Começa de forma inocente. Um funcionário descobre uma nova ferramenta com inteligência artificial que promete revolucionar seu fluxo de trabalho, tornando-o mais rápido e eficiente. Sem esperar por aprovação oficial, ele começa a usá-la, alimentando-a com dados da empresa para realizar o trabalho. Isso é 'shadow AI' (IA sombra), e embora possa parecer inofensivo, um novo relatório da IBM revela que é uma bomba-relógio para a cibersegurança, tornando as inevitáveis violações de dados significativamente mais caras.
O Alto Custo da IA Não Monitorada
De acordo com o relatório anual da IBM, 'Cost of a Data Breach Report' (Custo de uma Violação de Dados), o mundo oculto da IA não autorizada está tendo um grande impacto financeiro. O estudo descobriu que uma em cada cinco organizações sofreu um ciberataque decorrente de falhas de segurança na IA sombra. O custo desses incidentes? Impressionantes US$ 670.000 a mais, em média, do que as violações em empresas com pouca ou nenhuma IA sombra.
O problema não é apenas a presença da IA, mas a falta de supervisão. O relatório destaca uma vulnerabilidade crítica: das organizações que sofreram violações envolvendo suas ferramentas de IA, chocantes 97% não possuíam controles de acesso adequados. Isso sugere que, embora as empresas estejam ansiosas para adotar a IA, elas estão falhando em implementar as medidas de segurança básicas necessárias para protegê-la.
Como os Atacantes Exploram as Sombras
Então, como os cibercriminosos transformam essas ferramentas úteis em portas dos fundos? O ponto de entrada mais comum, de acordo com a IBM, é através da cadeia de suprimentos. Hackers comprometem aplicativos de terceiros, APIs ou plug-ins que se conectam à plataforma de IA. Uma vez que ganham uma base, o dano pode se espalhar rapidamente.
Em 60% desses casos, atacantes que violaram uma plataforma de IA conseguiram se mover e comprometer outros armazenamentos de dados da empresa. Em quase um terço dos incidentes (31%), eles até causaram interrupções operacionais em infraestruturas críticas. O que começa como um atalho de produtividade pode rapidamente escalar para uma crise corporativa completa.
A Lacuna de Governança
Apesar do perigo claro e presente, muitas empresas estão atrasadas em sua resposta. O relatório descobriu que 63% das empresas que sofreram uma violação não tinham uma política de governança de IA em vigor. Mesmo entre aquelas que tinham, as políticas eram frequentemente ineficazes.
- Menos da metade tinha um processo formal de aprovação para a implantação de novas ferramentas de IA.
- 62% falharam em implementar controles de acesso fortes em suas plataformas de IA.
- Apenas 34% com políticas de governança escaneavam regularmente suas redes em busca de ferramentas não sancionadas, o que explica por que a IA sombra prospera.
Enquanto isso, os atacantes estão aproveitando a IA generativa a seu favor. O relatório observa que 16% das violações de dados envolveram atacantes usando IA, principalmente para criar e-mails de phishing sofisticados (37%) e criar personificações deepfake convincentes (35%). A eficiência é alarmante; a IBM descobriu anteriormente que a GenAI pode reduzir o tempo para escrever um e-mail de phishing de 16 horas para apenas cinco minutos.
Principais Lições para o Seu Negócio
O surgimento da IA sombra é uma consequência direta da tensão entre a inovação dos funcionários e a segurança corporativa. Para proteger sua organização, você precisa de uma estratégia proativa. Aqui estão cinco passos essenciais:
- Descobrir e Inventariar: Você não pode proteger o que não sabe que tem. Implemente ferramentas e processos para descobrir todos os aplicativos de IA sendo usados em sua rede.
- Estabelecer Políticas Claras: Desenvolva uma política abrangente de governança de IA que descreva o uso aceitável, os processos de aprovação e os requisitos de tratamento de dados.
- Implementar Controles de Acesso Fortes: Adote princípios de confiança zero, incluindo segmentação de rede e autenticação multifator, para limitar o acesso a ferramentas de IA e aos dados aos quais elas se conectam.
- Educar Sua Equipe: Treine os funcionários sobre os riscos do uso de software não autorizado e crie um processo claro e simples para que eles solicitem e verifiquem novas ferramentas.
- Auditar e Monitorar Continuamente: Escaneie regularmente em busca de novas ferramentas de IA não sancionadas e revise os logs de acesso para detectar atividades suspeitas antes que levem a uma violação.