São Paulo — InkDesign News — O National Institute of Standards and Technology (NIST) anunciou recentemente um novo documento conceitual que propõe um conjunto de sobreposições de controle para a segurança de sistemas de inteligência artificial (IA), baseando-se no framework NIST SP 800-53, visando abordar os riscos de segurança emergentes associados à IA.
Incidente e vulnerabilidade
O NIST introduziu suas diretrizes de controle com a intenção de personalizá-las para diferentes tecnologias de IA, os quais são descritos como “sobreposições de controle”. Essa abordagem procura determinar como os princípios de segurança estruturados pelo NIST podem ser aplicados na proteção de sistemas de IA, incluindo aqueles que utilizam IA generativa, preditiva e sistemas “agentic”. O documento classifica as aplicações da IA em um contexto de segurança cibernética, orientando as organizações que adotam tecnologias emergentes a adequar as práticas de segurança às necessidades específicas dos sistemas em uso.
Impacto e resposta
Embora a proposta seja vista como um avanço, críticas surgem quanto à falta de especificidade nas diretrizes. Melissa Ruzzi, Diretora de IA da AppOmni, expressou sua opinião sobre o papel das diretrizes, sugerindo que o potencial de aplicação das sobreposições precisa ser expandido.
“Os casos de uso parecem capturar as implementações de IA mais populares, mas precisam ser descritos e definidos de maneira mais explícita…”
(“The use cases seem to capture the most popular AI implementations, but they need to be more explicitly described and defined…”)— Melissa Ruzzi, Diretora de IA, AppOmni
Ela frisou a importância de considerar as necessidades variadas dos sistemas de IA, a fim de garantir uma adequada segurança do dado. Em particular, a sensibilidade dos dados, como informações pessoais ou médicas, declara um desafio adicional, já que as diretrizes precisam assegurar a confidencialidade, integridade e disponibilidade das informações.”
Mitigações recomendadas
Para auxiliar na implementação das novas diretrizes, é necessário o desenvolvimento de um conjunto robusto de controles e monitoramento que se adapte ao tipo de dado utilizado. O NIST está solicitando feedback da comunidade e lançou um canal no Slack para a colaboração entre especialistas. Essa estratégia colaborativa mostra que o NIST busca não apenas formular um conjunto teórico de diretrizes, mas sim desenvolver práticas que sejam aplicáveis e eficientes no mundo real.
Além disso, a precisão nas recomendações sobre a aplicação de patches e boas práticas de segurança será fundamental para enfrentar as vulnerabilidades associadas às tecnologias de IA. A complexidade inerente à segurança cibernética em ambientes de IA torna crucial a elaboração de protocolos que sejam dinâmicos e sensíveis às rápidas mudanças do cenário tecnológico atual.
Ainda há um longo caminho a percorrer na formulação de um modelo de segurança abrangente que aborde todas as nuances da IA, mas os passos iniciais feitos pelo NIST representam um esforço válido e necessário no fortalecimento da segurança cibernética. A necessidade de diretrizes mais específicas e adaptáveis é evidente e deve ser priorizada nas fases subsequentes de desenvolvimento.
Fonte: (Hack Read – Segurança Cibernética)
