Principal banco brasileiro testa criptografia homomórfica em dados financeiros
O Banco Bradesco, S.A., uma importante instituição financeira brasileira, tem trabalhado no último ano com a IBM Research para aplicar uma técnica chamada criptografia homomórfica aos dados bancários. O piloto mostrou que era possível aplicar algoritmos de aprendizado de máquina a dados criptografados sem descriptografá-los, criando um novo nível de privacidade que poderia ser aplicado a outras indústrias.
O aprendizado de máquina é frequentemente usado em bancos e finanças para prever cenários como fraude de transações ou resultados de investimento. Isso normalmente envolve vastas reservas de dados, muitos dos quais são sensíveis, mas devem ser descriptografados antes de processar, expondo dados confidenciais a exfiltração e vazamentos.
A ideia por trás da criptografia homomórfica (HE), agora emergindo em aplicativos da vida real como este, é manter os dados criptografados enquanto estão sendo processados. Esse tipo de criptografia foi proposto pela primeira vez na década de 1970; Foi só em 2009 que o cientista da IBM Craig Gentry criou o primeiro sistema de criptografia totalmente homomórfico. Ele é baseado na matemática das treliças e, dizem os pesquisadores, protege a confidencialidade de dados de ataques complexos – até mesmo por computadores quânticos.
“No passado, usamos criptografia para transmitir dados”, diz Flavio Bergamaschi, pesquisador da IBM e principal autor do projeto. Quando você compra online e digita o número do seu cartão de crédito, ele é criptografado para transferência, mas deve ser descriptografado para fazer qualquer coisa com ele. O número é criptografado quando armazenado em um disco, mas deve ser descriptografado para agir sobre ele.
Bergamaschi diz que a HE protege informações do que ele chama de modelo de ameaça “honesto, mas curioso”. Uma entidade que realiza computação pode ser legítima, mas ao mesmo tempo curiosa sobre suas informações: Quando você pergunta a um serviço em nuvem quanto tempo leva para chegar ao trabalho, ou onde fica a cafeteria mais próxima, você revela fatores como onde você está e para onde você está indo. A máquina que coleta esses dados pode então criar um gráfico de todos cujos dados ele possui.
Com o HE, essas máquinas podem executar cálculos enquanto os dados permanecem criptografados. Como resultado, a entidade pode agir sobre dados sem coletar ou armazenar qualquer informação sensível. Ele não impedirá violações de dados, mas impedirá que ladrões de dados adusutilizem informações utilizáveis. A tecnologia chegou agora a um “ponto de inflexão” no qual está pronta para uso prático.
Durante seu projeto piloto com o Banco Bradesco, o objetivo dos cientistas era olhar para a atividade bancária de um titular de conta em uma janela de tempo e usar aprendizado de máquina, prever com boa precisão se o titular da conta precisaria de um empréstimo nos próximos três meses.
O primeiro passo foi usar o HE para criptografar dados de transações, bem como o modelo de previsão baseado em machine learning. Analistas financeiros geralmente apontam fatores no histórico financeiro de alguém para fazer esses tipos de previsões, explica a IBM em um post no blog. Os cientistas mostraram que poderiam fazer previsões usando dados criptografados com a mesma precisão que com dados não criptografados.
“Uma vez provado que poderíamos alcançar o mesmo nível de precisão, olhamos para: ‘Podemos agora treinar ou retreinar o modelo usando novos dados de transação que permanecem criptografados?’”, diz Bergamaschi sobre o processo. “Ao fazê-lo, limitamos a chance de exfiltração de dados.” A equipe foi capaz de treinar o modelo usando dados criptografados, demonstrando o uso do HE para manter a privacidade e confidencialidade dos dados enquanto executava algoritmos sobre ele.
Lições Aprendidas
O piloto, que funcionou de janeiro a julho de 2019, deu algumas lições-chave. “Tem sido muito educativo no sentido de que tivemos que trabalhar com muitos grupos que têm diferentes níveis de compreensão da privacidade, segurança e matemática por trás de tudo”, diz Bergamaschi. “Ser capaz de interagir com todos eles, e tentar consumar toda a matemática e criptografia foi interessante.”
Os cientistas também tiveram que considerar cada aspecto de seu fluxo de trabalho e como proteger os dados em diferentes cenários. Ser capaz de gerenciar chaves de criptografia foi um deles; outro era garantir ambientes seguros quando os pesquisadores tinham resultados e queriam descriptografá-los.
O setor bancário não é a única indústria onde o HE pode ser aplicado. “Há uma infinidade de casos de uso que estamos apenas arranhando a superfície”, acrescenta Bergamaschi. Indústrias como governo e saúde, onde a privacidade de dados é uma prioridade máxima, poderiam se beneficiar do uso do HE. A IBM Research continuará trabalhando com o Banco Bradesco para aplicar o HE em dados financeiros, diz ele.
Podemos não saber a extensão de onde e como ele pode ser usado. “Imagine o que você poderia fazer que você não faz hoje, se você pudesse fazer o cálculo sobre dados criptografados”, acrescenta Bergamaschi. Muitas das atividades empresariais exigem compartilhamento de informações, mas o compartilhamento de informações só é feito em uma base de necessidade de saber. “Há muitas coisas que não fazemos porque não estamos preparados para compartilhar as informações em seu formato bruto”, diz ele.
Conteúdo relacionado:
- 6 Métricas exclusivas do InfoSec OS CISOs devem acompanhar em 2020
- Avaliando o risco de cibersegurança na enterprise de hoje
- 7 ferramentas gratuitas para melhor visibilidade em sua rede
- Repensando a Defesa de Dados Corporativos