PingIdentity: “Na era da IA, não podemos confiar implicitamente nos controlos de segurança de ontem” (com vídeo)

Carlos Scott, Digital Risk Consultant da PingIdentity, na sessão “Identity, AI and fraud: Why authentication is no longer enough”, na IT Security Summit Porto, alertou para a evolução das fraudes digitais e para a necessidade de abandonar modelos de confiança implícita, defendendo abordagens contínuas de validação de identidade.

IA no cibercrime

Carlos Scott começou por contextualizar a dimensão atual do cibercrime, recorrendo a dados do Fórum Económico Mundial que, segundo o orador, o surpreenderam: “Se o cibercrime fosse um país, seria o terceiro maior país do mundo por produto interno bruto”.

Para o responsável, a Inteligência Artificial (IA) está a acelerar esta realidade, permitindo o aparecimento de novos tipos de fraude e tornando os ataques mais sofisticados. “Hoje, algumas destas novas tecnologias permitem que os atacantes lancem grandes ataques em massa, bem como ataques mais direcionados”, explicou.

Segundo Carlos Scott, a IA alterou a forma como os atacantes escolhem e executam os seus ataques, obrigando as organizações a repensarem os seus modelos tradicionais de proteção.

O limite da autenticação tradicional

O orador considera que muitas empresas continuam focadas em mecanismos tradicionais de autenticação, como nomes de utilizador, palavras-passe e MFA, acreditando que estas soluções são suficientes para proteger os acessos às organizações.

“Temos nos focado na porta da frente, mas penso que existem muitas outras formas dos atacantes acederem a uma organização”, alertou.

A transformação dos modelos de trabalho veio aumentar os desafios de validação de identidade. Carlos Scott questionou a capacidade das empresas para confirmarem a autenticidade dos utilizadores em processos totalmente remotos.

Confiança implícita vs. confiança explícita

Segundo o responsável, a maioria das empresas continua a operar com base num modelo de confiança implícita, onde o utilizador prova inicialmente quem é e, a partir desse momento, assume-se legitimidade contínua.

Com o crescimento dos ataques assistidos por IA, Carlos Scott defende uma mudança para modelos de confiança explícita, nos quais a validação deixa de ser pontual e passa a ser contínua. Neste modelo, a confiança não assenta apenas no conhecimento de uma palavra-passe, mas numa interação constante entre utilizador, sistema e contexto.

A autenticação passa assim a ser combinada com mecanismos contínuos de autorização e verificação, capazes de validar comportamentos, risco e legitimidade.

“Verified Trust”

“Na era da IA, não podemos confiar implicitamente nos controlos de segurança de ontem nem nos nossos olhos ou ouvidos”, afirmou o responsável, apresentando o modelo “Verified Trust” desenvolvido pela PingIdentity.

A framework assenta em três domínios de segurança. O primeiro está relacionado com autenticação de identidade, incluindo “nome de utilizador e palavra-passe, meios como biometria, outros meios de autenticação, e algum tipo de autenticação baseada em criptografia”.

O segundo domínio centra-se na fraude de identidade e na análise contextual dos acessos. “A área em que tentamos aplicar uma validação mais contextual”, explicou Carlos Scott, acrescentando que este modelo procura compreender o contexto das transações e avaliar o respetivo nível de risco antes de permitir o acesso.

O terceiro domínio está relacionado com garantia de identidade e validação em tempo real, recorrendo à verificação física dos utilizadores através de fotografias, passaportes ou documentos de identificação que são associados à identidade digital.

Uma abordagem contínua à identidade

Para Carlos Scott, “a combinação destes três domínios é um toolkit que precisamos para enfrentar este tipo de ataques”.

No fim, ficou clara a visão da PingIdentity de que a autenticação deixou de ser suficiente num contexto dominado por IA, fraude digital e modelos de trabalho dispersos. A validação contínua da identidade surge como um elemento central das estratégias modernas de cibersegurança.