Recursos/White Papers

Tecnologia

Como evitar o compartilhamento de segredos com os assistentes virtuais

Consumidores adoram conversar com a Alexa, a Siri, a Cortana e o Google Now. Mas o que os CIOs deveriam fazer para se preparar para o crescente uso de assistentes virtuais entre seus funcionários?

Da Redação, com IDG News Service

Publicada em 21 de abril de 2017 às 10h27

Assistentes virtuais como a Siri, da Apple, a Cortana, da Microsoft e o Google Now têm o potencial de tornar os trabalhadores da empresa mais produtivos. Mas por estarem "sempre ouvindo", até que ponto eles representam uma séria ameaça à segurança e à privacidade?

De acordo com a pesquisa realizada em outubro de 2016 pela Spiceworks com 566 profissionais de TI na América do Norte, Europa, Oriente Médio e África, 19% das organizações já estão usando assistentes digitais inteligentes, como Siri e Cortana. A pesquisa também descobriu que 46% das organizações planejam adotar assistentes inteligentes dentro de cinco anos.

Atualmente, cerca de 500 milhões de pessoas usam assistentes digitais ativados por voz. Um contingente que deve crescer para 1,8 bilhões de pessoas em 2021, de acordo com um estudo Bing/iProspect. Porque a tecnologia do local de trabalho tende a seguir tendências da tecnologia do consumidor, os assistentes virtuais voz devem se tornar cada vez mais comuns nas empresas.

Mas quando perguntado sobre suas maiores preocupações relacionadas com assistentes virtuais e Inteligência Artificial, a maioria dos profissionais de TI aponta para questões de segurança e privacidade (48%), de acordo com a Spiceworks.

Embora os "assistentes virtuais ofereçam tremenda conveniência e valor, esses dispositivos introduzem novos desafios de segurança e privacidade", observa Merritt Maxim, analista sênior de segurança e risco da empresa de pesquisa Forrester. "Eles poderiam ser comprometidos para outros fins, como o que aconteceu com o botnet Mirai. Ou os próprios dispositivos podem ser comprometidos, quer para fins mal-intencionados, como a coleta de dados, ou apenas para provar uma vulnerabilidade". Notícias recentes sobre como a CIA pode ser capaz de transformar um Samsung Smart TV em um dispositivo de escuta só fez aumentar as preocupações a respeito.

Se você está planejando integrar assistentes virtuais em sua organização, aqui estão cinco recomendações e melhores práticas a serem consideradas pelos profissionais de tecnologia.

1. Focar na privacidade do usuário
Os desenvolvedores de assistentes virtuais normalmente trabalham em grandes empresas de tecnologia que costumam negligenciar sua capacidade de trabalhar para aumentar a proteção dos usuários, colocando o todos os esforços em "criar o produto e vendê-lo antes que alguém o faça", diz Will Ackerly, co-fundador e CTO da Virtru, empresa de segurança e criptografia de e-mail. Na sua opinião, com o passar do tempo a privacidade "se tornará um recurso premium e diferenciador" para produtos como os assistentes virtuais.

Enquanto isso, os fabricantes devem tomar medidas para proteger seus usuários, movendo mais inteligência para seus dispositivos e permitindo que os usuários mantenham controle sobre seus dados e como serão protegidos e usados, aconselha.

2. Desenvolver uma política
Suponha que todos os dispositivos com um microfone estejam sempre ouvindo, diz Bill Anderson, que trabalhou em segurança para a BlackBerry e a Palm e agora é CEO da empresa de segurança de empresas móveis OptioLabs. Mesmo que o dispositivo tenha um botão para desligar o microfone, se ele tem uma fonte de alimentação ainda é possível que ele possa estar gravando áudio, avisa.

Não por acaso, uma nova técnica chamada ‘snoop’  tem preocupado os profissionais de segurança. Ela vem sendo usada para monitorar todas as atividades de um smartphone e até mesmo acessar o microfone e gravar o som ambiente remotamente para, entre outros motivos, direcionar anúncios online aos consumidores. Muitas pessoas dizem perceber anúncios direcionados em mídias sociais ou ferramentas de busca sobre produtos ou marcas os quais foram assuntos em conversas privadas, realizadas próximas a celulares. 

Os sites de busca e redes sociais mais populares já afirmaram que não usam qualquer tipo de ferramenta de snoop. No entanto, não é difícil encontrar empresas desenvolvendo APIs para isso. Técnicas como esta estão sendo usadas também por empresas que oferecem serviços de estatísticas a partir do monitoramento do comportamento dos usuários de smartphones. São formas de definir perfis de consumo.

Lembre-se também que os assistentes virtuais podem armazenar pesquisas de voz e solicitações nos servidores do fornecedor. "O que seria necessário para quebrar esses dados?", Pergunta Anderson. Ele aponta para o recente hack de e-mail do Yahoo como um exemplo de como, num pior cenário, um atacante poderia obter uma "vantagem sobre o login das contas e ter acesso a esses dados (como as gravações de voz)".

A espionagem sem o consentimento do usuário, o uso inadequado dos dados ou o vazamento de tais informações poderia ser muito prejudicial. Mesmo que o usuário permita ser espionado e ter suas conversas privadas ouvidas, informações confidenciais como senhas de e-mail e informações bancárias poderiam ser facilmente acessadas também.

Para reforçar a privacidade e a segurança, uma empresa deve começar traçando um quadro geral de onde suas potenciais vulnerabilidades estão, aconselha Anderson. "Pergunte a si mesmo, sua organização reconhece que existem vários microfones em cada escritório? Você já pensou sobre a privacidade e segurança do seu sistema de telefone PBX no escritório? Como você sabe que o firmware em seus telefones do escritório não foi hackeado? Como você sabe que seus laptops não estão executando software de monitoramento de terceiros? Existem outros dispositivos no escritório que gravam a voz? Você entende como eles chegaram lá e qual é a sua função? "

Depois de ter uma imagem completa, desenvolva uma política que cubra "a quantidade de problemas possíveis de modo a garantir que conversas regulares não estão sendo vazadas involuntariamente", diz Anderson. "Se você se preocupa com conversas regulares sobre equipamentos existentes (como sistemas de telefonia PBX), então você está pronto para pensar em uma política para assistentes virtuais."

assistentevirtual

3. Trate dispositivos com assistentes virtuais como qualquer dispositivo de IoT
A TI "deve tratar os dispositivos com assistentes virtuais como qualquer outro dispositivo IoT que grave informações confidenciais e as envie para terceiros", diz Marc Laliberte, analista de segurança da WatchGuard. "Esses dispositivos não devem estar operacionais em locais onde informações potencialmente sensíveis são passadas verbalmente. Além disso, os dispositivos de IoT devem ser segmentados do restante da rede corporativa para fornecer proteções adicionais se forem comprometidos. "

4. Decidir sobre BYO ou propriedade da empresa
A mania BYOD dos últimos anos irá inevitavelmente se estender a dispositivos virtuais habilitados para voz, como o Google Home e o Echo, da Amazon, diz David Fapohunda, diretor da unidade de crimes financeiros da PwC, que trata da segurança cibernética.

"Veremos que esses dispositivos se tornarão mais comuns em aplicativos pessoais e corporativos nos próximos dois anos", diz Fapohunda. "Ao contrário das versões de hoje, eles se tornarão mais pessoais, capazes de identificar quem é o usuário por reconhecimento de voz. As futuras versões serão adaptadas a cada indivíduo e realmente fornecerão respostas contextuais mais profundas e automatizarão muitas tarefas manuais. Um assistente digital vai ler seus e-mails em voz alta e até mesmo se comunicar com outros assistentes virtuais em sua rede pessoal e empresarial. Neste ponto, os assistentes se tornarão uma ferramenta de negócios crítica, como o próprio e-mail. "

Mas este cenário no futuro não muito distante introduz um desafio para a empresa. Você permitirá0 BYOVA (que cada funcionário uso o seu próprio assistente virtual)? Ou a empresa deverá possuí-los e gerenciá-los? A questão suscitará ainda mais discussões", diz Fapohunda. 

Além disso, uma vez que os assistentes virtuais pessoais "confiam na nuvem para compreender comandos complexos, buscar dados ou atribuir tarefas de computação complexas a mais recursos", seu uso na empresa levanta questões sobre propriedade de dados, retenção de dados, roubo de dados e IP e CISOs e CIOs precisarão endereçar.

5. Planejar a proteção
Dispositivos como o Google Home e o Echo são projetados para residências, não para locais de trabalho, observa Will Burns, vice-presidente sênior  da root9B. "Sua presença torna certas atividades convenientes, mas eles não são voltados para ações empresariais ou de segurança. Isso endereça uma série de questões de segurança não resolvidas", acrescenta. 

"Havendo um assistente virtual implantado dentro do ambiente corporativo, eu não o conectaria a uma conta corporativa usada para compras. Minimizar o seu acesso à Internet para o momento específico quando ele está sendo usado para atividades corporativas, e monitoraria a sua atividade de rede. Assim como muitas empresas hoje em dia colocam uma capa em suas webcams quando não estão em uso, deve haver proteções semelhantes no microfone para o seu assistente digital", diz ele.



Reportagens mais lidas

Acesse a comunidade da CIO

LinkedIn
A partir da comunidade no LinkedIn, a CIO promove a troca de informações entre os líderes de TI. Acesse aqui