Mesiac povedomia o kybernetickej bezpečnosti síce nemusí mať rovnaké príťažlivosť ako iné októbrové sviatky – pozeranie sa na leštené lístie alebo prejedanie sa halloweenskymi cukrovinkami – ale môže podnietiť vedúcich pracovníkov firiem aj spotrebiteľov k dôležitému rituálu: prehodnoteniu svojho prístupu ku kybernetickej bezpečnosti.

A v uplynulom roku je veľa vecí, nad ktorými sa treba zamyslieť. Najmä firmy by si tento mesiac (a každý mesiac) mali položiť otázku: Ako sa zmenila situácia v oblasti online hrozieb? A robia bezpečnostné postupy vašej firmy dostatočne veľa na to, aby držali krok s týmito zmenami?

Umelá inteligencia bola nepopierateľne najväčším prelomom tohto roka. Nástroje umelej inteligencie vrátane modelov veľkých jazykov (LLM), ako je ChatGPT, výrazne zvýšili schopnosti útočníkov. Medzitým čoraz viac spoločností začleňuje umelú inteligenciu do svojho každodenného podnikania, čo núti odborníkov v oblasti kybernetickej bezpečnosti strážiť nové hranice bez väčšieho precedensu, ako to urobiť. Spotrebitelia sú medzitým uprostred tohto rýchlo sa meniaceho prostredia umelej inteligencie.

Presne túto dynamiku premýšľalo mnoho z 20 000 účastníkov tohtoročnej konferencie Black Hat v Las Vegas. Od nablýskaných stánkov v obchodnej hale cez najmodernejší výskum prezentovaný počas prednášok až po tiché rozhovory medzi nimi, umelá inteligencia dominovala celej konverzácii.

Na úvodnom prejave podujatia dlhoročný výskumník v oblasti kybernetickej bezpečnosti Mikko Hyppönen nazval umelú inteligenciu „najväčšou technickou revolúciou“, akú vo svojom živote videl, a poznamenal, že výskumníci používajúci LLM už objavili niekoľko desiatok zero-day – čo je priemyselný termín pre nezistenú slabinu v softvéri alebo kóde.

„Keď výskumníci objavia bezpečnostné zraniteľnosti v umelej inteligencii, je to skvelé, pretože ich vieme opraviť,“ povedal Hyppönen. „Keď útočníci robia to isté, je to hrozné.“ Aj to sa stane.“

Online podvodníci už používajú LLM na písanie presvedčivejších a cielenejších phishingových e-mailov a robia to v oveľa väčšom rozsahu, ako by to kedy dokázali bez nástrojov umelej inteligencie.

Preč sú časy zle napísaných generických e-mailov, ktoré by aj ten najmenej technicky zdatný človek dokázal rozpoznať ako podvody. Podvodníci, pre ktorých angličtina nie je rodným jazykom, sú teraz profesionáli v leštení svojich správ pomocou LLM.

A dokonca aj tí podvodníci, ktorí sa vydávajú za osamelých vojakov umiestnených v zahraničí a propagujú obchodnú príležitosť, ktorá vyzerá príliš dobre na to, aby bola pravda (pretože v skutočnosti je), pridávajú osobné údaje získané umelou inteligenciou, aby boli tieto správy oveľa dôveryhodnejšie.

Taktiež sa posunuli za hranice e-mailu a svoju teraz už dobre spracovanú komunikáciu doručujú na sociálne médiá, textové správy a dokonca aj telefonáty.

Zároveň došlo k nárastu podvodných správ obsahujúcich zvukové alebo obrazové deepfaky. Minulý rok bol pracovník v Hongkongu oklamaný a podvodníkom vyplatil 25 miliónov dolárov po tom, čo sa prihlásil na videohovor s predstaviteľmi svojej nadnárodnej spoločnosti vrátane finančného riaditeľa, ktorý si myslel, že ide o videohovor. Ukázalo sa však, že ostatní účastníci hovoru boli napodobeniny týchto ľudí prostredníctvom živého videa, ktoré boli napodobeniny týchto ľudí.

Spotrebitelia sa tiež stali terčom podvodov s deepfake zvukovými súbormi. Práve vtedy kyberzločinci používajú umelú inteligenciu na falšovanie hlasov ľudí, zvyčajne mladších, a potom pomocou napodobeného hlasu zavolajú členom rodiny a povedia im, že boli unesení alebo sú vo väzení, aby od nich vymohli peniaze.

To všetko pochopiteľne vystrašilo firmy aj spotrebiteľov. Nedávna štúdia vykonaná pre spoločnosť Mastercard oslovila približne 13 000 spotrebiteľov na celom svete vrátane približne 1 000 v USA a zistila, že falošný obsah generovaný umelou inteligenciou je pre spotrebiteľov najväčšou hrozbou v budúcnosti, pokiaľ ide o podvody. Iba 13 % opýtaných však uviedlo, že si sú veľmi istí svojou schopnosťou identifikovať hrozby alebo podvody generované umelou inteligenciou, ak sa stanú ich cieľom.

Prevažná väčšina opýtaných konkrétne uviedla obavy z sofistikovanejších útokov zo systémov umelej inteligencie, ktoré sú napadnuté hackermi a premenené na škodlivé, z automatizovaných rozsiahlych kybernetických útokov a z presvedčivejších phishingových e-mailov vytvorených umelou inteligenciou.

A znepokojení spotrebitelia môžu znamenať veľké problémy pre spoločnosti, ktoré im slúžia. Ak spotrebitelia nemôžu dôverovať, že obchodujú s legitímnou spoločnosťou alebo že ich osobné údaje sú v bezpečí, môžu sa rozhodnúť obrátiť sa na inú spoločnosť.  

Zatiaľ sa zdá, že obrancovia majú výhodu. Okrem zabezpečenia nových prvkov umelej inteligencie v systémoch svojich firemných zákazníkov, spoločnosti zaoberajúce sa kybernetickou bezpečnosťou začleňujú umelú inteligenciu aj do svojich vlastných produktov s cieľom rýchlejšie a efektívnejšie zastaviť online hrozby.

Medzitým podvodníci a iní kybernetickí zločinci zatiaľ nemajú dostatočnú motiváciu inovovať rovnakým spôsobom. Hoci používajú nástroje umelej inteligencie na rýchlejšiu prácu a dosahovanie väčších výsledkov, odborníci tvrdia, že sa vo veľkej miere držia vylepšených verzií tých istých starých podvodov.

Nicole Perlroth, bývalá novinárka zaoberajúca sa kybernetickou bezpečnosťou, ktorá teraz pôsobí ako partnerka v Ballistic Ventures a vedie vlastný fond pre kybernetickú misiu Silver Buckshot, vo svojom úvodnom prejave pre Black Hat uviedla, že ju povzbudzujú nové a vznikajúce technológie, ktoré vidí v kybernetickej bezpečnosti.

Poukázala na nové technológie detekcie deepfake s využitím umelej inteligencie, ktoré prichádzajú na trh, a poznamenala, že umelá inteligencia pomohla „demokratizovať“ produkty a služby kybernetickej bezpečnosti, čím ich sprístupnila menším spoločnostiam, ktoré si ich v minulosti nemohli dovoliť.

Hyppönen poznamenal, že podvody typu deepfake sú v súčasnosti veľmi zriedkavé, ale dodal, že očakáva, že všetky druhy online podvodov spolu s ransomvérom sa budú len zhoršovať, keďže technológie umelej inteligencie sa budú zlepšovať a zlacňovať.

Dobrou správou je, že obrancovia majú náskok, pokiaľ ide o umelú inteligenciu.

„Útočníci tiež používajú umelú inteligenciu, ale len začínajú,“ povedal. „Zatiaľ sme videli len pomerne jednoduché útoky s umelou inteligenciou.“ Zmení sa to, ale teraz by som povedal, že sme pripravení.“