Timbre

SAUS, Quadra 6, Bloco H, 7º andar, Ala Sul - Bairro Asa Sul, Brasília/DF, CEP 70070-940
Telefone: (61)2312-2031 - https://www.gov.br/anatel
  

Importante: O Acesso Externo (www.anatel.gov.br/seiusuarioexterno) possibilita o Peticionamento Eletrônico para abrir Processo Novo, Intercorrente e Resposta de Intimação. Pesquisa Pública do SEI: www.anatel.gov.br/seipesquisa
  

Ofício nº 11/2024/C-INT-ANATEL

 

Ao(À) Senhor(a) Representante legal de
Microsoft Informática Ltda. 
Avenida Presidente Juscelino Kubitschek, nº 1.909

SP Corporate Towers - Torre Sul, conjunto 161, 16º andar

Vila Nova Conceição, São Paulo - SP
CEP 04543-907, 
e-mail: [email protected]

 

 

 

Assunto: Riscos cibernéticos do uso malicioso do Copilot à saúde e à segurança do consumidor.

 

 

     

Senhor Representante,

 

A Agência Nacional de Telecomunicações (Anatel) é o órgão regulador das telecomunicações no Brasil, criada pela Lei nº 9.472, de 16 de julho de 1997. Entre suas responsabilidades estão o disciplinamento e a fiscalização da execução, comercialização e uso dos serviços e da implantação e funcionamento de redes de telecomunicações, bem como da gestão da utilização dos recursos de órbita e espectro de radiofrequências.

No exercício de sua missão institucional, um dos temas prioritários é a segurança cibernética, o que justificou a aprovação de um marco setorial dedicado ainda em 2020: o Regulamento de Segurança Cibernética Aplicada ao Setor de Telecomunicações (R-Ciber), o qual estabelece um conjunto de princípios, diretrizes e obrigações, além de institucionalizar a estrutura de governança setorial de cibersegurança, com a criação do Grupo Técnico de Segurança Cibernética e Gestão de Riscos de Infraestruturas Críticas (GT-Ciber).

Considerando a evolução do panorama de riscos e ameaças, o R-Ciber foi recentemente atualizado, com o objetivo, entre outros, de ampliar o número de prestadoras sujeitas ao regime de controle ex ante de obrigações de segurança cibernética. Nesse sentido, o Conselho Diretor da Anatel, no Processo nº 53500.057799/2021-74, acolheu os termos da Análise nº 46/2024/AF (SEI nº 11926663).

Na citada deliberação, o Conselho Diretor determinou ao Comitê de Infraestruturas de Telecomunicações (C-INT) e às Superintendências da Agência que continuem desenvolvendo estudos em temas emergentes relacionados à cibersegurança, notadamente data centers e cloud computing; uso de inteligência artificial (IA) na infraestrutura de telecomunicações; cabos submarinos; e aplicações de inteligência artificial generativa (GenAI).

Reforçando a prioridade do tema, o Plano Estratégico 2023-2027 da Agência contemplou duas iniciativas a ele associadas:

Iniciativa 7: Promover o gerenciamento de risco holístico e a proteção das infraestruturas críticas

Objetivo estratégico de processo:

1D) Proteger as infraestruturas críticas da conectividade

Resultados Esperados:

Maior proteção das infraestruturas críticas; e

Aumento da proteção contra ameaças cibernéticas.

 

Iniciativa 17: Zelar pela prevenção contra fraudes no ecossistema digital

Objetivo estratégico de processo:

3A) Promover a conscientização e a segurança digital dos usuários e demais agentes

Resultados Esperados:

Redução de golpes/estelionatos digitais; e

Aumento da confiança dos usuários na tecnologia.

São inúmeras as ações voltadas ao aprimoramento da segurança cibernética em suas diversas dimensões - processos, tecnologia, pessoas, governança, entre outras - que se encontram em planejamento e em execução.

Salienta-se que a Agência tem trabalhado na perspectiva de segurança (safety) dos consumidores dos serviços de telecomunicações, como um pilar fundamental das habilidades digitais essenciais para a conectividade significativa.

A centralidade do papel das telecomunicações no ecossistema digital e a atuação consistente no tema, tanto nacional quanto internacionalmente, ensejaram a inclusão da Anatel como a única Agência Reguladora com vinculação ministerial a receber um assento no Comitê Nacional de Cibersegurança (CNCiber). Instituído pelo Decreto nº 11.856, de 26 de dezembro de 2023, o CNCiber é encarregado, em síntese, de liderar a implementação da Política Nacional de Cibersegurança (PNCIber).

Internacionalmente, a Anatel representa o Brasil, em colaboração com outros entes do Poder Executivo, em diversas organizações, destacando-se o seu já reconhecido protagonismo junto à União Internacional de Telecomunicações (UIT), agência especializada das Nações Unidas para as Tecnologias da Informação e Comunicação (TICs). A UIT tem progressivamente trabalhado em temas relacionados à Inteligência Artificial e à Cibersegurança, como itens de estudo, por exemplo, no Setor de Normalização (UIT-T) e na Plataforma “AI for Good”.

No exercício desse protagonismo, a Anatel promoveu a aprovação da primeira resolução sobre Inteligência artificial (IA) na última Conferência de Plenipotenciários da UIT, em que propôs a inclusão de um item específico de estudo sobre oportunidades e desafios da GenAI e levará uma proposta relacionada para a próxima Assembleia Mundial de Normalização das Telecomunicações (WTSA-24).

Após essa breve exposição sobre as recentes evoluções da Anatel acerca da segurança cibernética, salienta-se que são de conhecimento público diversos casos de utilização de GenAI para viabilizar ataques cibernéticos. Exemplos incluem a reescrita de códigos de malwares, a criação de campanhas de phishing e, até mesmo, spear phishing, com textos cada vez mais críveis para enganar o destinatário.

Um exemplo dos contornos dessa ameaça é pormenorizado no trabalho Synthetic Cancer - Augmenting Worms with LLMs, de autoria dos Professores Benjamin Zimmerman - da Ohio State University - e David Zollikofer - da ETH Zürich & Innovista Management GmbH. Esse estudo, ainda pendente de revisão por pares, demonstra, de forma concreta e detalhada, como a ameaça pode ocorrer no uso da plataforma ChatGPT, não se descartando a sua possibilidade no uso da plataforma Copilot, mantida pela parent company Microsoft Corporation, operada de acordo com as leis dos EUA.

Os riscos de intrusão mais rápida, efetiva e de maior escala, com métodos personalizados de phishing e malware, a partir do uso de recursos de GenAI, já foram identificados no plano conceitual, dentre outros, em estudos como Safety and Security Risks of Generative Artificial Intelligence to 2025, promovido pelo Governo Britânico, e Initial policy considerations for generative artificial intelligence, promovido pela Organização para a Cooperação e Desenvolvimento Econômico (OCDE).

Destaca-se, ainda, o trabalho Consumer policy and the smart home, em que se mencionam, como eventos adversos, o uso de aparelhos infectados contra os seus próprios usuários e o lançamento de ataques externos a partir do uso simultâneo de diversos dispositivos inteligentes que tenham algum tipo de vulnerabilidade maliciosamente explorada.

Conforme o entendimento de quatro dos sete países integrantes do G7, expresso durante a discussão do Processo de Hiroshima sobre IA Generativa, os riscos à segurança estão entre os cinco mais importantes associados à utilização dessa tecnologia.

O teor do artigo e dos estudos mencionados acima suscitam preocupações para os riscos que o emprego de ferramentas de GenAI para fins maliciosos pode causar à segurança das redes, dos serviços de telecomunicações e à segurança dos consumidores. Esses riscos são particularmente relevantes nas diversas camadas dos serviços de telecomunicações, cuja proteção se encontra no mandato da Anatel.

Os riscos emergentes de segurança cibernética para os consumidores - que se relacionam tanto aos usuários dos próprios serviços quanto aos terceiros que podem ser atingidos por eventos adversos a eles relacionados - demandam medidas adequadas de gerenciamento, citando-se, exemplificativamente, os seguintes:

exposição da intimidade do consumidor a agentes mal-intencionados, que podem explorar essa situação para obterem vantagens indevidas, lesionando a sua saúde mental e patrimônio;

obtenção de acesso a dados financeiros do consumidor, por meio do qual é possível a movimentação não autorizada de contas bancárias e outras aplicações, resultando em prejuízos que podem levar à ruína financeira, por meios de práticas de phishing, smishing e engenharias sociais diversas, cujo potencial revela-se progressivamente mais sofisticado em virtude dos padrões cada vez mais realísticos das informações sintéticas geradas por ferramentas de IA Generativa; e

emprego dos dispositivos infectados com uso de malware disseminado por IA Generativa para o direcionamento de ataques cibernéticos que possam comprometer serviços essenciais e outras infraestruturas críticas, como prestação jurisdicional, abastecimento de água, eletricidade, serviços médicos, serviços financeiros etc., que exigem o funcionamento regular do ecossistema digital para operar adequadamente.

Lembra-se que, no Brasil, existem mais de 260 (duzentos e sessenta) milhões de linhas telefônicas habilitadas, número este superior à sua população.

Do ponto de vista do consumidor, os riscos de golpes no ambiente digital são tão impactantes quanto os próprios ataques cibernéticos e, por esse motivo, a Anatel vem atuando em diversas ações com atores dos setores de telecomunicações, financeiro e plataformas digitais em medidas de prevenção e reação.

Nesse contexto, a propagação de malwares, campanhas de phishing e outros ataques utilizando engenharia social com recursos de GenAI amplificam, a princípio, os riscos ao consumidor no uso de produtos e serviços nas diversas camadas das telecomunicações.

Embora se reconheçam os inúmeros benefícios e oportunidades que a GenAI trazem para as mais diversas atividades da vida em sociedade e para a economia, é importante que esses riscos sejam adequadamente endereçados para que a GenAI se consolide como uma tecnologia segura e útil para todos os consumidores de forma construtiva.

É importante ressaltar que os termos de uso da plataforma Copilot proíbem a sua utilização para atividades prejudiciais ao usuários ou a terceiros, fraudulentas, falsas ou enganosas, que envolvam a prática de bullying, de ameaças, para usos adversariais, que promova ou incite a violência etc.

Diante do exposto, a Agência gostaria de iniciar um diálogo institucional, a fim de poder compreender como os riscos de segurança cibernética relacionados ao LLM estão sendo abordados e geridos pela organização, incluindo eventuais frameworks que estão sendo utilizados.

Coloco meu gabinete à disposição para esclarecimentos ou outras informações adicionais que se façam necessárias, bem como para o agendamento de uma conversa inicial.

Respeitosamente,

 

ALEXANDRE FREIRE

Conselheiro Diretor da Anatel

Presidente do Comitê de Infraestrutura de Telecomunicações (C-INT)

 

 


logotipo

Documento assinado eletronicamente por Alexandre Reis Siqueira Freire, Presidente do Comitê, em 24/07/2024, às 12:00, conforme horário oficial de Brasília, com fundamento no art. 23, inciso II, da Portaria nº 912/2017 da Anatel.


QRCode Assinatura

A autenticidade deste documento pode ser conferida em http://www.anatel.gov.br/autenticidade, informando o código verificador 12325644 e o código CRC 691BCB58.




Referência: Caso responda este Ofício, indicar expressamente o Processo nº 53500.058586/2024-11
Código de Barras do Processo
SEI nº 12325644
Código de Barras do Documento