A IA tem um “dark side” e os deep fakes e ciberataques entraram em cena. CFOs recebem contatos via Microsoft Teams do “CEO” pedindo relatórios sobre transações financeiras. O relato é de Anahi Santiago, CISO da ChristianaCare, ao portal Healthcare IT News.
O setor da saúde é o principal alvo dos ciberataques e os seus colaboradores são a primeira linha de defesa. Mas são também o maior aliado, quando não estão informados e preparados. Basta um clique distraído num link de e-mail malicioso e estão abertas as portas para um ataque de ransomware. Ou, não clicando, foi evitado o ataque.
O setor ainda tem um caminho longo a percorrer para se preparar para os riscos de segurança – e a vigilância cibernética. Informar e treinar profissionais é fundamental para enfrentar os desafios das ameaças emergentes.
Mas, os talentos da IA dependem das instruções que são alimentadas. Por isso mesmo, surge um novo o perfil de risco dos grandes e pequenos sistemas de saúde, com novas técnicas de ataque a surgirem todos os dias.
“Tentar compreender o que está para vir é sempre mais difícil do que travar a última batalha”, disse Eric Liederman, CEO da CyberSolutionsMD.
“O problema que a maioria das organizações enfrenta é que adotam uma abordagem de cima para baixo em relação ao como”, afirmou Liederman. Embora as organizações utilizem uma variedade de abordagens para ajudar a treinar a força de trabalho para reconhecer ameaças como e-mails de phishing, “não há ciência por trás disto”, acrescentou.
Para Anahi Santiago, chefe de segurança da informação da ChristianaCare, “Trata-se de educação, mas também de ajudá-los a conectarem-se”. A chefe de segurança enumerou três chaves para a formação em cibersegurança:
Conhecer o seu público.
Saber como envolver o seu público.
Deixar a porta aberta para “reportar, reportar, reportar”.
O setor de saúde engloba uma diversidade de profissionais e, do ponto de vista da segurança, o que é relevante para um médico será provavelmente diferente do que é relevante para alguém do setor financeiro, disse Santiago.
“Não é tratar todos da mesma forma e assumir que todos vão processar a informação da mesma forma… e adaptar a mensagem para que seja relevante para o que estão a fazer.” Considerando a evolução dos riscos que se colocam, o setor de TI adotou uma postura acessível e aberta: “Está tudo bem se não for uma preocupação reportável – comunique de qualquer forma”.
Mas, Santiago considera que não basta acolher todas as denúncias, é preciso informar e formar, por isso diz que “uma das coisas que também fazemos, na qual acho que temos sido muito úteis, é este conceito de roadshow de segurança”. As equipas de TI reúnem-se com os departamentos para expressar: “Não somos apenas estes profissionais de cibersegurança que trabalham em empregos que considera realmente terríveis e não sabe o que fazemos”, explicou.
Não é só uma questão de cliques distraídos. “Somos todos conhecidos como ‘pessoas que não clicam nesse link’ e muitas pessoas pensam que esta é a única coisa com que se têm de preocupar”, mas há muito mais sobre os quais a força de trabalho da saúde precisa de ser informada. “As ameaças emergentes são sempre uma área onde precisamos de mudar e pensar sobre – quais são os riscos que estão a surgir?”
É aí que os profissionais de cibersegurança entram em cena e têm de pensar em novas formas de os preparar. Os deep fakes são um ótimo exemplo.
Os e-mails corporativos estão sob ataque e Liederman diz que esse tipo de ciberataque “foi realmente potenciado este ano”. As equipas de TI alertaram para evitar ligações nos e-mails e “não abrirem nenhum anexo de nada que não se esperasse”.
Mas a evolução dos ciberataques levou à adaptação do discurso. Agora não basta “Se tiver alguma dúvida, contacte a pessoa que a enviou. Bem, agora, se o fizer, como saberá que está a falar com a pessoa real?”, relata Liederman.
A IA trouxe um nível de sofisticação da voz e do vídeo em deep fakes que aumenta enormemente os riscos de segurança que as organizações de saúde enfrentam.
Os criminosos chegam ao ponto de agendar chamadas do Teams “e estão no vídeo e parecem-se exatamente com a pessoa com quem normalmente interagiria no vídeo”, disse Santiago.
Para ilustrar o profundo nível de ameaças apresentadas ao conselho de administração da ChristianaCare, pediu à sua equipa que criasse um vídeo seu a falar sobre as ameaças cibernéticas emergentes de inteligência artificial generativa, que, segundo ela, custou cerca de 0,09 dólares.
Depois de reproduzir o vídeo falso de dois minutos e meio, “disse-lhes: ‘Não tive absolutamente nada a ver com este vídeo’, e todos no conselho ficaram atónitos”.