IA, uma aliada da cibersegurança ou um desafio a ser gerido?

A inteligência artificial (IA) está a integrar-se cada vez mais nas nossas vidas, e a cibersegurança não é exceção. Com capacidades avançadas, a IA pode detectar e bloquear ameaças em tempo real, ajudando a fortalecer a segurança digital de empresas e organizações. No entanto, é crucial que as organizações implementem medidas de controlo rigorosas para garantir que a IA se torna uma aliada e não uma ameaça.

Os ataques e ameaças cibernéticas são uma preocupação constante para empresas, organizações e consumidores. A IA é vista como uma tecnologia transformadora, permitindo novas formas de conectividade e inteligência. A relação entre IA e cibersegurança tem originado plataformas que utilizam big data, inteligência artificial e automação para tomar decisões de segurança mais precisas e rápidas do que seria possível com intervenção humana. Ferramentas como o processamento de linguagem natural, a recolha de dados e a automação permitem às organizações classificar dados de forma eficiente e criar barreiras contra possíveis fugas de informação. Plataformas de machine learning são capazes de detectar comportamentos suspeitos e o deep learning está a ser utilizado para combater ataques cibernéticos.

A utilização de IA na cibersegurança capacita as empresas e organizações a proteger os seus ativos e dados críticos com uma maior eficácia e precisão. No entanto, a mesma tecnologia que pode proteger-nos também pode ser utilizada para fins maliciosos. Os cibercriminosos estão a explorar a IA para realizar ataques sofisticados, como phishing, chatbots maliciosos que distribuem malware e a tecnologia deep fake que cria falsificações digitais de executivos de alto nível. Um exemplo disso foi um ataque em fevereiro de 2024, que resultou numa perda de 25 milhões de dólares devido a um deepfake.

A IA e os modelos de linguagem de grande escala (LLM) têm sido utilizados para criar campanhas de phishing cada vez mais credíveis e sofisticadas. Em 2020, a empresa de segurança cibernética Symantec identificou um aumento significativo em ataques de phishing alimentados por IA, que eram capazes de modificar automaticamente os emails de ataque para evitar deteção. Estas falsificações expõem as organizações a novos riscos, especialmente aquelas que ainda não adotaram um programa sofisticado de gestão de riscos de segurança cibernética.

Para combater estas ameaças, as organizações devem melhorar a sua capacidade de deteção de ameaças, minimizando os riscos e garantindo a utilização ética da tecnologia. A implementação de ferramentas de IA para proteção é uma necessidade urgente. Estas ferramentas podem analisar grandes volumes de dados, identificando padrões e comportamentos que indicam potenciais atividades maliciosas, bloquear automaticamente endereços IP maliciosos suspeitos ou conhecidos e acelerar processos como a deteção de phishing através de reconhecimento de imagem. Uma vez que os ataques cibernéticos continuam a tornar-se mais sofisticados por natureza, a formação e a consciencialização dos colaboradores sobre as ameaças cibernéticas são essenciais e representam a última linha de defesa contra ataques digitais.

Estamos num ponto crítico onde a IA pode ser tanto uma ferramenta de proteção quanto uma ameaça. A adoção da IA na defesa e no ataque é uma tendência irreversível que traz riscos e oportunidades significativas.

Regulamento Europeu de IA: O Que Muda a Partir de Fevereiro de 2025

O AI Act é um regulamento da União Europeia que visa estabelecer um quadro jurídico para o desenvolvimento e uso da inteligência artificial (IA) dentro dos estados-membros. Publicado em julho de 2022 e com implementação prevista até agosto de 2026, o regulamento adota uma abordagem baseada em risco, categorizando os sistemas de IA em quatro níveis:

1. Risco inaceitável
2. Alto risco
3. Risco limitado
4. Risco mínimo.

Sistemas de IA de risco inaceitável são proibidos, como a manipulação subliminar e a pontuação social.

Sistemas de alto risco, que podem afetar significativamente a vida dos cidadãos, estão sujeitos a requisitos rigorosos de transparência e supervisão. Isso inclui áreas como recrutamento, gestão de infraestrutura crítica e acesso a serviços públicos essenciais.

Os sistemas de IA de risco limitado devem cumprir requisitos de transparência, como informar os utilizadores que estão a interagir com IA.

Já os sistemas de risco mínimo, que incluem funcionalidades como filtros de spam, são amplamente isentos de regulamentação, mas devem seguir boas práticas de desenvolvimento.

Empresas que não cumprirem as normas podem enfrentar multas significativas, o que destaca a necessidade de uma abordagem diligente e proativa na implementação e gestão de sistemas de IA.

Dessa forma, o AI Act não apenas protege os direitos dos cidadãos, mas também estabelece um quadro claro para a inovação responsável, incentivando o desenvolvimento de tecnologias de IA que são seguras, transparentes e justas.