Os serviços financeiros (FS) têm a maior taxa de incidentes de segurança relacionados com IA de todos os setores, à frente dos cuidados de saúde, da indústria e do governo. E a maioria das organizações ainda trata os agentes de IA como apenas mais uma carga de trabalho. Isso não é verdade.
Sendo um setor construído com base em dados altamente sensíveis e sistemas profundamente interligados, os riscos são maiores. Os riscos vão muito além de incidentes isolados, incluindo exposição de dados em grande escala, perdas financeiras, violações regulatórias, perda de confiança do cliente e até mesmo interrupções do sistema quando serviços críticos são afetados.
Este não é um problema contido. Está transbordando. E como a FS é muitas vezes a primeira a adotar novas tecnologias, a forma como ela lida com a IA hoje determinará como outras indústrias a seguirão.
Se você fizer algo errado, isso se tornará um modelo do que não fazer.
qual é o problema?
Então, por que isso acontece? As organizações de segurança alimentar estão a colocar em produção actores não deterministas, sem quaisquer barreiras de protecção para os controlar.
Os dados são claros. Não é a IA que é insegura. Este é o acesso que oferecemos. As organizações que concedem amplo acesso aos agentes de IA relatam taxas de incidentes significativamente mais altas do que as organizações que impõem controles de privilégios mínimos.
Isto cria toda uma nova classe de riscos e eles estão se expandindo rapidamente. Ao contrário do tradicional O software permite que os agentes de IA operem de forma autônoma 24 horas por dia, 7 dias por semana, na velocidade da máquina e nunca se cansem. Portanto, conceder demasiado poder não só cria riscos, mas também os amplifica.
Para serem úteis, os agentes de IA precisam de ampla cobertura em todo o sistema. Isto é especialmente verdadeiro no FS, onde os agentes precisam de acesso a uma variedade de dados para obter insights e serem usados para integração de clientes ou gerenciamento de riscos. Os agentes também operam em infraestruturas altamente complexas e interconectadas. Então a equipe pega um atalho. Em outras palavras, oferece amplas permissões para executar uma tarefa.
É aí que o problema começa. Agentes com privilégios excessivos não apenas aumentam a probabilidade de exposição de dados. Também torna mais difícil determinar o que está acontecendo, demonstrar controle e atender aos requisitos de auditoria. Se algo dá errado, não fica contido. O raio da explosão se expande rapidamente.
O impulso para agir rapidamente e adotar ferramentas de IA rapidamente é compreensível. Mas a velocidade incontrolável é exatamente o que causa problemas. Isto é especialmente verdadeiro em ambientes que já lidam com identidades fragmentadas, expansão de credenciais e governança de identidade inconsistente.
Fundamentalmente, isso é uma incompatibilidade. Os modelos tradicionais de gerenciamento de identidade pressupõem usuários estáticos e acesso previsível. O mesmo vale para agentes de IA. É dinâmico e não determinístico, interagindo constantemente com múltiplos sistemas, e os modelos tradicionais não são suportados.
Boas notícias? Esta crise de segurança é completamente corrigível. Veja como abordar isso:
O que precisa mudar
1. Trate os agentes de IA como IDs de primeira classe
Primeiro, precisamos repensar fundamentalmente a nossa identidade. Todos os intervenientes – humanos, máquinas e IA – devem operar dentro de um quadro único, seguro e auditável.
Para os agentes de IA, isso começa com uma identidade única e verificável desde o momento em que são criados. Sem credenciais compartilhadas, sem ambigüidade, sem espaços.
Todo o resto é construído a partir daí. O próximo passo depende de acertar a identidade desde o início. Porque se você não conseguir identificar um agente com segurança, não poderá controlá-lo ou protegê-lo.
2. Aplicar o menor privilégio como controle principal
Em seguida, reduza o acesso ao essencial. Audite agentes existentes, identifique acessos excessivamente privilegiados e limite permissões a tarefas, sistemas e conjuntos de dados específicos.
O acesso deve ser preciso e limitado no tempo; qualquer coisa além disso é um risco desnecessário. Acesso de confiança zero.
3. Elimine a dependência de credenciais estáticas
Credenciais estáticas, como senhas, chaves de API e contas de serviço de longo prazo, criam acesso persistente que é difícil de controlar. Eles permanecem. Eles se espalharam. Ele é reutilizado. Tudo isso afeta diretamente a proliferação de credenciais.
Em vez disso, substitua por acesso de curta duração baseado em identidade vinculado ao contexto. Não existem segredos fixos. Acabei de confirmar minha identidade. Isto é especialmente importante ao gerenciar identidades de máquinas e cargas de trabalho em escala.
4. Crie total visibilidade e auditabilidade
Sem visibilidade, o risco aumenta silenciosamente. Os agentes de IA não podem agir como caixas pretas. Cada ação deve ser registrada e cada movimento deve ser rastreável em sistemas e fluxos de trabalho. E essa visibilidade deve estar vinculada ao monitoramento e detecção existentes.
Não há visibilidade nem responsabilização. E não existe uma governança de identidade eficaz.
Reimaginando o gerenciamento de identidades para um mundo orientado por IA
A identidade precisa ser uma disciplina de engenharia, não apenas um recurso de segurança. Isso significa que as equipes de plataforma, engenharia e segurança estão alinhadas em torno de um único modelo de identidade. Você não está conectando ferramentas depois que o agente já está em produção.
Isso significa alinhar plataforma, engenharia e segurança em torno de um modelo compartilhado. Consolide sistemas fragmentados em uma camada de identidade unificada para reduzir a complexidade e aumentar o controle. Trate as identidades como infraestrutura central, não como conexões adicionais.
Os agentes de IA já estão integrados nos serviços financeiros. Isso não muda. Mas também é assim que mantemos a segurança. Tratar os agentes autônomos como cargas de trabalho tradicionais não é suficiente, e presumir que eles se enquadram nos modelos de identidade existentes é uma ilusão.
Nos serviços financeiros, a identidade não é uma caixa de verificação de conformidade. A infraestrutura determina se a IA pode ser dimensionada.
Este artigo foi produzido como parte do . Perspectiva TechRadar ProUm canal que apresenta os melhores e mais brilhantes talentos da indústria de tecnologia atualmente.
As opiniões expressas aqui são de responsabilidade do autor e não necessariamente da TechRadarPro ou Future plc. Se você estiver interessado em contribuir, saiba mais aqui: https://www.techradar.com/pro/perspectives-how-to-submit
