A inteligência artificial virou aliada e ameaça ao mesmo tempo na rotina das empresas. Se, de um lado, amplia a capacidade de proteção contra ataques digitais, de outro, colocou um novo risco no radar de segurança: o uso descontrolado de ferramentas de IA pelos próprios funcionários, que podem expor dados sensíveis sem nem perceber. O problema é o potencial de gerar vazamentos, multas e até parar operações inteiras.

Na visão de Cláudio Martinelli, diretor executivo para Américas da Kaspersky, empresa global de segurança digital e privacidade, o problema começa quando a empresa olha apenas para o “inimigo externo” e esquece o que acontece dentro de casa.

“Enquanto os diretores de segurança digital se preocupam com grandes ataques de criminosos baseados em inteligência artificial, falta um pouco de atenção ao que seus próprios funcionários estão fazendo com essas ferramentas”, alerta Martinelli.

O exemplo é simples e atual: o colaborador que sobe para um gerador de relatórios em IA toda a base de vendas dos últimos anos, com preços, clientes e condições comerciais, para agilizar uma apresentação.

A ferramenta entrega o PPT, mas, daquele ponto em diante, essas informações passam a fazer parte do “bolo de dados” da IA, acessível a quem souber perguntar. “Deste momento para frente os seus dados já estão públicos nessa inteligência artificial e você está, de maneira automática, dispondo de segredos corporativos”, diz o diretor.

Esse tipo de comportamento entra no que as empresas chamam de shadow IT: o uso, por funcionários, de aplicativos e serviços não homologados – muitas vezes no celular pessoal – para trabalhar com dados corporativos.

Martinelli comenta que é um movimento que lembra o começo da pandemia, quando cada time escolhia seu próprio mensageiro ou plataforma de videoconferência, sem padronização ou política clara. Agora, a “febre” são as plataformas de IA generativa, nem sempre avaliadas pelo time de segurança antes de serem adotadas no dia a dia.

Criminosos ganham escala e sofisticação

Ao mesmo tempo, os criminosos também ganharam escala e sofisticação com a IA. Segundo Roberto Rebouças, gerente executivo da Kaspersky no Brasil, o volume de novas ameaças explodiu.

“Naquela época eram mil e poucas pragas digitais no mundo inteiro. Hoje, a Kaspersky detecta ao redor de 450 mil novas todos os dias”, comenta o especialista.

Nesse cenário, tornou-se impossível depender apenas de analistas humanos para revisar tudo o que circula nas redes e sistemas das empresas.

Por isso, as próprias soluções de segurança incorporaram IA e machine learning para fazer o “trabalho pesado” de análise em massa e detecção de comportamentos suspeitos, como ataques de ransomware que podem tirar uma companhia do ar de um dia para o outro.

A diferença, ressaltam os executivos, está no fato de combinar esse motor automatizado com supervisão humana, e não substituir completamente o especialista. “A inteligência artificial não tem bom senso. Em algum momento ela pode fazer uma besteira muito grande”, resume Rebouças.

Na Kaspersky, por exemplo, quando a máquina não tem certeza sobre uma ameaça, o gerente conta que o caso é encaminhado para uma equipe especializada para passar pela análise humana.

Essa lógica de “freios e contrapesos”, segundo os especialistas, deveria se tornar padrão em qualquer projeto corporativo de IA. Dois exemplos citados como modelo são a indústria da aviação e de medicamentos, que só chegam ao mercado depois de baterem em várias camadas de teste, certificação e regulação.

A culpa da senha no assalto ao Louvre

Outro ponto sensível é o básico que ainda falha: senhas fracas, sistemas desatualizados e falta de processo. Casos como o assalto ao Louvre ilustram um problema recorrente. No episódio ocorrido em outubro deste ano, foi descoberto depois que o sistema não recebia atualização havia anos e usava credenciais simples.

Mesmo quando a empresa exige senhas fortes, explicam os especialistas da Kaspersky, o risco aparece quando o funcionário reutiliza a mesma combinação em sites e aplicativos de terceiros – que podem ser invadidos e servir de porta de entrada para o ambiente corporativo.

Aqui, a IA também pode ser usada a favor da segurança, simulando ataques de força bruta ou de dicionário para descobrir, preventivamente, quais usuários mantêm senhas frágeis ou padronizadas demais. Para grandes companhias, com milhares de colaboradores, esse tipo de automação é a única forma viável de testar e reforçar continuamente a higiene digital, sem depender de auditorias manuais esporádicas.

Mas, mesmo com todas essas camadas tecnológicas, o fator humano permanece como elo crítico. Rebouças lembra que treinamentos de segurança não podem ser eventos pontuais, em que o conteúdo é esquecido dias depois. “É como teste de bombeiros: de vez em quando toca de repente o alarme de incêndio para ver se todo mundo sai. Não dá parar esperar pegar fogo”, exemplifica o gerente.

Outro exemplo citado é o caso de um cliente que enviou um e-mail falso sobre reajuste salarial para testar a atenção dos funcionários. O resultado? Segundo os especialistas da Kaspersky, 96% dos colaboradores que receberam o teste clicaram no e-mail e mais da metade abriu o arquivo anexado.

A partir desse tipo de teste, a empresa consegue identificar quem precisa de reforço e personalizar trilhas de aprendizado – hoje, muitas delas já apoiadas também por IA. No fim, a combinação entre pessoas e máquinas é vista pelos especialistas como a principal forma de lidar com a velocidade e a escala do cibercrime atual.

Martinelli ressalta que, quando bem implementada, essa parceria também protege a qualidade de vida dos profissionais de segurança, que convivem com a pressão constante de evitar incidentes graves.

“A associação entre a inteligência artificial e a segurança digital bem implementada é um redutor de estresse e de burnout. É um companheiro para que você não saia da festa de um ano do seu filho no sábado à noite porque a sua empresa foi atacada”, conclui o diretor.

Construindo um futuro imune à cibercrimes. Saiba mais sobre a Kaspersky.