Mjesec podizanja svijesti o kibernetičkoj sigurnosti možda nema istu privlačnost kao drugi obilježja oktobra - gledanje u uglačano lišće ili prejedanje slatkišima za Noć vještica - ali može potaknuti korporativne lidere i potrošače da se uključe u važan ritual: preispitivanje svog pristupa kibernetičkoj sigurnosti.

I ima mnogo toga o čemu se može razmisliti tokom protekle godine. Kompanije bi se posebno trebale zapitati ovog mjeseca (i svakog mjeseca): Kako se promijenio pejzaž online prijetnji? I da li sigurnosne prakse vašeg poslovanja čine dovoljno da bi pratile te promjene?

Umjetna inteligencija je nesumnjivo bila najveća promjena pravila igre ove godine. Alati umjetne inteligencije, uključujući modele velikih jezika (LLM) poput ChatGPT-a, dodatno su unaprijedili sposobnosti napadača. U međuvremenu, sve veći broj kompanija uključuje vještačku inteligenciju u svoje svakodnevno poslovanje, prisiljavajući stručnjake za sajber sigurnost da čuvaju nove granice bez mnogo presedana o tome kako to učiniti. U međuvremenu, potrošači su uhvaćeni usred ovog brzo promjenjivog okruženja umjetne inteligencije.

Upravo ova dinamika bila je na umu mnogih od 20.000 učesnika ovogodišnje konferencije Black Hat u Las Vegasu. Od blještavih štandova na podu poslovne dvorane, preko najsavremenijih istraživanja predstavljenih tokom predavanja, do tihih razgovora između, vještačka inteligencija je dominirala razgovorom.

Na otvaranju događaja, dugogodišnji istraživač kibernetičke sigurnosti Mikko Hyppönen nazvao je umjetnu inteligenciju „najvećom tehničkom revolucijom“ koju je vidio u svom životu, napominjući da su istraživači koji koriste LLM već otkrili nekoliko desetina zero-day-ova - industrijski termin za neotkrivenu slabost u softveru ili kodu.

„Kada istraživači pronađu sigurnosne ranjivosti kod vještačke inteligencije, to je odlično jer ih možemo popraviti“, rekao je Hyppönen. „Kada napadači rade isto, to je užasno.“ I to će se desiti.”

Online prevaranti već koriste LLM-ove za pisanje uvjerljivijih i ciljanih phishing e-poruka i to rade u mnogo većem obimu nego što bi ikada mogli bez AI alata.

Prošla su vremena loše napisanih generičkih e-poruka koje bi čak i najmanje tehnološki potkovana osoba mogla prepoznati kao prevare. Prevaranti kojima engleski nije maternji jezik sada su profesionalci u poliranju svojih poruka pomoću LLM-a.

Čak i oni prevaranti koji se predstavljaju kao usamljeni vojnici stacionirani u inostranstvu, promovirajući poslovnu priliku koja izgleda previše dobro da bi bila istinita (jer zaista jeste), ubacuju lične podatke koje je iskopala vještačka inteligencija kako bi te poruke učinili mnogo uvjerljivijim.

Također su otišli dalje od e-pošte, dostavljajući svoje sada već dobro osmišljene komunikacije putem društvenih mreža, tekstualnih poruka, pa čak i telefonskih poziva.

Istovremeno, došlo je do porasta lažnih poruka koje sadrže audio ili video deepfakeove. Prošle godine, radnik u Hong Kongu je prevaren da isplati 25 miliona dolara prevarantima nakon što se prijavio na ono što je mislio da je videopoziv sa zvaničnicima svoje multinacionalne kompanije, uključujući i glavnog finansijskog direktora. Ali ispostavilo se da su ostali u pozivu bili replike tih ljudi snimljene uživo putem deepfake videa.

Potrošači su također bili meta prevara s audio deepfakeom. Tu sajberkriminalci koriste vještačku inteligenciju kako bi lažirali glasove ljudi, obično mlađih, a zatim koriste oponašani glas da pozovu članove porodice, govoreći im da su oteti ili da su u zatvoru, kako bi od njih iznudili novac.

Sve to razumljivo plaši kompanije i potrošače. Nedavna studija provedena za Mastercard anketirala je oko 13.000 potrošača širom svijeta, uključujući oko 1.000 u SAD-u, i otkrila da je lažni sadržaj generiran umjetnom inteligencijom najveća buduća briga potrošača povezana s prevarama. Ali samo 13% ispitanika reklo je da su vrlo sigurni u svoju sposobnost da identifikuju prijetnje ili prevare generirane umjetnom inteligencijom ako postanu njihove mete.

Velika većina ispitanika posebno je navela zabrinutost zbog sofisticiranijih napada sa sistema umjetne inteligencije koji bi mogli biti hakovani i postati zlonamjerni, automatiziranih sajber napada velikih razmjera i uvjerljivijih phishing e-poruka koje kreira umjetna inteligencija.

A zabrinuti potrošači mogu značiti velike probleme za kompanije koje im pružaju usluge. Ako potrošači ne mogu vjerovati da posluju s legitimnom kompanijom ili da su njihovi lični podaci sigurni, mogli bi se odlučiti za preusmjeravanje poslovanja negdje drugdje.  

Za sada, barem, izgleda da defanzivci imaju prednost. Pored osiguranja novih elemenata umjetne inteligencije u sistemima svojih poslovnih klijenata, kompanije za sajber sigurnost uključuju umjetnu inteligenciju u vlastite proizvode, s ciljem bržeg i efikasnijeg zaustavljanja online prijetnji.

U međuvremenu, prevaranti i drugi sajberkriminalci još uvijek nemaju dovoljno podsticaja da inoviraju na isti način. Iako koriste AI alate za brži rad i veće rezultate, stručnjaci kažu da se uglavnom drže poboljšanih verzija istih starih prevara.

Nicole Perlroth, bivša novinarka specijalizirana za kibernetičku sigurnost koja sada radi kao partnerica u Ballistic Ventures i vodi vlastiti fond za kibernetičku misiju, Silver Buckshot, rekla je u svom glavnom govoru na Black Hatu da je ohrabrena novim i nadolazećim tehnologijama koje vidi u kibernetičkoj sigurnosti.

Ukazala je na nove tehnologije za detekciju lažnih informacija zasnovane na vještačkoj inteligenciji koje dolaze na tržište i napomenula da je vještačka inteligencija pomogla u "demokratizaciji" proizvoda i usluga sajber sigurnosti, čineći ih dostupnijim manjim kompanijama koje ih u prošlosti nisu mogle priuštiti.

Hyppönen je napomenuo da su deepfake prevare trenutno vrlo rijetke, ali je dodao da očekuje da će se sve vrste online prevara, zajedno s ransomwareom, samo pogoršavati kako tehnologije umjetne inteligencije postaju sve bolje i jeftinije.

Dobra vijest je da branioci imaju prednost kada je u pitanju vještačka inteligencija.

„Napadači također koriste umjetnu inteligenciju, ali tek počinju“, rekao je. „Do sada smo vidjeli samo prilično jednostavne napade s umjetnom inteligencijom.“ Promijenit će se, ali trenutno bih rekao da smo spremni.”