Como evitar o compartilhamento de segredos com os assistentes virtuais

Consumidores adoram conversar com a Alexa, a Siri, a Cortana e o Google Now. Mas o que os CIOs deveriam fazer para se preparar para o crescente uso de assistentes virtuais entre seus funcionários?

Author Photo
3:39 pm - 19 de abril de 2017

Assistentes virtuais como a Siri, da Apple, a Cortana, da
Microsoft e o Google Now têm o potencial de tornar os trabalhadores da empresa
mais produtivos. Mas por estarem “sempre ouvindo”, até que ponto eles
representam uma séria ameaça à segurança e à privacidade?

De
acordo com a pesquisa realizada em outubro de 2016 pela Spiceworks com 566
profissionais de TI na América do Norte, Europa, Oriente Médio e África, 19%
das organizações já estão usando assistentes digitais inteligentes, como Siri e
Cortana. A pesquisa também descobriu que 46% das organizações planejam adotar
assistentes inteligentes dentro de cinco anos.

Atualmente,
cerca de 500 milhões de pessoas usam assistentes digitais ativados por voz. Um
contingente que deve crescer para 1,8 bilhões de pessoas em 2021, de acordo com
um estudo Bing/iProspect. Porque a tecnologia do local de trabalho tende a
seguir tendências da tecnologia do consumidor, os assistentes virtuais voz
devem se tornar cada vez mais comuns nas empresas.

Mas
quando perguntado sobre suas maiores preocupações relacionadas com assistentes
virtuais e Inteligência Artificial, a maioria dos profissionais de TI aponta
para questões de segurança e privacidade (48%), de acordo com a Spiceworks.

Embora
os “assistentes virtuais ofereçam tremenda conveniência e valor, esses
dispositivos introduzem novos desafios de segurança e privacidade”,
observa Merritt Maxim, analista sênior de segurança e risco da empresa de
pesquisa Forrester. “Eles poderiam ser comprometidos para outros fins,
como o que aconteceu com o botnet Mirai. Ou os próprios dispositivos podem ser
comprometidos, quer para fins mal-intencionados, como a coleta de dados, ou
apenas para provar uma vulnerabilidade”. Notícias recentes sobre como a
CIA pode ser capaz de transformar um Samsung Smart TV em um dispositivo de
escuta só fez aumentar as preocupações a respeito.

Se
você está planejando integrar assistentes virtuais em sua organização, aqui
estão cinco recomendações e melhores práticas a serem consideradas pelos
profissionais de tecnologia.

1.
Focar na privacidade do usuário
Os desenvolvedores de assistentes virtuais normalmente trabalham em grandes
empresas de tecnologia que costumam negligenciar sua capacidade de trabalhar
para aumentar a proteção dos usuários, colocando o todos os esforços em
“criar o produto e vendê-lo antes que alguém o faça”, diz Will
Ackerly, co-fundador e CTO da Virtru, empresa de segurança e criptografia de
e-mail. Na sua opinião, com o passar do tempo a privacidade “se tornará um
recurso premium e diferenciador” para produtos como os assistentes
virtuais.

Enquanto
isso, os fabricantes devem tomar medidas para proteger seus usuários, movendo
mais inteligência para seus dispositivos e permitindo que os usuários mantenham
controle sobre seus dados e como serão protegidos e usados, aconselha.

2.
Desenvolver uma política
Suponha
que todos os dispositivos com um microfone estejam sempre ouvindo, diz Bill
Anderson, que trabalhou em segurança para a BlackBerry e a Palm e agora é CEO
da empresa de segurança de empresas móveis OptioLabs. Mesmo que o dispositivo
tenha um botão para desligar o microfone, se ele tem uma fonte de alimentação
ainda é possível que ele possa estar gravando áudio, avisa.

Não
por acaso, uma nova técnica chamada ‘snoop’ tem preocupado os
profissionais de segurança. Ela vem sendo usada para monitorar todas as
atividades de um smartphone e até mesmo acessar o microfone e gravar o som
ambiente remotamente para, entre outros motivos, direcionar anúncios
online aos consumidores. Muitas pessoas dizem perceber anúncios
direcionados em mídias sociais ou ferramentas de busca sobre produtos ou marcas
os quais foram assuntos em conversas privadas, realizadas próximas a
celulares.

Os
sites de busca e redes sociais mais populares já afirmaram que não usam
qualquer tipo de ferramenta de snoop. No entanto, não é difícil encontrar
empresas desenvolvendo APIs para isso. Técnicas como esta estão sendo
usadas também por empresas que oferecem serviços de estatísticas a partir do
monitoramento do comportamento dos usuários de smartphones. São formas de
definir perfis de consumo.

Lembre-se
também que os assistentes virtuais podem armazenar pesquisas de voz e
solicitações nos servidores do fornecedor. “O que seria necessário para
quebrar esses dados?”, Pergunta Anderson. Ele aponta para o recente hack
de e-mail do Yahoo como um exemplo de como, num pior cenário, um atacante
poderia obter uma “vantagem sobre o login das contas e ter acesso a esses
dados (como as gravações de voz)”.

A
espionagem sem o consentimento do usuário, o uso inadequado dos dados ou o
vazamento de tais informações poderia ser muito prejudicial. Mesmo que o
usuário permita ser espionado e ter suas conversas privadas ouvidas, informações
confidenciais como senhas de e-mail e informações bancárias poderiam ser
facilmente acessadas também.

Para
reforçar a privacidade e a segurança, uma empresa deve começar traçando um
quadro geral de onde suas potenciais vulnerabilidades estão, aconselha
Anderson. “Pergunte a si mesmo, sua organização reconhece que existem
vários microfones em cada escritório? Você já pensou sobre a privacidade e
segurança do seu sistema de telefone PBX no escritório? Como você sabe que o
firmware em seus telefones do escritório não foi hackeado? Como você sabe que
seus laptops não estão executando software de monitoramento de terceiros?
Existem outros dispositivos no escritório que gravam a voz? Você entende como
eles chegaram lá e qual é a sua função? “

Depois
de ter uma imagem completa, desenvolva uma política que cubra “a
quantidade de problemas possíveis de modo a garantir que conversas regulares
não estão sendo vazadas involuntariamente”, diz Anderson. “Se você se
preocupa com conversas regulares sobre equipamentos existentes (como sistemas
de telefonia PBX), então você está pronto para pensar em uma política para
assistentes virtuais.”

assistentevirtual

3.
Trate dispositivos com assistentes virtuais como qualquer dispositivo de IoT
A
TI “deve tratar os dispositivos com assistentes virtuais como qualquer
outro dispositivo IoT que grave informações confidenciais e as envie para
terceiros”, diz Marc Laliberte, analista de segurança da WatchGuard.
“Esses dispositivos não devem estar operacionais em locais onde
informações potencialmente sensíveis são passadas verbalmente. Além disso, os
dispositivos de IoT devem ser segmentados do restante da rede corporativa para
fornecer proteções adicionais se forem comprometidos. “

4.
Decidir sobre BYO ou propriedade da empresa
A mania BYOD dos últimos anos irá inevitavelmente se estender a dispositivos
virtuais habilitados para voz, como o Google Home e o Echo, da Amazon, diz
David Fapohunda, diretor da unidade de crimes financeiros da PwC, que trata da
segurança cibernética.

“Veremos
que esses dispositivos se tornarão mais comuns em aplicativos pessoais e
corporativos nos próximos dois anos”, diz Fapohunda. “Ao contrário
das versões de hoje, eles se tornarão mais pessoais, capazes de identificar
quem é o usuário por reconhecimento de voz. As futuras versões serão adaptadas
a cada indivíduo e realmente fornecerão respostas contextuais mais profundas e
automatizarão muitas tarefas manuais. Um assistente digital vai ler seus
e-mails em voz alta e até mesmo se comunicar com outros assistentes virtuais em
sua rede pessoal e empresarial. Neste ponto, os assistentes se tornarão uma
ferramenta de negócios crítica, como o próprio e-mail. “

Mas
este cenário no futuro não muito distante introduz um desafio para a empresa.
Você permitirá0 BYOVA (que cada funcionário uso o seu próprio assistente
virtual)? Ou a empresa deverá possuí-los e gerenciá-los? A questão suscitará
ainda mais discussões”, diz Fapohunda.

Além
disso, uma vez que os assistentes virtuais pessoais “confiam na nuvem para
compreender comandos complexos, buscar dados ou atribuir tarefas de computação
complexas a mais recursos”, seu uso na empresa levanta questões sobre
propriedade de dados, retenção de dados, roubo de dados e IP e CISOs e CIOs
precisarão endereçar.

5.
Planejar a proteção
Dispositivos
como o Google Home e o Echo são projetados para residências, não para locais de
trabalho, observa Will Burns, vice-presidente sênior da root9B. “Sua
presença torna certas atividades convenientes, mas eles não são voltados para
ações empresariais ou de segurança. Isso endereça uma série de questões de
segurança não resolvidas”, acrescenta.

“Havendo um assistente virtual
implantado dentro do ambiente corporativo, eu não o conectaria a uma conta
corporativa usada para compras. Minimizar o seu acesso à Internet para o
momento específico quando ele está sendo usado para atividades corporativas, e
monitoraria a sua atividade de rede. Assim como muitas empresas hoje em dia
colocam uma capa em suas webcams quando não estão em uso, deve haver proteções
semelhantes no microfone para o seu assistente digital”, diz ele.

Notícias relacionadas

Notícias
Sberbank oferece IA soberana a países do Sul Global
Notícias
Palo Alto registra alta na procura por segurança em IA
Notícias
iFood confirma vazamento de dados de 1,2 milhão de usuários
Notícias
Sam Altman é convidado a participar do G7 na França
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.