Perigos Ocultos dos Copilotos de IA e Como Fortalecer a Segurança

Os Perigos Ocultos dos Copilotos de IA e Como Reforçar a Segurança e a Conformidade

Os copilotos de IA, como o Copilot da Microsoft, introduzem novos riscos de segurança, privacidade e conformidade. Se esses modelos não forem adequadamente protegidos, as organizações correm o risco de se tornarem as próximas manchetes, desde vazamentos de dados até violações de regulamentos de privacidade.

Os riscos associados aos copilotos de IA não são apenas teóricos — incidentes do mundo real já demonstraram os perigos da adoção descontrolada da IA. Recentemente, o assistente de IA da Microsoft expôs o conteúdo de mais de 20.000 repositórios privados no GitHub de empresas como Google, Intel, Huawei, PayPal, IBM, Tencent e, ironicamente, Microsoft. Além disso, em 2023, a IA da Microsoft vazou 38TB de dados confidenciais devido à má configuração de controles de acesso no GitHub.

Esses incidentes servem como um alerta claro sobre os riscos apresentados por dados excessivamente expostos e governança inadequada.

Sistema Aberto vs. Modelo de IA em Loop Fechado

Antes de discutir como proteger adequadamente os modelos de IA, é necessário entender o que significa quando falamos sobre se um modelo de IA é um sistema aberto ou um loop fechado.

Um modelo de IA em loop fechado permite que as empresas treinem modelos de IA apenas com seus dados dentro de seu ambiente Azure. Um loop fechado minimiza o risco de a IA compartilhar dados sensíveis entre clientes ou geolocações.

No entanto, modelos de IA como o Copilot e o ChatGPT não são modelos de loop fechado e aprendem e atualizam continuamente suas respostas com base em prompts de usuários e dados da internet. Embora existam muitos benefícios associados aos modelos de IA abertos, eles também introduzem os riscos mencionados anteriormente. As organizações podem garantir que estão adotando a IA de forma segura se implementarem uma abordagem em múltiplas camadas para segurança e governança.

Uma Abordagem em Múltiplas Camadas para a Segurança da IA Generativa

Você não pode proteger o que não conhece. O primeiro passo para preparar sua organização para a IA é a capacidade de classificar e etiquetar todos os dados que residem em seus sistemas, incluindo o que é sensível, confidencial ou adequado para consumo de IA. Sem a devida classificação e etiquetagem, a IA — como o Microsoft Copilot — pode processar e expor dados que devem permanecer confidenciais. As organizações devem implementar medidas de governança, como:

• Realizar avaliações abrangentes de risco de dados em plataformas como OneDrive, SharePoint e Teams.
• Rotular e etiquetar dados sensíveis, críticos ou regulamentados para identificar dados seguros para treinamento da IA (ou restritos).
• Estabelecer políticas automatizadas para sinalizar ou remediar violações de políticas antes que elas se agravem.
• Excluir dados duplicados, redundantes e obsoletos dos repositórios de dados usados para treinar a IA.
• Restringir as permissões de acesso da IA a dados que foram designados e validados como seguros para uso da IA.

Uma vez que as organizações estabelecem visibilidade sobre seus dados, o próximo passo crucial é controlar o acesso. Como testemunhado pela exposição de dados do GitHub mencionada acima, até mesmo dados etiquetados e classificados podem continuar a ser um risco se não restringirmos o acesso ao tipo de dados alimentados em um modelo de IA.

Os líderes de segurança precisam ser capazes de rastrear quais conjuntos de dados estão sendo usados para treinar modelos de IA e auditar as saídas geradas pela IA em busca de possíveis violações de conformidade. Sem a implementação bem-sucedida de fortes medidas de gerenciamento de dados de IA, as organizações correm o risco de violar regulamentos como o GDPR, CCPA ou outras regulamentações de privacidade.

Essas violações regulamentares podem resultar em multas impostas às organizações e podem prejudicar a marca da organização e a perda da confiança do consumidor. É por isso que as organizações precisam garantir que a privacidade esteja embutida na fundação de sua estratégia de segurança e governança de IA para evitar a violação inadvertida de obrigações regulatórias.

Segurança de Dados de IA e Governança na Era da IA

A transformação digital impulsionada pela IA chegou, e isso requer uma nova mentalidade para segurança e conformidade. As organizações que não implementarem medidas de governança robustas correm o risco de expor seu ativo mais valioso — os dados. Agora é o momento para os líderes de TI reforçarem as políticas de segurança da IA e garantirem que a IA generativa seja utilizada de forma segura e responsável.