Muitas organizações implementam modelos de inteligência artificial para otimizar processos, melhorar a experiência dos clientes, analisar dados e obter vantagens competitivas. No entanto, a digitalização massiva da informação e a adoção dessas tecnologias trazem certos riscos em relação à segurança e à privacidade dos dados.

Por isso, as empresas precisam adotar estratégias de mitigação de riscos para evitar consequências legais, financeiras e reputacionais decorrentes do uso indevido ou inseguro dessa tecnologia.

A seguir, abordaremos alguns aspectos desse tema.

Coleta e armazenamento de dados pessoais

O funcionamento dos modelos de IA depende, em grande parte, do acesso a grandes volumes de dados (com os quais são treinados e dos quais se alimentam), muitos dos quais contêm informações pessoais, sensíveis e confidenciais.

Os dados coletados para esses modelos vêm de diversas fontes: bases de dados existentes antes da implementação, informações públicas ou de fontes abertas, dados fornecidos pelos usuários (mediante consentimento) e também de fontes como redes sociais, históricos de busca, transações on-line e, mais recentemente, informações coletadas por dispositivos IoT.

Dada a grande quantidade de dados, é evidente que, se não forem tratados e armazenados de forma segura, podem ficar expostos e sujeitos a acessos indevidos, vazamentos ou até mesmo roubo de informações, facilitando as ações de diversos grupos cibercriminosos.

Somado a isso, a coleta massiva de dados também levanta desafios em relação ao consentimento informado dos usuários, que muitas vezes desconhecem o verdadeiro alcance do uso de suas informações. Esse desconhecimento pode caracterizar um vício no consentimento (do ponto de vista legal), tornando essas coletas ilícitas.

Para além desse aspecto, a falta de transparência e explicabilidade sobre o funcionamento dos modelos e o tratamento das informações também pode gerar conflitos legais.

Diante dessas circunstâncias, recomenda-se que as empresas adotem diversas medidas de segurança, como a anonimização e a pseudonimização de dados. Além disso, seguir normas de proteção de dados, como a Lei Geral de Proteção de Dados (LGPD) ou a Regulamento Geral de Proteção de Dados (GDPR), garante que a organização atenda a padrões mínimos, permitindo a evolução para infraestruturas mais robustas.

Também não se deve negligenciar medidas básicas, como criptografia, senhas fortes, autenticação em dois fatores, conscientização dos funcionários e funcionárias e a implementação de soluções de segurança, como antimalware. Além disso, é essencial adotar uma abordagem proativa para identificar vulnerabilidades e ameaças.

Abuso de Informações

O acesso a dados sensíveis, algo cada vez mais comum, especialmente com o uso de modelos de inteligência artificial, amplia a superfície de ataque, oferecendo mais oportunidades para que cibercriminosos utilizem essas informações de forma mal-intecionada caso consigam acessá-las.

Além do cibercrime, muitas empresas lucram com os dados de seus usuários, vendendo-os a terceiros, e, em alguns casos, podem fazer isso de maneira negligente ou até mesmo sem o conhecimento dos titulares das informações. Esse cenário representa sérios riscos em termos de transparência e segurança.

Da mesma forma, modelos de IA treinados com determinados dados podem utilizá-los para influenciar decisões de compra e realizar o perfilamento de usuários, muitas vezes sem o seu consentimento. Isso levanta dilemas éticos e questões relacionadas aos direitos do consumidor.

Nesses casos, frequentemente nos deparamos com situações de abuso de informação que vão além de práticas comerciais pouco éticas, podendo resultar na perpetuação de distorções e na discriminação algorítmica - um problema já conhecido nesse campo.

Para evitar esses riscos, é essencial que as empresas sigam princípios de uso ético da IA, além de implementarem auditorias de transparência e mecanismos de supervisão dos modelos. Essas práticas ajudam a minimizar riscos e reduzir possíveis impactos negativos.

Vulnerabilidades e ciberataques

Os modelos de IA não escaparam do cibercrime e se tornaram um alvo interessante. De fato, eles podem ser vulneráveis a diversas formas de ataques que comprometem sua segurança e integridade.

Não se atacam apenas diretamente os modelos, como em casos de prompt injection, mas também se utiliza a IA para realizar outros tipos de ataques.

Já foram registrados os primeiros malwares desenvolvidos para atacar modelos de IA com finalidades variadas, como interromper seu funcionamento, exfiltrar informações, manipular as decisões do modelo (data poisoning), entre outras.

Ao utilizar diversos modelos, tanto as empresas quanto os usuários ficam expostos aos riscos inerentes, bem como a prejuízos ou consequências não desejadas.

Para mitigar esses riscos, as empresas devem adotar várias medidas de segurança. Uma delas é a abordagem em camadas, que implica na detecção de anomalias no treinamento dos modelos e na realização de monitoramentos contínuos de seus sistemas.

Também pode ser implementada IA especializada em cibersegurança para proteger as informações de outros modelos implementados dentro da organização.

Vale ressaltar que não basta que a empresa proteja apenas sua própria infraestrutura; parte do trabalho envolve garantir que a cadeia de suprimentos siga os mesmos padrões de segurança, evitando assim qualquer brecha.

Regulamentações e conformidade

Durante toda a sua operação, e ainda mais ao implementar tecnologias que tratam grandes quantidades de dados, como os modelos de Inteligência Artificial, as organizações estão sempre sujeitas a certos marcos regulatórios que visam estabelecer padrões básicos para proteger a privacidade e a segurança dos dados processados.

Cada país possui suas próprias normas, não apenas para proteção de dados, mas também para cibersegurança e, mais recentemente, regulamentações específicas voltadas para a IA. No cenário local temos a Lei Geral de Proteção de Dados (LGPD), já na Europa podemos destacar o Regulamento Geral de Proteção de Dados (GDPR), que, embora seja uma norma interna da União Europeia, foi adotada por muitos países e funciona quase como um padrão global na área.

Além disso, existem diversos frameworks de segurança, como o NIST AI Risk Management Framework e a norma ISO/IEC 27001, que oferecem diretrizes para a gestão da segurança da informação.

O descumprimento das regulamentações pode resultar em sanções econômicas e prejuízos reputacionais irreversíveis. Para garantir a conformidade, é recomendável adotar estratégias de proteção proativa, realizar auditorias de segurança periodicamente e capacitar os funcionários e as funcionárias em boas práticas para o manejo de dados sensíveis. Além disso, as empresas devem documentar seus processos de tomada de decisões algorítmicas para garantir a rastreabilidade e explicar como os dados são utilizados nos modelos de IA.

De fato, o uso de IA de maneira descuidada e sem uma infraestrutura robusta de cibersegurança resultará inevitavelmente no descumprimento de alguns pontos das regulamentações existentes, uma vez que violará os direitos de proteção de dados da sociedade.

Impacto na reputação empresarial

Além do que foi mencionado, e no âmbito do que não pode ser medido de forma exata, um incidente de segurança digital ou privacidade (neste caso, relacionado à IA) pode causar prejuízos irreparáveis à reputação de uma empresa e afetar sua relação com clientes, parceiros e concorrentes, o que, consequentemente, resultaria em efeitos negativos no aspecto financeiro. No caso de vazamentos massivos de dados, por exemplo, as empresas podem enfrentar processos judiciais de alto custo e prolongados, e esse é apenas um dos muitos exemplos possíveis.

Para minimizar esses riscos, a adoção de estratégias de transparência no gerenciamento de incidentes, o desenvolvimento de planos de resposta a incidentes e o fortalecimento das políticas de segurança digital tornam-se questões essenciais.

Medidas de proteção

Diante de todos esses riscos, recomendamos a adoção de algumas medidas básicas para a prevenção e proteção das informações tratadas por modelos de IA:

  • Segurança desde o design: implementar o conceito de "security-by-design", o que significa que todas as etapas do desenvolvimento dos modelos de IA sejam realizadas de forma segura e prioritária.
  • Avaliação de segurança constante: realizar auditorias e análises de vulnerabilidades de forma proativa, para identificar e mitigar possíveis riscos antes que sejam explorados por cibercriminosos.
  • Uso de IA para cibersegurança: aproveitar machine learning e outros modelos de IA especializados em cibersegurança para detectar ameaças e responder automaticamente a incidentes.
  • Implementar autenticação multifatorial (MFA): senhas robustas e políticas de acesso baseadas em funções para restringir o acesso a dados sensíveis.
  • Capacitação e conscientização: educar os funcionários sobre boas práticas de segurança e o manejo responsável de dados em sistemas de IA.
  • Contar com soluções de segurança: como antimalware e antiphishing, que sejam capazes de realizar detecções em tempo real.
  • Garantir que os modelos de IA cumpram as regulamentações internacionais e nacionais pertinentes, bem como os princípios éticos de transparência, explicabilidade, equidade e responsabilidade.

Conclusões

A implementação da inteligência artificial representa uma oportunidade estratégica sem precedentes, permitindo que as empresas melhorem sua eficiência, otimizem processos e ofereçam soluções inovadoras. No entanto, junto com suas vantagens, surgem uma série de riscos relacionados à segurança digital e à privacidade dos dados, que as organizações precisam abordar com cuidado.

Para mitigar esses riscos e garantir um uso responsável e ético da IA, é essencial que as empresas adotem uma abordagem integral de proteção e cibersegurança.

As empresas devem promover a transparência, clareza e se comprometer com a ética no uso da IA, com o objetivo de garantir que as decisões baseadas nos modelos sejam justas e equitativas, além de assegurar que as informações dos usuários permaneçam protegidas e fora do alcance do cibercrime.