O uso de aplicações de Inteligência Artificial Generativa (genAI) disparou nas empresas ao redor do mundo, transformando a produtividade e a maneira como profissionais realizam suas tarefas. No entanto, esse avanço também expôs as organizações a novos riscos críticos de segurança cibernética. De acordo com o mais recente Netskope Threat Labs Report – GenAI, publicado pela Netskope — empresa líder em segurança e redes modernas —, o volume de dados confidenciais enviados por usuários corporativos para ferramentas de genAI aumentou 30 vezes em apenas um ano.
- Participe dos nossos canais no Twitter, Telegram ou Whatsapp!
- Confira nossos stories no Instagram e veja notícias como essa!
- Siga o tecflow no Spotify Podcast para ouvir nosso conteúdo!
- Anuncie conosco aqui ou apoie o tecflow clicando neste link
- Assine nossa newsletter neste link.
Esse cenário alarmante envolve o compartilhamento de informações sensíveis, como código-fonte, dados regulamentados, segredos comerciais, propriedade intelectual e credenciais de acesso, muitas vezes sem o devido controle ou consentimento das áreas de segurança das organizações. A pesquisa aponta que mais de 15 GB de dados são enviados, em média, mensalmente para essas aplicações, aumentando exponencialmente a superfície de risco para vazamentos, violações de compliance e roubo de informações estratégicas.
Além disso, o relatório revela a ascensão da chamada “Shadow AI”, fenômeno que sucede o conceito tradicional de “Shadow IT”. Trata-se do uso não autorizado ou não monitorado de ferramentas de IA pelos colaboradores, que frequentemente utilizam contas e dispositivos pessoais para contornar bloqueios impostos pelas políticas corporativas. O estudo mostra que 72% dos usuários acessam aplicações de genAI com contas pessoais, como ChatGPT, Google Gemini e Grammarly, dificultando o rastreamento, a governança e a mitigação de riscos por parte das equipes de segurança da informação.
Outro dado relevante do relatório é o crescimento da adoção de infraestrutura de genAI local, que saltou de menos de 1% para 54% em um ano. Embora essa mudança busque reduzir o risco de exposição a terceiros, ela também introduz novos vetores de vulnerabilidade, como falhas na cadeia de suprimentos, vazamento de dados, manipulação inadequada das saídas, injeção de prompts e ataques de jailbreak.
Diante desse panorama desafiador, a Netskope defende a necessidade de evoluir as defesas cibernéticas com soluções igualmente impulsionadas por inteligência artificial, dentro do conceito de “defesas generativas”. A empresa recomenda que líderes de risco e segurança cibernética revisem seus frameworks de gestão, como o NIST AI Risk Management Framework, e adotem medidas proativas para monitorar, governar e proteger o uso da genAI, conciliando segurança com a liberdade operacional necessária para manter a produtividade e a competitividade dos negócios.
Para aprofundar essas questões, o Tecflow conversou com Claudio Bannwart, country manager da Netskope Brasil, que detalhou as principais descobertas do relatório, os desafios enfrentados pelas empresas e as melhores práticas para mitigar riscos associados à adoção acelerada de soluções de inteligência artificial generativa.
tecflow: A pesquisa da Netskope revela um crescimento de 30 vezes no envio de dados confidenciais para aplicações de genAI em apenas um ano. Como as empresas podem mitigar esse risco sem comprometer a produtividade dos colaboradores?
Claudio Bannwart, country manager da Netskope Brasil: Vimos que mais de 99% das organizações estão aplicando políticas para reduzir os riscos associados às aplicações de genAI. Essas políticas incluem o bloqueio de todos ou da maioria das ferramentas para todos os usuários, o controle de quais populações específicas de usuários podem usar genAI e o controle dos dados permitidos nas aplicações.
O bloqueio é a estratégia mais direta para reduzir riscos e, portanto, a mais popular, porém não é a ideal. Por um lado, o bloqueio pode impactar os negócios ao limitar a produtividade do usuário. Por outro, o bloqueio pode levar os usuários a serem criativos, como usar dispositivos pessoais ou redes móveis pessoais para escapar dos bloqueios.
Para amenizar e possibilitar o uso de genAI, o que claramente oferece uma vantagem competitiva, o “coaching” de usuários em tempo real é uma alternativa mais sutil à política de bloqueio, lembrando os usuários de que uma aplicação específica não está aprovada para lidar com dados confidenciais, mas permitindo que o usuário final decida se o utiliza ou não. O coaching de usuários em tempo real é eficaz porque capacita o usuário a tomar a decisão certa no momento. Também ajuda a moldar o comportamento do usuário, fornecendo feedback e orientação imediatos. Vimos na pesquisa que esta é uma política menos prevalente, mas em crescimento. 35% das organizações usam coaching em tempo real para reduzir os riscos da genAI. Esperamos que essa porcentagem aumente para mais de 40% no próximo ano.
Ainda, as organizações costumam combinar o coaching com outras políticas, como políticas de Prevenção Contra Perda de Dados (DLP). A DLP reduz os riscos associados à genAI, inspecionando dados enviados em tempo real. A DLP pode decidir se permite ou bloqueia o conteúdo com base em regras configuradas pelos administradores. Propriedade intelectual, segredos, dados regulamentados e código-fonte são os quatro tipos mais comuns de dados que as organizações restringem de serem compartilhados com genAI. As políticas de DLP para a genAI ganharam popularidade no início de 2025 e se estabilizaram recentemente, com 47% das organizações usando DLP para controlar o acesso às aplicações genAI.
Vazamento de especificações do Xiaomi 16
O Xiaomi 16 tem uma nova rodada de especificações vazadas, cortesia da prolífica conta do Weibo, Digital Chat Station. Segundo ele, o…
Samsung é multada em US$ 117 milhões por violação de
A Samsung foi condenada a pagar US$ 117,7 milhões (cerca de R$ 643 milhões) em danos à empresa japonesa Maxell,…
Como proteger sua empresa dos riscos da Inteligência Artificial Generativa:
O uso de aplicações de Inteligência Artificial Generativa (genAI) disparou nas empresas ao redor do mundo, transformando a produtividade e…
Bitcoin pode superar US$ 1 milhão até 2030, apontam especialistas;
Diversos analistas e figuras influentes do setor financeiro projetam que o Bitcoin (BTC) poderá atingir ou até mesmo ultrapassar a…
Cogna oferta mais de 50 vagas em tecnologia em diversas
A Cogna Educação está com mais de 50 vagas abertas no setor de tecnologia, com opções de trabalho híbrido distribuídas…
Entrevista: André Varga, diretor de produtos da Jovi, revela a
A Jovi fez sua estreia oficial no mercado brasileiro nesta noite (28), em um evento em São Paulo. A nova…
tecflow: O conceito de “shadow AI” está substituindo a já conhecida “shadow IT”. Quais os maiores desafios que essa nova realidade traz para os líderes de segurança cibernética?
Claudio Bannwart: Aqui o ponto é que a IA acelera tudo de forma exponencial. Um problema sem IA é muito mais simples de se resolver do que com IA.
Mesmo hoje, mais de dois anos após o lançamento do ChatGPT ter dado início à febre da genAI, a maioria (72%) dos usuários da genAI ainda usa contas pessoais para acessar o ChatGPT, Google Gemini, Grammarly e outras aplicações populares da genAI no trabalho.
Como a maioria dos usuários da genAI utiliza contas pessoais, a distribuição de violações de política de dados para contas pessoais não difere substancialmente da distribuição mais ampla. A pesquisa apontou que as violações de políticas mais comuns de uso de genAI em aplicações pessoais são: Código-Fonte (50%), Dados Regulamentados (22%), Propriedade Intelectual (16%) e Senhas e Chaves (11%).
Mas isso fica ainda mais complicado por conta do uso de aplicações pessoais, ou seja, além das políticas terem sido violadas, fica difícil saber qual conteúdo foi compartilhado sem permissão, diferente de uma aplicação sancionada pela empresa em que os gestores podem entender diretamente o que foi compartilhado ou mesmo bloquear ou controlar esta ação.
tecflow: O relatório mostra que 72% dos usuários acessam aplicações de genAI usando contas pessoais. Como as empresas podem equilibrar a necessidade de controle com a liberdade operacional dos profissionais?
Claudio Bannwart: Muitas empresas ainda optam pela política de “bloquear antes e perguntar depois” em relação ao uso de IA. Por isso os colaboradores usam contas ou dispositivos pessoais para contornar esse obstáculo – que estão interligados a seus dispositivos ou contas de trabalho e acabam por representar riscos não-monitorados pelo time de TI.
O ideal aos líderes seria buscar uma estratégia segura, já que os colaboradores querem aproveitar os benefícios de eficiência e produtividade dessas ferramentas. De forma geral, entre os controles mais populares para reduzir o risco da genAI estão o bloqueio, a prevenção da perda de dados (DLP) e o coaching do usuário em tempo real.
Recomendamos que as empresas revisem, adaptem e ajustem seus frameworks de risco especificamente para IA ou genAI por meio de esforços para garantir proteção adequada de dados, usuários e redes.
O primeiro passo é uma avaliação do panorama de genAI na empresa: é preciso entender quais aplicações genAI e infraestrutura genAI são hospedadas localmente e sendo utilizadas, quem as está usando e de que forma. A partir disso, podem ser utilizadas as ferramentas adequadas para reduzir o risco da GenAI de acordo com o cenário local.
tecflow: A adoção de infraestrutura de IA generativa local cresceu de menos de 1% para 54% em um ano. Essa mudança realmente oferece mais segurança ou apenas muda o tipo de risco enfrentado?
Claudio Bannwart: A mudança de aplicações GenAI baseados em nuvem para modelos GenAI hospedados localmente reduz o risco de exposição indesejada de dados a terceiros, mas apresenta vários riscos adicionais. Treinar seus próprios modelos ou usar geração aumentada de recuperação (RAG) expande ainda mais esses riscos, desde vulnerabilidades na cadeia de suprimentos, vazamento de dados e manuseio inadequado das saídas de dados até injeção de prompts, jailbreaks e extração de metaprompts (mais detalhes abaixo).
O crescimento na quantidade de dados enviados às aplicações GenAI supera em muito o aumento no número de usuários GenAI e no número de aplicações GenAI. Embora a base de usuários permaneça relativamente pequena no futuro próximo, os riscos de dados aumentarão dramaticamente à medida que a quantidade de uso da genAI aumentar entre essa população. Mais dados significam maior potencial para que informações confidenciais sejam expostas ou manipuladas incorretamente por essas aplicações (a pesquisa aponta mais de 15 GB enviados para as aplicações GenAI, em média, a cada mês até o final deste ano).
O OWASP Top 10 for Large Language Model Applications fornece um framework para pensar sobre esses riscos, que incluem:
- Cadeia de suprimentos: você pode confiar em todas as ferramentas e modelos que usa?
- Vazamento de dados: seu sistema expõe informações confidenciais de treinamentos, fontes de dados conectadas ou outros usuários?
- Manipulação inadequada da saída: algum sistema que processa as saídas GenAI está fazendo isso com segurança?
Já o Mitre Atlas, outro framework para considerar os riscos da IA, fornece uma visão granular dos ataques contra sistemas de IA. Aqueles que executam sistemas genAI autogerenciados também devem considerar esses ataques, que incluem:
- Injeção de prompts: Os adversários podem criar prompts para fazer com que o modelo forneça saídas indesejadas?
- Jailbreaks: Os adversários podem contornar controles, restrições e guardrails?
- Extração de metaprompts: Os adversários podem revelar detalhes do funcionamento interno do sistema?
tecflow: Diante da sofisticação crescente dos ataques impulsionados por IA, a Netskope defende que as defesas também precisam ser “generativas”. O que isso significa na prática e como as empresas podem se preparar para esse novo paradigma?
Claudio Bannwart: A IA já é utilizada há anos na indústria de softwares de defesa e a genAI está progredindo de forma acelerada no setor. A razão é simples, não podemos mais usar as mesmas ferramentas neste novo cenário. Muitos dos desafios migraram da defesa tradicional para IA, como falhas de identidade, shadow IT (IA), configurações incorretas, vulnerabilidades sem correção, entre outras, porém o ambiente mudou para uma aceleração extrema promovida pela genAI.
É crucial monitorar continuamente o uso de genAI e se manter informado sobre novos desenvolvimentos em ética de IA, mudanças regulatórias e ataques.
Todos os líderes de risco e cibersegurança devem priorizar a governança de IA e os programas de risco para enfrentar os desafios em evolução impostos pelas tecnologias genAI e sua adoção por meio de práticas de Shadow AI. Ao tomar medidas proativas para gerenciar esses riscos, podemos usufruir da adoção e o uso seguro e responsável de em benefício da organização.
Recomendamos aos líderes que revisem o NIST AI Risk Management Framework, que fornece um roteiro valioso para as organizações governarem, mapearem, mensurarem e gerenciarem os riscos da genAI.
As etapas específicas que as organizações podem adotar incluem as seguintes:
1. Avalie seu cenário de genAI: Entenda quais aplicações genAI e a infraestrutura genAI hospedada localmente está em utilização, quem as utiliza e como estão sendo utilizadas.
2. Reforce seus controles de aplicações genAI: Revise e compare regularmente seus controles com as melhores práticas, como permitir apenas ferramentas aprovadas, bloquear não aprovadas, usar DLP para impedir que dados confidenciais sejam compartilhados com aplicações não autorizados e aproveitar o coaching de usuário em tempo real.
3. Faça um inventário de seus controles locais: Se estiver executando qualquer infraestrutura genAI localmente, revise as frameworks relevantes, como OWASP Top 10 for Large Language Model Applications, NIST AI Risk Management Framework e Mitre Atlas para garantir a proteção adequada de dados, usuários e redes.
Faça como os mais de 10.000 leitores do tecflow, clique no sino azul e tenha nossas notícias em primeira mão! Confira as melhores ofertas de celulares na loja parceira do tecflow.
