CGD diz que está em contacto com fornecedor que tem acesso ao modelo Mythos da Anthropic

Tal como vários grandes bancos na Europa e nos Estados Unidos, a Caixa Geral de Depósitos (CGD) revelou estar em contacto com um fornecedor norte americano que está a realizar os testes com o modelo de Inteligência Artificial (IA) Claude Mythos Preview, da Anthropic. A novidade foi divulgada durante a apresentação dos resultados do primeiro trimestre, que decorreu na passada sexta-feira (dia 8), em Lisboa.

Os responsáveis da CGD adiantaram que o banco tem um programa de actualização permanente dos seus sistemas de informação e que participa regularmente em reuniões com o Banco de Portugal e com o Centro Nacional de Cibersegurança.

A ferramenta Claude Mythos Preview, da Anthropic, capaz de encontrar milhares de vulnerabilidades de elevada gravidade, incluindo algumas presentes nos principais sistemas operativos e navegadores web, está a obrigar os bancos de todo o mundo a reforçar as suas defesas de cibersegurança.

Segundo um artigo divulgado esta semana pela agência de rating Standard & Poor’s (S&P), “para os bancos, o Mythos deve servir de alerta para acelerar a modernização das suas plataformas e a transição de modelos estáticos de cibersegurança para um acompanhamento dinâmico, mecanismos automatizados de resposta e infra-estruturas tecnológicas capazes de se adaptar rapidamente às mudanças”, afirmou Radi El Haj, CEO da RS2, fornecedora de infra-estruturas de processamento de pagamentos e serviços tecnológicos.

“O mais importante é o tempo de reacção. Haverá sempre hackers a atacar, mas o que importa é a rapidez com que se consegue reagir”, disse El Haj numa entrevista.

O Mythos revelou que “as abordagens existentes para a divulgação coordenada de vulnerabilidades e implementação de ‘patches’ estão a ser postas em causa e podem tornar-se estruturalmente inadequadas”, disse um porta-voz da Agência da União Europeia para a Cibersegurança (ENISA) à S&P Global Market Intelligence.

“As instituições precisam de realizar uma análise de lacunas nas suas plataformas actuais para identificar possíveis fragilidades à luz do novo modelo”, disse El Haj. “A partilha de informação e a cooperação com concorrentes, empresas de outros sectores e autoridades serão também fundamentais para ‘se manterem na dianteira’, à medida que aumentam as ameaças cibernéticas ligadas à IA”, acrescentou.

• Banco de Portugal vai realizar testes de cibersegurança avançada

A S&P refere que os “reguladores nos EUA, Reino Unido e União Europeia já realizaram discussões com dirigentes bancários para avaliar as capacidades do modelo e possíveis melhorias em cibersegurança. Ainda assim, o acesso ao Mythos continua limitado, uma vez que a Anthropic lançou inicialmente o modelo para 40 empresas seleccionadas que faziam parte do projecto Glasswing, sendo o JPMorgan Chase & Co. o único banco incluído”.

“Executivos da Morgan Stanley, Goldman Sachs Group Inc. e Bank of New York Mellon Corp. confirmaram que também conseguiram acesso ao modelo desde então. Até 8 de Maio, os bancos da zona euro ainda não tinham acesso”, disse uma fonte com conhecimento do assunto à Market Intelligence. Um porta-voz do Banco de Inglaterra recusou comentar se algum banco do Reino Unido tem acesso ao modelo.

A CGD referiu na sexta-feira que o acesso ao Mythos está a ser feito através de contactos com os seus fornecedores norte-americanos.

O Grupo ING, dos Países Baixos, está “a acompanhar de perto os desenvolvimentos do mercado em capacidades cibernéticas ofensivas e defensivas potenciadas por IA” e está a dialogar com fornecedores seleccionados dentro do consórcio Glasswing — composto por empresas com acesso ao modelo — “para implementar controlos imediatos de compensação”, disse um porta-voz à Market Intelligence.

O maior banco dos Países Baixos está também a rever a sua “postura de segurança relativamente às dependências de cadeias de fornecimento de terceiros e software” e o seu “ciclo de vida de gestão de vulnerabilidades, de forma a reduzir ainda mais o tempo entre a descoberta e a resposta”, acrescentou o porta-voz.

O UBS encontra-se numa posição semelhante, mantendo contacto próximo com parceiros tecnológicos envolvidos nos testes do modelo, e o banco suíço será “capaz de implementar todas as medidas necessárias para proteger os nossos activos”, afirmou o CEO Sergio Ermotti durante uma teleconferência de resultados, a 29 de Abril. Segundo o responsável, esta continuará a ser uma questão importante, que exige “muitos investimentos e recursos”, tanto em termos tecnológicos como humanos.

“O ciberrisco é actualmente tão importante quanto o risco de crédito e de mercado”, observou Ermotti.

A Associação dos Bancos Alemães (BdB) está em “diálogo contínuo” com os especialistas em cibersegurança dos seus membros, com o Ministério Federal das Finanças, a autoridade financeira de supervisão BaFin, o banco central alemão, bem como com instituições europeias e internacionais relativamente ao Mythos, disse um porta-voz do BdB à Market Intelligence.

“Os bancos já operam com um elevado nível de preparação em cibersegurança e trabalham continuamente para reforçar ainda mais as suas defesas”, concluiu o porta-voz do BdB.