O software produzido pelo Serviço Nacional de Saúde é normalmente aberto ao público
Marek Perkon/Alamy
O NHS England retirou apressadamente todos os softwares que havia escrito da vista do público devido ao risco de hacking de inteligência artificial de ponta. Especialistas em segurança dizem que a medida é desnecessária e contraproducente.
O software produzido pelo Serviço Nacional de Saúde já foi tornado de código aberto e listado no GitHub porque foi feito com o dinheiro das pessoas. Isto permite que outras organizações desenvolvam e forneçam melhores serviços a custos mais baixos, sem duplicar esforços.
No entanto, o NHS England emitiu novas orientações para o pessoal, que foram partilhadas Novo Cientistaque exige que o software existente e futuro seja retirado da vista do público e mantido a portas fechadas. “Todos os repositórios de código-fonte devem ser privados por padrão. Os repositórios não devem ser públicos, a menos que haja uma necessidade clara e extraordinária e que o acesso público tenha sido oficialmente aprovado”, afirma a nova orientação. O prazo para tornar os códigos privados é 11 de maio.
No mês passado, foi amplamente divulgado que uma IA criada pela Anthropic chamada Mythos é capaz de encontrar pontos fracos em quase todos os softwares, potencialmente permitindo que hackers invadam os sistemas que os executam.
As orientações do NHS England apontam especificamente para Mythos como a causa das novas medidas. “Os repositórios públicos aumentam significativamente o risco de exposição inadvertida de código-fonte, decisões arquitetônicas, detalhes de configuração e informações contextuais que podem ser exploradas – especialmente considerando os rápidos avanços em modelos de Al capazes de absorver código, inferência e raciocínio em grande escala (por exemplo, desenvolvimentos como o modelo Mythos)”, diz o documento. “Essa linha vermelha estabelece uma postura de código fechado por padrão, enquanto a organização avalia o impacto dessas mudanças e garante que qualquer publicação de código público seja uma decisão deliberada, revisada e justificável.”
No entanto, o AI Security Institute (AISI) é apoiado pelo governo britânico investigar mitos e descobriu que o sistema só era capaz de atacar “sistemas empresariais pequenos, fracamente defendidos e vulneráveis”, concluindo que não havia indicação de que software ou redes verdadeiramente seguras estivessem em perigo.
As novas medidas vão contra os padrões de serviço do NHS, que exigem que os funcionários abram o código-fonte de qualquer software que produzam. “Os serviços públicos são construídos com dinheiro público. Portanto, a menos que haja uma razão convincente para não fazê-lo, o código subjacente a esses serviços deve estar disponível para reutilização e desenvolvimento por outros. O código-fonte aberto pode evitar que as equipes dupliquem esforços e ajudá-las a construir serviços melhores com mais rapidez.” o guia anterior disse.
O software de código aberto para serviços públicos também cria maior confiança e transparência. Por exemplo, o código do sistema Horizon IT orienta os Correios do Reino Unido a perseguir pessoas inocentes por suposto roubo e fraude se tivesse se tornado de conhecimento público, então o escândalo poderia não ter continuado por muitos anos.
Terence Édenque tem vasta experiência na Função Pública do Reino Unido trabalhando para abrir o acesso a dados públicos, disse que a medida não fazia sentido.
“É possível que o Mythos verifique o repositório e encontre um bug? Sim, 100 por cento provável. Será um bug que causa um problema de segurança em um serviço do NHS em algum lugar? Quase certamente não”, disse Eden. “Acho que alguém no NHS England pegou o hype de que o Mythos levaria ao fim da segurança como a conhecemos e entrou em pânico.”
Eden disse que o software de código aberto é realmente mais seguro porque muitas pessoas podem verificar se há falhas, e a maioria dos softwares do NHS tem pouco a ver com segurança. Mais importante ainda, considerando que o código está disponível publicamente há anos, ele continuará a existir em vários backups e downloads.
“Desligá-lo agora é o mesmo que trancar a porta do estábulo depois que o cavalo sai”, disse Eden. “Eu e as pessoas com quem falei no NHS estamos realmente confusos sobre o que isto está a tentar alcançar.”
Um porta-voz do NHS England disse: “Estamos restringindo temporariamente o acesso a alguns códigos-fonte do NHS England para fortalecer ainda mais a segurança cibernética enquanto avaliamos o impacto dos rápidos desenvolvimentos nos modelos de IA. Continuaremos a publicar o código-fonte onde houver uma necessidade clara.”
Tópico:
