Nadszedł czas, aby zastąpić tradycyjne podejście do cyberbezpieczeństwa „inteligentniejszą” technologią i szkoleniami.
Już od kilku lat cyberprzestępcy wykorzystują sztuczną inteligencję do włamywania się do systemów korporacyjnych i zakłócania operacji biznesowych. Jednak najnowsze potężne narzędzia generatywnej sztucznej inteligencji, takie jak ChatGPT, stawiają przed liderami biznesu nowe wyzwania.
Rozważ te całkiem prawdopodobne scenariusze:
Haker używa ChatuGPT do generowania spersonalizowanej wiadomości typu spear phishing na podstawie materiałów marketingowych twojej firmy i wiadomości phishingowych, które przyniosły skutek w przeszłości. Udaje się oszukać ludzi, mimo że byli oni dobrze przeszkoleni w zakresie świadomości użytkowania poczty e‑mail, ponieważ wiadomość nie wygląda na podejrzaną; taką, w której wykrywaniu zostali przeszkoleni.
Bot AI dzwoni do pracownika odpowiedzialnego za rozliczenia i mówi głosem (fałszywym), który brzmi jak głos szefa. Po wymianie uprzejmości „szef” prosi pracownika o przelanie tysięcy dolarów na konto w celu „opłacenia faktury”. Pracownik wie, że nie powinien tego robić, ale szef ma przecież pełne prawo prosić o wyjątki.
Hakerzy wykorzystują sztuczną inteligencję do zafałszowania informacji w systemie, tworząc cenny portfel akcji, który mogą spieniężyć, zanim oszustwo zostanie odkryte.
W bardzo przekonującej fałszywej wymianie korespondencji e‑maili, stworzonej przy użyciu generatywnej sztucznej inteligencji, kadra kierownicza firmy stara się uzgodnić, jak zatuszować problemy finansowe. Wiadomość o „wycieku” rozprzestrzenia się jednak w błyskawicznym tempie za pomocą armii botów mediów społecznościowych, co prowadzi do gwałtownego spadku kursu akcji firmy i trwałego uszczerbku na reputacji.
Te scenariusze mogą brzmieć znajomo dla tych, którzy zwracają uwagę na historie o tzw. deepfake’ach siejących spustoszenie w mediach społecznościowych lub o bolesnych naruszeniach korporacyjnych systemów informatycznych. Natura nowych zagrożeń należy jednak do innej, bardziej przerażającej kategorii, ponieważ technologia leżąca u ich podstaw stała się „inteligentniejsza”.
Do tej pory większość ataków wykorzystywała stosunkowo niewyrafinowane podejścia na dużą skalę. Wyobraź sobie hordę zombie – miliony uporczywych, ale bezmyślnych zagrożeń, które odnoszą sukces tylko wtedy, gdy jeden lub dwa trafią w słaby punkt bariery obronnej. Natomiast najbardziej wyrafinowane zagrożenia – największe kradzieże i oszustwa, o których czasami słyszymy w prasie – to ataki o mniejszej skali, które zwykle wymagają znacznego zaangażowania człowieka, aby były skuteczne. Przypominają raczej działanie włamywaczy, którzy konsekwentnie badają każdy element budynku i jego systemy alarmowe, dopóki nie znajdą sposobu na ominięcie zabezpieczeń. Mogą też być jak oszuści, którzy potrafią stworzyć historię i kłamać tak przekonująco, że udaje im się skłonić nawet inteligentnych ludzi, aby dali im pieniądze.
Teraz wyobraź sobie, że zombie jednak mają zdolność myślenia, a nawet stają się coraz mądrzejsze. Zasilane przez generatywną sztuczną inteligencję stają się włamywaczami, którzy są w stanie rozgryźć projekt twoich systemów bezpieczeństwa i wymyślić sposób ich obejścia. Albo wyobraź sobie oszusta używającego generatywnej sztucznej inteligencji do interakcji z jednym z twoich pracowników, budowania zaufania i oszukiwania go, kiedy już da się nabrać.
Ta nowa era złośliwego oprogramowania opartego na sztucznej inteligencji oznacza, że firmy są bezbronne, bo choć mogą stosować najlepsze praktyki w zakresie cyberbezpieczeństwa, to nie będą one już tak skuteczne jak jeszcze zaledwie kilka miesięcy temu. Dogłębna obrona – strategia polegająca na wdrażaniu odpowiedniej polityki bezpieczeństwa, używaniu najlepszychnarzędzi technicznych do zapobiegania atakom i wykrywaniu ich oraz oraz prowadzeniu kampanii uświadamiających, aby upewnić się, że pracownicy znają zasady bezpieczeństwa – już nie wystarczy. Nastała zupełnie nowa era.
Wykorzystując kombinacje tekstu, głosu, grafiki i wideo, generatywna AI uwolni nieznane i niepoznane innowacyjne sposoby hakowania. Skutecznej obrony przed tymi zagrożeniami nie da się jeszcze zautomatyzować. Twoja firma będzie musiała opracowywać strategię, która dostosowuje się do zagrożeń generowanych przez sztuczną inteligencję w czasie rzeczywistym. Będzie to wymagało zarówno inteligentniejszych technologii, jak i inteligentniejszych pracowników.
Użyj generatywnej AI przeciwko generatywnej AI
Najpierw rozważ zabezpieczenia obwodowe. Firmy używają już baz danych sygnatur złośliwego oprogramowania do wykrywania nowych zagrożeń. Te bazy są stale odświeżane przez dostawców, ale nie są dostosowane do unikalnej sytuacji każdej firmy. Hakerzy używali wcześniej uniwersalnych exploitów (włamań do systemów firmy); teraz będą wykorzystywać sztuczną inteligencję do dostosowywania swoich exploitów do słabych punktów poszczególnych firm. Zwodnicze e‑maile będą próbowały złamać właściwe punkty nacisku; będą również bardzo wiarygodne, ponieważ język oparty na sztucznej inteligencji w nowych atakach phishingowych będzie wykorzystywać informacje publiczne, aby dostosować każdą wiadomość do docelowej firmy. Dlatego zamiast od razu odrzucić wiadomość e‑mail jako podejrzaną, nawet doświadczeni pracownicy są bardziej skłonni sprawdzić wystarczająco dużo szczegółów, chcąc przekonać się, że wiadomość jest uzasadniona.
OpenAI, twórca ChatuGPT, i inni dostarczają narzędzi, takich jak GPTZero i ZeroGPT, które pozwolą firmom wykryć, czy nowo wygenerowany tekst (bez rozpoznawalnego podpisu) został stworzony przez generatywną AI. Poprzez zintegrowanie tych narzędzi z serwerami pocztowymi firmy mogą zwiększyć prawdopodobieństwo zablokowania automatycznych wiadomości phishingowych najnowszej generacji. Narzędzia te powinny być dostosowane do potrzeb każdej firmy i systematycznie dostrajane, aby zachować czujność, podobnie jak człowiek strażnik musi być na bieżąco z najnowszymi zagrożeniami. Z czasem producenci narzędzi bezpieczeństwa wprowadzą te technologie, ale w międzyczasie wiele firm naraża się na ryzyko włamania i poniesienia poważnych strat finansowych oraz utraty reputacji. Dlatego ważne jest, aby rozważyć wprowadzenie wewnętrznych zmian jak najszybciej, zamiast czekać na gotowe rozwiązania i potem nadrabiać zaległości.
Ponadto musi się poprawić wykrywalność zagrożeń w czasie rzeczywistym. Wiele firm polega na wykrywaniu wzorców, aby odeprzeć ataki. Problem w tym, że wzorce są oparte na atakach, które już miały miejsce. Aby przeciwdziałać atakom napędzanym przez generatywną AI, potrzebna jest nowa era inteligentnego zapobiegania.
Generatywna AI ma potencjał, aby poprawić zdolność firm do szybkiego wykrywania anomalii w zachowaniach lub działaniach pracowników lub w dowolnym miejscu w systemach firmowych. Zachowania pracowników – o których świadczy to, do jakich systemów się logują, jak wiele danych udostępniają i z kim komunikują się za pośrednictwem poczty elektronicznej – są zazwyczaj przewidywalne i dopasowane do ich obowiązków zawodowych. Można o tym myśleć jako o ich śladzie behawioralnym. Jeśli ślad ten ulegnie nagłej zmianie bez zmiany zakresu obowiązków, może to sygnalizować np. potencjalną próbę włamania lub niewłaściwe zachowanie pracownika. Korzystając z generatywnej AI w połączeniu z innymi narzędziami AI, firmy mogą następnie określić zakres szkód lub stwierdzić, że nie doszło do naruszenia. Nowe rozszerzenia i aplikacje zbudowane na fundamencie GPT‑4 zostały już ogłoszone, tym samym można się spodziewać, że nowe narzędzia bezpieczeństwa oparte na AI będą wkrótce dostępne.
Przygotuj ludzi na inteligentniejsze ataki
Świadome zachowania ludzkie pozostają kluczowe dla cyberbezpieczeństwa, ale ludzie nadal popełniają błędy. Wiele kampanii uświadamiających opisuje istniejące zagrożenia i podaje zestaw zasad, których należy przestrzegać: nie klikaj w linki, pamiętaj o używaniu silnych haseł i łataniu całego oprogramowania – to tylko niektóre nich. Liczne coroczne badania branżowe wskazują jednak na pracowników jako najsłabsze ogniwo cyberbezpieczeństwa. Na przykład pracownicy centrów telefonicznych mogą zostać oszukani przez osoby, które posiadają wystarczającą ilość informacji lub stworzą odpowiedni rodzaj emocjonalnego przekazu. Według szacunków aż 82% naruszeń dotyczy zachowań ludzkich.
W erze generatywnej sztucznej inteligencji szkolenie w zakresie świadomości musi zostać zmodyfikowane od zasad nakazujących określone zachowanie do gotowości do działania opartego na wiedzy, która pozwala pracownikom wykrywać nowe zagrożenia. Oznacza to, że pracownicy muszą wiedzieć wystarczająco dużo o hakowaniu, aby przejść od przestrzegania zasad do aktywnej obrony. Wraz z pojawieniem się generatywnych narzędzi AI tradycyjne formy polityki w zakresie bezpieczeństwa informacji straciły swoją przydatność; podejście oparte na dotychczasowych regułach nie jest już właściwe.
Przykładowo, kierowcy ciężarówek nie mogą zachować bezpieczeństwa jedynie poprzez przestrzeganie przepisów ruchu drogowego; muszą również dostosować się do warunków drogowych, na przykład zachowując większy dystans od innych pojazdów w czasie deszczu lub zwalniając we mgle. Podobnie pracownicy muszą stosować wiedzę sytuacyjną, aby oprzeć się nowym wyzwaniom związanym z bezpieczeństwem cybernetycznym, wynikającym z generatywnej AI. Wymaga to od firm wyjścia poza szkolenie pracowników w zakresie tego, co robić, a czego nie robić. Muszą również pomóc im zrozumieć, jak zachować bezpieczeństwo w nowych, bardzo wymagających realiach.
Generatywna AI ma potencjał, aby poprawić zdolność firm do szybkiego wykrywania anomalii w zachowaniach lub działaniach pracowników lub w dowolnym miejscu w systemach firmowych.
Firmy muszą odejść od dotychczasowej strategii opartej na zgodności z przepisami na rzecz takiej, w której rozwijane są nowe umiejętności pracowników. Może to wymagać szkolenia prowadzonego przez instruktora, osobiście lub online, aby przekazać i rozwinąć wiedzę, która wykracza poza tradycyjne zasady. Obecnie uniwersalne szkolenie, nawet jeśli kończy się testem sprawdzającym, jest pasywne. Era AI wymaga takich szkoleń, które oswajają pracowników z rzeczywistymi lub potencjalnymi scenariuszami i obejmują dyskusje na żywo dotyczące sposobów reagowania.
Poza grą w obronie poprzez szkolenie świadomości pracownicy firmy muszą również podążać za mądrością Sun Tzu, który stwierdził przed wiekami, że „obrona to planowanie ataku”. W tym celu wykonaj następujące kroki:
Wyobraź sobie najgorszy scenariusz i pomyśl o tym, co wręcz nie mieści się w głowie.
Wykorzystaj modele oparte na sztucznej inteligencji do stawiania hipotez na temat potencjalnych zagrożeń lub czynników wyzwalających, na które należy zwrócić uwagę.
Utwórz jednostkę specjalną ze swoich najlepszych informatyków, a nawet ekspertów z innych firm, aby przeprowadzić burzę mózgów na temat tego, jak hakerzy mogliby potencjalnie przeniknąć przez twoje zabezpieczenia.
Znajdź sposoby na poprawę możliwości technicznych i rozbudzenie świadomości pracowników w zakresie takich zdarzeń.
Jedno z badań wykazało, że firmy odchodzą od tradycyjnego podejścia do cybernetycznych gier wojennych, opartego na zasadzie „czerwona drużyna / niebieska drużyna” (atak/obrona), i zamiast tego przyjmują bardziej zespołowe podejście „purpurowej drużyny”, aby lepiej zrozumieć pojawiające się metody ataków i dowiedzieć się, co działa, a co nie.
Najlepszą obroną przed hakerami wspieranymi przez AI będzie prawdopodobnie obrona oparta na informacjach o AI. Oznacza to nie tylko szybsze i solidniejsze strategie obronne, ale także prawdziwie inteligentne strategie dla twojej technologii i twoich ludzi. Nie pokonasz inteligentnych zombie, stawiając wyższe płoty. Możesz jednak wzbogacić swoją tradycyjną obronę o nowe narzędzia napędzane przez AI, a także przemyśleć swoje tradycyjne metody ochrony i prowadzenia szkoleń. W nowej, niebezpiecznej erze HackGPT powinieneś zacząć działać już teraz, aby zapewnić bezpieczeństwo swojej firmie.
