João Miguel Mesquita
A utilização de inteligência artificial em tecnologias operacionais de infraestruturas críticas tem ganho espaço, mas as autoridades de cibersegurança querem travar um avanço sem avaliação adequada dos riscos. A NSA, em colaboração com o centro nacional de cibersegurança australiano e outras agências globais, publicou orientações que procuram antecipar problemas antes de estes se consolidarem nos ambientes OT. O documento, dirigido a responsáveis pela operação destes sistemas, reflete inquietações que também surgem na administração de TI.
A adoção de IA em redes OT de energia, tratamento de água, cuidados de saúde e indústria segue a mesma lógica observada noutros contextos tecnológicos: otimizar e automatizar processos para melhorar o rendimento e reduzir tempos de paragem. O alerta surge porque muitas organizações estão a incorporar uma tecnologia ainda pouco amadurecida sem avaliar devidamente as suas limitações.
Nas orientações agora divulgadas, as agências utilizam o modelo Purdue para enquadrar riscos associados aos sistemas de controlo industrial. Entre as preocupações referidas estão ataques por injeção de instruções adversárias, contaminação de dados, recolha excessiva de informação que compromete a segurança e a chamada deriva de IA, situação em que os modelos perdem precisão à medida que os dados reais se afastam do conjunto de treino. As entidades recordam ainda que a falta de explicabilidade pode tornar mais difícil diagnosticar erros, que a evolução rápida da tecnologia desafia requisitos de conformidade e que o uso intensivo de IA pode reduzir a qualificação humana, criando uma dependência difícil de inverter. As próprias notificações geradas por IA podem causar distração e sobrecarga cognitiva nos operadores.
A propensão de tecnologias como chatbots e modelos de linguagem para produzirem respostas incorretas levanta dúvidas adicionais. Os autores do documento avisam que estes sistemas podem não ter robustez suficiente para decisões críticas em ambientes industriais, pelo que não devem ser utilizados para funções relacionadas com segurança. Este ponto reforça a distinção entre TI e OT, já que as redes operacionais são intrinsecamente sensíveis a falhas e o espaço para erro é muito reduzido.
A relevância destas orientações não se limita ao contexto norte-americano, sendo igualmente pertinente para países como Portugal, onde a digitalização de setores essenciais avança a ritmo elevado. A adoção de IA em ambientes industriais nacionais poderá trazer ganhos operacionais, mas só se acompanhada por avaliações de risco rigorosas e por uma supervisão contínua. Para isso, será importante que as autoridades portuguesas acompanhem estas recomendações internacionais e que as empresas monitorizem de perto o impacto da integração de IA nas suas redes OT. O objetivo é garantir que a modernização tecnológica não introduz vulnerabilidades que possam comprometer a segurança das operações e a resiliência das infraestruturas críticas do país.
