Varonis: “Os dados são dinâmicos e as medidas de segurança têm de acompanhar” (com vídeo)

No palco das Technical Tracks, Rui Fernandes alerta que a criação de informação sintética e sensível exige novos mecanismos de controlo, já que “os dados são dinâmicos e as medidas de segurança têm de acompanhar”.

O Sales Engineer da Varonis destaca também que vulnerabilidades como Prompt Injection e Jailbreaking estão entre os vetores mais críticos, por poderem permitir “que um insider ou um atacante remoto aceda a informação sem permissões, contornando as defesas das plataformas”.

O caso da McDonald’s, com “exfiltração dos dados usados para treino, não porque conseguiram aceder ao Azure, mas porque ganharam credenciais de um dono de uma loja”, mostra a fragilidade das integrações. “Cerca de 90% das organizações têm dados expostos e, por conseguinte, estão expostos à inteligência artificial”, diz, o que aumenta o risco de perda de propriedade intelectual e data poisoning.

“As pessoas querem usar inteligência artificial e quando não a têm, vão buscar alternativas”, o que cria risco de fugas de dados e incumprimento do RGPD. Daí a ascensão da Shadow AI, “essencialmente de dois tipos, o unsanctioned e o unmonitored”, que resulta do uso de ferramentas não controladas.

Perante este cenário, defende uma abordagem data-centric, com “capacidade de monitorizar os prompts, as respostas e as integrações” e um modelo de “least privilege permanente” que reduza o chamado AI Blast Radius. A metodologia apresentada baseia-se nos princípios Find, Fix e Alert, com remediação automática.

Rui Fernandes afirma que a resposta ao novo cenário de risco depende da automatização contínua, capaz de acompanhar a velocidade com que os dados e as integrações evoluem. “É através da automação que nós, em dez dias, conseguimos fazer a correção de todo o risco da organização”, explica, acrescentando que esse é o ponto de partida para usar a inteligência artificial “com segurança”.