A inteligência artificial é uma faca de dois gumes para as organizações e seus funcionários. Embora as oportunidades em torno da IA generativa sejam essencialmente ilimitadas, os riscos e os desafios também o são, pois para cada novo avanço que a IA proporciona às empresas, ela oferece a mesma vantagem aos criminosos cibernéticos.
Uma pesquisa da AAG constatou que as violações de dados custaram às empresas uma média de US$ 4,88 milhões em 2024, com um bilhão de e-mails expostos em um único ano, afetando 20% de todos os usuários da internet. Apesar disso, os dados da StrongDM destacaram que apenas 17% das pequenas empresas investiram em seguro cibernético — um risco que poderia inevitavelmente voltar para elas.
“Observamos um aumento na atividade de ransomware que utiliza deep fake e metodologias generativas de engenharia social habilitadas por IA”, explica Jeff Kulikowski, vice-presidente executivo de cibernética e E&O da Westfield Specialty. “A sofisticação desses ataques de engenharia social aumentou exponencialmente nos últimos 12 a 18 meses.
Quer se trate de videoconferências ou chamadas de áudio geradas por IA, elas são quase irreconhecíveis para os funcionários. Por isso, incentivamos todos os nossos segurados a aumentar sua conscientização sobre essa ameaça em evolução e a abordar suas preocupações com o seguro contra riscos cibernéticos.”
Aumento dos golpes de engenharia social
E os dados certamente estão alinhados com o ponto de vista profissional de Kulikowski. Uma pesquisa da Verizon descobriu que um terço das violações de dados em 2024 envolveu ransomware ou outra técnica de extorsão, com 67% dos profissionais de TI acrescentando que o aumento da IA generativa aumentou seu medo de ser alvo de um ataque de ransomware. E os tipos de ataques só estão se multiplicando.
“Muitos [criminosos] estão usando engenharia social no momento”, diz Kulikowski. “Também estamos começando a ver mais ataques que utilizam a tecnologia de IA para se infiltrar nas redes dos clientes e espalhar malware com mais eficiência do que nunca.”
A tecnologia de deep fake também está em alta, com criminosos usando novas ferramentas de áudio e vídeo para pressionar funcionários desprevenidos a fazer pagamentos ou compras.
“Estamos pesquisando os principais indicadores de deep fake”, explica Kulikowski. “Por exemplo, para impedir a falsificação de e-mails, pedimos aos segurados que procurem identificar quaisquer problemas com o texto. Pode ser a grafia incorreta dos nomes de domínio ou dos endereços de destino da web, ou outros erros gramaticais. Para evitar casos de falsificação de e-mail, os segurados devem treinar seus funcionários para identificar erros de ortografia e verificar se o e-mail que recebem é de um remetente conhecido ou correto. No entanto, o uso de IA deep-fake em um convite de reunião do Teams é mais difícil de identificar.”
‘Estamos constantemente evoluindo nossa abordagem’
Embora a tecnologia baseada em IA possa ser usada para criar golpes elaborados, fazer-se passar por CEOs e enganar os funcionários para que forneçam informações ou dinheiro, ela nunca poderá imitar totalmente um ser humano. E, muitas vezes, é necessário um ser humano para perceber a falta de personalidade da IA — seja um tom ligeiramente diferente, uma resposta ilógica ou volumes de fala que variam rapidamente. O que levanta a questão: as organizações poderiam, eventualmente, aproveitar a IA para combater o crime com IA?
“Acho que isso é algo que pode ser possível no futuro”, diz Kulikowski. “Mas então a IA com finalidade criminosa tentaria encontrar uma maneira de enganar a IA que a está identificando.
É um ciclo interminável de adoção de novas estratégias para derrotar táticas criminosas emergentes.”
Uma área em que a Westfield Specialty está tomando medidas proativas é no processo de subscrição — revisando a linguagem da apólice para ajudar a mitigar possíveis ameaças cibernéticas.
“Estamos constantemente evoluindo nossa abordagem”, diz Kulikowski ao IB. “Às vezes, parece que estamos fazendo mudanças diariamente. Começamos a usar a IA em um modo defensivo para ajudar a identificar e evitar os ataques de IA cada vez mais sofisticados. No entanto, é necessário muito mais desenvolvimento nesse espaço. Ainda acho que os usuários legítimos de IA que simplificam os processos de negócios e/ou identificam e reduzem os riscos potenciais ficam atrás dos agentes de ameaças que empregam a IA, mas cada vez mais ferramentas disponíveis comercialmente estão chegando ao mercado que podem equilibrar o campo de jogo.”
O que continua difícil com a IA é que, quando uma empresa subscreve um cliente, a maior parte da tecnologia que ela usa está incorporada em seus próprios produtos — não é realmente uma oferta autônoma.
“Não se pode simplesmente pedir um breve questionário de IA aos segurados cibernéticos para entender completamente suas possíveis exposições”, brinca Kulikowski. “Para obter as informações de que precisamos, agora fazemos perguntas mais detalhadas sobre todos os aspectos da utilização de IA por um cliente, quais processos estão enraizados, qual é o nível de atenção do segurado em relação ao desenvolvimento de regulamentações sobre casos de uso e privacidade, como eles vetam fornecedores que utilizam a tecnologia de IA para fornecer serviços ou produtos e como as PII e outros dados protegidos ou confidenciais são abordados nos contratos de fornecedores.”
Do ponto de vista da cobertura, cada operadora tem sua própria abordagem exclusiva para esses riscos, muitos dos quais ainda estão sendo desenvolvidos — alguns oferecem cobertura direta para riscos relacionados à IA, outros a excluem diretamente, enquanto outros assumem a cobertura com base na linguagem existente. Aqui, o que Kulikowski diz ser difícil para os clientes no momento é a falta de regulamentação consistente nos EUA sobre o uso da IA.
‘A educação dos funcionários é a melhor arma contra as ameaças impulsionadas pela IA’
“Os órgãos reguladores estaduais de todo o país estão atualmente desenvolvendo orientações inconsistentes”, diz ele. “Como operadora, a Westfield Specialty precisa permanecer ágil nesse cenário regulatório de IA em constante mudança para entender como essas mudanças afetam as coberturas. Acredito que haverá muitas mudanças este ano do ponto de vista regulatório, tanto no exterior quanto aqui nos EUA. Estamos empenhados em responder ao novo ambiente regulatório para permitir que os segurados obtenham as coberturas cibernéticas de que precisam.”
Mas mesmo com o amadurecimento da regulamentação da IA, o crime cibernético continua a apresentar desafios. O ponto crucial da luta bem-sucedida contra os golpes online se resume a um fator central: seu pessoal. Os funcionários, como a primeira linha de defesa contra ataques cibernéticos, precisam estar totalmente envolvidos para impedir qualquer perigo em potencial.
“A educação dos funcionários é a melhor arma contra as ameaças impulsionadas pela IA”, diz Kulikowski. “Aconselhamos todos os clientes atuais e potenciais a priorizar o treinamento de seus funcionários, para que fiquem atentos e procurem indicadores de fraude. Os funcionários são realmente os guardiões de uma organização — todos os dias eles escolhem quem se comunica e quem não se comunica com a empresa.”
Portanto, seja uma comunicação de aparência suspeita, uma ameaça de ransomware ou um e-mail de phishing, Kulikowski é claro: ensine seus funcionários a passar essas informações para o departamento interno relevante.
“Nunca ouvi uma equipe de TI reclamar que recebe muitas notificações de e-mails suspeitos de fraude ou phishing dos funcionários”, diz ele. “Eles querem essas informações. Eles ficam muito gratos quando os funcionários são muito diligentes. Cabe realmente aos nossos clientes segurados incentivar seus funcionários a combater agressivamente as fraudes e os riscos cibernéticos. Eles precisam entender os custos e os impactos potencialmente negativos dos ataques de ransomware e a abordagem holística da empresa para evitar ou derrotar essas incursões. Afinal de contas, você não quer ser a pessoa responsável pela perda — é mais do que um pouco embaraçoso se for você quem compra centenas ou milhares de dólares em cartões-presente da Amazon em nome do seu presidente.
“[No final das contas], é responsabilidade de todos os funcionários ajudar a reduzir os riscos cibernéticos aprimorados por IA; é responsabilidade da organização educá-los sobre a gravidade dessas ameaças e como evoluir para ajudar a mitigar o cenário de ameaças em constante mudança.”
