Até 2021, 80% das tecnologias emergentes serão baseadas em Artificial Intelligence (AI), de acordo com a Gartner. Considerando que os dados se encontram no centro destas tecnologias baseadas em AI, serão também introduzidos inúmeros desafios do ponto de vista da segurança da informação. Descubra quais!

A maioria das aplicações de AI, como o Machine Learning (ML), são alimentadas por um volume massivo de dados para exercer uma das suas principais funções - aprender e tomar decisões inteligentes, ao mesmo tempo que exigem um interface permanente entre sistemas. 

Esta dependência direta traz inúmeras ameaças para as organizações, uma vez que estes dados são, geralmente, de natureza sensível e pessoal. Neste sentido, os dados desempenham um papel fundamental neste processo de aprendizagem, tornando-se propensos a violações de dados e ataques de segurança. 

Já pensaram sobre o que aconteceria se um sistema que está a “aprender” um determinado comportamento, baseado num conjunto de dados, fosse atacado e alimentado por dados maliciosos e incorretos? 

De forma a impulsionar as iniciativas de AI, as organizações enfrentam o desafio comum de manipular grandes volumes de dados para obter insights significativos e rápidos, garantindo a gestão consistente de políticas de governance e compliance de segurança. 

Este contraste pode dificultar a capacidade de inovar com a rapidez e segurança exigida, alinhada com os requisitos da organização, sendo que existem desafios neste processo: 

  • Recolha de dados em grande escala: Na maioria das soluções de Machine Learning, são necessárias grandes quantidades de dados de negócio. Estes dados podem ter um valor elevado para a organização ou um grande nível de sensibilidade, o que pode trazer um impacto significativo na organização no caso de ocorrência de uma falha de segurança ou de uma incorreta utilização dos mesmos. 
  • Utilização de dados reais: Os dados envolvidos numa solução de AI devem ser considerados com todos os seus atributos e dimensões, não sendo expectável utilizar “dados fictícios” ou anonimizados para efetuar os testes, realidade que pode não ser compatível com os princípios de privacidade e segurança. Nestes casos, pode ser considerada a adoção de uma solução com Format-Preserving Encryption (FPE), que consiste na encriptação dos dados sem alterar o formato original dos mesmos, preservando o valor comercial e a integridade referencial nos conjuntos de dados distribuídos.   
  • Organização atua em silos: Nos dias de hoje, verificamos que a tecnologia, as pessoas e os dados existem em silos nas organizações, dificultando a interoperabilidade e a garantia do mesmo nível de segurança nas integrações com os diferentes sistemas. Este desafio também se verifica quando falamos na implementação de diversos projetos de diferentes áreas da organização, uma vez que estes não são pensados de forma transversal. 
  • Segurança pensada numa fase posterior: Os projetos de AI são iniciados com foco na velocidade e inovação, sendo a segurança pensada numa fase posterior. Segundo a Homeland Security, 90% dos incidentes de segurança surgem através da exploração de lacunas no design das soluções ou mesmo na conceção do algoritmo. Nestes casos, podemos enfrentar sérias dificuldades na resolução de alguns problemas fundamentais na conceção da solução, bem como incorrer em custos muito elevados. (…) A National Institute of Standards and Technology (NIST) afirma que custa 30 vezes mais corrigir problemas de segurança após uma falha detetada na fase de Produção, do que incorporar a segurança desde a fase de design da solução

Até que ponto a exigida rapidez de implementação numa solução de AI compensa os riscos de segurança?

Como encontrar o equilíbrio e aproveitar a vantagem? 

Dada a evolução dos cenários de implementação de AI, é necessário implementar mecanismos que garantam uma segurança mais robusta no processo que antecede a adoção destas soluções, nomeadamente:

1. Realizar uma análise do risco-benefício considerando, entre outras, as vertentes Desempenho, Segurança, Regulamentar e Económica. Esta análise deve ser o ponto de partida e permite obter insights significativos para uma tomada de decisão informada; 

2. Desenvolver uma baseline de requisitos de segurança e privacidade, a incluir transversalmente nestas soluções, considerando a disponibilidade, integridade e confidencialidade da informação. Importante também efetuar o controlo da adoção destes requisitos; 

3. Implementar princípios de Privacy e Security-by-Design ao longo de todo o ciclo de vida aplicacional, garantindo a segurança no desenvolvimento e na operação. 

E qual a vossa opinião?

Devemos descurar os riscos inerentes em prol de uma adoção de AI mais rápida?

Ou deve a segurança servir como um catalisador da inovação acelerada? 

Palavras-ChaveSecurityAI Month

Partilhar