Uso de inteligência artificial em imagens corrói confiança em biometria facial
Até 2026, os ataques que utilizam imagens falsas de pessoas geradas por inteligência artificial vão derrubar a confiança em sistemas de identificação por biometria facial. Segundo um levantamento do Gartner, 30% das empresas deixarão de considerar essas soluções de verificação e autenticação de identidade confiáveis isoladamente.
“Na última década, ocorreram vários pontos de inflexão nos campos da IA que permitem a criação de imagens sintéticas. Essas imagens geradas artificialmente de rostos de pessoas reais, conhecidas como deepfakes, podem ser usadas por atores mal-intencionados para minar a autenticação biométrica ou torná-la ineficiente”, disse Akif Khan, vice-presidente analista do Gartner.
]“Como resultado, as organizações podem começar a questionar a confiabilidade das soluções de verificação e autenticação de identidade, pois não serão capazes de dizer se o rosto da pessoa que está sendo verificada é uma pessoa viva ou um deepfake”, adiciona o executivo.
Os processos de verificação e autenticação de identidade que usam biometria facial hoje dependem da detecção de ataque de apresentação (PAD) para avaliar a vivacidade do usuário. “Os padrões e processos de teste atuais para definir e avaliar os mecanismos PAD não cobrem ataques de injeção digital usando deepfakes gerados por IA que podem ser criados hoje”, disse Khan.
A pesquisa do Gartner disse que os ataques de apresentação são o vetor de ataque mais comum, mas os ataques de injeção aumentaram 200% em 2023. A prevenção de tais ataques exigirá uma combinação de PAD, detecção de ataque de injeção (IAD) e inspeção de imagem.
Para ajudar as organizações a se protegerem contra deepfakes gerados por IA, além da biometria facial, os diretores de segurança da informação (CISOs) e os líderes de gerenciamento de risco devem escolher fornecedores que possam demonstrar que possuem os recursos e um plano que vai além dos padrões atuais e estão monitorando, classificando e quantificar esses novos tipos de ataques.
“As organizações devem começar a definir uma linha de base mínima de controles trabalhando com fornecedores que investiram especificamente na mitigação das mais recentes ameaças baseadas em deepfake usando IAD juntamente com inspeção de imagem”, disse Khan.
Uma vez definida a estratégia e definida a linha de base, os CISOs e os líderes de gestão de riscos devem incluir sinais adicionais de risco e reconhecimento, como identificação de dispositivos e análise comportamental, para aumentar as chances de detecção de ataques em seus processos de verificação de identidade.
Acima de tudo, os líderes de segurança e gestão de riscos responsáveis pela gestão de identidade e acesso devem tomar medidas para mitigar os riscos de ataques deepfake impulsionados pela IA, selecionando tecnologia que possa provar a presença humana genuína e implementando medidas adicionais para evitar o controle de contas.