* escrito por Raphael Tedesco
Há menos de um mês foram lançadas as Diretrizes para o desenvolvimento seguro de sistemas de Inteligência Artificial (IA) pelo Centro Nacional de Segurança Cibernética do Reino Unido (NCSC) e a Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA), além da participação de mais de 10 organizações, incluindo Amazon, Microsoft, IBM e Google.
Com o objetivo de fornecer princípios orientadores para todos que utilizam a tecnologia, o intuito é ajudar na construção de sistemas que funcionem conforme pretendido, sem revelar dados confidenciais a partes não autorizadas, e estejam disponíveis quando necessário.
Os sistemas de IA têm o potencial de trazer inúmeros benefícios para a sociedade, mas para concretizá-los plenamente, é essencial desenvolver, implantar e operar de forma segura. Ou seja, a cibersegurança é um pré-requisito essencial para a privacidade, legalidade, eficácia e confiabilidade na implantação da tecnologia.
No entanto, além das ameaças convencionais à segurança cibernética, os sistemas de IA são suscetíveis a vulnerabilidades únicas. Por exemplo, os invasores podem explorar o aprendizado de máquina adversário (dentro das diretrizes, Inteligência Artificial refere-se especificamente a aplicativos de aprendizado de máquina) para induzir o comportamento anormal, afetando o desempenho dos modelos, solicitando operações não autorizadas e permitindo que invasores extraiam dados confidenciais e informações sobre o modelo. Os métodos incluem ataques de injeção e de envenenamento de dados.
Portanto, o design, o desenvolvimento, a implantação, a operação e a manutenção são cruciais para garantir a segurança de todo o ciclo de vida dos sistemas de IA. O guia segue a abordagem de “segurança por padrão” e adere aos princípios de “segurança desde a concepção” e priorizam assumir a propriedade dos resultados de segurança para os clientes, com transparência e responsabilidade, tornando o design seguro uma prioridade na estrutura organizacional e em meio às lideranças.
As diretrizes fornecem recomendações para vários estágios, incluindo design, desenvolvimento, implantação e manutenção. Porém, muitas das sugestões também são referências valiosas para outros sistemas de informação.
Dentro do design seguro são fornecidas orientações para o ciclo de vida de desenvolvimento do sistema. Isso inclui a compreensão e conscientização dos riscos, da modelagem de ameaças e de tópicos e compensações específicas a serem consideradas em todo o design do sistema e do modelo.
A seção sobre o desenvolvimento seguro apresenta diretrizes aplicáveis ao estágio de criação, abrangendo segurança da cadeia de suprimentos, documentação e gestão de ativos e dívida técnica (onde são tomadas as decisões de engenharia que ficam aquém das melhores práticas para alcançar resultados de curto prazo, em detrimento de benefícios de longo prazo, o que significa deixar o problema para resolução futura).
Em implantação segura estão inclusas a proteção da infraestrutura e dos modelos contra comprometimento, ameaça ou perda, o desenvolvimento de processos de gerenciamento de incidentes e a liberação responsável por meio de avaliações adequadas e eficazes antes de qualquer lançamento.
Já as instruções seguras para a operação e manutenção oferecem preceitos operacionais após a implantação do sistema, incluindo registro e monitoramento, gerenciamento de atualizações e compartilhamento de informações em comunidades, ecossistemas industriais, acadêmicos e governanças globais.
Trata-se da “Corrida do Ouro” do século XXI, com a diferença de que hoje todos têm à disposição a tecnologia mais avançada do mundo. Entretanto, as ameaças seguem o mesmo ritmo. Vence quem fizer o melhor uso e conquistar mais seguidores.
*Raphael Tedesco é formado em redes de computadores pelo Instituto Brasileiro de Tecnologia Avançada (IBTA) e Pós-Graduado em Gestão de Negócios pelo Insper. Atua no mercado de Tecnologia da Informação e Comunicação (TIC) há 13 anos e teve passagens pela Multirede e Logicalis. Hoje, faz parte do time da NSFOCUS como Gerente de Alianças e Parcerias para a América Latina.