Usposabljanje o informacijski varnosti
Zagotovite usposabljanje o informacijski varnosti svojim zaposlenim. Seznanite se s...
Preberi večVpliv umetne inteligence na kibernetsko varnost v dobi ChatGPT
By Staša
AI: Tveganje in nagrada
Če niste bili zadnjih nekaj mesecev na počitnicah nekje daleč stran, brez dostopa do interneta ali družabnih stikov, se zagotovo zavedate vzhičenja in strahu glede ChatGPT in drugih podobnih orodij umetne inteligence (AI).
Obstajajo številne razprave, ki zajemajo na eni strani vznemirjenje nad neomejenimi možnostmi potencialne uporabe ChatGPT in zaskrbljenost zaradi njegovega možnega vpliva na svet, kot ga poznamo. Vmes se najdejo poskusi navdušenih posameznikov, ki prosijo GPT, naj jim napiše pesem za punco v stilu Chucka Berryja ali sprašujejo, kako s pomočjo arašidovega masla spraviti slona iz hladilnika.
Vendar je med temi (bolj ali manj) zabavnimi poskusi le malo pozornosti namenjene temu, kako orodja AI predstavljajo tveganja ali koristi na področju informacijske varnosti.
Razumevanje orodja
Nobeno orodje iz trenutne generacije klepetalnih robotov ni sposobno sprejemati inteligentno podprtih odločitev.
ChatGPT je klepetalni robot, brezplačen za uporabo, ki ga je razvil OpenAI . Izdaja najnovejše, plačljive različice GPT-4, 14. Marca 2023 je takoj prišla na večino naslovnic zaradi pomembne posodobitve in tudi granje ugleda za kompleksna ‘plonk’ besedila. Microsoft, ki financira OpenAI, je uvedel ChatGPT tudi v svojem iskalniku Bing.
GPT je kratica za ‘generative pre-trained transformer’, kar pomeni, da gre za jezikovni model, ki preverja verjetnost, katere besede bodo verjetno naslednje v zaporedju. Ker gre za algoritem globokega učenja, se nevronska mreža nauči konteksta katerega koli jezikovnega vzorca, govorjenega ali računalniškega.
Zato je pomembno opozoriti, da nobeno tovrstno orodje iz trenutne generacije klepetalnih robotov z umetno inteligenco, bodisi ChatGPT bodisi njegov Googlov tekmec Bard, DeepMind-ov Sparrow in drugi LLM, v resnici ne sprejema inteligentno podprtih odločitev. Delujejo bolj kot papige, saj ponavljajo besede, ki se najverjetneje nahajajo ena poleg druge.
Podjetja nenehno iščejo stroškovno učinkovite načine za izboljšanje ponudbe izdelkov, zagotavljanja storitev in skalabilnosti. Zmožnost umetne inteligence, da avtomatizira določene naloge, kot je ustvarjanje vsebine za družbene medije ali trženje, in delovanje v vlogi pomočnika pri iskanju informacij ali zagotavljanju osnovnih storitev za stranke (kot je odgovarjanje na pogosta vprašanja) je torej dobrodošla.
Na spletu je veliko vsebine in orodij, ki jih lahko preizkusi vsak. Večina jih hvali prednosti, ki jih prinaša nova tehnologija, zato se na to ne bomo osredotočali. Poglejmo si raje tveganja, za katera morda sploh niste vedeli, da obstajajo
Tveganje
Etična vprašanja pri uporabi generativne umetne inteligence so očitna in skrb, zaradi katere je italijanski organ za varstvo podatkov 1. aprila prepovedal uporabo ChatGPT. Uporaba je bila ponovno dovoljena mesec dni kasneje, z večjo preglednostjo in pravicami za uporabnike v EU, vendar ostaja veliko pomislekov.
Nedavna študija* je opredelila šest različnih varnostnih tveganj, ki vključujejo uporabo ChatGPT in drugih velikih jezikovnih modelov (LLM):
Veliki jezikovni modeli (LLM) so lahko zavezniki kibernetske varnosti
ali pa grožnja.
- Ustvarjanje goljufivih storitev
Lahko je odlično orodje za pomoč pri uresničevanju vaše sanjske ideje z ustvarjanjem novih storitev, spletnih strani, besedil in drugega. Lahko pa ga zlonamerni akterji izkoristijo tudi za privabljanje nič hudega slutečih uporabnikov z zagotavljanjem brezplačnega dostopa do programov in platform, ki posnemajo izvirne.
- Zbiranje škodljivih informacij
Oseba z zlonamernimi nameni lahko to orodje uporabi za hiter dostop do razpoložljivih informacij in lahko z njim povzroči tudi škodo. Na primer: kibernetski napadalec lahko od orodja zahteva, da izpiše informacije, kateri informacijski sistem uporablja določena banka, ter tako ugotovi, kje in kako izvesti napad.
- Razkritje zasebnih podatkov
Dobra novica: ChatGPT ima zaščitne mehanizme, ki preprečujejo skupno rabo osebnih podatkov in informacij posameznikov. Vendar pa lahko deli informacije o zasebnem življenju javnih oseb, vključno s škodljivo ali špekulativno vsebino. Torej pomisleki ostajajo na mestu.
Ustvarjanje zlonamernega besedila
Ena izmed najbolj priljubljenih funkcij – zmožnost kreiranja besedil – se lahko uporablja tudi za ustvarjanje škodljivih tekstov. To lahko vključuje dezinformacije, lažne novice, neželeno pošto, celo lažno predstavljanje in ustvarjanje phishing napadov z lažnim predstavljanjem.
Ustvarjanje zlonamerne kode
Impresivne zmožnosti orodja na področju generiranja kod bi lahko uporabili tudi za izdelavo hitre kode in jo uporabili v škodljiv namen, kar bi potencialnim napadalcem omogočilo hitrejše izvajanje groženj. Čeprav ima chatbot nekaj omejitev in noče generirati zlonamernih kod (kot je zakrita koda), se lahko strinja z generiranjem kode, ki bi lahko testirala ranljivost sistema.
Generiranje žaljivih vsebin
Sicer ima orodje vgrajene zaščitne mehanizme, ki preprečujejo širjenje žaljivih in neetičnih vsebin, a če je uporabnik dovolj odločen, se da žal doseči tudi to.
Izkoriščanje moči AI
Orodja umetne inteligence že ponujajo dinamičen pristop k informacijski varnosti z uporabo inteligentnih algoritmov in tehnik strojnega učenja za odkrivanje, odzivanje in ublažitev nastajajočih tveganj v realnem času.
Z zmožnostjo obdelave velikih količin podatkov lahko algoritmi umetne inteligence prepoznajo sumljive dejavnosti, označijo morebitne grožnje in varnostnim ekipam zagotovijo pravočasna opozorila. To omogoča organizacijam, da se hitro in učinkovito odzovejo, ublažijo vpliv kibernetskih incidentov in zmanjšajo možnost kršitev podatkov ali ogrožanja sistema.
Orodja AI, vključno s ChatGPT , se lahko uporabljajo tudi kot platforme za usposabljanje. S simulacijo scenarijev iz resničnega sveta ta orodja zagotavljajo varno okolje za ekipe informacijske varnosti, da izboljšajo svoje sposobnosti, vadijo odziv na incidente in razvijejo učinkovite strategije za boj proti kibernetskim grožnjam.
Uporablja se lahko za okrepitev prizadevanj podjetij za izboljšanje informacijske varnosti. Na primer, orodje lahko zagotovi določeno stopnjo podpore junior IT sodelavcem, da jim pomaga bolje razumeti kontekst problema, na katerem delajo. Pomaga lahko tudi ekipam z nezadostnim osebjem pri prepoznavanju notranjih ranljivosti. Zastavljanje vprašanja, kot je “Kako lahko prepoznam lažno spletno trgovino?” ali »Kako prepoznam lažno e-pošto?« lahko zagotovi precej soliden odgovor, ki bo uporabniku pomagal ostati na varni strani.
Prihodnost
Upajmo, da bodo v prihodnosti informacijske varnosti uporabniki uporabljali umetno inteligenco, da bi pomagali rešiti težave za te in številne druge vrste poizvedb, na primer, kaj bi lahko bil naslednji najverjetnejši možen napad na organizacijo. Jasno mora biti, da če kibernetski napadalci uporabljajo ChatGPT in druga orodja umetne inteligence za izboljšanje svojih napadov, bi jih morale tudi organizacije uporabljati za krepitev svojih prizadevanj za informacijsko varnost. Na srečo pri tem niste sami.
Vključite svoje zaposlene v dejavnosti informacijske varnosti, izvedite varnostne preglede sistema, da ugotovite morebitne ranljivosti, zaščitite sebe, svoje podjetje in svoje okolje! Če niste prepričani kako začeti ali kako se izboljšati, vam bomo z veseljem pomagali in podali več informacij. Kontaktirajte nas.
Sklici in viri
* Derner, E., Batistic K. (2023) Beyond the Safeguards: Exploring the Security Risks of ChatGPT. https://arxiv.org/pdf/2305.08005.pdf (internetni vir, 19.05.2023)
© 2023 ANGELIS d.o.o.. Vse pravice pridržane.