Construindo confiança em um mundo definido por software e orientado por IA

O Plano Nacional de Implementação da Strategy de Segurança Cibernética da Casa Branca, lançado em 13 de julho, é um passo ousado para construir confiança no mundo atual definido por software e orientado por IA. Os americanos merecem todos os benefícios e o potencial de um futuro digital seguro. A chave para realizar esse potencial é a política pública com implementação concreta, como a ação do governo Biden, para lidar com as vulnerabilidades na infraestrutura de nossa nação.

Vivemos em um mundo que depende de software e inteligência artificial para praticamente todos os aspectos de nossas vidas, uma tendência que só continuará na curva de crescimento do taco de hóquei. Embora essas tecnologias tenham aumentado a produtividade e a prosperidade, muitos questionam se elas também introduziram vulnerabilidades sistêmicas em nossas vidas definidas digitalmente.

Entendendo e Mitigando Ameaças à Segurança Cibernética

De acordo com o Relatório de Risco Global de 2023 do Fórum Econômico Mundial, a ameaça do cibercrime generalizado e as vulnerabilidades em nosso ecossistema digital estão entre os riscos mais graves enfrentados por nossos rebus, governos e pessoas. E os líderes mundiais na Cimeira da NATO da semana passada advertiram que o uso malicioso de tecnologias emergentes e disruptivas no ciberespaço pode levar a OTAN a invocar o Artigo 5 do Tratado de Washington, desencadeando uma resposta colectiva da OTAN.

Além disso, uma pesquisa recente da KPMG relata que o risco de segurança cibernética é a principal preocupação das pessoas quando se trata de riscos potenciais apresentados pela IA. Embora a IA impulsione uma infinidade de transações e decisões que tomamos todos os dias – de serviços bancários a pesquisas na web, navegação no tráfego e proteção de nossos telefones – a mesma pesquisa da KPMG indicou que apenas 24% dos americanos dizem confiar na IA.

Uma pesquisa recente encomendada pela BlackBerry com tomadores de decisão globais de TI encontrou uma lacuna de confiança semelhante. Ele revelou que a maioria dos líderes de TI entrevistados acredita que haverá um ataque cibernético bem-sucedido habilitado por aplicativos de IA generativa, como o ChatGPT, dentro de um ano. Os pesquisadores já demonstraram como os aplicativos de IA generativa podem criar códigos maliciosos. Outros relatórios recentes descobriram que a IA contribuiu para o aumento de 50% nas campanhas de phishing no ano passado.

O governo Biden deu passos positivos nessa direção. A Ordem Executiva de maio de 2021 da Casa Branca sobre a melhoria da segurança cibernética da nação iniciou esforços para aprimorar a segurança da cadeia de suprimentos de software, promover soluções de segurança cibernética Zero Trust e elevar os padrões de segurança cibernética para entidades federais e de infraestrutura crítica. O AI Risk Management Framework do NIST, lançado em janeiro, concentra-se em melhorar como a indústria e o governo podem incorporar confiabilidade no design, desenvolvimento, uso e avaliação de produtos, serviços e sistemas de IA.

Em abril, os princípios “seguro por design” da Agência de Segurança Cibersegurança e Infraestrutura (CISA) representam etapas críticas para incentivar os fabricantes de software a considerar a abordagem de ameaças e vulnerabilidades de segurança durante todo o ciclo de vida de seus produtos. E, mais recentemente, o Plano Nacional de Implementação da Estratégia de Segurança Cibernética da Casa Branca enfatiza a importância da “recompensa[ing] os proprietários e operadores de infraestrutura crítica que investem em medidas proativas para prevenir e mitigar os efeitos de incidentes cibernéticos.”

Permanecendo à frente de um cenário de ameaças em constante mudança

Mas com todo o escopo e escala dos ataques cibernéticos contra os US cada vez maiores e difíceis de quantificar, sempre há mais a ser feito para ficar à frente do cenário de ameaças em constante mudança. As ações adicionais que os formuladores de políticas e a indústria podem tomar agora para construir um ecossistema digital mais resiliente e seguro incluem:

- Aproveite a IA preditiva como o grande equalizador da segurança cibernética. À medida que a superfície de ataque para ameaças de segurança cibernética cresce na velocidade da luz, estamos testemunhando um rápido aumento nas audiências de IA neste Congresso, pois os membros de ambos os lados do corredor buscam entender a IA e como ela pode ser usada – tanto para o bem quanto para o mal. Os agentes de ameaças implantam dezenas de milhares de amostras maliciosas exclusivas por dia, enquanto usam aplicativos de IA para criar códigos maliciosos e ocultar com mais eficiência suas cargas úteis. As ferramentas preditivas de IA podem automatizar a mitigação de riscos e a detecção precoce. Eles são capazes de analisar grandes quantidades de informações e comportamento em vários domínios para proteger proativamente contra ameaças – antes que causem danos.

- Melhore a segurança da cadeia de suprimentos de software melhorando a segurança de software do governo dos US. A segurança do nosso governo e as informações que ele tem sobre os americanos são fundamentais para a segurança da nação. As decisões federais de aquisição de segurança cibernética devem considerar a qualidade, segurança e resiliência dos produtos, e não o padrão de custo mais baixo. A segurança das agências federais de nosso país não pode ser comoditizada. A administração Biden articulou essa necessidade de segurança cibernética de ponta em suas prioridades cibernéticas de junho de 2023 para o orçamento do ano fiscal 25, onde a Casa Branca instruiu as agências federais a investir em “soluções duráveis ​​e de longo prazo que são seguras por design”.

- Reforce a colaboração público-privada em segurança cibernética. Em depoimento perante o Congresso no início deste ano, o diretor da CISA afirmou que “proteger a infraestrutura crítica de nossa nação é uma responsabilidade compartilhada que exige não apenas uma abordagem de todo o governo, mas de toda a nação”. Em muitos aspectos, essa falta de visibilidade público-privada compartilhada impulsiona a vulnerabilidade pública e privada compartilhada da América. O Joint Cyber ​​Defense Collaborative (JCDC) da CISA pode ajudar a preencher essa lacuna, se for utilizado estrategicamente em todo o seu potencial. Caso em questão: a vulnerabilidade Log4j, que deu aos hackers a capacidade de controlar remotamente milhões de máquinas vulneráveis. A CISA aproveitou as entidades públicas e privadas do JCDC para agir de forma colaborativa para conter essa vulnerabilidade. Mais colaboração público-privada – com mais frequência – é essencial, incluindo avaliações de risco de segurança coordenadas de cadeias de suprimentos críticas e manuais conjuntos no caso de um grande ataque cibernético.

Salvaguardando o Futuro

Em suma, o governo está se movendo na direção certa com políticas orientadas para a ação de segurança cibernética, como o novo Plano Nacional de Implementação de Segurança Cibernética e o ritmo de audiências bipartidárias do Congresso sobre educação em IA – todos os quais devem ser elogiados. Para garantir ainda mais que a América esteja na posição mais forte para proteger a nação de cybercriminals, devemos aproveitar o poder da IA ​​preditiva, priorizar a melhor segurança em aquisição de software e aumentar a colaboração público-privada em torno da inteligência de ameaças.

Marjorie Dickman é Diretora de Assuntos Governamentais e Diretora de Políticas Públicas da BlackBerry, uma empresa global de serviços e software de segurança cibernética.