Os governos provavelmente desejarão adotar um caminho mais cauteloso na adoção inteligência synthetic (IA), especialmente IA generativa (gen AI), pois são amplamente encarregados de lidar com os dados pessoais de sua população. Isso também deve incluir o reforço de sua defesa cibernética, pois a tecnologia de IA continua a evoluir e isso significa que é hora de revisitar os fundamentos.
Organizações dos setores público e privado estão preocupadas com a segurança e a ética na adoção da IA de geração, mas estas últimas têm expectativas maiores sobre essas questões, disse o CEO da Capgemini na Ásia-Pacífico, Olaf Pietschner, em uma entrevista em vídeo.
Os governos são mais avessos a riscos e, por implicação, têm padrões mais altos em torno da governança e das proteções necessárias para a IA gen, disse Pietschner. Eles precisam fornecer transparência em como as decisões são tomadas, mas isso requer que os processos movidos a IA tenham um nível de explicabilidade, disse ele.
Portanto, as organizações do setor público têm menor tolerância a problemas como alucinações e informações falsas e imprecisas geradas por modelos de IA, acrescentou.
Ele coloca o foco na base de uma arquitetura de segurança moderna, disse Frank Briguglio, estrategista de segurança de identidade do setor público para o fornecedor de gerenciamento de identidade e acesso, SailPoint Applied sciences.
Questionado sobre as mudanças nos desafios de segurança que a adoção da IA significou para o setor público, Briguglio destacou uma necessidade maior de proteger os dados e inserir os controles necessários para garantir que eles não sejam expostos aos serviços de IA. raspando a web em busca de dados de treinamento.
Também: Os governos podem transformar o discurso sobre segurança da IA em ação?
Em specific, o gerenciamento de identidades on-line precisa de uma mudança de paradigma, disse Eduarda Camacho, COO do fornecedor de segurança de gerenciamento de identidades, CyberArk. Ela acrescentou que não é mais suficiente usar autenticação multifator ou depender de ferramentas de segurança nativas de provedores de serviços de nuvem.
Além disso, também é inadequado aplicar proteção mais forte apenas para contas privilegiadas, disse Camacho em uma entrevista. Isso é especialmente pertinente com o surgimento da IA de geração e, junto com ela, os deepfakes, que tornaram mais complicado estabelecer identidades, ela acrescentou.
Também: A maioria das pessoas se preocupa com deepfakes – e superestima sua capacidade de identificá-los
Assim como Camacho, Briguglio defende os méritos de uma abordagem centrada na identidade, que, segundo ele, exige que as organizações saibam onde todos os seus dados residem e classifiquem os dados para que possam ser protegidos adequadamente, tanto da perspectiva de privacidade quanto de segurança.
Eles precisam ser capazes de, em tempo actual, aplicar as políticas também às máquinas, que também terão acesso aos dados, disse ele em uma entrevista em vídeo. Por fim, destacando o papel de confiança zeroonde toda tentativa de acessar uma rede ou dados é considerada hostil e pode comprometer sistemas corporativos, disse ele.
Atributos ou políticas que concedem acesso precisam ser verificados e governados com precisão, e os usuários empresariais precisam ter confiança nesses atributos. Os mesmos princípios se aplicam a dados e organizações que precisam saber onde seus dados residem, como eles são protegidos e quem tem acesso a eles, observou Briguglio.
Ele acrescentou que as identidades devem ser revalidadas em todo o fluxo de trabalho ou de dados, onde a autenticidade da credencial é reavaliada à medida que ela é usada para acessar ou transferir dados, incluindo para quem os dados são transferidos.
Isso ressalta a necessidade de as empresas estabelecerem uma estrutura clara de gerenciamento de identidade, que hoje continua altamente fragmentada, disse Camacho. O gerenciamento de acesso não deve diferir com base simplesmente na função do usuário, ela disse, instando as empresas a investir em uma estratégia que assuma que toda identidade em sua organização é privilegiada.
Suponha que toda identidade pode ser comprometida e o advento da IA gen só aumentará isso, ela acrescentou. As organizações podem ficar à frente com uma política de segurança robusta e implementar o gerenciamento de mudanças internas e o treinamento necessários, ela observou.
Também: Líderes empresariais estão perdendo a fé em TI, de acordo com este estudo da IBM. Aqui está o porquê
Isso é essencial para o setor público, especialmente porque mais governos começam a implementar ferramentas de IA de geração em seus ambientes de trabalho.
Na verdade, 80% das organizações governamentais e do setor público aumentaram seus investimentos em IA de geração no ano passado, de acordo com um Pesquisa Capgemini que entrevistou 1.100 executivos no mundo todo. Cerca de 74% descrevem a tecnologia como transformadora para ajudar a impulsionar receita e inovação, com 68% já trabalhando em alguns pilotos de IA de geração. Apenas 2%, no entanto, habilitaram recursos de IA de geração na maioria ou em todas as suas funções ou locais.
Também: Governança de IA e roteiro claro ausentes na adoção empresarial
Enquanto 98% das organizações do setor permitem que seus funcionários usem IA gen em alguma capacidade, 64% têm barreiras para gerenciar tal uso. Outros 28% limitam tal uso a um grupo seleto de funcionários, observa o estudo da Capgemini, e 46% estão desenvolvendo diretrizes sobre o uso responsável de IA gen.
No entanto, quando questionadas sobre as suas preocupações relativamente à IA ética, 74% das organizações do sector público apontaram para uma falta de confiança de que as ferramentas de IA de geração são justas, e 56% expressaram preocupações de que viés em modelos de IA gen poderia resultar em resultados embaraçosos quando usado por clientes. Outros 48% destacaram a falta de clareza sobre os dados subjacentes usados para treinar aplicativos de IA de geração.
Foco na segurança e governança de dados
Atualmente, o foco na segurança de dados aumentou à medida que mais serviços governamentais se tornam digitais, aumentando o risco de exposição a ameaças on-line.
Ministério do Desenvolvimento Digital e Informação de Singapura (MDDI) mês passado revelado que havia 201 incidentes de dados relacionados ao governo em seu ano fiscal de 2023, acima dos 182 relatados no ano anterior. O ministério atribuiu o aumento ao maior uso de dados, à medida que mais serviços governamentais são digitalizados para cidadãos e empresas.
Além disso, mais autoridades governamentais estão agora cientes da necessidade de relatar incidentes, o que, segundo o MDDI, pode ter contribuído para o aumento de incidentes de dados.
Também: A corrida do ouro da IA torna a higiene básica da segurança de dados crítica
Em sua atualização anual sobre os esforços que o setor público de Cingapura empreendeu para proteger dados pessoais, a MDDI disse que 24 iniciativas foram implementadas no ano passado, entre abril de 2023 e março de 2024. Isso incluiu um novo recurso no package de ferramentas de privacidade central do setor que tornou anônimos 20 milhões de documentos e deu suporte a mais de 20 casos de uso de IA gen no setor público.
Outras melhorias foram feitas na ferramenta de proteção contra perda de dados (DLP) do governo, que funciona para evitar perdas acidentais de dados confidenciais ou classificados de redes e dispositivos governamentais.
Todos os sistemas governamentais qualificados agora também usam a ferramenta de gerenciamento de contas central que take away automaticamente contas de usuários que não são mais necessárias, disse a MDDI. Isso atenua o risco de acesso não autorizado por oficiais que deixaram suas funções, bem como por agentes de ameaças usando contas inativas para executar exploits.
À medida que a adoção de serviços digitais cresce, há riscos maiores de exposição de dados, de supervisão humana ou de lacunas de segurança na tecnologia, disse Pietschner. Quando as coisas dão errado, como Interrupção do CrowdStrike expostas, as organizações buscam impulsionar a inovação mais rapidamente e adotar a tecnologia mais rapidamente, disse ele.
Ele destacou a importância de usar ferramentas de TI atualizadas e adotar uma estratégia robusta de gerenciamento de patches, explicou, observando que tecnologias antigas sem patches ainda representam o maior risco para as empresas.
Briguglio acrescentou ainda que isso também demonstra a necessidade de aderir ao básico. Patches de segurança e mudanças no kernel não devem ser lançados sem testes de regressão ou primeiro testá-los em um sandbox, ele disse.
Embora uma estrutura de governança que oriente as organizações sobre como responder em caso de incidente de dados seja igualmente importante, Pietschner acrescentou. Por exemplo, é essencial que as organizações do setor público sejam transparentes e divulguem violações, para que os cidadãos saibam quando seus dados pessoais são expostos, disse ele.
Uma estrutura de governança também deve ser implementada para aplicativos de IA gen, ele disse. Isso deve incluir políticas para orientar os funcionários sobre sua adoção de ferramentas de IA Gen.
No entanto, 63% das organizações do setor público ainda não decidiram sobre uma estrutura de governança para engenharia de software program, de acordo com um estudo diferente. Estudo da Capgemini que entrevistou 1.098 executivos seniores e 1.092 profissionais de software program em todo o mundo.
Apesar disso, 88% dos profissionais de software program no setor estão usando pelo menos uma ferramenta de IA gen que não é oficialmente autorizada ou suportada por sua organização. Esse número é o mais alto entre todos os verticais pesquisados no estudo international, observou a Capgemini.
Isso indica que a governança é crítica, disse Pietschner. Se os desenvolvedores usarem ferramentas de IA gen não autorizadas, eles podem inadvertidamente expor dados internos que deveriam ser protegidos, disse ele.
Ele observou que alguns governos criaram modelos de IA personalizados para adicionar uma camada de confiança e permitir que monitorem seu uso. Isso pode então garantir que os funcionários usem apenas ferramentas de IA autorizadas — protegendo os dados usados.
Também: A transparência está extremamente ausente em meio ao crescente interesse pela IA
Mais importante ainda, as organizações do setor público podem eliminar qualquer preconceito ou alucinação em seus modelos de IA, disse ele, e as proteções necessárias devem ser colocadas em prática para mitigar o risco de esses modelos gerarem respostas que contradigam os valores ou intenções do governo.
Ele acrescentou que uma estratégia de confiança zero é mais fácil de implementar no setor público, onde há um nível mais alto de padronização. Muitas vezes, há serviços governamentais compartilhados e processos de aquisição padronizados, por exemplo, tornando mais fácil impor políticas de confiança zero.
Em julho, Singapura anunciou planos para lançar diretrizes técnicas e oferecer “medidas práticas” para reforçar a segurança de ferramentas e sistemas de IA. As diretrizes voluntárias visam fornecer uma referência para profissionais de segurança cibernética que buscam melhorar a segurança de suas ferramentas de IA e podem ser adotadas juntamente com processos de segurança existentes implementados para lidar com riscos potenciais em sistemas de IA, declarou o governo.
Também: Como Cingapura está criando uma IA mais inclusiva
A IA Gen está evoluindo rapidamente e todos ainda precisam entender completamente o verdadeiro poder da tecnologia e como ela pode ser usada, Briguglio mencionou. Ela exige que as organizações, incluindo aquelas no setor público que planejam usar IA Gen em seu processo de tomada de decisão, garantam que haja alguma supervisão e governança humanas para gerenciar o acesso e dados confidenciais.
“À medida que construímos e amadurecemos esses sistemas, precisamos estar confiantes de que os controles que colocamos em torno da IA gen são adequados para o que estamos tentando proteger”, disse ele. “Precisamos lembrar o básico.”
Bem usado, no entanto, A IA pode trabalhar com humanos para melhor defender contra adversários que aplicam as mesmas ferramentas de IA em seus ataques, disse Eric Trexler, líder de negócios do setor público dos EUA da Pala Alto Community.
Também: A IA está mudando a segurança cibernética e as empresas devem acordar para a ameaça
Erros podem acontecer, então os controles e equilíbrios corretos são necessários. Quando feita corretamente, a IA ajudará as organizações a acompanhar a velocidade e o quantity de ameaças on-line, detalhou Trexler em uma entrevista em vídeo.
Relembrando sua experiência anterior comandando uma equipe que realizava análise de malware, ele disse que a automação forneceu a velocidade para acompanhar os adversários. “Nós simplesmente não temos humanos suficientes e algumas tarefas as máquinas fazem melhor”, ele observou.
Ferramentas de IA, incluindo IA gen, podem ajudar a “encontrar a agulha no palheiro”, o que os humanos teriam dificuldade em fazer quando o quantity de eventos e alertas de segurança pode chegar a milhões a cada dia, ele disse. A IA pode procurar marcadores ou indicadores em uma série de sistemas multifacetados coletando dados e criar um resumo de eventos, que os humanos podem então revisar, ele acrescentou.
Também: Inteligência synthetic, ansiedade actual: por que não conseguimos parar de nos preocupar e amar a IA
Trexler também enfatizou a importância de reconhecer que as coisas ainda podem dar errado e estabelecer a estrutura necessária, incluindo governança, políticas e manuais para mitigar tais riscos.