Apesar de as fraudes de deep fake chamarem a atenção, as seguradoras cibernéticas se concentram principalmente em riscos cibernéticos já existentes anteriormente, como ataques de phishing. Ainda assim, os avanços tecnológicos, como a IA, significam que as empresas precisam pensar nas defesas tecnológicas e na cobertura de que precisam.
Em março, a Coalition, uma seguradora de ameaças cibernéticas, adicionou um endosso afirmativo de IA à sua cobertura. O endosso reembolsa os segurados por perdas decorrentes de fraude na transferência de fundos, falhas de segurança cibernética e questões relacionadas. A Digital Insurance conversou com Tiago Henriques [foto], vice-presidente de pesquisa da Coalition, sobre como as empresas e as seguradoras podem usar a tecnologia mais recente disponível para se defender contra ataques cibernéticos cada vez mais sofisticados. Confira a entrevista abaixo:
Quais tecnologias as empresas e seguradoras têm para se defender contra deep fakes?
Algumas coisas diferentes. Para deep fakes de voz, geralmente recomendamos que haja frases-chave compartilhadas entre as pessoas da empresa. Se eu ligar para você, preciso usar a palavra “banana” em nossa conversa para que você saiba que sou eu que estou ligando para você. Outra alternativa é, depois de receber uma ligação e interagir com a pessoa, ao desligar, ligar de volta para ela — tomar a atitude proativa de ligar para o número que você sabe que é confiável e confirmar com a pessoa — acabamos de falar ao telefone?
Essas são algumas das recomendações que damos para deep fakes e deep fakes relacionados à voz. No e-mail, tome muito cuidado com coisas que parecem boas demais para ser verdade. Faça uma segunda checagem. Por exemplo, se você receber um e-mail que diz: “Sou seu fornecedor, aqui está a fatura, você me deve US$ 10.000”, confirme com uma segunda pessoa da contabilidade que realmente devemos US$ 10.000 a esse fornecedor. Não transfira simplesmente o dinheiro sem uma segunda verificação. Estamos vendo um pouco de evolução em que os próprios defensores estão começando a usar LLMs [grandes modelos de linguagem] para combater os LLMs, mas será um jogo constante de gato e rato. Será uma evolução interessante de monitorar, mas será difícil.
Esses riscos ou perdas são cobertos apenas como perdas decorrentes de crimes, como falhas de segurança cibernética ou de alguma outra forma?
O que anunciamos é chamado de cobertura afirmativa, o que significa que não se trata necessariamente de uma nova cobertura. É apenas uma afirmação de que, nesses casos, nós cobrimos. Temos muitos clientes que estão incorporando LLMs em seus produtos. Antigamente, havia algo chamado injeção de SQL, em que um invasor colocava uma cadeia de caracteres muito específica para fazer com que um banco de dados despejasse todo o conteúdo que possuía.
O que os invasores agora usam contra os LLMs é uma injeção de prompt, na qual eles podem inserir uma cadeia de caracteres muito específica para tentar fazer com que o bot ou o LLM acesse alguns dos dados dos clientes. Isso estaria coberto. Afirmamos que, se você for vítima de um ataque de injeção imediata, isso está coberto pela sua apólice de seguro cibernético. Isso não é novidade. Trata-se de um ataque malicioso, que ataca um aplicativo da Web que, por acaso, usa um LLM.
Que vulnerabilidades cibernéticas a tecnologia de IA pode criar?
Estamos vendo os clientes adotarem cada vez mais IA, seja para uso diário ou incorporando-a em seus produtos. O que não estamos vendo é as pessoas serem muito cuidadosas. Muitas empresas têm dados de clientes e incorporam esses produtos de IA sem pensar em questões de privacidade de dados ou em como os provedores usam os dados para treinar novamente seus próprios modelos.
Certifique-se de ler todos os termos e condições e as políticas de privacidade de dados de seus provedores e como eles usarão todos esses dados. Você realmente precisa enviar todos os dados para o LLM? Você pode separar os dados do cliente dos dados genéricos? A UE tem leis rigorosas sobre dados de IA, portanto, é muito importante fazer isso corretamente.
Como a IA pode ser usada na proteção contra violações cibernéticas?
Estamos vendo a IA como algo ruim, como os bandidos a estão usando? Sim, mas também estamos vendo muitos bons usos dela, e vamos passar por um período difícil antes que as coisas melhorem. Vemos chamadas fraudulentas, deep fakes, deep fakes de voz, phishing de e-mail, todas essas campanhas aumentando.
Continuaremos a ver isso por mais algum tempo, porque a tecnologia ainda é barata, de modo que todos os invasores podem simplesmente executar LLMs localmente em seus computadores. Parte do motivo pelo qual não estamos vendo mais casos como o de Hong Kong, com um deep fake em vídeo, é porque ainda é necessário muito poder de computação para [criar um] deep fake em vídeo em tempo real. Não é algo que possa ser executado em uma qualidade realmente alta. Não é algo que um invasor possa simplesmente executar localmente em casa. Você não verá esse tipo de ataque crescer tanto. Mas os ataques relacionados a voz e texto continuarão a aumentar e aumentar e aumentar.
As empresas estão implementando tecnologias operacionais que criam mais vulnerabilidades, seja por falsificações profundas ou ataques de phishing?
As pessoas estão jogando rápido e com descuido com as tecnologias de IA. Já vi clientes incorporando chatbots em seus sites que têm acesso a todo o seu banco de dados de clientes. Você pode, literalmente, falar com o chatbot e pedir que ele liste todos os seus clientes, e o chatbot simplesmente lista todos os clientes.
As pessoas não estão realmente pensando em todo o acesso baseado em funções e em todas as configurações de privacidade necessárias com essas tecnologias de IA, tanto internas quanto externas. Ainda há muita coisa que estamos aprendendo, como, por exemplo, o envenenamento de dados [quando um invasor manipula os dados que uma empresa está usando para treinar sua IA].
Estamos começando a ver LLMs capazes de acessar e navegar na Internet. O que acontece se ele navegar em um site malicioso? Por exemplo, você pergunta qual é o melhor site para fazer velas e algum hacker tem um site de fabricação de velas com código malicioso. O LLM sugere ao seu cliente, clique aqui, é este link, e você acaba visitando esse link malicioso por causa disso. É uma tecnologia muito nova que está sendo adotada rapidamente, como fogo em mato seco, e as pessoas não estão realmente pensando nos problemas de segurança ou privacidade que a acompanham.
Há algo não tão comum que as empresas e seguradoras devam observar?
O que está pressionando isso é que as pessoas estão vendo outras empresas de tecnologia sendo promovidas por adotarem tecnologias de IA e cortarem custos. As empresas estão dizendo que a economia está difícil no momento e que poderiam realmente cortar custos, então decidem jogar esse pó de fada mágico chamado IA e, com sorte, cortar os custos pela metade, sem realmente pensar nos outros problemas que virão com isso.
