Kiberbűnözés és AI: veszélyek és lehetőségek

Szerző: Barok Eszter Dátum: 2024. 08. 28. 21:56

Keleti Arthur kibertitok-jövőkutató, az Informatikai Biztonság Napja (ITBN) alapítója a kiberbűnözés valódi természetébe engedett betekintést – amely már a jelentős digitális transzformáción áteső FMCG-ipart is sújtja –, megoldási javaslatokkal együtt. Az AI-crime-on keresztül eljutottunk a mesterséges intelligencia alkalmazásának sokrétűségéhez is, ami a kockázatok mellett rengeteg lehetőséget is hordoz magában.

A cikk a Trade magazin 2024/8-9. lapszámában olvasható.

„Az AI olyannyira felgyorsította a folyamatokat, hogy ma már akár 4 óra alatt működésképtelenné lehet tenni egy vállalatot” – Keleti Arthur kibertitok-jövőkutató

Akiberbűnözés már nem csupán magányos farkasok sportja, hanem jól szervezett, nagyvállalatokat megszégyenítő operációk része. A konkurencia által leleplezett Conti nevű ransomware csoport példája világosan mutatja, hogy ezek a csapatok több száz, gyakran több ezer főt számlálhatnak, akiket szigorú hierarchiában és professzionális munkakörnyezetben foglalkoztatnak: vannak team leaderek, backend fejlesztők, DevOps vezetők, tesztelők és minőségbiztosítók.

Ezek a szakemberek a kibertámadások különböző aspektusait menedzselik, biztosítva, hogy a támadások hatékonyak és nehezen felderíthetők legyenek. Ami azt illeti, a kiberbűnöző szervezetek egymásnak is nyújtanak szolgáltatásokat: van SLA, minőségmérés, erős a versenyhelyzet. Igen, az alkalmazások, amelyek a mi rendszereinket támadják, egymással versenyezve próbálnak jobb ajánlatokat adni a kedves ügyfeleknek, és az egyes támadási szolgáltatásokat akár outsourcingban is kínálják.

„Az AI olyannyira felgyorsította a folyamatokat, hogy ma már akár 4 óra alatt működésképtelenné lehet tenni egy vállalatot” – Keleti Arthur kibertitok-jövőkutató

Adathalászat, zsarolóvírus, DDoS-támadások

A leggyakoribb támadástípusok között szerepel az adathalászat, a phishing. A támadók feltörik pl. egy magas szintű vezető e-mail-fiókját, majd az érzékeny adatokat árulják a dark weben, esetleg megzsarolják a céget ezzel – nem ritkán hiába fizet a sértett, az adatok a dark webre kerülnek így is.

Komoly problémát jelentenek a zsarolóvírusok is. A több mint 500 ezer főt foglalkoztató brit ételkiszállító cég, a Compass Group elleni zsarolóvírus-támadás megbénította a teljes ellátási láncot. Ausztráliában egy egészségügyi és állami rendszer elleni kibertámadás következtében számos állampolgár személyes és egészségügyi adatai szivárogtak ki. Az Egyesült Államokban egy zsarolóvírus-támadás az olajszállító rendszer megbénulásához vezetett: egy hétig állt az ellátás, az emberek már kannával álltak a benzinkútnál. Hasonló támadás az OTP Simple rendszerét is érte korábban: ott mindenféle fiókokból szivárogtak ki jelszavak, de szolgáltatónak sikerült korrekt módon megoldani a helyzetet.

Problematikusak a denial of service támadások is. Ezek során a hackerek olyan nagy mennyiségű adatforgalmat generálnak a célszerver felé, hogy az képtelenné válik a normál működésre. Az FMCG-cégek online platformjai, mint webshopok és vásárlói kapcsolattartó rendszerek, különösen sebezhetőek lehetnek, mivel megszakíthatják a folyamatos termelést és logisztikát.

AI-crime: adatmérgezés és deep fake

Tovább nehezíti a helyzetet, hogy az AI olyannyira felgyorsította a folyamatokat, hogy ma már akár 4 óra alatt működésképtelenné lehet tenni egy vállalatot. Az AI-val elkövetett bűnözés terén komoly probléma az adatmérgezés, amely során a mesterségesintelligencia-rendszerek szándékosan hamis vagy manipulált adatokkal történő tréningezése történik. Ez a folyamat később komoly problémákat okozhat, hiszen az így „mérgezett” mesterségesintelligencia-rendszerek előre nem látható módon reagálhatnak a felhasználói interakciókra.

Egy deepfake technológiával generált dezinformációs kampány esetén a valóság torzul, és hamarosan nem lehet már megkülönböztetni az AI által generált entitást a valóságostól. Annak idején, 2019-ben óriási szenzáció volt, amikor Egor Zakharov orosz fejlesztő megszólaltatta és megmozgatta Mona Lisát az AI segítségével, és azóta ez a technológia szinte bárki számára elérhető. Ha nagyon figyelünk, még észrevesszük, hogy valami nem stimmel, de hónapok vagy fél év kérdése, hogy ne hihessünk annak, hogy egy kép- vagy hangfelvétel valódi, hiszen az AI képes lesz olyan alternatív valóságot előállítani, aminél az érzékszerveink már cserben hagynak minket.

Megelőzés és válságkezelés

Egy-egy ilyen kiberbűnözés által érintett helyzetben óriási a pánik, hirtelen nem elég csupán biztonsági szakértőnek lenni, de kommunikációs szakemberré is kell válni. Nem jó, ha kifelé nem mondunk semmit, de az se, ha riadalmat keltünk, ami elriasztja a vevőket és a részvényárfolyamoknak is árt. Közben persze fontos figyelni a jogi aspektusra, a GDPR-re is, elvégre mégiscsak érzékeny adatokról van szó.

A 112-t sajnos, hiába hívjuk, a megelőzés és válságkezelés útja más lesz. Muszáj naprakész biztonsági szoftvereket használni, rendszeresen frissíteni ezeket, a sebezhetőségeket javítani. Erős adatbiztonsági protokollok kellenek: az adatok titkosítása, rendszeres biztonsági mentések, az adatvédelmi politikák szigorú betartása… Jó, ha a munkatársakat rendszeresen oktatjuk, felhívjuk a figyelmüket a többfaktoros azonosítás fontosságára, és fontos, hogy minden cégnek legyen válságkezelési terve is.

Az AI rendkívül hasznos és hatékony, képes folyamatokat optimalizálni és új megoldásokat találni, és hamarosan olyan szintre léphet, hogy komplex érveléseket is képes lesz folytatni, sőt, innovatív felfedezéseket tehet, mint például a rák ellenszerének megtalálása

Gépek és kreativitás: itt az AI!

Az AI terjedése persze nem korlátozódik a hagyományosan „gépesíthető” területekre; a kreatív iparágakban is egyre nagyobb szerepet kap.

Keleti Arthur saját példaként említette, hogy hogyan képesek az AI-rendszerek zenei szövegeket írni és hozzá dallamot komponálni. Demonstrált egy esetet, ahol egy AI először egy zenész által írt szöveget dolgozott fel, majd egy másik AI zenét szerzett hozzá. Egy harmadik AI pedig videóelemeket készített a dalhoz, ami bemutatja, hogy az AI képes összetett kreatív feladatok integrált elvégzésére is.

Előadónk részletesen beszélt az AI „emberfeletti” képességeiről a gazdasági és társadalmi előrejelzések terén is. Egy példán keresztül bemutatta, hogy az AI képes makrogazdasági adatok elemzésére és jövőbeli trendek meglepően precíz előrejelzésére. Az AI-k által végzett szimulációk segíthetnek a döntéshozóknak megérteni a lehetséges jövőbeli gazdasági forgatókönyveket, és ezáltal informáltabb döntéseket hozni.

Nem eszköz, de nem is ember

Az előadásban szó volt arról is, hogy az AI hogyan befolyásolja az emberi interakciókat, különösen olyan területeken, ahol az AI-t képesek vagyunk emberek helyett is alkalmazni. Például egy egészségügyi szimulációban az AI képes volt diagnózisokat állítani és kezeléseket javasolni, ami azt sugallja, hogy az AI a jövőben az egészségügyi szakemberek munkáját is képes lehet támogatni vagy akár részben bizonyos területeket átvenni. Ezen a ponton a mesterséges intelligencia etikai és filozófiai aspektusaira is terítékre kerültek. Keleti Arthur beszélt arról, hogy az AI milyen mértékben képes „emberi” tulajdonságokat mutatni, mint az empátia, kreativitás vagy integritás. Felvetette, hogy az AI-k tudatosságának kérdése is egyre inkább előtérbe kerül, ahogy a technológia fejlődik.

Egyértelmű: az AI nem egyszerűen eszköz, de nyilván nem is ember, ami új kihívásokat vet fel az etikai megítélés és a jogi szabályozás terén. A jelenlegi, gyakran leegyszerűsítő vagy korlátozó szabályozás, amit az EU is alkalmazni kezd, nem lesz hatékony az AI gyors fejlődésével szemben. Az AI rendkívül hasznos és hatékony, képes folyamatokat optimalizálni és új megoldásokat találni, és hamarosan olyan szintre léphet, hogy komplex érveléseket is képes lesz folytatni, sőt, innovatív felfedezéseket tehet, mint például a rák ellenszerének megtalálása. Éppen ezért tiltás helyett dinamikus, a fejlődést támogató megközelítésre van szükség, amely elismeri és kiaknázza az AI által nyújtott lehetőségeket. //