O Nexus Inteligência Artificial e segurança cibernética: fazendo um balanço da abordagem da União Europeia

INTRODUÇÃO

As tecnologias digitais complicam e transformam cada vez mais os conflitos atuais. A atual guerra entre a Rússia e a Ucrânia, por exemplo, também se desenrola no ciberespaço, envolvendo múltiplos atores públicos e privados. Isso varia desde a formação de um exército de TI de voluntários ucranianos até a intensificação de operações cibernéticas maliciosas apoiadas pelo Kremlin, até nações aliadas ocidentais oferecendo assistência à Ucrânia em “todo o espectro; operações ofensivas, defensivas [e] de informação.”

Tais desenvolvimentos são importantes, pois são consistentes com uma história mais longa de conflitos cibernéticos ocorrendo paralelamente e alimentando operações cinéticas. Mesmo que a dimensão cibernética do conflito seja, como observado por especialistas , atualmente limitada, há sérias preocupações sobre a desestabilização do ambiente de segurança internacional, incluindo altos riscos de escalada. Esses riscos também são exacerbados pelo possível transbordamento de ataques cibernéticos direcionados à Ucrânia para outros países, o que pode causar ondulações sistêmicas no ciberespaço e além. Foram esses efeitos transfronteiriços que levaram a União Europeia (UE) a emitir uma declaraçãoem 10 de maio, condenando veementemente a atividade cibernética maliciosa conduzida pela Federação Russa, que teve como alvo a rede de satélite KA-SAT de propriedade da VIASAT e facilitou a invasão militar da Ucrânia.

Entre os atores que ampliam a dimensão cibernética do conflito estão as empresas de tecnologia, que apoiaram o esforço ucraniano ao implantar capacidades cibernéticas de última geração. Isso inclui o uso de tecnologias disruptivas emergentes (EDTs) e, em particular, inteligência artificial (IA) em operações cibernéticas. Por exemplo, foi divulgado que a Ucrânia está usando o software de reconhecimento facial da Clearview AI para identificar soldados russos e ucranianos mortos no campo de batalha. Em resposta à expansão do conflito Ucrânia-Rússia, a Vectra AI, líder em detecção de ameaças orientada por IAe resposta para empresas híbridas e multinuvem, está oferecendo uma gama de ferramentas e serviços gratuitos de segurança cibernética para organizações que acreditam que podem ser visadas como resultado desse conflito. O uso dessas ferramentas cibernéticas no contexto de uma guerra em andamento é uma novidade e uma complicação adicional, na medida em que podem interferir ou potencialmente gerar novas dinâmicas de conflito.

De fato, no cenário mais amplo da prática diária de segurança cibernética, muitos desafios complexos já são mitigados pela aplicação de ferramentas de IA e soluções inteligentes , à medida que novos recursos avançados estão se desenvolvendo em ritmo acelerado. Os desenvolvimentos chamaram a atenção de especialistas em todo o mundo que analisam os efeitos potenciais da convergência de IA-cibersegurança em temas como vigilância, segurança nacional e competição geopolítica pelo desenvolvimento tecnológico.

No entanto, menos atenção tem sido dada à compreensão de como a UE e suas várias instituições e agências se envolvem com as muitas questões técnicas, operacionais e relacionadas a políticas que cercam esse nexo crescente entre IA e segurança cibernética. Tendo em conta a falta de atenção analítica, este artigo visa examinar a abordagem da UE aos potenciais desafios e oportunidades que emanam neste domínio político e as correspondentes soluções políticas apresentadas.

Por exemplo, como uma tecnologia de uso duplo definida pela Comissão Europeia como “ disruptiva ”, a IA está começando a desempenhar um papel vital na transformação digital da UE e no planejamento de segurança cibernética nos domínios civil e militar. Já em dezembro de 2020, a Agência da União Europeia para Cibersegurança (ENISA) alertou em um relatório sobre os desafios de segurança cibernética de inteligência artificial que a IA poderia oferecer oportunidades e desafios. Eles variam de segurança cibernética para IA a IA em suporte à segurança cibernética e usos maliciosos e adversários da IA. A última categoria envolve ataques sofisticados, como malware com IA, ataques distribuídos de negação de serviço (DDoS) aprimorados com IA e campanhas avançadas de desinformação habilitadas para IA.

De fato, a UE reconhece as inúmeras maneiras possíveis pelas quais os usos cibernéticos de EDTs podem impactar fundamentalmente o cenário de ameaças na Europa. A Estratégia de Cibersegurança da UE para a Década Digital de dezembro de 2020 já identificou tecnologias-chave como IA, criptografia, computação quântica e redes de geração futura como essenciais para a segurança cibernética. A estratégia observa que as considerações de segurança cibernética devem ser integradas a todos os investimentos digitais relacionados aos campos tecnológicos acima e à integridade de suas cadeias de suprimentos. As conclusões do conselhosobre o desenvolvimento da postura cibernética da União Europeia a partir de maio de 2022 também destacam “a importância de fazer uso intensivo de novas tecnologias, notadamente computação quântica, Inteligência Artificial e Big Data, para alcançar vantagens comparativas, inclusive em termos de operações ciber responsivas”.

Para examinar a gama de iniciativas relevantes, o artigo primeiro destacará várias áreas de possível interesse e examinará as implicações dos sistemas de IA em rápida evolução em relação à política cibernética. Em segundo lugar, o artigo continua traçando as iniciativas políticas da UE em ambos os domínios de interesse (as políticas de IA e segurança cibernética da UE) em uma tentativa de estabelecer possíveis conexões entre os dois domínios no planejamento de políticas existentes, bem como explorar se as interconexões entre os dois campos figura no pensamento político da UE. Por fim, o artigo amplia uma série de iniciativas promissoras que vão desde abordagens regulatórias até projetos de pesquisa e inovação. O último poderia potencialmente sincronizar ainda mais as duas áreas na produção de políticas e práticas inovadoras dentro do nexo de política cibernética em evolução da UE.

AI E CYBER: UMA RELAÇÃO MULTIDIMENSIONAL

O campo de rápido crescimento da IA ​​é considerado um dos desenvolvimentos mais importantes da chamada Quarta Revolução Industrial . Como a Comissão Europeia destaca em sua Proposta de Regulamento que Estabelece Regras Harmonizadas sobre Inteligência Artificial (AI Act) de 2021, “melhorando a previsão, otimizando operações e alocação de recursos […], o uso de inteligência artificial pode apoiar resultados social e ambientalmente benéficos e fornecem vantagens competitivas importantes para as empresas e para a economia europeia.”

No entanto, esse potencial torna a cibersegurança uma pré-condição necessária para a implantação segura desses sistemas para todos os outros fins sociais e econômicos. Com efeito, a UE não deixa de sublinhar que “a cibersegurança é parte integrante da segurança dos europeus. Quer se trate de dispositivos conectados, redes elétricas ou bancos, aeronaves, administrações públicas ou hospitais que eles usam ou frequentam, as pessoas merecem fazê-lo com a garantia de que estarão protegidas contra ameaças cibernéticas.” E, ao mesmo tempo, a própria segurança cibernética é um domínio que poderia, sem dúvida, aproveitar o poder dos sistemas de IA.

Soluções inovadoras baseadas em IA , desde novas técnicas e algoritmos que ajudam a acelerar tarefas mundanas, mas demoradas, até capacidades cibernéticas suportadas por IA com potencial significado estratégico , todos os aplicativos atualmente implantados e aqueles em estágios anteriores de desenvolvimento, exibem recursos que podem revolucionar as capacidades e operações de segurança cibernética. Em comparação com os métodos convencionais de segurança cibernética, espera-se que eles operem em maior escala e velocidade, ser mais adaptável e furtivo. Eles poderiam, assim, ajudar a melhorar o desempenho da segurança e fortalecer a proteção dos sistemas digitais contra um número crescente de ameaças cibernéticas sofisticadas. Por exemplo, a Pillsbury – um escritório de advocacia global com foco em tecnologia – e a The Economist Intelligence Unit observaram em um relatório que 49% dos líderes mundiais acham que a IA é a melhor ferramenta para combater os ataques cibernéticos do estado-nação. Aprendizado de máquina generalizado e sistemas baseados em IA em segurança cibernéticavariam de algoritmos de detecção de anomalias para detectar tráfego malicioso ou comportamentos de usuários em tempo real a algoritmos para detecção de malware e spam de dia zero a sistemas de IA que priorizam ameaças e executam ações de correção automatizadas. O foco da pesquisa é globalmente dedicado a sistemas promissores capazes de oferecer campanhas cibernéticas sofisticadas com características novas, variando de malware “ capaz de adaptação tática ” a “cálculos de valor em relação a objetivos estratégicos”.

No entanto, também existem riscos e preocupações emergentes relacionados às complexidades da IA ​​e das interações dos agentes humanos: as possíveis falhas técnicas de sistemas ainda em evolução e ainda não maduros, sem mencionar os desafios de transparência relacionados ao entendimento dos chamados “ negros ”. box ” do comportamento dos sistemas inteligentes. Isso leva a uma série de considerações importantes sobre a segurança dos sistemas de IA já implantados em vários setores, como indústria, saúde, finanças, aplicação da lei e segurança de fronteiras e defesa. Esses sistemas também precisam de proteções e defesas de segurança cibernética contra possíveis ataques adversários à própria IA. Eles precisam ser protegidos não apenas contra ameaças convencionais, mas também contra novos ataques direcionados à IAcomo envenenamento – um tipo de ataque em que invasores alimentam um algoritmo com dados alterados para modificar seu comportamento de acordo com seus próprios objetivos.

A ENISA descreve essas dinâmicas em seu relatório recente sobre os desafios de segurança cibernética de inteligência artificial , distinguindo entre ataques cibernéticos direcionados a IA e com suporte de IA. Esta ligação multidirecional entre cibersegurança e sistemas de IA define um nexo político cada vez mais relevante, que deve ser motivo de grande preocupação para a UE. Curiosamente, o relatório recomenda que a UE dedique mais atenção à forma como a IA e o nexo cibernético se desenrolam no contexto de um cenário de ameaças em evolução e no caso de capacidades e operações de segurança cibernética e defesa cibernética. ENISAO relatório da empresa destaca ainda mais o esforço da agência para mapear ativamente o ecossistema de IA e os desafios de segurança cibernética correspondentes, considerando esses desafios em vários estágios dos ciclos de vida da IA. Em particular, o relatório destaca a necessidade de priorizar a segurança das cadeias de suprimentos, inovação e capacitação quando se trata de todos os elementos de um ecossistema europeu de IA seguro, robusto e confiável.

Argumentamos que essas dimensões-chave devem potencialmente ser mais refletidas na próxima Política de Ciberdefesa da UE de 2022 , para que a UE esteja melhor preparada “para proteger, detectar, defender e dissuadir contra ataques cibernéticos”, bem como na nova Política Europeia de 2022 Lei de Resiliência Cibernética e o trabalho da Unidade Cibernética Conjunta (JCU). Dada a evidência de reconhecimento pela UE de que a IA pode ser amiga e inimiga da segurança cibernética, a próxima seção pergunta sobre o estágio de desenvolvimento de várias iniciativas e instrumentos da UE e a coerência dos esforços atuais da UE.

O NEXUS AI-CYBER: NOVOS DESAFIOS DE GOVERNANÇA

A UE parece reconhecer a necessidade de explorar o uso operacional de sistemas de IA em apoio a objetivos e interesses mais amplos de segurança cibernética. Por exemplo, em sua Estratégia de Cibersegurança da UE para 2020, a Comissão Europeia propõe construir uma rede de centros de operações de segurança (SOCs) para inteligência de ameaças alimentada por IA na forma do Escudo Cibernético da UE . O nexo AI-cibersegurança pode ser dividido dentro da UE entre duas áreas funcionais, mas interconectadas, de interesse operacional e regulatório.

Conforme observado acima, os sistemas de IA estão cada vez mais incorporados às operações diárias das equipes de segurança cibernética nos setores público e privado, auxiliando no esforço de proteger empresas e organizações. Os fornecedores afirmam que os sistemas no nível atual de desenvolvimento tecnológico são capazes de executar tarefas como detecção de intrusão e ameaça , curadoria de inteligência ou descoberta de vulnerabilidadeenquanto fornece níveis sem precedentes de tempo e eficiência de recursos. São esses tipos de funcionalidades que os atores da UE parecem ter notado ao elaborar planos para o European Cyber ​​Shield e SOCs mencionados acima. O trabalho desses SOCs é “altamente exigente e acelerado, e é por isso que a IA e, em particular, as técnicas de aprendizado de máquina podem fornecer um suporte inestimável aos profissionais” quando se trata de detectar, analisar e responder rapidamente a incidentes de segurança cibernética. O objetivo dos SOCs é “melhorar as velocidades de detecção, análise e resposta de incidentes por meio de IA de última geração e recursos de aprendizado de máquina”.

Os sistemas de IA estão preparados para dar suporte a operações no ciberespaço que vão além da atividade puramente defensiva. A confiança, mesmo que parcial, nos recursos de IA em operações cibernéticas ofensivas é considerada o próximo nível de desenvolvimento para o domínio de IA de segurança cibernética . Desde a competição do Cyber ​​Grand Challenge de 2016 da DARPA para criar sistemas defensivos automáticos capazes de autocorreção, muitas estimativas relativamente ambiciosas antecipam futuros sistemas capazes de “ lutar dinamicamente contra invasores ”. Não se espera que tais sistemas se materializem no curto prazo, já que o foco atual da pesquisa é mais melhorar a equipe homem-máquina, como exemplificado em projetos recentes da DARPA. A UE tem grande interesse em acompanhar os desenvolvimentos. Isso ocorre especialmente porque a China e a Rússia estão trabalhando para desenvolver recursos relevantes, incluindo software “capaz de executar suas ofensivas cibernéticas de forma mais autônoma ”.

Vale a pena notar que a IA nem sempre é construída com defesa cibernética ou ataque especificamente em mente. Em vez disso, a IA é uma “tecnologia de propósito geral”, uma tecnologia genérica que, com o tempo, “ passa a ser amplamente utilizada, a ter muitos usos e a ter muitos efeitos colaterais ”. Esses efeitos colaterais são difíceis de prever, quanto mais regular, e exigem formas adaptativas de governança capazes de responder pelos casos de uso expandidos e imprevisíveis, bem como graus significativos de adaptabilidade organizacional . Em termos de segurança, isso equivale a um contínuo alargamento e aprofundamento da superfície de vulnerabilidades, muito além do que foi experimentado pelos processos convencionais de digitalização das décadas anteriores.

Uma dessas instâncias é dada pela abertura de muitos algoritmos para uso público e, muitas vezes, para fins comerciais ou de entretenimento. As mídias sociais foram recentemente preenchidas com imagens de uso público do DALL-E mini , com o modelo sendo disponibilizado ao público para uso com resultados divertidos e às vezes bizarros. Apesar do resultado da experimentação pública, existem perigos de popularização, especialmente porque a comercialização ocorre em um ambiente onde a desinformaçãohá muito tempo foi elevado a uma ameaça pública e até mesmo a uma ameaça aos sistemas democráticos. Além disso, vale a pena se perguntar quais implicações a democratização do acesso e uso de sistemas de IA de prateleira poderia ter para segurança cibernética e defesa, especialmente dada a expansão da superfície de vulnerabilidade que acompanha a implantação generalizada de IA para fins civis e militares como descrito acima.

A UE está pronta para responder e combater as oportunidades e ameaças atuais e futuras que emanam do nexo AI-cibersegurança? E quais ações devem ser tomadas em relação à segurança e proteção de produtos, investimentos, inovação e competição geopolítica para implantação de sistemas e muito mais?

AS RESPOSTAS DA UE: LIGAR OS PONTOS?

A UE empreendeu iniciativas regulatórias, políticas e operacionais com maior relevância para o nexo AI-cibersegurança. Fazem parte dos esforços recentes para a consolidação global da liderança e soberania tecnológica da UE em áreas tecnológicas críticas, bem como da sua competitividade económica e autonomia estratégica em segurança e defesa.

INTERVENÇÕES REGULATÓRIAS E POLÍTICAS

A UE vê a cibersegurança como uma pré-condição e um meio para atingir os objetivos de resiliência, autonomia tecnológica e liderança: a Estratégia de Cibersegurança de 2020 observou que “a próxima década é a oportunidade da UE de liderar o desenvolvimento de tecnologias seguras em toda a oferta corrente.”

A estratégia sinaliza ainda a necessidade de novas inovações tecnológicas e políticas industriais para atingir tais objetivos. Esta abordagem tecnológica e industrial voltada para o futuro, no entanto, precisará ser acompanhada por um pensamento (geo)estratégico e ações concretas. Além disso, a estratégia promete integrar a segurança cibernética aos investimentos digitais e ao desenvolvimento de “tecnologias-chave como Inteligência Artificial (IA), criptografia e computação quântica” usando incentivos, obrigações e benchmarks. Não surpreendentemente, a Bússola Estratégica da UE para 2022 para Segurança e Defesareforça tais ideias ao sinalizar a importância dos EDTs no domínio cibernético e para a defesa cibernética, observando o desenvolvimento e o uso “intensivo” de novas tecnologias, como IA, big data e computação quântica para “alcançar vantagens comparativas em termos de operações cibernéticas responsivas e superioridade da informação”.

Essas aspirações são acompanhadas por uma arquitetura regulatória emergente da UE, incluindo o projeto de lei AI proposto pela Comissão ; a Lei de Dados ; a passagem da Diretiva de Segurança de Redes e Informação ( NIS ) para o seu seguimento, a proposta de Diretiva NIS 2 (atualmente em negociação); o recentemente apresentado Pacote de Serviços Digitais, que consiste na Lei dos Serviços Digitais (DSA) e na Lei dos Mercados Digitais (DMA ); e a futura Lei de Resiliência Cibernética (CRA) . Estes são complementados por uma gama de elementos operacionais focados na geração e implantação de capacidade.

No entanto, a arquitetura regulatória acima também é caracterizada por uma divisão às vezes conflitante de competências entre os atores da UE, ou seja, a Comissão Europeia, os Serviços Europeus de Ação Externa, os estados membros e as agências da UE encarregadas de desenvolver políticas específicas de domínio, em primeiro lugar a ENISA . O domínio da política de segurança e defesa da UE é um exemplo ilustrativo. Conforme definido pelo Tratado da União Europeia e pelo Tratado sobre o Funcionamento da União Europeia, a UE não tem competência em defesa, e as áreas de segurança relevantes são de competência exclusiva dos estados membros da UE. Isso cria brechas nos resultados regulatórios e políticos gerais, que muitas vezes são coloridos por diferentes lógicas na abordagem de questões civis, de segurança e defesa e, especialmente, no uso militar desses sistemas. No entanto, é promissor que as tentativas de unir o pensamento isolado e imbuir as iniciativas políticas previstas com graus de coerência sejam agora fortemente apoiadas.

A esse respeito, vários projetos civis-militares com foco em IA merecem um exame mais minucioso. Caso em questão, o Plano de Ação da Comissão sobre Sinergias entre as Indústrias Civil, de Defesa e Espacial define as tecnologias disruptivas, incluindo a IA, como indutoras de mudanças de paradigma nos domínios civil e militar: “O termo ‘tecnologia disruptiva’ refere-se a uma tecnologia que induz a uma disrupção ou uma mudança de paradigma, ou seja, uma mudança radical em vez de incremental. O desenvolvimento de tal tecnologia é de ‘alto risco, alto impacto potencial’, e o conceito se aplica igualmente aos setores civil, de defesa e espacial.”

Ao mesmo tempo, à medida que a Comissão Europeia controla vários instrumentos, incluindo fundos de inovação, como os programas Horizon Europe e DigitalEurope, começam a surgir clivagens nesta divisão bastante rígida de competências, enquanto os esforços de coordenação e o movimento para uma maior coerência avançam ainda se de forma incremental.

Por exemplo, as instituições da UE e especialmente a Comissão Europeia deram passos importantes para atualizar as ambições do bloco para a liderança da IA. A Comissão emergiu como um importante impulsionador e definidor de agenda para uma abordagem mais coerente das políticas industriais e tecnológicas de IA. Seu plano, estabelecido no Livro Branco sobre IAlançado em fevereiro de 2020, tem sido impulsionar a pesquisa e inovação da UE, bem como suas capacidades tecnológicas e industriais neste setor estratégico chave. Embora exclua especificamente um foco de segurança e defesa, o white paper é indicativo da meta da UE de construir uma sólida base tecnológica e industrial para a pesquisa e desenvolvimento de IA. O documento sugere que a UE poderia fundir seus “pontos fortes tecnológicos e industriais com uma infraestrutura digital de alta qualidade e uma estrutura regulatória”, prestando muita atenção aos valores fundamentais. Os principais blocos de construção propostos no white paper são um “ecossistema de excelência” e um “ecossistema de confiança”.

Para alcançar um ecossistema de excelência, a Comissão Europeia propõe agilizar a pesquisa, promover a colaboração entre os estados membros e aumentar o investimento no desenvolvimento e implantação da IA. Essas ações se baseiam no Plano Coordenado de Inteligência Artificial de dezembro de 2018 (atualizado em 2021). Para alcançar um ecossistema de confiança, a Comissão Europeia apresenta opções para a criação de um quadro jurídico que aborde os riscos para os direitos fundamentais e a segurança. Isso segue o trabalho do Grupo de Especialistas de Alto Nível em Inteligência Artificial criado em junho de 2018 e as Diretrizes de Ética para IA Confiável do grupo; a abordagem de “IA confiável” agora se materializou na Lei de IA.

É importante ressaltar que o white paper menciona a segurança cibernética apenas duas vezes no corpo principal do texto e uma vez muito sucintamente em uma nota de rodapé sobre possíveis usos maliciosos. O nexo IA-cibersegurança é abordado principal e brevemente em relação a questões relacionadas à segurança e responsabilidade do produto e “questões associadas à aplicação de IA em infraestruturas críticas ou usos maliciosos de IA”. No que diz respeito ao conceito de segurança, o white paper destaca o fato de que o uso de IA em produtos e serviços pode gerar riscos que a legislação da UE atualmente não contempla, incluindo riscos como ameaças cibernéticas. A experiência da ENISA para avaliar o cenário de ameaças de IA também é resumida em uma frase curta.

Portanto, diferentes prioridades e atributos associados a domínios tecnológicos e digitais discretos – segurança cibernética e tecnologias emergentes neste caso – são refletidos na fragmentação correspondente entre as soluções políticas propostas. Por isso, muitas vezes lógicas diferentes saturam iniciativas políticas distintas, e as interdependências entre setores são ignoradas. Uma dessas instâncias é a interdependência entre segurança, cibersegurança em particular, e a segurança dos sistemas. E, no entanto, tais pontos de interdependência funcional entre os dois campos emergem cada vez mais e a questão para a UE torna-se uma questão de ligar os pontos.

Na frente da segurança cibernética voltada para a IA, um exemplo dessa diferença entre os fundamentos pode ser ilustrado no exame das propostas regulatórias atualmente debatidas no domínio da segurança cibernética e na regulamentação da IA, ou seja, a Diretiva NIS 2 e a Lei da IA. A primeira procura clarificar as condições de cibersegurança das entidades cujo funcionamento é considerado crítico para o bom funcionamento do sistema político e socioeconómico, impondo obrigações de reporte de incidências. Estes cobrem uma ampla gama de áreas, incluindo eletricidade, bancos, transportes, infraestrutura digital e administração pública. A maioria dos setores que se enquadram no escopo da infraestrutura crítica são alvos potenciais para atividades maliciosas que emanam do ciberespaço em virtude de sua crescente dependência desistemas ciber-físicos para suas operações contínuas. Esses sistemas de controle industrial que executam infraestruturas críticas dependem cada vez mais da automação para uma operação eficiente e, portanto, tornam-se parte da superfície expandida de vulnerabilidade relevante para IA. No entanto, nenhuma referência a sistemas apoiados por IA ou disposições relevantes existe no projeto de proposta da Comissão Europeia.

O projeto de lei AI faz referência explícita a sistemas de infraestrutura crítica, bem como sistemas implantados na administração da justiça e em processos democráticos, incluindo eleições. Ele também faz referências repetidas à segurança cibernética de produtos com alto risco de atividade maliciosa, incluindo envenenamento de dados ou ataques adversários, com referências geralmente agrupadas com requisitos de precisão e robustez. A lei atribui a responsabilidade pelo cumprimento de tais requisitos – dos quais depende a segurança dos produtos implantados – aos fabricantes, bem como aos que colocam sistemas no mercado. Embora o texto careça de referências explícitas a considerações de segurança cibernética desde o projeto, ele esclarece que os produtos em conformidade com os processos de segurança cibernética da UE, conforme delineado noO Regulamento da ENISA e da Certificação de Cibersegurança das Tecnologias de Informação e Comunicação de 2019 (Lei da Cibersegurança) pode ser considerado como cumprindo os requisitos da Lei da IA.

Globalmente, o NIS 2 não inclui disposições para a cibersegurança de sistemas de IA implantados para o funcionamento de infraestruturas críticas, apesar do fato de que os requisitos de cibersegurança desses sistemas são distintos das operações convencionais de cibersegurança devido à diferente natureza das ameaças enfrentadas por esses sistemas. No entanto, o AI Act estabelece algumas conexões entre falhas de segurança e o perigo permanente de ataques cibernéticos . Portanto, por conjectura, podemos discernir que o AI Act conferiria um grau de proteção cibernética no caso de ataques cibernéticos em sistemas de grande escala dependentes de IA. Nesse sentido, o AI Act parece dar um passo adiante na direção da proteção cibernética dos sistemas de IA. A responsabilidade pela segurança cibernética opera principalmente ex ante, embora existam disposições para monitoramento pós-mercado e relatórios sobre “qualquer incidente grave ou qualquer mau funcionamento ” estão incluídos na proposta. No entanto, ainda não está claro onde a responsabilidade pela resposta e recuperação de tais potencialidades – especialmente aquelas geradas por atividades maliciosas – reside entre fornecedores privados e autoridades públicas em nível nacional ou da UE.

CAPACIDADES E ESTRUTURAS OPERACIONAIS

A UE também iniciou um processo para moldar o desenvolvimento de um ecossistema europeu de cibersegurança, conforme indicado pela recente proliferação de estruturas e processos institucionais. Os membros mais recentes da família institucional da UE no campo cibernético – o recém-criado Centro Europeu de Competência Industrial, Tecnológica e de Pesquisa em Segurança Cibernética e a Rede de Centros Nacionais de Coordenação (ou Centro e Rede de Competência) e a JCU proposta pela Comissão – todos incluem até certo ponto, a pesquisa ou uso de recursos suportados por IA.

O regulamento que institui o Centro de Competência reconhece que “a União ainda carece de capacidades e capacidades tecnológicas e industriais suficientes para tornar autonomamente segura a sua economia e infraestruturas críticas e tornar-se um líder global na área da cibersegurança”. Notavelmente, e além de destacar a necessidade de maior autonomia estratégica em domínios cibernéticos, o centro identificou o nível insuficiente de coordenação e cooperação estratégica e sustentável entre várias partes interessadas, incluindo indústrias, comunidades de pesquisa em segurança cibernética e governos. Por esse motivo, o centro pretende se tornar o “principal instrumento da UE para reunir investimentos em pesquisa, tecnologia e desenvolvimento industrial em segurança cibernética e para implementar projetos e iniciativas relevantes”.

Entre outras tarefas de coordenação, o centro tomará decisões estratégicas de investimento e reunirá recursos da UE, de seus estados membros e, indiretamente, da indústria para melhorar e fortalecer a tecnologia e as capacidades industriais de segurança cibernética, aprimorando a autonomia estratégica aberta da UE. Isso inclui apoiar projetos implementando as partes de segurança cibernética do Horizonte Europa, o Programa DigitalEurope e outros fundos da UE, e estabelecendo recomendações estratégicas para pesquisa, inovação e implantação em segurança cibernética.

O centro é acompanhado pela Rede de Centros de Coordenação Nacionais, encarregados de apoiar a comunidade de cibersegurança a nível nacional e gerir as parcelas de financiamento disponíveis em determinadas condições. O que é interessante é que a configuração do Centro de Competência e da Rede segue o desenvolvimento de quatro projetos- piloto inovadores financiados pela UE com o objetivo de abordar diferentes facetas dos problemas de coordenação entre as comunidades de segurança cibernética, como o setor privado, pequenas e médias empresas, pesquisa, e academia.

Por exemplo, enquanto a CyberSec4Europe experimenta novas estruturas de governança, seu projeto parceiro SPARTA trabalha no desenvolvimento de capacidades dentro do nexo AI-cibersegurança e, em particular, capacidades como sistemas autoprotegidos autônomos. Dada a posição privilegiada de projetos relevantes na concepção e implementação do Centro de Competência e da Rede, mais atenção poderia ser dedicada à integração da IA, bem como de outras EDTs, nos esforços de pesquisa e inovação em segurança cibernética da UE.

Outra capacidade digna de nota é encontrada na Recomendação da Comissão de 2021 – seguida pela aprovação tácita do Conselho – para estabelecer a JCU para coordenar todas as agências de segurança cibernética existentes da UE e capacidades no nível da UE, a fim de apoiar possíveis respostas a incidentes cibernéticos. De fato, a lista a seguir das entidades que a estrutura recomendada procura coordenar é impressionante, mostrando ainda mais o ecossistema de cibersegurança de IA altamente fragmentado em toda a UE e a necessidade urgente de conectar os pontos:

Esta arquitetura existente inclui, do lado operacional, o Blueprint for a Coordinated Response to Large Scale Cybersecurity Incidents and Crises (o Blueprint), a rede CSIRTs e a rede European Cyber ​​Crises Liaison Organization (EU CyCLONe), bem como o European Cybercrime Center (EC3) e o Joint Cybercrime Taskforce (J-CAT) na Agência da União Europeia para a Cooperação Policial (Europol), e o Protocolo de Resposta a Emergências Policiais da UE (EU LE ERP). O Grupo de Cooperação NIS, o Centro de Inteligência e Situação da UE (EU INTCEN) e a Caixa de Ferramentas de Diplomacia Cibernética e projetos relacionados à defesa cibernética lançados no âmbito da Cooperação Estruturada Permanente (PESCO) também contribuem para a cooperação política e operacional em diferentes comunidades de segurança cibernética. A Agência Europeia para a Cibersegurança (ENISA),

Consequentemente, a extensão das informações e inteligência acumuladas, mas não compartilhadas de forma eficiente entre as entidades, por muito tempo incomodou as entidades e funcionários da UE, e é essa lacuna no compartilhamento de informações intra-UE que a JCU ajudaria a atenuar. Entre outras coisas, a recomendação busca estabelecer a rede de SOCs mencionada anteriormente, a fim de facilitar a troca de informações nesse vasto ecossistema de partes interessadas: “contribuir para a Unidade Cibernética Conjunta deve permitir que os participantes fortaleçam as redes existentes, como a Rede CSIRTs e a EU CyCLONe, fornecendo-lhes ferramentas seguras de troca de informações e melhores capacidades de detecção (ou seja, Centros de Operações de Segurança, ‘SOCs’) e permitindo-lhes explorar as capacidades operacionais da UE disponíveis.”

O texto também descreve a criação de “uma plataforma virtual composta por ferramentas de colaboração e compartilhamento seguro de informações”. Essas ferramentas alavancarão a riqueza de informações coletadas por meio do Escudo Cibernético Europeu, incluindo SOCs e Centros de Compartilhamento e Análise de Informações (ISACs). É por meio dessa rede prevista de SOCs e ISACs que a UE busca aproveitar os últimos avanços do uso de IA para detecção de anomalias e ameaças e incorporar essas ferramentas aos recursos desenvolvidos no futuro no nível da UE.

CONCLUSÃO

A UE está buscando o duplo objetivo de estabelecer uma arquitetura robusta de segurança cibernética em todo o bloco e aproveitar os benefícios da IA ​​para fins sociais e econômicos (cibernéticos) de segurança e defesa mais amplos. No entanto, se o objetivo é garantir a implantação cibersegura de sistemas e serviços de IA, e que ambas as dimensões de IA para cibersegurança e IA cibersegura se destaquem nas agendas políticas e operacionais da UE, conectando os pontos entre várias iniciativas, processos e partes interessadas é primordial. É necessária uma visão holística sobre o nexo AI-cibersegurança.

Isso pode ser alcançado por meio de um novo pensamento estratégico e interinstitucional para abrir caminho para ações concretas no nexo IA-cibersegurança, particularmente em termos de melhor compreensão e mitigação dos riscos do uso progressivo de sistemas e serviços de IA em domínios-chave como saúde, transporte , infraestruturas críticas, segurança e defesa. É imperativo fortalecer a segurança cibernética da IA ​​e preservar a responsabilidade em sistemas inteligentes. Além disso, como os ataques cibernéticos impulsionados por IA estão aumentando cada vez mais, a UE e seus estados membros, em parceria com o setor privado, precisam estar prontos para responder à crescente gama de riscos e ameaças de segurança cibernética impulsionados por IA, bem como possuir as capacidades e conhecimentos necessários para mitigar tais desafios.