AI staje się nieodzowna w cyberbezpieczeństwie

Materiał powstał we współpracy z ING Hubs Poland

Zaledwie 1 proc. polskich firm jest na najwyższym, „dojrzałym” (mature) poziomie gotowości na cyberzagrożenia. 11 proc. jest na poziomie zaawansowanym (progressive), 76 proc. średnio zaawansowanym (formative), a 12 proc. zostało ocenionych jako początkujące (beginners). Takie wyniki przynosi najnowszy raport 2024 Cisco Cybersecurity Readiness Index. Odsetek firm ocenianych jako „dojrzałe” mocno spadł w porównaniu z poprzednią edycją raportu, gdzie sięgał 7 proc.

W skali globalnej (badanie objęło ponad 8 tys. menedżerów z 30 krajów, którzy są odpowiedzialni w organizacjach za obszar cyberbezpieczeństwa) było to odpowiednio 3 proc. (poziom dojrzały), 26 proc. (zaawansowany), 60 proc. (średnio zaawansowany) oraz 11 proc. (początkujący).

Jednocześnie w skali globalnej aż niemal trzy czwarte organizacji (73 proc.) wskazuje, że incydent związany z cyberbezpieczeństwem może zakłócić ich działalność w perspektywie 12–24 miesięcy. Mimo braku pełnej gotowości na taki incydent aż 80 proc. firm jest przekonanych, że zachowa odporność na cyberzagrożenia.

Z kolei według przytaczanych przez T-Mobile danych ISACA, w ub.r. niemal 70 proc. firm doświadczyło tyle samo lub więcej ataków niż rok wcześniej. Spadek zagrożenia na przestrzeni ub.r. deklarowała tylko co dziesiąta organizacja.

Jednocześnie z raportów IBM X-Force wynika, że najczęstsze były incydenty związane z wykorzystaniem backdoorów (21 proc.), które wyprzedziły ataki ransomware (17 proc.), będące numerem jeden w ostatnich trzech latach. Wyzwania związane z cyberbezpieczeństwa są więc ogromne. Zwłaszcza że cyberprzestępcy coraz częściej korzystają z możliwości, które daje sztuczna inteligencja (AI).

Szeroko pojęty obszar cyberzagrożeń i walki z nimi znalazł się w centrum uwagi międzynarodowej konferencji CONFidence, która odbyła się w Krakowie. W jej trakcie o zagrożeniach i sposobach zapobiegania, wykrywania i odpierania ataków mówili specjaliści z ING Hubs Poland.

Podczas prezentacji „AI war: Red Team vs. Blue Team – who will prevail?” („Wojna AI: drużyna czerwona kontra drużyna niebieska – kto zwycięży?”) Łukasz Miedziński, dyrektor Departamentu Attack Surface Management w ING Hubs Poland, oraz Przemysław Wolek, członek zarządu i dyrektor pionu bezpieczeństwa cybernetycznego w ING Hubs Poland, wcielili się odpowiednio w rolę atakującego (Red Team) i broniącego (Blue Team).

Podczas bardzo dynamicznego wystąpienia – obrazującego trwającą 24/7/365 konfrontację w cyberprzestrzeni – eksperci ING Hubs Poland prezentowali praktyczne przykłady możliwości ataku z użyciem sztucznej inteligencji oraz sposoby wykorzystania AI do obrony.

Łukasz Miedziński podkreślił, że cyberprzestępcy wykorzystują AI na niespotykaną skalę, m.in. do wsparcia ataków wykorzystujących phishing, deepfake, inżynierię społeczną (korzystanie z manipulacji i podstępu, aby uzyskać dostęp do informacji lub danych, np. haseł czy szczegółów dotyczących sieci, poprzez wywołanie u odbiorcy przekonania, że wchodzi w interakcję z kimś, komu ufa), polimorficznego ransomware (złośliwe oprogramowanie, które stale zmienia swój kod, aby uniknąć wykrycia opartego o sygnatury). Z cytowanego w prezentacji badania firmy Gartner wynika, że aż 74 proc. osób odpowiedzialnych za cyberbezpieczeństwo zgadza się, że ataki z udziałem AI mają istotny wpływ na działalność ich organizacji.

Przemysław Wolek zauważył, że pytanie i jednocześnie największe wyzwanie w cyberobronie nie brzmi, czy używać w niej AI, tylko jak szybko implementować nowe rozwiązania.

Podstawowe pola wykorzystania AI to miejsca, gdzie ludzie wykonują powtarzalne czynności. Uczenie maszynowe (machine learning, ML), które jest częścią AI, jest już szeroko używane w takich obszarach i może być wykorzystane do obrony. Algorytmy ML można już dziś zasilać danymi do poziomu, na którym dochodzą do niemal autonomicznego działania. A uwolnione w ten sposób kompetencje pracowników można bardziej efektywnie wykorzystać w innych obszarach.

Trzeba też pamiętać, jaka jest sytuacja w cyberprzestrzeni, gdzie obie strony są na nierównych pozycjach. Instytucje atakowane kierują się regułami, prawem i różnymi wymogami. Cyberprzestępcy nie mają żadnych zasad, liczy się tylko cel.

Jest to szczególnie widoczne w przypadku banków, których działalność jest bardzo ściśle regulowana, muszą one spełniać wiele wymogów. Z kolei cyberprzeciwnicy nie mają takich ograniczeń. – Co więcej, znają prawo i regulacje, które dotyczą sektora, i wykorzystują tę wiedzę na naszą niekorzyść – mówił Przemysław Wolek.

Dalsze możliwości użycia AI do cyberataków, o których mówił Łukasz Miedziński, to np. NLP (natural language processing), czyli interakcje między komputerami i ludzkimi językami. Wykorzystywane są tu różne techniki i algorytmy, zaprojektowane w celu analizy, zrozumienia i tworzenia określonych treści.

Z kolei LLM (large language model) to modele AI szkolone na ogromnych zasobach tekstów w celu rozumienia i generowania treści do złudzenia przypominających wypowiedzi ludzi. Mogą być wykorzystywane do tworzenia tekstów czy w sesjach pytań i odpowiedzi. Zagrożenie powstaje, kiedy treści przypominające kontakt z człowiekiem są wykorzystywane do wyłudzenia danych i informacji.