ASIC ha advertido que la IA de frontera podría exponer las vulnerabilidades cibernéticas más rápidamente y crear nuevos riesgos para las entidades reguladas.
La Comisión Australiana de Valores e Inversiones ha instado a las entidades reguladas a fortalecer la resiliencia cibernética, advirtiendo que la inteligencia artificial de vanguardia podría intensificar los riesgos cibernéticos al exponer vulnerabilidades a mayor velocidad, escala y sofisticación.
En una carta abierta a la industria, ASIC dijo que los licenciatarios y operadores del mercado deberían actuar ahora para mejorar los fundamentos de su ciberseguridad en lugar de esperar a que herramientas avanzadas de IA remodelen el entorno de amenazas. El regulador dijo que la ciberresiliencia debería tratarse como una obligación fundamental de la concesión de licencias, no exclusivamente como una cuestión de TI.
La comisionada de ASIC, Simone Constant, dijo que la IA de vanguardia crea oportunidades pero también aumenta materialmente el riesgo cibernético, incluso al exponer las debilidades más rápido de lo que muchas organizaciones se dan cuenta. Advirtió que las vulnerabilidades que alguna vez se consideraron aisladas podrían tener efectos en todo el sistema y permitir formas de explotación que antes estaban fuera del alcance de muchos actores maliciosos.
La carta sigue al reciente fallo del tribunal de ASIC contra FIIG Securities Limited, que según el regulador refuerza la necesidad de que los controles de gestión de riesgos cibernéticos sean demostrablemente efectivos y proporcionales al tamaño, la naturaleza y la complejidad de una empresa.
ASIC insta a las entidades a reevaluar los planes cibernéticos, identificar y proteger los sistemas críticos, reducir la exposición a redes no confiables, revisar el acceso de los usuarios, parchear los sistemas con prontitud, fortalecer la planificación de respuesta a incidentes y gestionar los riesgos de terceros. También dice que las organizaciones deberían utilizar la IA de forma defensiva cuando sea apropiado, incluso para identificar vulnerabilidades y proteger el software antes de su lanzamiento.
Afirma constantemente que las entidades necesitan planes sólidos de respuesta a incidentes y que los principios subyacentes de la gestión del riesgo cibernético siguen siendo los mismos: gobernar, proteger, detectar y responder. También dijo que las juntas directivas y los ejecutivos deben garantizar que los sistemas se prueben, las debilidades se aborden con prontitud y se tomen medidas antes de que se puedan explotar las amenazas.
ASIC dice que las entidades deben presentar la carta a la junta final y a los comités de gobernanza de riesgos. También alienta a las entidades reguladas a utilizar la orientación de fuentes confiables, incluida la Dirección de Señales de Australia y el Cyber Health Check del gobierno australiano.
¿Por qué es esto importante?
La advertencia de la ASIC muestra que los reguladores financieros están empezando a ver la IA de vanguardia como un multiplicador de la fuerza del riesgo cibernético, no solo una cuestión tecnológica. Al enmarcar la resiliencia cibernética como un requisito de gobernanza y licencia a nivel de junta directiva, el regulador señala que las empresas pueden ser juzgadas no solo por si experimentan incidentes cibernéticos, sino también por si sus controles, procesos de escalamiento y planificación de resiliencia son proporcionales a un entorno de amenazas acelerado por la IA.
¿Quieres saber más sobre inteligencia artificial, tecnología y diplomacia digital? Si es así, ¡pregúntale a nuestro chatbot Diplo!
