1. Home >
  2. Notícias >
  3. Notícias >
  4. Copilot e IA generativa: exposição... >

Copilot e IA generativa: exposição de dados pode levar a deep fakes corporativos

Antes de implementar o Copilot, é preciso ter noção da postura de segurança de dados

Author Photo
8:26 am - 08 de setembro de 2023
IA generativa Imagem: Shutterstock

Recentemente, a Microsoft anunciou o lançamento do Copilot, um assistente de Inteligência Artificial destinado a ajudar os usuários a ganhar mais agilidade no uso da suite Microsoft 365. A solução, de acordo com analistas, tem o potencial de causar uma mudança considerável no trabalho administrativo com a automatização de tarefas que vão da resposta a um email a uma proposta comercial. O problema, entretanto, fica no acesso aos dados e no potencial do uso da própria IA para invasões cada vez mais sofisticadas.

Para que a IA generativa da Microsoft funcione cumprindo sua promessa, é preciso que a ferramenta acesse todos os dados gerados pelos usuários no 365 – dessa maneira, as informações podem ser pesquisadas e compiladas para a geração de insights, respostas etc.

Considerando que cerca de 10% das informações de uma empresa estão abertas a todos os funcionários, temos aqui dois ingredientes que podem levar a uma quebra da segurança em um nível não visto anteriormente: envenenamento do modelo da IA , fornecimento de dados errados (um fenômeno que tem sido chamado de alucinação) e a criação de deep fakes para engenharia social, com uma capacidade inédita de extração de dados – tanto do próprio sistema, como do usuário.

Como funciona o modelo de segurança do Microsoft 365 Copilot

Logicamente, tudo que envolve a segurança em relação aos produtos Microsoft é um ponto de preocupação. E não é porque o sistema é falho: é a suíte de produtos para escritório mais usada no mundo. Consequentemente, é um dos sistemas que mais sofre com potenciais ataques de cibercriminosos. Existem pontos positivos e negativos em relação à segurança do Copilot.

Um dos pontos positivos é que o modelo da IA vai trabalhar com dados do próprio tenant da empresa. Isso significa que, ao usar o Copilot, a IA vai aprender somente com os dados da sua empresa – e não vai cruzar dados de outros tenants. O outro ponto importante na segurança é que o Copilot não usa nenhum dado de negócio para treinar a IA – ou seja, informações mais estratégicas estão protegidas.

Em compensação, existem algumas questões que preocupam. Por exemplo, o permissionamento. O Copilot consegue enxergar todos os dados da organização no mínimo com a permissão de leitura. Outro ponto é que o Copilot, ao gerar novos dados a partir dos já existentes não usa os rótulos MPIP criados anteriormente. Isso é um ponto complicado: MPIP (Microsoft Information Protection, na sigla em ingês), é a solução da Microsoft para proteção de dados confidenciais, embarcada na solução 365.

Por último – e esse é um problema recorrente na IA – não é possível assegurar que o dado gerado é 100% factual ou seguro. No final, o trabalho de checagem precisa ser feito por um humano.

Como contornar esses problemas

A questão do permissionamento é um ponto sensível nos produtos Microsoft. Hoje, o excesso de permissões por usuário é um dos principais problemas enfrentados pelas empresas. Em uma escala massiva, é quase impossível gerenciar permissões de maneira adequada sem ferramentas de terceiros. O ideal seria se as empresas conseguissem impor o menor privilégio possível ao Copilot.

Na questão dos rótulos MPIP, a Microsoft depende muito dessa informação para impor políticas de DLP, aplicar criptografia e prevenir amplamente vazamentos de dados. Na prática, porém, fazer com que os rótulos funcionem é difícil, especialmente se você depende de humanos para aplicar esses rótulos.

Bloquear ou criptografar dados pode adicionar atrito aos fluxos de trabalho, e as tecnologias de rotulagem são limitadas a tipos de arquivos específicos. Quanto mais rótulos uma organização tiver, mais confuso esse sistema poderá se tornar para os usuários. Agora, imagine esse problema em larga escala.

A eficiência da proteção de dados baseada em rótulos certamente diminuirá quando tivermos a IA gerando muito mais dados que exigem rótulos precisos e com atualização automática.

Ou seja: é fundamental ter uma noção da postura de segurança de dados antes da implementação do Copilot. Com ou sem Inteligência Artificial, é preciso garantir que as informações que transitam pelo Microsoft 365 estejam seguras – caso contrário, a IA será somente mais uma ferramenta na mão de criminosos – que conseguirão tornar seus ataques cada vez mais sofisticados e críveis.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

Tags:
Copilot
IA generativa
Author Photo
Carlos Rodrigues

Carlos Rodrigues é vice-presidente da Varonis para América Latina, onde atua desde 2011. Formado em Administração de Empresas com ênfase em Comércio Exterior, o executivo atua no mercado de Tecnologia e Segurança da Informação há quase 30 anos. Rodrigues já trabalhou em outras empresas como Huawei, EMC, WDC Networks, entre outras.

Author Photo

Notícias relacionadas

Notícias
Vazamento de dados de fornecedora de testes genéticos impacta 6,9 milhões de usuários
Notícias
ChatGPT foi alvo de ataque cibernético em novembro, revela ISH
Notícias
SoftBank Corp. investe US$ 513 milhões para adquirir fatia majoritária da Cubic Telecom
Notícias
Empresas na América Latina esperam atingir metas de sustentabilidade em um ano
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.