Nadszedł czas, aby zastąpić tradycyjne podejście do cyberbezpieczeństwa „inteligentniejszą” technologią i szkoleniami.
Już od kilku lat cyberprzestępcy wykorzystują sztuczną inteligencję do włamywania się do systemów korporacyjnych i zakłócania operacji biznesowych. Jednak najnowsze potężne narzędzia generatywnej sztucznej inteligencji, takie jak ChatGPT, stawiają przed liderami biznesu nowe wyzwania.
Rozważ te całkowicie prawdopodobne scenariusze:
Haker używa ChatGPT do generowania spersonalizowanej wiadomości typu spear phishing na podstawie materiałów marketingowych twojej firmy i wiadomości phishingowych, które przyniosły skutek w przeszłości. Udaje się oszukać ludzi, mimo że byli oni dobrze przeszkoleni w zakresie świadomości użytkowania poczty e‑mail, ponieważ wiadomość nie wygląda na podejrzaną; taką, w której wykrywaniu zostali przeszkoleni.
Bot AI dzwoni do pracownika odpowiedzialnego za rozliczenia i mówi głosem (głęboko fałszywym), który brzmi jak głos szefa. Po wymianie uprzejmości „szef” prosi pracownika o przelanie tysięcy dolarów na konto w celu „opłacenia faktury”. Pracownik wie, że nie powinien tego robić, ale szef ma przecież pełne prawo prosić o wyjątki.
Hakerzy wykorzystują sztuczną inteligencję do zafałszowania informacji w systemie, tworząc cenny portfel akcji, który mogą spieniężyć, zanim oszustwo zostanie odkryte.
W bardzo przekonującej fałszywej wymianie korespondencji e‑maili, stworzonej przy użyciu generatywnej sztucznej inteligencji, kadra kierownicza firmy stara się uzgodnić, jak zatuszować problemy finansowe. Wiadomość o „wycieku” rozprzestrzenia się jednak w błyskawicznym tempie przy pomocy armii botów mediów społecznościowych, co prowadzi do gwałtownego spadku kursu akcji firmy i trwałego uszczerbku na reputacji.
Mogą one brzmieć zbyt znajomo dla tych, którzy zwracają uwagę na historie o deepfake'ach siejących spustoszenie w mediach społecznościowych lub bolesnych naruszeniach korporacyjnych systemów informatycznych. Natura nowych zagrożeń należy jednak do innej, bardziej przerażającej kategorii, ponieważ technologia leżąca u ich podstaw stała się „inteligentniejsza”.
Do tej pory większość ataków wykorzystywała stosunkowo niewyrafinowane podejścia na dużą skalę. Wyobraź sobie hordę zombie — miliony uporczywych, ale bezmyślnych zagrożeń, które odnoszą sukces tylko wtedy, gdy jeden lub dwa trafią w słaby punkt bariery obronnej. Natomiast najbardziej wyrafinowane zagrożenia — największe kradzieże i oszustwa, o których czasami słyszymy w prasie — to ataki o mniejszej skali, które zwykle wymagają znacznego zaangażowania człowieka, aby były skuteczne. Przypominają raczej działanie włamywaczy, którzy konsekwentnie badają każdy element budynku i jego systemy alarmowe, dopóki nie znajdą sposobu na ominięcie zabezpieczeń. Lub są jak oszuści, którzy potrafią stworzyć historię i kłamać tak przekonująco, że udaje im się przekonać nawet inteligentnych ludzi, aby dali im pieniądze.
Teraz wyobraź sobie, że zombie jednak myślą, a nawet stają się coraz mądrzejsze. Zasilane przez generatywną sztuczną inteligencję stają się włamywaczami, którzy są w stanie rozgryźć projekt twoich systemów bezpieczeństwa i wymyślić sposób ich obejścia. Albo wyobraź sobie oszusta używającego generatywnej sztucznej inteligencji do interakcji z jednym z twoich pracowników, budowania zaufania i oszukiwania go, kiedy już da się nabrać.
Ta nowa era złośliwego oprogramowania opartego na sztucznej inteligencji oznacza, że firmy są bezbronne, bo choć mogą stosować najlepsze praktyki w zakresie cyberbezpieczeństwa, to nie będą one już skuteczne tak jak jeszcze zaledwie kilka miesięcy temu. Dogłębna obrona — strategia polegająca na instalowaniu odpowiednich polityk bezpieczeństwa, wdrażaniu najlepszych narzędzi technicznych do zapobiegania i wykrywania oraz prowadzeniu kampanii uświadamiających, aby upewnić się, że pracownicy znają zasady bezpieczeństwa — już nie wystarczy. Nastała zupełnie inna era.
Wykorzystując kombinacje tekstu, głosu, grafiki i wideo, generatywna AI uwolni nieznane i innowacyjne sposoby hakowania firm.
Wykorzystując kombinacje tekstu, głosu, grafiki i wideo, generatywna AI uwolni nieznane i niepoznane innowacyjne sposoby hakowania. Skutecznej obrony przed tymi zagrożeniami nie da się jeszcze zautomatyzować. Twoja firma będzie musiała opracowywać strategię, która dostosowuje się do zagrożeń generowanych przez sztuczną inteligencję w czasie rzeczywistym. Będzie to wymagało zarówno inteligentniejszych technologii, jak i inteligentniejszych pracowników.
Użyj generatywnej sztucznej inteligencji przeciwko generatywnej sztucznej inteligencji
Najpierw rozważ zabezpieczenia obwodowe. Firmy używają już baz danych złośliwego oprogramowania do wykrywania nowych zagrożeń. Te bazy danych sygnatur złośliwego oprogramowania są stale odświeżane przez dostawców, ale nie są dostosowane do unikalnej sytuacji każdej firmy. Hakerzy używali wcześniej uniwersalnych exploitów (włamań do systemów firmy); teraz będą wykorzystywać sztuczną inteligencję do dostosowywania swoich exploitów do słabych punktów poszczególnych firm. Zwodnicze e‑maile będą próbowały złamać właściwe punkty nacisku; będą również bardzo wiarygodne, ponieważ język oparty na sztucznej inteligencji w nowych atakach phishingowych będzie wykorzystywać informacje publiczne, aby dostosować każdą wiadomość do docelowej firmy. Dlatego zamiast od razu odrzucić wiadomość e‑mail jako podejrzaną, nawet doświadczeni pracownicy są bardziej skłonni sprawdzić wystarczająco dużo szczegółów, chcąc przekonać się, że wiadomość jest uzasadniona.
OpenAI (twórca ChatGPT) i inni tworzą narzędzia takie jak GPTZero i ZeroGPT, które pozwolą firmom wykryć, czy nowo wygenerowany tekst (bez rozpoznawalnego podpisu) został stworzony przez generatywną AI. Poprzez zintegrowanie tych narzędzi z serwerami pocztowymi firmy mogą zwiększyć prawdopodobieństwo zablokowania automatycznych wiadomości phishingowych najnowszej generacji. Narzędzia te powinny być dostosowane do potrzeb każdej firmy i systematycznie dostrajane, aby zachować czujność, podobnie jak człowiek strażnik musi być na bieżąco z najnowszymi zagrożeniami. Z czasem producenci narzędzi bezpieczeństwa wprowadzą te technologie, ale w międzyczasie wiele firm naraża się na ryzyko włamania i poniesienia poważnych strat finansowych oraz utraty reputacji. Dlatego ważne jest, aby rozważyć wprowadzenie wewnętrznych zmian w krótkim czasie, zamiast czekać na gotowe rozwiązania na rynku, aby nadrobić zaległości.
Po drugie, wykrywanie cyberzagrożeń w czasie rzeczywistym musi się szybko poprawić. Wiele firm polega na wykrywaniu wzorców, aby odeprzeć ataki. Problem polega na tym, że wzorce są oparte na atakach, które już miały miejsce. Aby przeciwdziałać atakom napędzanym przez generatywną AI, potrzebna jest nowa era inteligentnego zapobiegania.
Aby przeciwdziałać cyberatakom napędzanym przez generatywną AI, potrzebna jest nowa era inteligentnego zapobiegania.
Generatywna AI ma potencjał, aby poprawić zdolność firm do szybkiego wykrywania anomalii w zachowaniach lub działaniach, przez pracowników lub w dowolnym miejscu w systemach firmowych. Zachowania pracowników — o których świadczy to, do jakich systemów się logują, jak wiele danych udostępniają i z kim komunikują się za pośrednictwem poczty elektronicznej — są zazwyczaj przewidywalne i dopasowane do ich zadań zawodowych. Można o tym myśleć jako o ich śladzie behawioralnym. Jeśli ślad ten ulegnie nagłej zmianie bez zmiany zakresu obowiązków, może to sygnalizować np. potencjalną próbę włamania lub niewłaściwe zachowanie pracownika. Korzystając z generatywnej AI w połączeniu z innymi narzędziami AI, firmy mogą następnie określić zakres szkód lub stwierdzić, że nie doszło do naruszenia. Nowe rozszerzenia i aplikacje zbudowane na fundamencie GPT‑4 zostały już ogłoszone, tym samym można się spodziewać, że nowe narzędzia bezpieczeństwa oparte na AI będą wkrótce dostępne.
Wyszkolenie ludzi do bardziej inteligentnych ataków
Świadome zachowania ludzkie pozostają kluczowe dla cyberbezpieczeństwa, ale ludzie nadal popełniają błędy. Wiele kampanii uświadamiających opisuje istniejące zagrożenia i podaje zestaw zasad, których należy przestrzegać: nie klikaj na linki, pamiętaj o używaniu silnych haseł i łataniu całego oprogramowania — aby wymienić tylko kilka z nich. Liczne coroczne badania branżowe wskazują jednak na pracowników jako najsłabsze ogniwo cyberochrony. Na przykład pracownicy centrów telefonicznych mogą zostać oszukani przez osoby, które posiadają wystarczającą ilość informacji lub stworzą odpowiedni rodzaj emocjonalnego przekazu. Według jednych szacunków aż 82% naruszeń dotyczy zachowań ludzkich.
W erze generatywnej sztucznej inteligencji szkolenie w zakresie świadomości musi zostać zmodyfikowane od zasad nakazujących określone zachowanie do gotowości do działania opartej na wiedzy, która pozwala pracownikom wykrywać nowe zagrożenia. Oznacza to, że pracownicy muszą wiedzieć wystarczająco dużo o hakowaniu, aby przejść od przestrzegania zasad do aktywnej obrony. Wraz z pojawieniem się generatywnych narzędzi AI tradycyjne polityki w zakresie bezpieczeństwa informacji straciły swoją przydatność; podejście oparte na dotychczasowych regułach nie jest już właściwe.
Przykładowo, kierowcy ciężarówek nie mogą zachować bezpieczeństwa jedynie poprzez przestrzeganie przepisów ruchu drogowego; muszą również dostosować się do warunków drogowych, na przykład zachowując większy dystans od innych pojazdów w czasie deszczu lub zwalniając we mgle. Podobnie pracownicy muszą stosować wiedzę sytuacyjną, aby oprzeć się nowym wyzwaniom związanym z bezpieczeństwem cybernetycznym, wynikającym z generatywnej AI. Wymaga to od firm wyjścia poza szkolenie pracowników w zakresie tego, co robić, a czego nie robić. Muszą również pomóc im zrozumieć, jak zachować bezpieczeństwo w bardzo wymagających nowych realiach.
Firmy muszą odejść od dotychczasowej strategii opartej na zgodności z przepisami na rzecz takiej, w której rozwijane są nowe umiejętności pracowników. Może to wymagać szkolenia prowadzonego przez instruktora, osobiście lub online, aby przekazać i rozwinąć wiedzę, która wykracza poza tradycyjne zasady. Obecne, uniwersalne szkolenie, nawet jeśli kończy się quizem sprawdzającym, jest pasywne. Era AI wymaga takich szkoleń, które oswajają pracowników z rzeczywistymi lub potencjalnymi scenariuszami i obejmują dyskusje na żywo dotyczące sposobów reagowania.
Poza grą w obronie poprzez szkolenie świadomości pracowników firmy muszą również podążać za mądrością Sun Tzu, że „obrona to planowanie ataku”. Wyobraź sobie najgorszy scenariusz; pomyśl o tym, co wręcz nie mieści się w głowie. Wykorzystaj modele oparte na sztucznej inteligencji do stawiania hipotez na temat potencjalnych kierunków zagrożeń lub czynników wyzwalających, na które należy zwrócić uwagę. Utwórz jednostkę specjalną ze swoich najlepszych informatyków, a nawet ekspertów z innych firm, aby przeprowadzić burzę mózgów na temat tego, jak hakerzy mogliby potencjalnie przeniknąć przez twoje zabezpieczenia. Następnie znajdź sposoby na poprawę możliwości technicznych i świadomości pracowników w zakresie takich zdarzeń. Jedno z badań wykazało, że firmy odchodzą od tradycyjnego podejścia do cybernetycznych gier wojennych, opartego na zasadzie „czerwona drużyna / niebieska drużyna” (atak/obrona), i zamiast tego przyjmują bardziej zespołowe podejście „purpurowej drużyny”, aby lepiej zrozumieć pojawiające się metody ataków i dowiedzieć się, co działa, a co nie.
Najlepszą obroną przed hakerami napędzanymi przez AI będzie prawdopodobnie obrona oparta na informacjach o AI. Oznacza to nie tylko szybsze i solidniejsze strategie obronne, ale także prawdziwie inteligentne strategie dla twojej technologii i twoich ludzi. Nie pokonasz inteligentnych zombie, stawiając wyższe płoty. Możesz jednak wzbogacić swoją tradycyjną obronę o nowe narzędzia napędzane przez AI, a także przemyśleć swoje tradycyjne metody ochrony i prowadzenia szkoleń. W nowym, niebezpiecznym świecie HackGPT powinieneś zacząć działać już teraz, aby zapewnić bezpieczeństwo swojej firmie.
