobrecarregadas para lidar com vulnerabilidades conhecidas e comuns, como configurações incorretas ou permissões excessivas, tornando o trabalho ainda mais complexo para analisar as ameaças que ferramentas de IA generativa não sancionadas podem implicar para a infraestrutura na nuvem. Isso torna imperativo entender quais são esses riscos e como mitigá-los.
Conexão de ferramentas IA não sancionadas
A facilidade de usar as ferramentas de IA generativa levam os funcionários a utilizá-las sem o conhecimento da TI. Assim como acontece com qualquer forma de Shadow IT, os funcionários visam apenas tornar seu dia a dia de trabalho mais eficiente e produtivo. Apesar disso, ao registrar-se para uma avaliação gratuita e concordando com as solicitações de permissão de leitura/gravação da ferramenta ou conectando a IA às contas corporativas, esse usuário pode abrir portas para hackers terem acesso às informações da empresa.
Como as ferramentas de IA generativa, normalmente, usam tokens de acesso OAuth, assim que a autorização for concedida, o token manterá uma comunicação baseada em API entre a IA e contas Gmail, Google Drive entre outras, facilitando para que um ator de ameaças aproveite possíveis vulnerabilidades para agir. Como as equipes de segurança não contam com ferramentas para monitorar esse risco, simplesmente a vulnerabilidade não é detectada.
Informações confidenciais compartilhadas com a IA generativa
Dados enviados pelos usuários, supostamente para agilizar o trabalho e torná-lo mais eficiente, podem ser compartilhados com o provedor de IA, com concorrentes ou até mesmo abertos para todo o mundo. A maioria das ferramentas de IA generativa são gratuitas e carecem de supervisão, monitoramento ou controles de segurança, o que já permitiu invasões e vazamentos de dados.
Por exemplo, usuários do ChatGPT conseguiram visualizar informações compartilhadas por outros usuários. Apesar da OpenAI, desenvolvedora da plataforma, afirmar que é possível desativar o bate-papo — local onde as informações apareceram —, a empresa ainda retém as conversas por 30 dias para análises.
Enganar protocolos de autenticação SaaS
Assim como os funcionários querem usar a IA Generativa no dia a dia de trabalho, hackers também se aproveitam da ferramenta para tornar os protocolos de autenticação SaaS mais vulneráveis. De acordo com a Techopedia, eles podem usar a IA para adivinhar senhas, quebrar CAPTCHA e criar malwares mais eficientes. Hackers podem usar plataformas de IA generativa para gerar mensagens de phishing personalizadas e de acordo com a estratégia de comunicação das empresas, por exemplo, e tornar sua identificação mais difícil.
Além disso, criminosos podem usar a IA para encontrar vulnerabilidades desconhecidas pelo provedor de serviços na nuvem e ultrapassar facilmente os sistemas de autenticação utilizados. Apesar da IA generativa, por si só, não representar um risco para a segurança, à medida que os usuários implementam a ferramenta sem a autorização da TI, integrando-as a aplicativos SaaS, ela passa a oferecer um risco ativo de vazamento de dados.
Como proteger o ambiente SaaS contra riscos da IA generativa
As empresas precisam implementar uma estratégia de governança de dados de ferramentas de IA em seus ambientes SaaS. Normalmente, funcionários utilizam ferramentas não sancionadas devido a limitações dos recursos oferecidos pelas empresas. Ou seja, há uma necessidade não atendida pela área de TI.
Esse é o primeiro passo para entender as necessidades dos funcionários e saber qual o papel da IA generativa nos negócios modernos. Ao mesmo tempo em que busca atender às solicitações, a TI precisa saber transmitir com eficiência as preocupações de segurança e quais os riscos atrelados ao uso de plataformas não sancionadas e começar a implementar sistemas de segurança adequados para lidar com as ferramentas de IA.
Abordar os riscos oferecidos pela IA generativa exige a adoção de uma solução robusta de Gerenciamento de Postura de Segurança SaaS (CSPM) que fornece à equipe de segurança os insights e a visibilidade necessária para monitorar os riscos na nuvem. O CSPM também pode ajudar na implementação da autenticação multifator em todos os aplicativos e monitorar possíveis alterações de configuração, além de facilitar a aplicação das melhores práticas de segurança voltadas para SaaS e ferramentas IA.
Além disso, a solução permite inventariar as ferramentas de IA aprovadas ou não sancionadas conectadas, detalhando os riscos e vulnerabilidades que precisam ser resolvidos. Esse monitoramento gera alertas automáticos quando uma nova conexão IA for criada, permitindo a adoção de medidas para evitar o uso de ferramentas não autorizadas e reduzir a superfície de ataque.
Isso deixa claro que simplesmente proibir o uso da IA generativa não é suficiente, é preciso que a área de TI trabalhe o mais próxima possível com os demais departamentos da empresa para entender as necessidades e garantir fluxos de trabalho mais eficientes e produtivos. Isso, aliado ao uso de uma solução CSPM eficiente, pode reduzir a exposição de dados SaaS e possíveis violações.
Fortaleça a segurança na nuvem com a plataforma de segurança contextual da Orca Security. Entre em contato com os especialistas da Evolutia e saiba como a plataforma pode evitar riscos causados pelo uso da IA generativa.
