ChatGPT o que significa para Segurança de Dados

ChatGPT o que significa para Segurança de Dados. Plataforma que democratiza a inteligência artificial, mas pode levar a armadilhas cibernéticas.

O ChatGPT é uma plataforma que ganhou popularidade nos últimos meses, na qual ferramentas de inteligência artificial “dialogam” com o usuário, interpretando textos e elaborando respostas para as mais variadas questões explorando o universo do Big Data. Segundo a diretora Global de Marketing da Cipher, empresa de cibersegurança do Grupo Prosegur, Thays Diniz, como acontece com qualquer nova tecnologia, os riscos cibernéticos existem no uso do ChatGPT, especialmente na ponta, o usuário.

Sabemos que o usuário é o elo mais vulnerável na maioria dos ataques, por esta razão, treinamentos de conscientização a respeito de comportamento digital são prioridade na lista das medidas preventivas quando se utiliza este tipo de aplicação, somadas às políticas de acesso e controle mais rigorosos, estratégia de multifator de autenticação e monitoramento de ameaças”, orienta a executiva.

Os especialistas em segurança da Check Point Software dizem que 2023 será o “Ano da IA”, prevendo um avanço e a ampla disponibilidade de ferramentas de IA e afirmam que para mitigar os riscos associados à IA avançada, é importante que pesquisadores e legisladores trabalhem em conjunto para garantir ferramentas seguras e benéficas

A OpenAI, desenvolvedora do aplicativo, revela que usa medidas de segurança como criptografia forte, além de implementar protocolos de autenticação e autorização para controlar o acesso aos dados e recursos do sistema e seguir as melhores práticas de segurança da indústria para garantir que o ChatGPT seja protegido contra possíveis ameaças. Mas, segundo Thays, outras vulnerabilidades merecem atenção.

A diretora da Cipher relata que a engenharia social ainda é uma ferramenta poderosa do cibercrime, que tem como foco enganar o usuário e pode ser usada para conduzir, por exemplo, ataques de phishing, onde os usuários são levados a compartilhar informações e dados confidenciais por meio de chats, redes sociais e outros canais. “Estes golpes são conhecidos como ‘conversational phishing’ “, revela Thays, que oferece as seguintes recomendações para usar o ChatGPT com segurança e tirar o melhor proveito das funcionalidades:

  • Nunca responder a um email e fornecer dados confidenciais sem confirmar a fonte, verifique se ela é legítima e confiável. Fornecedores de serviços usualmente enviam mensagens a seus clientes informando seu padrão de comunicação, a fim de ajudar a evitar que eles caiam em fraudes.
  • Utilizar autenticação forte, o multifator ajuda na proteção das contas pessoais, esta medida dificulta táticas de engenharia social por parte dos atacantes.
  • Manter seus softwares e equipamentos atualizados evita que vulnerabilidades conhecidas cheguem ao usuário.
  • Por fim, redobre atenção ao recebimento de links. Links suspeitos que buscam recolher dados ou informações pessoais e sensíveis normalmente possuem algum detalhe indevido ou estranho a ser observado, por exemplo, links encurtados, mensagens com quebras de fonte, remetentes com domínio distintos ao oficial da empresa, e outros.

Já para proteção das redes corporativas, Thays aconselha desenhar uma estratégia de segurança robusta e ágil, monitorar vulnerabilidades, testar o ambiente e ter um serviço de resposta e recuperação automatizado e inteligente, que permita que o negócio se proteja de atacantes e seja escalável à sua necessidade de crescimento.

AI a serviço da proteção de dados

Sob a ótica da segurança da informação, a executiva comenta que o uso de algoritmos de aprendizado de máquina pode ajudar a identificar padrões de uso suspeitos e anomalias em tempo real, apoiando a prevenção de ataques de hackers e otimizando a segurança de dados. Outro ponto positivo é melhoria na autenticação dos usuários, uma vez que tecnologias de inteligência artificial podem ser usadas para autenticar usuários de forma mais assertiva, por exemplo, o reconhecimento facial, que pode ser utilizado para autenticar usuários em vez de senhas.

No último dia do mês de março, o órgão regulador de dados italiano (Garante per la Protezione dei dati personali) ordenou a limitação temporária do processamento de dados de usuários italianos pela OpenAI e, portanto, sua popular ferramenta ChatGPT, ao mesmo tempo em que iniciou uma investigação para garantir a conformidade com o Regulamento Geral sobre a Proteção de Dados Europeia (GDPR). E, nos primeiros dias de abril, a Alemanha, França e Irlanda contataram o órgão regulador da Itália e manifestaram intenção de também bloquear o ChatGPT.

Conforme aponta a Check Point® Software Technologies Ltda esse evento teve origem no recente vazamento de dados da ferramenta de inteligência artificial da OpenAI detectado em 20 de março passado, no qual foram expostas conversas de usuários com informações privadas, como dados de cobrança e cartões de crédito parcial de assinantes.

De acordo com o que foi detalhado no comunicado oficial do órgão italiano, o ChatGPT atualmente “não fornece qualquer informação aos usuários, nem aos interessados ​​cujos dados tenham sido reunidos pela OpenAI“, apontando “a ausência de uma base legal adequada em relação à obtenção de dados pessoais e seu tratamento” e a violação dos artigos 5.º, 6.º, 8.º, 13.º e 25.º da GDPR.

Embora atualmente apenas a Itália tenha lançado esta portaria e investigação, dada a alegada base de não conformidade com o regulamento europeu de proteção de dados, é possível que outros países ou o próprio órgão central da União Europeia anunciem medidas semelhantes em breve.

Os perigos e as possibilidades da IA

Por sua vez, Pål (Paul) Aaserudseter, engenheiro de segurança da Check Point Software, compartilhou a visão da empresa em relação à inteligência artificial, segurança cibernética e como as organizações podem se manter seguras nesta nova era de inovação digital.

O potencial de uso indevido de dados é de longe uma das minhas maiores preocupações com o ChatGPT”, diz Aaserudseter. “O problema em questão é que a maioria dos usuários desconhece o risco que envolve o upload desse tipo de informação sensível. Felizmente, o efeito positivo da proibição do ChatGPT na Itália é que a Lei de IA da UE entrará em vigor muito mais rapidamente.”

A IA já demonstrou seu potencial para revolucionar campos como saúde, finanças ou transporte, entre muitos outros. É possível automatizar tarefas tediosas, melhorar a eficiência e proporcionar informações que antes eram impossíveis de serem obtidas, ajudando a resolver problemas complexos e a tomar melhores decisões.

Mas, é igualmente importante manter suas expectativas realistas e não ver essas ferramentas como uma panaceia para todos os problemas, pelo menos por enquanto. Atualmente a maior parte da IA ​​que utilizamos está agrupada dentro da Inteligência Artificial Estreita ou “fraca” (ANI – Artificial Narrow Intelligence), longe da Superinteligência Artificial (ASI – Artificial Super Intelligence) cuja inteligência ultrapassaria as capacidades humanas.

Para mitigar os riscos associados à IA avançada, é importante que pesquisadores e legisladores trabalhem juntos para garantir que essas ferramentas sejam desenvolvidas de maneira segura e benéfica. Isso inclui o desenvolvimento de fortes mecanismos de segurança, definição de diretrizes éticas e promoção da transparência e responsabilidade no desenvolvimento da IA. Nesta ordem, todas as organizações relacionadas, como governos, empresas e os próprios desenvolvedores devem considerar os seguintes pilares fundamentais:

  • Estabelecer diretrizes éticas: Deve haver diretrizes éticas claras para o desenvolvimento e uso de IA que estejam alinhadas com valores e princípios sociais, como transparência, responsabilidade, privacidade e justiça.
  • Fomentar a transparência: as empresas e os desenvolvedores devem ser transparentes sobre seus sistemas de IA, incluindo como são projetados, treinados e testados.
  • Assegurar a privacidade: as empresas devem priorizar a proteção da privacidade do usuário, especialmente quando se trata de dados confidenciais, implementando protocolos de proteção de dados sólidos e fornecendo explicações claras sobre como os dados do usuário são coletados, armazenados e usados.
  • Priorizar a segurança: a segurança deve ser uma prioridade máxima no desenvolvimento de IA, e mecanismos devem ser implementados para evitar danos causados ​​por sistemas de IA. Isso inclui o desenvolvimento de protocolos de teste robustos e a implementação de mecanismos à prova de falhas e de vulnerabilidade.
  • Promover a inovação: os governos devem fornecer fundos e recursos para apoiar a pesquisa e o desenvolvimento da IA, garantindo ao mesmo tempo que a inovação seja equilibrada com uma governança responsável.
  • Incentivar a participação e acessibilidade do público: Deve haver oportunidades para participação do público e no desenvolvimento e regulamentação da IA, para garantir que as necessidades e preocupações do público sejam consideradas. As empresas devem projetar seus sistemas de IA para serem acessíveis a todos os usuários, independentemente de suas habilidades físicas ou conhecimento técnico, fornecendo instruções claras e interfaces de usuário fáceis de entender e usar.

A IA pode ser uma ferramenta tanto para os atacantes quanto para os defensores. À medida que as tecnologias se tornam mais avançadas, elas podem ser usadas para criar ataques mais sofisticados e difíceis de serem detectados. Como a Check Point Research (CPR) mostrou em ocasiões anteriores, o ChatGPT está sendo usado atualmente para automatizar processos e também criar campanhas de phishing direcionadas ou até mesmo lançar ataques automatizados.

No entanto, ao contrário destes fatos, hoje a inteligência artificial e o machine learning são dois dos grandes pilares que ajudam a melhorar constantemente as capacidades de cibersegurança, alguns especialistas chegam mesmo a apontar que a próxima geração de defesa dependerá fortemente destas funcionalidades robóticas.

O grau de complexidade e dispersão dos sistemas com que as empresas trabalham atualmente faz com que os meios tradicionais e manuais de vigilância, supervisão e controle de riscos comecem a ser insuficientes. Razão pela qual podemos encontrar algumas ferramentas de segurança que fazem uso desses tipos de capacidades. É o caso da recém-lançada Check Point Infinity Spark, uma nova solução de prevenção de ameaças que oferece segurança baseada em IA e conectividade integrada.

Essa ferramenta oferece segurança de nível empresarial para toda a rede, e-mail, escritório, endpoints e dispositivos móveis. Com a melhor taxa de prevenção do setor, com 99,2% de eficácia, é capaz de proteger empresas contra ameaças avançadas como phishing, ransomware, roubo de credenciais e ataques de DNS.

A corrida contra os cibercriminosos continua sendo uma das principais prioridades dos especialistas em segurança cibernética. Devemos nos manter atualizados para tentar lidar com todas as ameaças atuais e futuras”, afirma Eduardo Gonçalves, country manager da Check Point Software Brasil. “O Infinity Spark é um claro exemplo das possibilidades da inteligência artificial, apresentando uma robusta e acessível ferramenta capaz de oferecer segurança integral com total proteção às empresas e aos seus colaboradores, dentro e fora do escritório.

Problemas em torno de dados

Quando se trata de privacidade de dados, garantir o consentimento e o uso legítimo dos dados é essencial. Se os dados são o novo petróleo em nossa era digital, a IA é a maneira como transformamos esses dados em algo útil e, de fato, valioso.

À medida que a IA se torna mais difundida, a transparência e a capacidade de explicação são essenciais para garantir que as decisões tomadas por meio do uso da IA ​​sejam sólidas e livres de preconceitos. Atualmente, a tomada de decisões está sendo reformulada devido a uma explosão nos volumes de dados disponíveis e ao novo poder dos algoritmos de aprendizado de máquina.

Embora seja verdade que os dados podem nos permitir ver onde o preconceito está acontecendo e medir se nossos esforços para combatê-lo são eficazes, também podem, dependendo de como são implantados, piorar os problemas. Existem, infelizmente, vários exemplos de onde os algoritmos amplificaram os vieses existentes. Agora sabemos que a discriminação de algoritmo pode surgir quando um algoritmo é construído de forma a discriminar um determinado grupo demográfico, por exemplo. É vital que os próprios algoritmos, bem como os dados dos quais eles dependem, sejam cuidadosamente projetados, desenvolvidos e gerenciados para evitar consequências indesejadas e negativas. Garantir que os algoritmos sejam livres de viés e que os resultados sejam adequadamente validados é crucial.

 

Vazamento da Samsung

Os funcionários da Samsung cometeram um grande erro ao usar o ChatGPT compartilhando notas de reunião da Samsung e o novo código-fonte que agora estão agora à solta depois de vazarem no ChatGPT.

Os funcionários da Samsung vazaram involuntariamente dados ultrassecretos enquanto usavam o ChatGPT para ajudá-los nas tarefas. 

A empresa permitiu que engenheiros em seu braço de semicondutores usassem o gravador de IA para ajudar a corrigir problemas com seu código-fonte. Mas, ao fazer isso, os trabalhadores inseriram dados confidenciais, como o próprio código-fonte de um novo programa, dados de notas de reuniões internas relacionadas ao hardware. 

O resultado é que, em pouco menos de um mês, houve três incidentes registrados de funcionários vazando informações confidenciais via ChatGPT. Como o ChatGPT retém os dados de entrada do usuário para se treinar ainda mais, esses segredos comerciais da Samsung agora estão efetivamente nas mãos da OpenAI, a empresa por trás do serviço de IA.

Em um dos casos citados, um funcionário solicitou ao ChatGPT a otimização de sequências de testes para identificação de falhas em chips, o que é sigiloso – porém, tornar esse processo o mais eficiente possível tem o potencial de economizar tempo considerável das firmas de chips em testes e verificações de processadores, levando a reduções de custo também. 

Em outro caso, um funcionário usou o ChatGPT para converter notas de reunião em uma apresentação, cujo conteúdo obviamente não era algo que a Samsung gostaria que terceiros externos soubessem.

A Samsung Electronics alertou seus funcionários sobre os perigos potenciais de vazamento de informações confidenciais após os incidentes, dizendo que tais dados são impossíveis de recuperar, pois agora estão armazenados nos servidores pertencentes à OpenAI. Na indústria de semicondutores, onde a concorrência é acirrada, qualquer tipo de vazamento de dados pode significar um desastre para a empresa em questão.

Não parece que a Samsung tenha algum recurso para solicitar a recuperação ou exclusão dos dados confidenciais que o OpenAI agora contém. Alguns argumentaram que esse fato torna o ChatGPT não compatível com o GDPR da UE, pois esse é um dos principais inquilinos da lei que rege como as empresas coletam e usam dados. É também uma das razões pelas quais a Itália proibiu o uso do ChatGPT em todo o país.

Em resposta, a Samsung Semiconductor agora está desenvolvendo sua própria IA interna para uso interno dos funcionários, mas eles só podem usar prompts limitados a 1024 bytes de tamanho. 

 

Chatbots semelhantes ao ChatGPT entrarão no escopo da lei do Reino Unido

Lord Stephen Parkinson, subsecretário parlamentar júnior do Departamento de Cultura, Mídia e Esporte, foi quem confirmou os planos de incluir o conteúdo gerado por IA no escopo da legislação proposta.

Isso ocorre porque os mecanismos de pesquisa e as plataformas de mídia social estão em processo de integração de seus serviços com software como o ChatGPT, revelando os riscos potenciais envolvidos com ferramentas de inteligência artificial.

Atualmente em discussão na Câmara dos Lordes, o objetivo final da Lei de Segurança Online é “tornar o Reino Unido o lugar mais seguro do mundo para se estar online”, tornando os executivos de tecnologia responsáveis ​​por violar as regras.  

Conteúdo gerado por ‘bots’ de inteligência artificial está no escopo do projeto de lei, onde interage com conteúdo gerado pelo usuário, como no Twitter. “, disse Lord Parkinson, informou o The Telegraph

Isso provavelmente não é uma surpresa, considerando que o debate surgiu após as primeiras iterações de ferramentas de assistente de IA sendo integradas aos serviços que as pessoas usam diariamente. 

Tanto o novo Bing baseado em OpenAI quanto o Bard do Google , em particular, colocaram a fragilidade desse tipo de tecnologia sob os holofotes. 

Apesar da natureza conversacional de tais sistemas de modelo de linguagem, os chatbots de IA não são humanos o suficiente – pelo menos ainda – para serem capazes de discernir entre o que é verdadeiro e falso, o que é bom e prejudicial. 

Eles podem expor os usuários, especialmente crianças, a desinformação e conteúdo potencialmente perigoso – exatamente o que o projeto de lei proposto quer impedir. Chatbots estilo ChatGPT também parecem ser suscetíveis a vieses políticos. 

Falando sobre a decisão, Lord Parkinson disse: “O Online Safety Bill foi projetado para ser tecnologicamente neutro para garantir o futuro e garantir que a legislação acompanhe as tecnologias emergentes”.

Embora o projeto de lei tenha sido criticado por suas possíveis repercussões na liberdade de expressão online, seu objetivo é minimizar a exposição a conteúdo ilegal e prejudicial online para adultos e crianças. 

Isso inclui material potencialmente prejudicial, como o que descreve abuso, assédio, automutilação e distúrbios alimentares. 

Os legisladores também exigirão que as mídias sociais e as plataformas de mecanismos de pesquisa sejam legalmente mais transparentes com seus usuários sobre suas práticas de moderação de conteúdo. 

Os executivos de tecnologia enfrentarão multas severas e sentenças de prisão se não cumprirem os novos regulamentos. 

O processo de revisão sofreu atrasos em meio à turbulência política que terminou em 2022. Mas agora, após várias alterações no primeiro rascunho, o Online Safety Bill está sendo revisado na Câmara dos Lordes. 

Fonte: Check Point & Cipher & Techradar
Sobre mindsecblog 2513 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

3 Trackbacks / Pingbacks

  1. ChatGPT: mundo nunca mais será como antes depois da ferramenta | Minuto da Segurança da Informação
  2. Aumenta o comércio de contas roubadas ChatGPT Premium | Minuto da Segurança da Informação
  3. Nova campanha do Emotet contorna os bloqueios da Microsoft | Minuto da Segurança da Informação

Deixe sua opinião!