Shadow AI: A ameaça invisível à segurança da sua organização

“Quando o António, gestor de marketing, carregou a base de dados de clientes da sua empresa no ChatGPT para ajudar a redigir mensagens eletrónicas personalizadas, pensou estar a ser inovador. O que não percebeu foi que acabara de expor milhares de registos confidenciais a um sistema de terceiros, contornando todos os protocolos de segurança”.

Este exemplo é aquilo que os especialistas chamam de Shadow AI, uma das ameaças à segurança organizacional, que se refere a ferramentas de Inteligência Artificial (IA) que os colaboradores utilizam sem aprovação oficial ou supervisão dos departamentos de tecnologias de informação. Um inquérito recente do setor revelou que, embora apenas 15% das organizações tenham aprovado formalmente ferramentas de IA, mais de 70% dos colaboradores admitem utilizá-las regularmente para tarefas profissionais. Esta lacuna representa um ponto cego massivo na segurança da informação empresarial.

O problema não reside no facto destas ferramentas serem inerentemente maliciosas. O ChatGPT, o Midjourney e inúmeros outros serviços de IA são plataformas legítimas. O perigo encontra-se no que acontece quando informações confidenciais saem do ambiente corporativo protegido e entram em sistemas que não foram concebidos tendo em conta a segurança de informação de cada empresa.

As ameaças provenientes do Shadow AI são diversas e graves. A fuga de dados está no topo da lista, uma vez que informações confidenciais partilhadas com plataformas de IA podem ser retidas, utilizadas para treinar modelos futuros ou acedidas por terceiros. A propriedade intelectual pode ser comprometida quando código proprietário, planos estratégicos ou dados de investigação são processados através de serviços externos de IA.

As violações de conformidade representam outra grande preocupação. Setores que tratam dados pessoais, informações de saúde ou registos financeiros enfrentam regulamentações rigorosas. A utilização do Shadow AI pode inadvertidamente criar violações de conformidade que resultam em coimas avultadas e consequências jurídicas.

Talvez o mais preocupante seja a falta de visibilidade. Quando as equipas de segurança desconhecem quais as ferramentas de IA que os colaboradores estão a utilizar, não conseguem avaliar riscos, implementar medidas de proteção ou responder eficazmente a potenciais incidentes.

Construir uma estratégia de prevenção

Prevenir o Shadow AI requer uma abordagem equilibrada que contemple tanto as necessidades de segurança como a produtividade dos colaboradores. Criar um conjunto de ferramentas de IA aprovadas proporciona aos colaboradores opções autorizadas que satisfazem as suas necessidades mantendo os padrões de segurança. Isto deve incluir a verificação dos serviços de IA quanto às práticas de tratamento de dados, a implementação de salvaguardas contratuais e o estabelecimento de protocolos de integração claros.

Muitos colaboradores que utilizam ferramentas de IA não autorizadas, simplesmente não compreendem os riscos. Sessões de formação regulares que expliquem porque é que a segurança é importante, o que pode correr mal e como utilizar a IA de forma segura, podem transformar comportamentos de forma mais eficaz do que políticas punitivas.

Os controlos técnicos proporcionam uma camada adicional de proteção. Os sistemas de prevenção de perda de dados podem detetar quando informações sensíveis estão a ser carregadas para plataformas não autorizadas. A monitorização de rede pode identificar padrões de tráfego invulgares que sugiram utilização de Shadow AI.

Contudo, a tecnologia por si só não resolverá este problema sem o elemento humano. Além disso, à medida que as capacidades da IA se expandem exponencialmente, a janela para as organizações se anteciparem ao Shadow AI está a fechar-se. Aquelas que agirem agora, para criar estratégias abrangentes, construirão vantagens competitivas. Aquelas que ignorarem o problema provavelmente aprenderão sobre a sua exposição ao Shadow AI da pior forma possível: através de uma violação que poderia ter sido evitada.