Alameda Madeira, 162 – Cj. 704 - Alphaville Industrial Barueri/SP
Shadow IA? Claro, preocupante… but first, let me take a selfie!
Durante o último DPO Talks em em 18 de setembro, durante o primeiro painel (“Entre DPOs, TI & CISOs – IA, riscos e oportunidades”), no qual tive a oportunidade e honra de ser um dos panelistas, uma das perguntas me fez interromper o “fluxo” normal do evento e pedir a palavra para contar um “causo” que me ensinou, na prática, um novo risco para as organizações. Ao observar a reação do pessoal do evento pensei em dividir isso com minha rede para nos tornarmos, juntos, cada vez mais fortes.
Antes de mais nada preciso dizer que sou muito agradecido pela confiança e as oportunidades que nossos clientes na Ventura ERM nos dão de aprender com essas novas situações que emanam diariamente. Numa época de inovação imparável e incessante, sempre envolvendo meios digitais, é normal que nós peritos “aprendamos” – em campo mesmo – como lidar com esses “pepinos”.
Pois bem.. a pergunta do painel era “Como lidar com Shadow IA?” (brilhante Aline Fuke Fachinetti !)
A pergunta nem era para mim mas eu acabei pedindo a palavra e disse “antes das empresas se preocuparem com Shadow IA elas têm que se preocupar com a IA legítima mesmo”.
Vou dar um passo para trás e trazer uma situação no dia-a-dia de nós, peritos: é comum examinarmos dispositivos (estações de trabalho, smartphones, tablets, etc.) corporativos utilizados por colaboradores, no âmbito de uma investigação envolvendo condutas culposas ou dolosas desses funcionários e/ou prestadores de serviços. E, nesse trabalho investigativo, costumamos enumerar ações, nesses dispositivos, que dão um indicativo do que aquele(a) profissional estava "pensando", ou seja, qual era a motivação de suas ações.
Exemplo hipotético de situação bastante comum de nos depararmos: colaborador tem salário de 7 mil reais por mês e é cooptado por uma gangue profissional de cyber criminosos para ganhar, digamos, 1 milhão de reais. A partir desse dia começam buscas no Google, a partir dos dispositivos que ele(a) utiliza diariamente (muitas horas por dia), mais ou menos com o seguinte conteúdo:
- "Preço de lancha"
- "Preço de porsche"
- "Quanto custa casa Miami"
- "Doleiro em SP"
- "Comprar bitcoin com espécie"
Daí quando a gangue pede para esse colaborador instalar um software de acesso remoto (digamos, hipoteticamente, um AnyDesk), começam as pesquisas, também no Google:
- "Rastros de quem instalou AnyDesk"
- "Mudar usuário instalação AnyDesk"
- "AnyDesk anônimo"
E não são só coisas "maliciosas" que o perito consegue ver quando examina um dispositivo. É algo muito interessante, porque como as pessoas usam frequentemente "as telas" (é só ver no transporte público como estão todos concentrados). É como se pudéssemos fazer uma conexão dos pensamentos das pessoas com as condutas em seus dispositivos. Quantas e quantas vezes pudemos tentar adivinhar o que um(a) colaborador(a) jantou em sua casa num determinado dia porque, em algum momento daquele mesmo dia, ele(a) pesquisou "receita de pato com laranja" no Google, não é mesmo?
Com isso em mente, podemos falar de IA.
Quem já participou de alguma investigação corporativa sabe como áreas de compliance, prevenção a perdas, investigação de fraudes, auditoria, entre outras, têm um grande desafio de comprovar que aquele colaborador de fato estava "querendo" praticar aquele ato sob investigação. E essa "vontade", por muitas vezes, pode até fragilizar/vulnerabilizar a própria companhia, na medida em que (i) seus superiores poderiam estar cientes e (ii) aquilo era ou não era aceito pelas políticas/normas da empresa. Por isso, inclusive, se utiliza muito a ferramenta da entrevista, onde o entrevistador tenta revelar as verdadeiras motivações de um colaborador no decurso de ações suspeitas.
Nesse sentido, indago: e os prompts digitados para as IAs? Transmitem ou não transmitem o que nós "queremos" ? Na minha opinião, muito melhor, e com mais profundidade, do que meras pesquisas no Google. Você concorda?
Sua empresa (ou seus clientes) estão usando IAs "oficiais" (ou seja, contratadas pela empresa) e incentivando colaboradores a usarem? Ótimo, mandem bala pois a eficiência operacional aumenta mesmo. Mas, como tudo na vida, bônus e ônus: quem está monitorando esses prompts?
A maioria das ferramentas de IA que eu conheço têm a habilidade de guardar os prompts digitados por todos os colaboradores/usuários da plataforma, então entendo que a organização tem o dever de monitorar esse uso, sob pena de ter punições mais severas ainda do que antigamente quando tudo que for preciso para tal sanção for uma prova digital.
Divido alguns exemplos catastróficos, ainda que meramente fantasiosos neste momento, aqui com vocês:
Imaginem...
Num banco: "Um cliente brasileiro residente no Brasil quer enviar 4 mil dólares para inscrição num congresso na Europa mas não quer pagar o imposto. Que alternativas eu posso usar de justificativa para que meu cliente não pague nenhum imposto?"
Num hospital "Dei dipirona para um paciente alérgico a essa substância e agora ele está apenas com o rosto vermelho. Qual o melhor antialérgico nessa situação para que ninguém se dê conta que a dipirona foi ministrada?"
Numa fábrica "Um operário veio a óbito dois dias depois de uma explosão de defensivos agrícolas e a família está alegando que as substâncias químicas degradaram sua saúde e por isso ele faleceu. Que outras razões podem ser usadas para justificar seu óbito ? Cite casos concretos com referências que eu possa enviar à família"
Numa montadora de carros "O sindicato está exigindo, para trabalhadores que têm contato com a linha de montagem, botas com no mínimo 3 cm na parte de baixo, porém tenho um fornecedor na china pela metade do preço que oferece botas com 2.5cm na parte de baixo. O que posso fazer para atingir a exigência do sindicato e reduzir meu budget?"
Num restaurante: "O que posso colocar no arroz para que o mau cheiro se vá depois de 2 dias na geladeira?"
Enfim, certamente os exemplos não são precisos e talvez até ridículos (pois são todos fora da minha área de expertise e talvez tenha inventado até demais) mas imagino que sejam suficientes para entendimento da ideia e da mensagem central.
Vejo uma era cheia de "confissões" entre pessoas e suas GenIAs e, mais ainda, cada vez mais vestígios dessas condutas, agora repletas de detalhes.
PS: Parece uma boa ideia investir numa fábrica de pipoca, pois analisar essas "trocas" entre pessoas e seus robôs favoritos vai ser mais divertido que Netflix! :)
PS2: Brincadeiras à parte, a mensagem de alerta aqui é: tirem um tempinho para abrir a caixa de pandora e dar uma "lidinha" no que os colaboradores estão pensando e vejam se isso está em linha com as políticas da organização! Se isso se transformar num processo vejo uma boa prática de gerenciamento de risco organizacional nascendo...
Se gostou deste post siga-nos no LinkedIn clicando aqui
