Diretor interino de cibersegurança dos EUA dispara alerta… sobre cibersegurança

O diretor interino da Agência de Cibersegurança e Segurança das Infraestruturas (em inglês, CISA) dos Estados Unidos da América (EUA) desencadeou um alerta interno de cibersegurança, após fazer upload de ficheiros sensíveis numa versão pública do ChatGPT.

No verão passado, o diretor interino da CISA fez upload de documentos sensíveis de contratação numa versão pública do ChatGPT.
Segundo quatro responsáveis do Departamento de Segurança Interna (em inglês, DHS) com conhecimento do incidente, este desecadeou vários avisos automáticos de segurança destinados a impedir o roubo ou a divulgação não intencional de material governamental a partir de redes federais.
O erro de Madhu Gottumukkala foi particularmente relevante, porque este tinha solicitado autorização especial ao Gabinete do Diretor de Sistemas de Informação da CISA para utilizar a popular ferramenta de Inteligência Artificial (IA) pouco depois de chegar à agência, em maio, de acordo com três dos responsáveis.
Na altura, a plataforma estava bloqueada para outros funcionários do DHS dos EUA.
Criado em 2002, o DHS trabalha para proteger os EUA contra ameaças terroristas, bem como gerir a segurança nas fronteiras, imigração, resposta a desastres e cibersegurança. Crédito: Andrew Harrer/Bloomberg/Getty Images, via NBC 
Documentos dados ao ChatGPT destinavam-se a "uso oficial"
Nenhum dos ficheiros que Gottumukkala introduziu no ChatGPT era confidencial, segundo os quatro responsáveis. No entanto, o material incluía documentos de contratação da CISA classificados como "apenas para uso oficial", uma designação governamental para informação considerada sensível e que não deve ser divulgada publicamente.
Sensores de cibersegurança da CISA assinalaram os uploads, em agosto passado. Um dos responsáveis citados pela imprensa internacional especificou que houve vários alertas só na primeira semana de agosto.
Posteriormente, altos responsáveis do DHS conduziram uma revisão interna para avaliar se tinha havido algum impacto na segurança governamental devido às exposições, segundo dois dos quatro responsáveis, não sendo claras as conclusões.
Entretanto, num comunicado enviado por e-mail ao POLITICO, a diretora de Assuntos Públicos da CISA, Marci McCarthy, afirmou que Gottumukkala "teve autorização para usar o ChatGPT com controlos do DHS em vigor" e que "esta utilização foi de curta duração e limitada".
Além disso, McCarthy acrescentou que a agência estava empenhada em "aproveitar a IA e outras tecnologias de ponta para impulsionar a modernização do governo e cumprir" a ordem executiva de Donald Trump que remove barreiras à liderança dos EUA em IA.
Qual o problema deste erro de cibersegurança?
Atualmente, Gottumukkala ocupa o cargo de mais alto responsável político da CISA, uma agência que visa proteger as redes federais contra hackers sofisticados apoiados por Estados adversários, incluindo a Rússia e a China.
Madhu Gottumukkala a ser empossado na CISA, em 2025.
Qualquer material carregado na versão pública do ChatGPT que Gottumukkala estava a utilizar é partilhado com a OpenAI, proprietária do chatbot. Ou seja, pode ser usado para ajudar a responder a pedidos de outros mais de 700 milhões de utilizadores ativos da aplicação.
Outras ferramentas de IA agora aprovadas para uso por funcionários do DHS, como o chatbot interno alimentado por IA, o DHSChat, estão definidas para impedir que perguntas ou documentos introduzidos nelas saiam das redes federais.
Assim, segundo um dos responsáveis citados, Gottumukkala "forçou a CISA a dar-lhe o ChatGPT e depois abusou dele".
Depois de o DHS ter detetado a atividade, Gottumukkala falou com altos responsáveis do DHS para rever o que tinha dado ao ChatGPT. O então consultor jurídico interino do DHS, Joseph Mazzara, esteve envolvido no esforço para avaliar qualquer dano potencial ao departamento.
Segundo as quatro fontes, depois do incidente, Gottumukkala teve várias reuniões, incluindo uma, em agosto, com o diretor de sistemas de informação da CISA, Robert Costello, e com o seu principal conselheiro jurídico, Spencer Fisher, sobre o lapso e o manuseamento adequado de material classificado como apenas para uso oficial.