As empresas devem garantir o uso seguro da IA, independentemente da regulamentação
A regulamentação da IA está significativamente atrasada em relação à sua adoção. Mais de três quartos das empresas de serviços financeiros do Reino Unido já estão utilizando a tecnologia em casos de uso variados, como atendimento ao cliente e detecção de fraudes.
Entretanto, com os ganhos potenciais também surgem novos riscos. Embora seja encorajador ver a comissão do tesouro fornecendo a necessária supervisão nessa área, seu último relatório é decepcionante. Sim, algumas recomendações são inteiramente sensatas, mas o relatório carece de escopo. Ao não abordar a próxima onda de riscos da IA já emergentes no setor, representa uma oportunidade perdida para aumentar a conscientização e melhorar a resiliência cibernética.
Alguns avanços tímidos
Não são todas as notícias ruins. A comissão aponta corretamente que a IA pode ser usada por adversários para tornar campanhas de fraude mais eficazes e aumentar o volume e a escala de ataques cibernéticos contra o setor de serviços financeiros. Ela também argumenta que a abordagem de “esperar para ver” da autoridade reguladora está “expondo os consumidores e o sistema financeiro a danos potencialmente sérios”.
É correto sugerir que a falta de clareza dos reguladores ameaça deixar os consumidores vulneráveis a “decisões de caixa-preta”, possível viés e um crescente risco de exclusão financeira. Chamados por orientações mais claras, testes de estresse específicos para IA e designação rápida de provedores de IA/nuvem como partes críticas são todos razoáveis.
Atente-se à lacuna
O problema está no que não foi dito. A IA representa uma superfície de ataque corporativa potencialmente enorme para atores maliciosos. Pesquisadores demonstraram repetidamente como vulnerabilidades existem em todo o ecossistema que podem ser exploradas para roubar dados sensíveis, interromper serviços críticos e extorquir empresas.
Esses problemas se multiplicam com o surgimento de sistemas autônomos que podem trabalhar de forma independente. Como há pouca supervisão humana, hackers podem atacar e subverter um agente sem acionar alarmes, potencialmente realizando ações com consequências irreversíveis.
Além disso, como os agentes se integram com ferramentas externas e fontes de dados, há mais oportunidades para manipulá-los. Se um invasor interferir em uma ferramenta da qual um agente depende ou injetar informações falsas em sua memória, o agente pode começar a tomar decisões inseguras, como aprovar transações fraudulentas ou fornecer avaliações de risco incorretas.
Os riscos também decorrem de uma vasta cadeia de suprimentos de IA, abrangendo diversos componentes de terceiros, como bibliotecas de código aberto, APIs e plataformas de modelos hospedados. Isso oferece oportunidades para adversários motivados plantarem portas dos fundos, que podem ser ativadas quando um sistema está em funcionamento e foi adotado por uma organização de serviços financeiros.
Comece pela governança
Na ausência de mandatos regulatórios claros, como as empresas de serviços financeiros podem mitigar esses crescentes riscos de IA? Os esforços devem começar com a governança.
Muitas empresas estão implementando a tecnologia tão rapidamente que mal conseguem entender como a IA está acessando e utilizando dados sensíveis. O uso de IA sombra continua sendo um desafio significativo; um que adiciona custos elevados a cada violação de dados. Estabelecer políticas claras para a adoção de IA, impor controles rigorosos de identidade e acesso, e monitorar todas as interações de IA ajudará a reduzir as chances de uso indevido de modelos ou vazamento de dados.
Em seguida, deve-se abordar a cadeia de suprimentos. Escanear componentes de IA, incluindo APIs e bibliotecas de código aberto, em busca de vulnerabilidades e configurações inadequadas. Adicionar verificações de segurança automatizadas e monitorar continuamente pontos expostos para prevenir manipulações e acessos não autorizados.
Para as empresas de serviços financeiros que estão desenvolvendo seus próprios serviços de IA, “segurança por design” deve ser a direção a seguir. Isso significa garantir que modelos, bancos de dados e fluxos de trabalho de implantação sejam monitorados em tempo real para possíveis compromissos e desvios de suas configurações originais.
As vulnerabilidades emergem rapidamente nesses ambientes, tornando a avaliação contínua da postura de segurança e a remediação rápida baseada em riscos também essenciais. Para as empresas de serviços financeiros, esses não são desafios teóricos. O risco é real e vem tanto de atores motivados financeiramente quanto de estados-nação. Se o setor deseja colher os benefícios da IA, deve primeiro garantir sua segurança, independentemente de a regulamentação existir ou não.
