Cibersegurança é um tema que tem ganhado cada vez mais força no Brasil. O país figura entre os que mais sofrem ataques ou tentativas de ataques na América Latina, com 2.766 tentativas semanais de invasão, de acordo com levantamento da IBM. O número coincide com levantamento da Check Point Research, que aponta 2.721 ataques cibernéticos semanas a empresas brasileiras, ou, 40% acima da média global. Os prejuízos são milionários e atingem empresas, pessoas físicas e governo.

Se a digitalização das operações por si só já desafiava a segurança, um desafio adicional veio com o advento da inteligência artificial generativa. IA por si só não é algo novo para a indústria de segurança, que já utiliza modelos em seus produtos há pelo menos 15 anos, mas a IA generativa permitiu aos cibercriminosos ataques mais rápidos e variados, além de munir de ferramental para ataques mesmo pessoas com baixo conhecimento técnico para criar alguma ciberameaça. 

Para elucidar alguns pontos sobre o tema, o Coletivo Tech conversou com o country manager da Check Point no Brasil, Eduardo Gonçalves. O executivo falou, entre outros temas, sobre o momento do mercado brasileiro em relação à maturidade no uso de IA e em ciber e também sobre pessoas. A seguir, você confere os principais trechos da conversa divididos pelos tópicos abordados.

Maturidade brasileira em IA

“Falamos sobre maturidade nos dois pilares: IA e ciber. Em IA, tenho participado de mesas redondas com CISO, CIO, CEO, e o que percebo é que chegamos em nível de inflexão de IA. Tinha o hype de que IA resolveria tudo, de que colocaria IA e subiria produtividade e cairia custo (automaticamente). Saímos disso e do hype negativo de que acabaria com todos os empregos. 

Estamos agora com pé no chão, entendemos que não resolve tudo e vêm as dúvidas de como calculo ROI (retorno sobre investimento) para IA, onde faz sentido, tenho dados necessários? Porque falamos de quantidade e qualidade de dados. Costumamos supervalorizar tecnologia no curto prazo e subvalorizar no longo prazo. Vejo mercado mais maduro para discussões de quando, como e que tipo de IA usar. Há maturidade na consciência e no entendimento de onde será usado. Alguns estão mais avançados, como bancos para fraudes. Essas discussões são sadias, em vez de sair fazendo de qualquer forma. E quando se fala em IA, (fazer de qualquer forma) pode ser grande problema”.

Maturidade em brasileira em cibersegurança

“Em ciber estamos com nível de maturidade maior. E, conversando com Chief Information Security Officers (CISOs), temos visto que maturidade tem subido bem nas empresas brasileiras. CISOS participam mais da estratégia, estão sendo escutados por CEOS. Algumas empresas não estão nesse nível, mas a maturidade é maior, algumas aprenderam pela dor outras pelos exemplos da mídia. Mas o caos de que pararia tudo aterrizou, aquele receio absurdo, medo, muitas cresceram com esse discurso e tem maneiras de mitigar risco, mesmo com os desafios.”

Riscos IA generativa

“Como você disse, a chegada da IA generativa trouxe desafio. IA não é algo novo para indústria de TI, usamos há 15 anos. Mesmo em ciber, nós temos 90 motores com IA em nossas soluções. Algumas vieram evoluindo de ML, deeplerning, neural, a parte generativa trouxe desafio porque permite que se crie ataques de maneira mais rápida. Eu fiz um curso de ethical hacking e em um dos módulos tive que desenvolver ferramenta e testar nível de segurança das empresas. Procurei vulnerabilidade conhecida, fui em modelo público de LLM e, na terceira tentativa, consegui gerar um modelo, colei na ferramenta e testei vulnerabilidade (no modo tradicional, precisaria programar tudo em Python).

A visão de que o hacker conhece tudo de programação técnica, com IA generativa, cai por água abaixo, ela gera ataques e códigos. Ela acelerou mais o número de ataques porque faz ataque direcionado (não sei codificação mas sou expert em python quando tenho conexão móvel e bateria no celular). (A possibilidade de promover ataque) sai do ambiente restrito de pessoas com capacidade técnica, qualquer pessoa consegue fazer ataque direcionado ou complexo sem muito conhecimento técnico. Em suma, IA generativa trouxe desafio potencial maior do que imaginávamos.”

Vantagens IA

“Falamos em IA para ciber e ciber para IA. Ela nos ajudou a dar um salto em que sentido: várias lançaram modelos de IA generativa para produtividade, como Copilot da Microsoft, nós também temos nosso copilot que funciona em português. O profissional entra no sistema de gerenciamento, conversa com ferramenta, ela cria políticas de segurança, gera relatório, detecta e avisa se saiu vulnerabilidade de algum fornecedor. Então, além dos motores para saber se é ataque ou não, usamos para ganho de produtividade para times de segurança. Temos clientes usando para relatórios gerenciais, para identificar ataques, e otimizar equipamentos. 

Por exemplo: criamos regras nos sistemas e pedimos para IA no copilot da nossa ferramenta avaliar 200 equipamentos de um banco. A ferramenta faz a varredura, verifica o que está dentro do crivo e apaga tudo o que está fora. Isso gera ganho de performance na máquina. Não conseguiria algo assim com um humano checando item a item. A própria ferramenta pode criar regras e a equipe de segurança revisar. Depois que as regras foram revisadas, aplica e ela apaga e configura o equipamento para otimização.”

Pessoas

“Tem o que chamamos de shadow IA, quando as pessoas usam IA sem os gestores saber. Neste caso, atacamos com duas frentes: cultura e governança. Empresas mais bem sucedidas tem grupo multidisciplinar com CISO, RH, TI para discutir formas de aculturar pessoas em IA, as pessoas têm dúvidas de como e quando usar. Na maioria das vezes não é má fé (causadora de problemas), mas é falta de conhecimento, muita gente desconhece as alucinações e elas existem. A IA pode dar resposta errada e discutimos com clientes se faz sentido IA generalista ou de nicho. As pessoas querem entender e cabe a empresa criar mecanismo.

Da parte técnica é visibilidade, sem isso você não calcula o risco que tem. É preciso entender o que pessoas usam de IA nos computadores e outros dispositivos da empresa. Uma vez identificado, tem que começar a usar ferramentas de DLP para bloquear informações confidenciais nessas IAs e retroalimentar o time de governança para definir como usar ferramenta. 

Em segurança, especificamente, tem o trabalho para se fazer no treinamento na questão mais conceitual. Pessoas não foram capacitadas para entender riscos de ciber seja para empresa seja para vida digital. Você pode sofrer fraudes do lado pessoal. As pessoas estão mais abertas, mas o risco está evoluindo rápido e não temos feito trabalho de conscientização enquanto sociedade. Isso demanda mais das empresas falarem abertamente dos riscos sem expor ninguém. Do lado da tecnologia, da visibilidade e usar IA. Hoje, fazer phishing é muito fácil com IA e mesmo gente treinada e capacitada pode ser enganada. Precisamos de IA para minimizar o lado humano, a pessoa que clica no botão errado, mas nunca chega no 100%, é preciso treinar e educar pessoas.”