ASIC incentiva corretores a reforçar defesas cibernéticas contra riscos de IA de fronteira

A Comissão de Valores Mobiliários e Investimentos da Austrália (ASIC) alerta as empresas financeiras e participantes do mercado para reforçar as proteções de cibersegurança à medida que a inteligência artificial continua a ampliar as ameaças cibernéticas globalmente.

Mantém que, embora as ameaças cibernéticas tenham sido sempre uma preocupação, ferramentas sofisticadas de IA como Claude Mythos poderiam acelerar dramaticamente a descoberta e exploração de vulnerabilidades

Em uma carta aberta, o regulador aconselhou as empresas a protegerem seus sistemas contra riscos acelerados por IA agora, em vez de dependerem de futuras ferramentas de IA. Principalmente, defendeu uma abordagem neutra em relação à tecnologia, orientada por princípios, para as atualizações de cibersegurança urgentemente necessárias.

O que a ASIC espera dos licenciados em todo o país?

A Frontier AI impulsionou o risco cibernético para uma “nova era”, alertou a Comissária da ASIC, Simone Constant. Ela observou que, apesar dos potenciais benefícios de modelos avançados de IA, eles ainda podem explorar vulnerabilidades muito mais rápido do que a maioria espera.

Isso significa que lacunas isoladas podem agora causar um colapso total do sistema, com atacantes médios ganhando acesso a técnicas de hacking de alto nível

Esta comunicação segue evidências da Connective de que corretores estão integrando ferramentas de IA sem as estruturas defensivas necessárias. O CEO da Connective, Glenn Lees, afirmou que a indústria de corretores está atualmente animada com a IA, mas carece da estrutura necessária para uma implantação segura e estável.

No entanto, ele pediu aos corretores que construam uma base sólida de estratégia, sistemas e governança, afirmando que essa é provavelmente a única maneira de fazer a adoção de IA funcionar

A carta aberta da ASIC também pediu aos licenciados que abordem suas lacunas de segurança agora, em vez de esperar para ver como as ameaças de IA evoluem. Constant explicou que um plano de resposta pronto é essencial, já que as regras básicas de segurança cibernética não mudam apenas porque a tecnologia muda.

Ela acrescentou que a alta gestão deve assumir a responsabilidade, garantindo que testes rigorosos e remediações precoces aconteçam bem antes de uma ameaça se tornar uma crise

Ela comentou ainda: “O relógio está a um minuto da meia-noite – se você ainda não está no topo da sua resiliência cibernética, o momento de agir e se preparar é agora.”

Além disso, além da ASIC, a Autoridade de Regulação Prudencial Australiana (APRA) alertou os bancos de que suas medidas de governança e controle para inteligência artificial estão atrasadas em relação à rápida expansão das ferramentas de IA

A membro da APRA, Therese McCarthy Hockey, afirmou: “A revolução da IA apresenta oportunidades tremendas para bancos, seguradoras e fiduciários de previdência para oferecer maior eficiência e serviços aprimorados aos clientes. Mas não podemos ser cegos aos riscos de uma tecnologia tão poderosa.”

A ASIC tomou medidas contra a FIIG Securities

Recentemente, a ASIC moveu ações contra a especialista australiana em renda fixa FIIG Securities Limited (FIIG) por não implementar salvaguardas cibernéticas adequadas para sua vasta base de clientes por anos. Consequentemente, a empresa foi orientada a pagar penalidades pecuniárias totalizando 2,5 milhões de dólares e cerca de 500.000 dólares para os custos da ASIC

Relatos indicam que as fraquezas de segurança da FIIG contribuíram para a escala de uma violação cibernética em 2023 que expôs dados confidenciais, incluindo números de arquivo fiscal, detalhes de contas bancárias e documentos de identificação. Cerca de 18.000 clientes receberam aviso de que seus dados pessoais sensíveis podem ter sido vazados.

Na época, a FIIG até admitiu que seus arranjos de cibersegurança eram inadequados sob os requisitos de sua licença de Serviços Financeiros Australianos (AFS) e que melhores salvaguardas poderiam ter reduzido o impacto da violação. Por sua própria admissão, a empresa também não seguiu suas próprias políticas destinadas a evitar exatamente esse tipo de vazamento de dados

O Tribunal Federal também ordenou uma auditoria independente para elevar sua resiliência cibernética a um padrão profissional

Após o resultado do caso, a Vice-Presidente da ASIC, Sarah Court, comentou dizendo: “A ASIC espera que os licenciados de serviços financeiros estejam na linha de frente todos os dias para proteger seus clientes. A FIIG não estava – e eles colocaram milhares de clientes em risco. Neste caso, as consequências superaram em muito o que teria custado à FIIG implementar controles adequados desde o início.”

Se você está lendo isto, você já está à frente. Mantenha-se assim com o nosso boletim informativo.