Parceria Editorial
A inteligência artificial (IA) trouxe um novo cenário para a cibersegurança, com os criminosos usando ferramentas avançadas e fazendo ataques cada vez mais rápidos e eficientes. Entre os desafios está a governança de segurança, incluindo a harmonização entre as funções organizacionais do CIO, do diretor de cibersegurança (CISO) e, agora também, do chamado Chief AI Officer ou CAIO: executivo especialmente dedicado à IA, já presente em algumas corporações.
A importância estratégica da segurança na era da IA foi discutida por quatro especialistas no primeiro episódio da série “Vamos habilitar o próximo novo? — Conversas”, apresentado pela Claro empresas e veiculada pelo Valor Econômico. Mediado por Sílvio Meira, cientista chefe da TDS Company, e por Ronaldo Lemos, advogado e especialista em tecnologia, o encontro reuniu Rony Vainzof, advogado especializado em direito digital e sócio do VLK Advogados, e Mario Rachid, diretor-executivo da Claro Empresas.
Para Meira, a segurança permeia tudo que a IA impulsiona, merece atenção redobrada e se tornou um diferencial estratégico e competitivo. Esse papel, segundo Rachid, acontece pela rapidez e agilidade da IA, o que significa que a melhor defesa envolve preparar bem as pessoas e ter ferramentas tecnológicas contra os ataques.
“A transformação digital não existe sem um tripé fundamental: cibersegurança, proteção de dados e governança ética da IA”, completou Vainzof. O especialista destacou o paradoxo do Brasil ser um early adopter (vanguardista) de soluções, mas um later finisher (retardatário) em cibersegurança. Segundo o advogado, o país não acompanha a evolução tecnológica dos criminosos e seria preciso, entre outras iniciativas, embarcar o conceito de security by design em toda a cadeia de transformação digital.
IA no ataque e na defesa
Assim como a IA amplifica a capacidade dos criminosos, ela também pode ser usada na defesa, mas é preciso um alinhamento prévio. A resposta aos ataques, no entanto, não pode ficar concentrada em áreas técnicas ou de segurança, mesmo porque a susceptibilidade está na ponta, com usuários caindo em golpes como phishing.
“Os criminosos economizam quase 95% do esforço ao usar IA para viabilizar ataques como phishing. Ataques feitos com deep fake também são mais eficazes, aumentando a efetividade em 60%”, destacou Vainzof, citando dados internacionais. “Os criminosos trocam muita informação e tecnologia, enquanto as empresas trocam pouco conhecimento.” Segundo ele, as pesquisas mostram que 98% dos ataques cibernéticos não teriam êxito se aspectos básicos, como gestão de credenciais e múltiplo fator de autenticação, fossem seguidos.
A “ciberhigienização” proposta pelo especialista também é defendida por Rachid, que avalia que a segurança é responsabilidade da empresa inteira. “A Claro realiza treinamentos e capacitação para mostrar que não é uma função apenas da TI, e trabalha a questão do comportamento das pessoas e o monitoramento das ameaças”, informa.
Lemos, por sua vez, acrescentou um dado importante, ao lembrar que “o lado do ataque está se profissionalizando e sendo muito bem financiado”. O advogado comparou o ataque de ransomware a uma “novela mexicana”, com muito drama e choro, mas não no caso dos criminosos, que atuam “profissionalmente” e operam call centers sofisticados para “auxiliar” as vítimas a pagarem o resgate. O “atendimento”, inclusive, pode acontecer em várias línguas. “É um crime organizado e global”, resumiu.
Governança digital
A sofisticação dos criminosos exige parcerias focadas em cibersegurança o tempo inteiro, na avaliação de Meira. Para ele, a governança deve estar preocupada com a infraestrutura, serviços digitais, aplicações, incluindo IA, e a gestão física do ciclo de vida da informação, caso do backup de dados e algoritmos fora da rede.
“É difícil se proteger sem soluções tecnológicas. O maior risco é a movimentação lateral do ataque, que se espalha como uma pandemia”, alertou Vainzof, concordando com Meira. Novamente com dados internacionais, o advogado mostrou o tamanho do problema, ao destacar que a média de tempo para movimentação lateral é de 48 minutos, com casos registrados de 51 segundos. “O aprendizado de máquina é essencial para detectar essa repercussão na velocidade necessária, pois a atividade manual não consegue fazer isso”, explicou.
Para Lemos, a cibersegurança não é um problema que o indivíduo consegue mais dar conta. Ele lembrou da necessidade de incorporação de inteligência em redes, como é o caso do SD-WAN, que são definidas por software.
“As redes mais modernas de fato facilitam as defesas, pois a inteligência embarcada pode perceber anomalias e parar ataques. Usamos uma metodologia baseada no NIST (padrão global de segurança) para avaliar a maturidade da empresa cliente, o que significa analisar ferramentas, pessoas e governança”, explicou Rachid sobre a atuação da Claro. Ele ressaltou que um nível alto de segurança (NIST nível 4) pode ser desnecessariamente caro, e que níveis 2 ou 3 podem ser suficientes. O executivo também incluiu o desenvolvimento seguro, caso do security by design, como um caminho sem volta.
Futuro da segurança com IA
Meira voltou a reforçar que a solução para os problemas de segurança não é puramente tecnológica. Para ele, não existe “tecnosolucionismo” e os desafios envolvem ética e compartilhamento de vulnerabilidades.
“O aspecto ético é um grande tema do futuro que impactará empresas e sociedade. A tecnologia será remodelada pela IA, mas a ética será o grande ponto de atenção. Os ataques nem sempre são por dinheiro, mas também por reputação”, lembrou Rachid.
Sobre compartilhamento de vulnerabilidades, Vainzof defendeu a necessidade do setor privado dividir mais experiências, uma vez que a cibersegurança é um inimigo comum e a vulnerabilidade pode ser a mesma para todos. O especialista mencionou a iniciativa de um centro de informações para compartilhamento de vulnerabilidades no Brasil, sem identificação das empresas, mas com foco no problema em si. O projeto, segundo ele, está começando.
“Os incidentes de segurança acontecem aos milhares por minuto. O problema central é a capacitação. A IA exige repensar a educação, as habilidades e a educação para as mídias, sempre desconfiando de tudo”, argumentou Lemos. “O programador é incentivado a fazer o código rodar, e não a priorizar a segurança, enquanto o bandido tem todo o incentivo financeiro para escrever o melhor código de ataque”, finalizou.
