Budeme‑li chtít z umělé inteligence vytěžit maximum, musíme zdokonalit způsob jejího využití jako rozšíření schopností lidí, říká Chester Wisniewski. Zločinci nemají datové vědce a pravděpodobně budou i nadále jednoduše zneužívat veřejně dostupné nástroje. „Jakákoli regulace AI bude účinná jen pro ty, kteří chtějí hrát podle pravidel,“ dodává ke snahám EU o její regulaci Wisniewski, který má více než 25 let zkušeností v oblasti bezpečnosti IT. Tempo objevování nových hrozeb se podle něj zpomalilo, s inovacemi dnes kyberzločinci přicházejí častěji spíše v sociální rovině než v technické oblasti.
Kybernetické bezpečnosti se věnujete již více než 25 let, je něco, co by vás mohlo opravdu překvapit?
Usilovně se snažím sledovat nejnovější trendy a výzkumy, abych se velkým překvapením pokud možno vyhnul. Přesto se občas zničehonic objeví něco skutečně inovativního. Je to ale vlastně dobře, protože s každým novým způsobem zneužití mezery v zabezpečení můžeme kreativně vymýšlet, jak rizika zmírnit a zajistit ještě lepší ochranu.
Jak dlouho obvykle trvá výzkum nové hrozby, aby bylo možné vydat doporučení k jejímu zmírnění?
Na tuto otázku je obtížné odpovědět, protože definice hrozby je velmi široká. Ve většině případů existují dva typy řešení – nejprve to okamžité, reaktivní, které má „zastavit krvácení“. Ale pak potřebujeme dlouhodobější řešení, které bude k ochraně před touto již dobře popsanou hrozbou přistupovat proaktivně. Reaktivní řešení lze obvykle získat už během několika hodin, samozřejmě v závislosti na složitosti a znalosti metodiky útoku. Ale vývoj proaktivní ochrany může často trvat celé měsíce a právě ta je pro spolehlivou obranu nezbytná. Musí ovšem být komplexně testována, aby se zajistilo, že nedochází k falešným poplachům a že je schopna odhalit i hrozby, které jsou záměrně zastřené a klamavé, což vyžaduje hodně času a značné úsilí.
Jak často se objeví skutečně nová hrozba, která není variantou nebo evolucí některé stávající metody útoků?
Tempo objevování nových hrozeb a metod útoků se v průběhu let dramaticky zpomalilo, když se pronikání do sítí stalo výdělečnou činností. Inovace dnes probíhají spíše v sociální rovině než v technické oblasti. Většina nových hrozeb se objevuje jako způsob, jak obejít stále sofistikovanější obranné technologie, a jejich vymyšlení vyžaduje hluboké technické znalosti. Řekl bych, že se s opravdu novými přístupy k využívání zranitelností setkáváme zhruba každých pět let.
Větší pokrok v používání umělé inteligence bude letos spíše na straně obránců než útočníků.
V poslední době se vyšetřovatelům podařilo identifikovat a rozbít hned několik kyberzločineckých skupin. Znamená to, že se kyberzločinci mají začít bát, protože už nejsou tak nepolapitelní jako dříve? Nebo je to jen špička ledovce?
Trvalo mnoho let, než mezinárodní komunita orgánů činných v trestním řízení investovala a vybudovala účinné kybernetické policejní síly a vymyslela způsob přeshraniční spolupráce. Toto úsilí se začíná vyplácet, zvyšuje se tlak na kybernetické zločince i na zdroje a služby, které využívají ke koordinaci své trestné činnosti. I když se nám ne vždy podaří dopadnout samotné zločince, narušením jejich obchodních modelů a podkopáním jejich vzájemné důvěry dramaticky zvyšujeme náklady na jejich činnost.
Mají vyšetřovatelé nové nástroje, postupy a znalosti, jak tento typ zločinců postihnout?
To si nemyslím. Podle mě jsme jen v pronásledování kyberzločinců efektivnější a zvýšená spolupráce vede k většímu počtu zatčení a narušení sítě kyberzločineckých skupin. Tato vyšetřování vyžadují starou dobrou policejní práci a často měsíce i roky pátrání a forenzních analýz.
Je snazší vypátrat amatérské útočníky, kteří využívají nástroje typu Ransomware as a Service nebo DDoS as a Service, nebo jim tyto služby poskytují dostatečnou míru ochrany a anonymity?
Čím méně je zločinec kvalifikovaný, tím snadnější je jeho identifikace a případné zadržení. Nejzkušenější kyberzločinci umí používat pokročilejší nástroje ke skrytí své identity a často mají kolem sebe vrstvy ochrany, které jejich vypátrání ztěžují. Udržet si úplnou anonymitu je ale téměř nemožné a pečliví vyšetřovatelé nakonec chyby najdou a odhalí jejich skutečnou identitu.
Angažuje se Sophos ve vyšetřování takových kyberzločinů? Poskytuje například vyšetřovatelům důkazy a další pomoc?
Pokud máme informace, které mohou být užitečné, pak samozřejmě s orgány činnými v trestním řízení při vyšetřování spolupracujeme. To se ale značně liší případ od případu. Jsme také členy mnoha organizací pro sdílení zpravodajských informací o hrozbách, ve kterých se angažují i zástupci orgánů činných v trestním řízení.
Jaký dopad bude mít umělá inteligence na kybernetickou bezpečnost v roce 2024?
Kdybych tak měl křišťálovou kouli… Ale vážně, domnívám se, že větší pokrok v používání umělé inteligence bude letos spíše na straně obránců než útočníků. Chcete‑li z umělé inteligence vytěžit maximum, musíte zdokonalit způsob jejího využití jako rozšíření schopností lidí. Stroje umí dobře rozpoznávat opakující se vzorce a zpracovávat velké objemy dat, aby je v nich našly. Zatímco lidé mají instinkt k rozpoznání dobrého od špatného. Zločinci nemají datové vědce a pravděpodobně budou i nadále jednoduše zneužívat jakékoli veřejně dostupné nástroje. Je pravděpodobné, že budou pokračovat ve využívání umělé inteligence k vytváření přesvědčivějších spamových návnad a potenciálně i pro deepfake podvody s podvrženými hlasy a obrazem, protože jejich kvalita se rychle zlepšuje. Ale pravděpodobně se letos nepustí do něčeho úplně inovativního.
Chester Wisniewski
globální technický ředitel, Sophos
Spolupracuje s výzkumníky týmu Sophos X‑Ops po celém světě, aby porozuměl nejnovějším trendům a výzkumům v oblasti kyberkriminality a chování zločinců. To mu pomáhá s lepším pochopením stále se vyvíjejících hrozeb a chování útočníků i budováním účinné bezpečnostní obrany.
Když se zrovna nevěnuje boji s kyberzločinci, tráví svůj volný čas vařením, jízdou na kole a mentorováním nováčků v kyberbezpečnosti v rámci své dobrovolnické práce v organizaci InfoSec.
Je možné zmírnit negativní dopady umělé inteligence pomocí regulací, o kterých se v EU v souvislosti s AI často diskutuje?
Určitě ne. Předpisy se vztahují pouze na ty, kteří souhlasí s tím, že budou hrát podle pravidel. Džin technologie umělé inteligence už byl vypuštěn z lahve a nelze ho přesvědčit, aby se do ní vrátil. Podporuji použití regulace, která zabrání legitimním podnikům využívat AI k vytěžování informací o našem soukromí, ale zákony nebudou mít žádný vliv na kriminální zneužívání technologií umělé inteligence.
Deepfake podvody jsou obvykle odhalitelné pouze lidmi a vyžadují velkou ostražitost. Budeme mít v blízké budoucnosti k dispozici nějaké nástroje, které nám s obranou pomohou?
Pravděpodobně nebudeme. Jak to totiž vypadá, ani společnosti, které software na vytváření deepfake videí a hlasových záznamů vyvíjejí, nejsou schopny s jistotou určit, zda jejich vlastní nástroje daný zvukový nebo obrazový klip vygenerovaly, nebo ne. Budoucnost proto spočívá spíše ve schopnosti prokázat pravost zvuku a videa než v dokazování, že je něco falešné. Existují už i iniciativy, jako je například Content Credentials, které vám s tím pomohou.
Kvantové počítače jsou považovány za revoluční zbraň v rukou kyberzločinců. Měli bychom si s tím dělat starosti? A co vlastně může zneužití této technologie znamenat?
Do doby, než budou mít zločinci v rukou použitelné kvantové počítače, zbývá ještě dlouhá cesta. Ale možnost jejich využití nepřátelskými vládami už zase tak daleko není. Největším rizikem je jejich schopnost prolomit dnes nejčastěji používané šifrovací techniky. Už ale existuje několik návrhů šifrovacích metod, které tomu potenciálně zabrání. Když chráníme citlivé informace, musíme si být jisti, že je ochráníme po celou dobu, po kterou musí zůstat utajeny. To znamená, že už nyní je vhodná doba začít přecházet na kvantově bezpečné šifrování, aby informace, které je třeba chránit dnes, zůstaly utajené třeba i za 25 let, kdy tato technologie může být celkem běžná.
Co byste doporučil společnosti, která nemá mnoho prostředků na robustní kybernetickou ochranu? Jaká opatření jsou levná, ale současně velmi účinná?
Určitě školení uživatelů a protokolování. Zásadní je mít záznam o všem, co se stalo, a někoho, kdo ví, jak a co v něm hledat. Pro většinu organizací nedává z ekonomického hlediska smysl najímat si vlastní odborníky na kybernetickou bezpečnost, protože jsou poměrně drazí a často potřební pouze pro konkrétní úkoly. Přesto je nepřetržité monitorování infrastruktury – 24 hodin denně 7 dní v týdnu – pro účinnou obranu nezbytné. I proto jsou dnes mezi podniky tolik oblíbené služby řízené detekce hrozeb a reakce na ně. Získáte s nimi přístup k vysoce vyškoleným odborníkům na kybernetickou bezpečnost, kteří na vše dohlédnou a budou k dispozici v případě potřeby, aniž by se musely zvyšovat náklady na další zaměstnance. Vaše týmy IT sice musí dostatečně dobře rozumět zabezpečení a jeho vlivu na podnikání, ale mohou se spolehnout na externí odborníky, kteří nepřetržitě odhalují vzory útoků a pokusy o neoprávněný přístup do sítě.
Smysl má především školení zaměřené na skutečné příklady, které se staly v rámci vaší organizace lidem, jež znáte.
Zmínil jste i školení – máte nějaká doporučení, jak se vyhnout určité únavě z opakovaných e‑learningů a testovacích phishingových kampaní? Jak udělat školení účinnější?
Osobně nepovažuji většinu školení za zvlášť účinná. Smysl má ale především školení zaměřené na skutečné příklady, které se staly v rámci vaší organizace lidem, jež znáte. Například popsat phishingový útok na generálního ředitele nebo někoho z finančního oddělení má větší dopad než popisovat potenciální útok nebo vykládat obecný obsah, který bývá součástí většiny online školení. Ostatně, koncoví uživatelé nemohou být zodpovědní za odhalení útoků, musí je chránit technologie. Hrozby jsou dnes příliš sofistikované na to, aby bylo možné očekávat, že se uživatelé bez expertních znalostí v kyberbezpečnosti budou schopní účinně bránit.
Proč se podle vás podceňují i další, relativně levná a snadná opatření jako šifrování a vícefaktorová autentizace?
IT a bezpečnostní týmy jsou zahlceny množstvím práce, kterou musí vykonávat, a přidání nové komplikace, jako je šifrování a MFA, může vypadat jako další náročný úkol, který jim práci ještě ztíží. Já si sice nemyslím, že to tak opravdu je, ale když se vám skoro nedaří udržet hlavu nad vodou, může být těžké přijmout další práci. V konečném důsledku by tato dodatečná práce měla vést k celkově menšímu objemu úkolů, ale zdá se, že má vždy nižší prioritu, než by si zasloužila.
Stáhněte si přílohu v PDF
Lze nějak určit, jaký podíl obratu by měla společnost investovat do kybernetické ochrany? Jaká investice je „přiměřená“?
Toto není oblast, na kterou bych se soustředil, a navíc se obávám, že existuje příliš mnoho faktorů, které je třeba vzít v úvahu, než aby bylo možné poskytnout jednoznačnou odpověď. Obecně ale platí, že všechny organizace by měly jmenovat osobu odpovědnou za bezpečnost informací a také provést analýzu potenciálních rizik s kvantifikací jejich dopadu. Pak je nutné tuto analýzu předložit představenstvu, společně s návrhem řešení, jak možná rizika zmírnit. Výběr z možných řešení a míra akceptovaného rizika pak ovlivní výši výdajů na řešení těchto rizik, která se dnes týkají každé organizace.
Je i vaší zkušeností, že organizace začnou skutečně přemýšlet nad kyberbezpečností a souvisejícími investicemi, až když dojde k jejich úspěšnému napadení?
Různé organizace se pohybují v celém spektru vyspělosti jejich kybernetické bezpečnosti. A ano, v organizacích na nejnižších stupních vyspělosti se často podceňuje riziko kybernetických útoků pro jejich fungování a zdá se, že zde reagují, až když už je příliš pozdě. Mnoho lidí odpovědných za bezpečnost IT pochází spíše z technického prostředí, než aby byli vyškoleni v tom, jak správně vyhodnocovat rizika. A právě to vede k takovému nesouladu mezi potenciálními riziky a opatřeními, která je mají omezit.
Článek byl publikován ve speciální příloze HN ICT revue.
