Kiberdrošības pasaule gatavojas savam Superboulam
Jūs varbūt to nezināt, bet kiberdrošības pasaulē tuvojas ļoti svarīgs notikums. Vairāk nekā 40 000 cilvēku no vairāk nekā 130 valstīm pulcēsies Sanfrancisko pilsētā maija pirmajā nedēļā, lai piedalītos 33. gadskārtējā kiberdrošības konferencē. Šis būs mans 16. gads kā konferences priekšsēdētājam, un šogad es jūtu intensitāti un steigu, kādu iepriekš nebiju pieredzējis. Lai saprastu, kāpēc, mana komanda analizēja tūkstošiem runātāju pieteikumus konferencei no visas pasaules kiberdrošības aizstāvjiem. Trīs tēmas izcēlās: mākslīgais intelekts, informācijas manipulācija un karjeras izdegšana.
Jaunās MI tehnoloģijas nāk ar jauniem riskiem
Kamēr mākslīgā intelekta ietekme uzņēmējdarbībā un sabiedrībā pieaug (gandrīz katrs piektais runātāju pieteikums šogad koncentrējās uz to), katrs nozares pārstāvis cenšas izprast, kā izmantot MI sistēmu sniegtās priekšrocības. Vienlaikus drošības speciālisti atklāj jaunus riskus. Viens no tiem ir tas, ka šīs sistēmas var nesankcionēti izpaust uzņēmuma un lietotāju datus. Vēl viena baža ir precizitāte. Lielo valodu modeļu (LVM) sistēmas ir probabilistiskas, kas nozīmē, ka jūs varat uzdot vienu un to pašu jautājumu vairākas reizes un katru reizi saņemt nedaudz vai būtiski atšķirīgas atbildes. Tas var būt pieņemami īsa stāsta ģenerēšanai, bet ko darīt, ja jūsu jaunais MI balstītais klientu apkalpošanas čatbots reizēm sniedz pilnīgi neprecīzu vai izdomātu informāciju klientiem?
Kiberdrošībā mēs cenšamies risināt riskus ar kompensējošiem kontroliem: tehnoloģijām un procesiem, kas ierobežo vai mazina šos riskus. Izaicinājums ir tas, ka daudzas no šīm MI tehnoloģijām ir jaunas, un pareizie kompensējošie kontroles līdzekļi, lai pārvaldītu radušos riskus, tikai tagad tiek izstrādāti. Turklāt pastāv bažas par MI regulējumu. Vairākas valstis nesen ir publicējušas MI vadlīnijas vai izdevušas regulas, ar izcilajiem piemēriem būtu Eiropas Savienības MI Akts un ASV Baltais nams par drošu, drošu un uzticamu mākslīgā intelekta izstrādi un lietošanu. Neliela nākotnes regulatīva izmaiņa – ierobežojums, kas aizliedz šiem MI sistēmam analizēt klienta emocionālo stāvokli, piemēram – varētu novest pie MI balstītu klientu apkalpošanas čatbotu likvidēšanas.
Informācijas manipulācijas krīze
Pirms dažiem gadiem, lai radītu deepfake video, bija nepieciešamas gan tehniskas zināšanas, gan nodoms; tagad nepieciešams tikai nodoms. No sabiedrības viedokļa kiberdrošības eksperti ir noraizējušies, ka gaidāmās ASV prezidenta vēlēšanas radīs milzīgu deepfake viļņu, lai ietekmētu sabiedrisko viedokli. No biznesa viedokļa deepfake video ir palielinājuši kibernoziedznieku spēju veikt krāpnieciskas darbības. Viens nesens piemērs ir par lielu starptautisku uzņēmumu Honkongā strādājošs finanšu darbinieks, kurš video konferencē ar kolēģiem tika lūgts pārskaitīt 25 miljonus dolāru no uzņēmuma kā daļu no darījuma. Diemžēl tie uzticamie kolēģi patiesībā bija deepfake video, sintētiski reprezentanti īstiem darbiniekiem, ko kontrolēja krāpnieks.
Informācijas manipulācijas bažas iet tālāk par modificētiem video un audio materiāliem. Viens nesenais ļaunprātīgs piemērs nāk no programmatūras pasaules, kur ļaundari spēja ievietot aizmugures durvis ļoti plaši lietotajai lietojumprogrammai XZ Utils. Ja šis programmatūras ievietojums nebūtu atklāts programmatūras izstrādātāja Microsoft kompānijas puses, desmitiem tūkstošu uzņēmumu varētu tikt kompromitēti.
Izdegšana atkal pieaug
Papildus MI izaicinājumiem un datu manipulacijai kiberdrošības kopiena ir piedzīvojusi virkni augsta profila izspiedējvīrusu uzbrukumu, piemēram, pagājušajā gadā notikušo MGM kūrortu slēgšanu. Mēs paskatījāmies atpakaļ uz vairāk nekā 10 000 runātāju pieteikumiem pēdējo piecu gadu laikā, un tēma “izdegšana” pieauga divreiz. Pirmo reizi tas notika 2021. gadā, kad COVID sasniedza augstumu un kiberdrošības darbiniekiem bija steidzami jāpielāgojas drošai pilnīgi attalinātas darba vietas nodrošināšanai. Tad izdegšanas tēma atgriezās normālajos līmeņos 2022. un 2023. gadam, bet atkal pieaugusi 2024. gadam. Tas nav tikai nesenie uzbrukumu viļņi, kas sver uz kiberdrošības profesionāļiem; pastiprinoties bažas par to, ka galvenie informācijas drošības virsnieki (CISO) var saskarties ar personisku atbildību par uzņēmuma pazušanu. Divi konkrēti gadījumi īpaši paaugstinaja šo atbildību spektru un radīja jaunu spiedienu uz uzņēmumiem ātri ziņot par kompromisa detaļam.
Kopienas spēks
Ejiet cauri savai dienai un padomajiet par visiem punktiem, kur jūs saskaraties ar tehnoloģijam. Jūsu auto ir dators, jūsu banka ir lietotne jūsu telefonam – tehnoloģijas ir visur, kas nozīmé, ka hakeri arī ir visur. Es visu savu karjeru esmu pavadījis kiberdrošībá: sarakstot dažas no agrinajam grámatám par to, ká atrast programmatúras neaizsargátíbu, mácot datoru drośíbu Kolumbijas Universitáté un caur manu laiku ká Symantec tehnisko direktoru. Ko lieláká daļa cilvéku neapzinás par kiberdrośíbas profesionáliem ir tas, ka més esam daļa no misijas vadítas kopienas. Uzbrucéji bieži vien strádá gandríz izolácijá; kiber profesionáli sadarbojas. Pasaules kiberdrośíbas elíte dríz pulcésies RSA konferencé, bet tas ir vairák neká tikai sanákśana. Tas ir kopienas sapulcináśana.
Hjū Tompsons, Ph.D., ir RSA konferences izpilddirektors.
Vairák jásaprot komentári:
Komentáru sadaļás paustás domas ir tikai to autoru viedokļi un neatspoguļo obligáti domas un uzskatus.
