SAUS, Quadra 6, Bloco H, 7º andar, Ala Sul - Bairro Asa Sul, Brasília/DF, CEP 70070-940
Telefone: (61)2312-2031 - https://www.gov.br/anatel
Importante: O Acesso Externo (www.anatel.gov.br/seiusuarioexterno) possibilita o Peticionamento Eletrônico para abrir Processo Novo, Intercorrente e Resposta de Intimação. Pesquisa Pública do SEI: www.anatel.gov.br/seipesquisa
Ofício nº 6/2024/C-INT-ANATEL
Ao Senhor
Assunto: Riscos cibernéticos do uso malicioso do ChatGPT à saúde e à segurança do consumidor.
Senhor Representante,
A Agência Nacional de Telecomunicações (Anatel) é o órgão regulador das telecomunicações no Brasil, criada pela Lei nº 9.472, de 16 de julho de 1997. Entre suas responsabilidades estão o disciplinamento e a fiscalização da execução, comercialização e uso dos serviços e da implantação e funcionamento de redes de telecomunicações, bem como da gestão da utilização dos recursos de órbita e espectro de radiofrequências.
No exercício de sua missão institucional, um dos temas prioritários é a segurança cibernética, o que justificou a aprovação de um marco setorial dedicado ainda em 2020: o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), o qual estabelece um conjunto de princípios, diretrizes e obrigações, além de institucionalizar a estrutura de governança setorial de cibersegurança, com a criação do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber).
Considerando a evolução do panorama de riscos e ameaças, o R-Ciber foi recentemente atualizado, com o objetivo, entre outros, de ampliar o número de prestadoras sujeitas ao regime de controle ex ante de obrigações de segurança cibernética. Nesse sentido, o Conselho Diretor da Anatel, no Processo nº 53500.057799/2021-74, acolheu os termos da Análise nº 46/2024/AF (SEI nº 11926663).
Na citada deliberação, o Conselho Diretor determinou ao Comitê de Infraestruturas de Telecomunicações (C-INT) e às Superintendências da Agência que continuem desenvolvendo estudos em temas emergentes relacionados à cibersegurança, notadamente data centers e cloud computing; uso de inteligência artificial (IA) na infraestrutura de telecomunicações; cabos submarinos; e aplicações de inteligência artificial generativa (GenAI).
Reforçando a prioridade do tema, o Plano Estratégico 2023-2027 da Agência contemplou duas iniciativas a ele associadas:
Iniciativa 7: Promover o gerenciamento de risco holístico e a proteção das infraestruturas críticas
Objetivo estratégico de processo:
1D) Proteger as infraestruturas críticas da conectividade
Resultados Esperados:
Maior proteção das infraestruturas críticas; e
Aumento da proteção contra ameaças cibernéticas.
Iniciativa 17: Zelar pela prevenção contra fraudes no ecossistema digital
Objetivo estratégico de processo:
3A) Promover a conscientização e a segurança digital dos usuários e demais agentes
Resultados Esperados:
Redução de golpes/estelionatos digitais; e
Aumento da confiança dos usuários na tecnologia.
São inúmeras as ações voltadas ao aprimoramento da segurança cibernética em suas diversas dimensões - processos, tecnologia, pessoas, governança, entre outras - que se encontram em planejamento e em execução.
Salienta-se que a Agência tem trabalhado na perspectiva de segurança (safety) dos consumidores dos serviços de telecomunicações, como um pilar fundamental das habilidades digitais essenciais para a conectividade significativa.
A centralidade do papel das telecomunicações no ecossistema digital e a atuação consistente no tema, tanto nacional quanto internacionalmente, ensejaram a inclusão da Anatel como a única Agência Reguladora com vinculação ministerial a receber um assento no Comitê Nacional de Cibersegurança (CNCiber). Instituído pelo Decreto nº 11.856, de 26 de dezembro de 2023, o CNCiber é encarregado, em síntese, de liderar a implementação da Política Nacional de Cibersegurança (PNCIber).
Internacionalmente, a Anatel representa o Brasil, em colaboração com outros entes do Poder Executivo, em diversas organizações, destacando-se o seu já reconhecido protagonismo junto à União Internacional de Telecomunicações (UIT), agência especializada das Nações Unidas para as Tecnologias da Informação e Comunicação (TICs). A UIT tem progressivamente trabalhado em temas relacionados à Inteligência Artificial e à Cibersegurança, como itens de estudo, por exemplo, no Setor de Normalização (UIT-T) e na Plataforma “AI for Good”.
No exercício desse protagonismo, a Anatel promoveu a aprovação da primeira resolução sobre Inteligência artificial (IA) na última Conferência de Plenipotenciários da UIT, em que propôs a inclusão de um item específico de estudo sobre oportunidades e desafios da GenAI e levará uma proposta relacionada para a próxima Assembleia Mundial de Normalização das Telecomunicações (WTSA-24).
Após essa breve exposição sobre as recentes evoluções da Anatel acerca da
Um exemplo dos contornos dessa ameaça é pormenorizado no trabalho Synthetic Cancer - Augmenting Worms with LLMs, de autoria dos Professores Benjamin Zimmerman - da Ohio State University - e David Zollikofer - da ETH Zürich & Innovista Management GmbH. Esse estudo, ainda pendente de revisão por pares, demonstra, de forma concreta e detalhada, como a ameaça pode ocorrer no uso da plataforma ChatGPT.
Os riscos de intrusão mais rápida, efetiva e de maior escala, com métodos personalizados de phishing e malware, a partir do uso de recursos de GenAI, já foram identificados no plano conceitual, dentre outros, em estudos como Safety and Security Risks of Generative Artificial Intelligence to 2025, promovido pelo Governo Britânico, e Initial policy considerations for generative artificial intelligence, promovido pela
Destaca-se, ainda, o trabalho Consumer policy and the smart home, em que se mencionam, como eventos adversos, o uso de aparelhos infectados contra os seus próprios usuários e o lançamento de ataques externos a partir do uso simultâneo de diversos dispositivos inteligentes que tenham algum tipo de vulnerabilidade maliciosamente explorada.
Conforme o entendimento de quatro dos sete países integrantes do G7, expresso durante a discussão do Processo de Hiroshima sobre IA Generativa, os riscos à segurança estão entre os cinco mais importantes associados à utilização dessa tecnologia.
O teor do artigo e dos estudos mencionados acima suscitam preocupações para os riscos que o emprego de ferramentas de GenAI para fins maliciosos pode causar à segurança das redes, dos serviços de telecomunicações e à segurança dos consumidores. Esses riscos são particularmente relevantes nas diversas camadas dos serviços de telecomunicações, cuja proteção se encontra no mandato da Anatel.
Os riscos emergentes de segurança cibernética para os consumidores - que se relacionam tanto aos usuários dos próprios serviços quanto aos terceiros que podem ser atingidos por eventos adversos a eles relacionados - demandam medidas adequadas de gerenciamento, citando-se, exemplificativamente, os seguintes:
exposição da intimidade do consumidor a agentes mal-intencionados, que podem explorar essa situação para obterem vantagens indevidas, lesionando a sua saúde mental e patrimônio;
obtenção de acesso a dados financeiros do consumidor, por meio do qual é possível a movimentação não autorizada de contas bancárias e outras aplicações, resultando em prejuízos que podem levar à ruína financeira, por meios de práticas de phishing, smishing e engenharias sociais diversas, cujo potencial revela-se progressivamente mais sofisticado em virtude dos padrões cada vez mais realísticos das informações sintéticas geradas por ferramentas de IA Generativa; e
emprego dos dispositivos infectados com uso de malware disseminado por IA Generativa para o direcionamento de ataques cibernéticos que possam comprometer serviços essenciais e outras infraestruturas críticas, como prestação jurisdicional, abastecimento de água, eletricidade, serviços médicos, serviços financeiros etc., que exigem o funcionamento regular do ecossistema digital para operar adequadamente.
Lembra-se que, no Brasil, existem mais de 260 (duzentos e sessenta) milhões de linhas telefônicas habilitadas, número este superior à sua população.
Nesse contexto, a propagação de malwares, campanhas de phishing e outros ataques utilizando engenharia social com recursos de GenAI amplificam, a princípio, os riscos ao consumidor no uso de
É importante ressaltar que os termos de uso da OpenAI proíbem a utilização de seus serviços para atividades ilegais, prejudiciais ou abusivas. Tais atividades incluem a apropriação indevida ou violação de direitos de terceiros e qualquer ação que esteja em desacordo com as medidas de proteção e segurança implementadas nos serviços oferecidos.
Diante do exposto, a Agência gostaria de iniciar um diálogo institucional, a fim de poder compreender como os riscos de segurança cibernética relacionados ao LLM estão sendo abordados e geridos pela organização, incluindo eventuais frameworks que estão sendo utilizados.
Coloco meu gabinete à disposição para esclarecimentos ou outras informações adicionais que se façam necessárias, bem como para o agendamento de
Respeitosamente,
ALEXANDRE FREIRE
Conselheiro Diretor da Anatel
Presidente do Comitê de Infraestrutura de Telecomunicações (C-INT)
Documento assinado eletronicamente por Alexandre Reis Siqueira Freire, Presidente do Comitê, em 24/07/2024, às 11:56, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel. |
A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 12264310 e o código CRC 9022AEFB. |
Referência: Caso responda este Ofício, indicar expressamente o Processo nº 53500.058586/2024-11 |
SEI nº 12264310 |