Всеки човек може да се окаже проводник на кибератака – в офиса, в университета или училището, в дома. Предвид усъвършенстваните умения на AI и хитрите начини, по които злонамерените лица ги използват, състоянието на кибербезопасността се върна обратно там, където беше преди години: човекът е най-слабото звено в защитата. Промяната, която настъпва, е голяма, и тя не засяга само ИТ.
Можем ли да различим гласа на шефа във фирмата от неговия клонинг, направен чрез AI? Можем ли да различим снимка на свой братовчед или друг роднина от нейна имитация, генерирана от алгоритъм? А можем ли да разберем кога една новина е фалшива? Всички си мислят, че могат. На практика мнозина ще сгрешат.
Новото поколение генеративни инструменти, които клонират човешки гласове, статични и динамични образи, са изключително сполучливи и стават все по-съвършени, а потребителите от младото поколение не са достатъчно подозрителни към всички и всичко, стана ясно от дискусионния панел на форума CEE Cybersecurity Forum, организиран от ИТ консултантската компания Crayon във Варшава, който се проведе в присъствен и онлайн формат.
AI срещу новото поколение
Възходът на AI изисква от нас постоянно да се учим – на практика това технологично развитие следва добре познатата траектория, която вече сме виждали при всички други технологии с появата им, както стана със социалните мрежи преди време: отначало сме любопитни, после я използваме за забавление, след това се намират начини да се прави бизнес чрез новата технология и не след дълго тя репродуцира всичко човешко, и доброто, и лошото, коментира Егемен Кону, директор корпоративни клиенти в Zertu, компания на HPE.
Затова е важно хората да имат базови умения за преценка и здравословна доза недоверчивост към видяното и прочетеното. Важен си остава проблемът с източника на информацията, който трябва да се проверява, допълни Кону.
Всеки човек трябва да се замисля как взаимодейства с AI и каква лична информация споделя навън към света, каза Александър Вара, търговски директор технически услуги в Crayon. Това се отнася и за служителя в коя да е организация, и за дома и семейството.
Трябва най-сетне да разберем, че киберсигурността изобщо не е ИТ проблем, обобщи Михал Яворски, главен технологичен директор в Microsoft Полша. „Сигурността е човешки проблем. Ако някой в офиса е неблагоразумен и склонен да действа, без да се замисля, той ще направи беля – с или без ИТ, с или без изкуствен интелект”, категоричен бе Яворски.
Но дори и да е благоразумен и внимателен, всеки човек може да се подведе от едно добре изработено фалшиво видео. Всеки може да се окаже проводник на кибератака, подчерта Паула Янушкевич, основател и CEO на специализираната консултантска къща CQure. Ето, че отново, както и преди години, човекът е най-слабото звено в ИТ сигурността във всяка организация, допълни Урош Бабиче, архитект информационна сигурност в Crayon.
Това предизвикателство се усилва заради факта, че младите хора поначало не са склонни да са подозрителни и недоверчиви. Те с лекота бързат да отворят писмо, да видят видео, да споделят снимка. Тази присъща отвореност и наивност се експлоатира от злонамерените лица ловко чрез силата на т.нар. социален инженеринг, тоест използвайки психологически уловки.
„Нужно е да научим младите как да се пазят, категоричен бе Урош Бабиче. „Те не правят разлика между забавното и опасното, не отличават киберсигурност от киберпрестъпност! Не се замислят за последиците. Това е предизвикателство”. Той призова потребителите към спазване на киберхигиена, за да си гарантират поне базово ниво на сигурност.
Трябва да имаме добра дигитална хигиена, единодушни бяха специалистите по киберзащита. Така, както си мием зъбите, трябва да поддържаме известен „гард” и по отношение на боравенето с дигиталните инструменти, подчерта Михал Яворски.
Етика и AI
Етичното използване е друг аспект на проблематиката на AI в света на киберсигурността, който бе обсъден по време на CEE Cybersecurity Forum 2024. Повечето организации и бизнеси вече бързат да вградят AI в своите продукти и услуги – прост пример са чатботовете в сайтовете. Подобни системи навлизат и по-надълбоко, например в банковото обслужване.
Тези, които използват алгоритми, имат все по-тежката отговорност да внимават как използват данните – на фирмите, на потребителите. Прозрачността е важна и ще става все по-важна, посочи Паула Янушкевич. Какво подаваме като подсказка (промпт), когато използваме външни алгоритми за бизнес-работа, също е предизвикателство – рисковете трябва да бъдат разбрани и осъзнати от служителите. Според нея, никакви лични данни не трябва да бъдат поверявани с лека ръка на AI.
За самите организации, които искат да предлагат и използват елементи на AI, е съществено да следят регулациите в областта, тъй като те непрекъснато се променят и увеличават, предупреди Михал Яворски. А те се задават със страшна сила, като цунами. Само Европейският съюз има в дневния си ред над 100 нови регулации или промени на норми, които касаят използването на AI. Това ще е колосално предизвикателство за организациите, боравещи с изкуствен интелект.
„Съберете инженерите и юристите в една стая да работят заедно”, препоръча в тази връзка Яворски. Той предупреди, че това ще е трудна задача, която навярно ще породи напрежение – но е единственият начин за смислен прогрес. Според него, днес е особено важно да умеете да говорите езика на другите, за да ги убедите в значимостта на ИТ сигурността, която не е само проблем единствено на ИТ отделите в дадена организация.
Докъде ще стигнат кибератаките?
На фона на подобна динамика става почти невъзможно да предвидим как ще изглежда пейзажът в света на сигурността след две години. „Това, което е възможно днес с AI – фалшивите снимки, измамните видеа – беше невъзможно преди само две години”, коментира Егемен Кону. „Технологиите ще продължат да се развиват с подобни темпове и атаките могат да стигнат по-далеч, отколкото сме в състояние да си представим сега. Трябва да следим внимателно ситуацията и да сме наясно с дейностите ни, да знаем какво да правим при кибератаки, а така също и какви инструменти можем да ползваме за защита”.
Той и колегите му Александър Вара и Урош Бабич се съгласиха, че е нужна радикална промяна на гледната точка на съвременния човек, било то служител, колега, приятел: към дигиталното съдържание трябва да се гледа с подозрение. „Не вярвайте на всичко още на пръв поглед”, призоваха специалистите.
Вара подчерта необходимостта от изграждане на киберустойчивост в организациите, от която те се нуждаят всекидневно. Има фирми и частни потребители, които често не следят данните си и не ги защитават по подобаващ начин, а това е нещо, което в сферата на бурното развитие на AI не трябва да се допуска, допълни Бабич.
По статията работиха Мария Малцева и Рада Станева