Enquanto seus colegas de negócios e tecnologia estão ocupados experimentando e desenvolvendo novos aplicativos, os líderes de segurança cibernética estão procurando maneiras de antecipar e combater novas ameaças baseadas em IA.

Sempre ficou claro que a IA impacta a segurança cibernética, mas é uma via de mão dupla. Onde a IA está sendo cada vez mais usada para prever e mitigar ataques, esses aplicativos são vulneráveis. A mesma automação, escala e velocidade que todos estão animados também estão disponíveis para cibercriminosos e agentes de ameaças. Embora ainda longe do mainstream, o uso malicioso da IA ​​tem crescido. De redes adversárias generativas a botnets massivas e ataques DDoS automatizados, o potencial está lá para uma nova geração de ataque cibernético que pode se adaptar e aprender a escapar da detecção e mitigação.

Neste ambiente, como podemos defender sistemas de IA de ataques? Quais formas a IA ofensiva assumirá? Como serão os modelos de IA dos agentes de ameaças? Podemos fazer o pentest de IA — quando devemos começar e por quê? À medida que empresas e governos expandem seus pipelines de IA, como protegeremos os enormes volumes de dados dos quais eles dependem?

São questões como essas que têm visto tanto o governo dos EUA quanto a União Europeia colocarem a segurança cibernética em primeiro plano, enquanto cada um busca desenvolver orientação, regras e regulamentações para identificar e mitigar um novo cenário de risco. Não é a primeira vez que há uma diferença marcante na abordagem, mas isso não quer dizer que não haja sobreposição.

Vamos dar uma breve olhada no que está envolvido antes de prosseguirmos para considerar o que tudo isso significa para os líderes de segurança cibernética e CISOs.

Abordagem regulatória da IA ​​dos EUA – uma visão geral

Deixando de lado a Ordem Executiva, a abordagem descentralizada dos Estados Unidos para a regulamentação da IA ​​é sublinhada por estados como a Califórnia desenvolvendo suas próprias diretrizes legais. Como lar do Vale do Silício, as decisões da Califórnia provavelmente influenciarão fortemente como as empresas de tecnologia desenvolvem e implementam a IA, até os conjuntos de dados usados ​​para treinar aplicativos. Embora isso influencie absolutamente todos os envolvidos no desenvolvimento de novas tecnologias e aplicativos, de uma perspectiva puramente de CISO ou líder de segurança cibernética, é importante observar que, embora o cenário dos EUA enfatize a inovação e a autorregulamentação, a abordagem abrangente é baseada em risco.

O cenário regulatório dos Estados Unidos enfatiza a inovação, ao mesmo tempo em que aborda riscos potenciais associados às tecnologias de IA. As regulamentações se concentram em promover o desenvolvimento e a implantação de IA responsável, com ênfase na autorregulamentação da indústria e na conformidade voluntária.

Para CISOs e outros líderes de segurança cibernética, é importante observar que a Ordem Executiva instrui o Instituto Nacional de Padrões e Tecnologia (NIST) a desenvolver padrões para testes de equipe vermelha de sistemas de IA. Há também um apelo para que “os sistemas de IA mais poderosos” sejam obrigados a passar por testes de penetração e compartilhar os resultados com o governo.

A Lei da IA ​​da UE – uma visão geral

A abordagem mais precaucional da União Europeia integra a segurança cibernética e a privacidade de dados desde o início, com padrões obrigatórios e mecanismos de execução. Como outras leis da UE, o AI Act é baseado em princípios: o ônus está nas organizações para provar a conformidade por meio de documentação que suporte suas práticas.

Para os CISOs e outros líderes de segurança cibernética, o Artigo 9.1 atraiu muita atenção. Ele afirma que

Os sistemas de IA de alto risco devem ser concebidos e desenvolvidos seguindo o princípio de segurança por design e por padrão. À luz de sua finalidade pretendida, eles devem atingir um nível apropriado de precisão, robustez, segurança e segurança cibernética, e desempenhar consistentemente nesses aspectos ao longo de seu ciclo de vida. A conformidade com esses requisitos deve incluir a implementação de medidas de última geração, de acordo com o segmento de mercado específico ou escopo de aplicação.

No nível mais fundamental, o Artigo 9.1 significa que os líderes de segurança cibernética em infraestrutura crítica e outras organizações de alto risco precisarão conduzir avaliações de risco de IA e aderir aos padrões de segurança cibernética. O Artigo 15 da Lei abrange medidas de segurança cibernética que podem ser tomadas para proteger, mitigar e controlar ataques, incluindo aqueles que tentam manipular conjuntos de dados de treinamento (“envenenamento de dados”) ou modelos. Para CISOs, líderes de segurança cibernética e desenvolvedores de IA, isso significa que qualquer pessoa que esteja construindo um sistema de alto risco terá que levar em conta as implicações da segurança cibernética desde o primeiro dia.

Lei da UE sobre IA vs. abordagem regulatória da IA ​​dos EUA – principais diferenças

Recurso Lei da UE sobre IA Abordagem dos EUA
Filosofia geral Precaução, baseada em risco Orientado para o mercado e focado na inovação
Regulamentos Regras específicas para IA de “alto risco”, incluindo aspetos de cibersegurança Princípios gerais, diretrizes setoriais, foco na autorregulação
Dados privados Aplica-se o RGPD, direitos de usuário rigorosos e transparência Nenhuma lei federal abrangente, uma colcha de retalhos de regulamentações estaduais
Normas de segurança cibernética Normas técnicas obrigatórias para IA de alto risco Melhores práticas voluntárias e padrões da indústria incentivados
Execução Multas, proibições e outras sanções por não conformidade Investigações da agência, potenciais restrições comerciais
Transparência Requisitos de explicabilidade para IA de alto risco Requisitos limitados, foco na proteção do consumidor
Responsabilidade Quadro claro de responsabilidade por danos causados ​​pela IA Responsabilidade pouco clara, muitas vezes recai sobre os usuários ou desenvolvedores

O que as regulamentações de IA significam para os CISOs e outros líderes de segurança cibernética

Apesar das abordagens contrastantes, tanto a UE quanto os EUA defendem uma abordagem baseada em risco. E, como vimos com o GDPR, há bastante espaço para alinhamento à medida que avançamos em direção à colaboração e ao consenso sobre padrões globais.

Da perspectiva de um líder de segurança cibernética, está claro que as regulamentações e padrões para IA estão nos primeiros níveis de maturidade e quase certamente evoluirão à medida que aprendemos mais sobre as tecnologias e aplicações. Como as abordagens regulatórias dos EUA e da UE sublinham, as regulamentações de segurança cibernética e governança estão muito mais maduras, principalmente porque a comunidade de segurança cibernética já investiu recursos, expertise e esforço consideráveis ​​na construção de conscientização e conhecimento.

A sobreposição e a interdependência entre IA e segurança cibernética significaram que os líderes de segurança cibernética têm estado mais cientes das consequências emergentes. Afinal, muitos têm usado IA e aprendizado de máquina para detecção e mitigação de malware, bloqueio de IP malicioso e classificação de ameaças. Por enquanto, os CISOs serão encarregados de desenvolver estratégias abrangentes de IA para garantir privacidade, segurança e conformidade em todo o negócio, incluindo etapas como:

  • Identificar os casos de uso em que a IA oferece o maior benefício.
  • Identificar os recursos necessários para implementar a IA com sucesso.
  • Estabelecer uma estrutura de governança para gerenciar e proteger dados confidenciais/de clientes e garantir a conformidade com as regulamentações em todos os países onde sua organização atua.
  • Avaliação e análise claras do impacto das implementações de IA em toda a empresa, incluindo clientes.

Acompanhando o cenário de ameaças da IA

À medida que as regulamentações de IA continuam a evoluir, a única certeza real por enquanto é que tanto os EUA quanto a UE ocuparão posições essenciais na definição dos padrões. O ritmo rápido das mudanças significa que certamente veremos mudanças nas regulamentações, princípios e diretrizes. Sejam armas autônomas ou veículos autônomos, a segurança cibernética desempenhará um papel central na forma como esses desafios serão abordados.

Tanto o ritmo quanto a complexidade tornam provável que evoluamos para longe das regras específicas de cada país, em direção a um consenso mais global em torno dos principais desafios e ameaças. Olhando para o trabalho dos EUA e da UE até o momento, já há um claro ponto em comum para trabalhar. O GDPR (Regulamento Geral de Proteção de Dados) mostrou como a abordagem da UE teve, em última análise, uma influência significativa nas leis de outras jurisdições. O alinhamento de algum tipo parece inevitável, principalmente devido à gravidade do desafio.

Assim como com o GDPR, é mais uma questão de tempo e colaboração. Novamente, o GDPR prova ser um histórico de caso útil. Nesse caso, a segurança cibernética foi elevada de provisão técnica para requisito. A segurança será um requisito integral em aplicativos de IA. Em situações em que desenvolvedores ou empresas podem ser responsabilizados por seus produtos, é vital que os líderes de segurança cibernética se mantenham atualizados sobre as arquiteturas e tecnologias que estão sendo usadas em suas organizações.

Nos próximos meses, veremos como as regulamentações da UE e dos EUA impactam as organizações que estão criando aplicativos e produtos de IA, e como o cenário de ameaças emergentes de IA evolui.

Ram Movva é presidente e diretor executivo da Securin Inc. Aviral Verma lidera a equipe de Pesquisa e Inteligência de Ameaças da Securin.

O Generative AI Insights oferece um local para líderes de tecnologia — incluindo fornecedores e outros colaboradores externos — explorarem e discutirem os desafios e oportunidades da inteligência artificial generativa. A seleção é ampla, desde mergulhos profundos em tecnologia a estudos de caso e opinião de especialistas, mas também subjetiva, com base em nosso julgamento de quais tópicos e tratamentos atenderão melhor ao público tecnicamente sofisticado da InfoWorld. A InfoWorld não aceita material de marketing para publicação e reserva-se o direito de editar todo o conteúdo contribuído. Contato [email protected].