Przez AI każdy laik może zostać „hakerem”. Eksperci tłumaczą, jak bronić siebie i firmę przed nowymi narzędziami oszustów

Nie skończył studiów informatycznych. Nie pracował w żadnej firmie IT. Nie uczył się programowania na własną rękę. Nigdy nie napisał nawet linijki kodu. Mimo tego wszedł w posiadanie programu ransomware, bo... poprosił sztuczną inteligencję o jego napisanie. To nie jest perspektywa z odległej przyszłości albo filmu science fiction. To potencjalne zagrożenie tu i teraz, z którego musimy zdawać sobie sprawę.

Sztuczna inteligencja powstała, by służyć człowiekowi. Jak każde narzędzie, również ona może zostać wykorzystana do czynienia dobra, ale również zła. Skoro AI potrafi stworzyć dla człowieka grafikę, wygenerować dźwięk czy napisać program, równie dobrze może mu pomóc w realizacji innego, czasem niemoralnego celu.

Czy przez sztuczną inteligencję i jej możliwości „hakerem” może zostać dosłownie każdy? Czy AI może zostać wykorzystana do cyberataku? Jakie firmy są aktualnie na celowniku oszustów? Czy właściciele małych polskich przedsiębiorstw mają powody do obaw? Jak natychmiast zwiększyć bezpieczeństwo swojego biznesu, najlepiej bez ponoszenia (dużych) kosztów?

Właśnie o takie kwestie zapytałem ekspertów od cyberzagrożeń z ERGO Hestii. Moimi rozmówcami są Maciej Kleina, specjalista ds. ubezpieczeń w Biurze Ubezpieczeń Korporacyjnych oraz Tomasz Dolata, główny specjalista ds. ubezpieczeń Działu Ubezpieczeń Majątkowych, Technicznych i Cybernetycznych. Obaj eksperci od lat zajmują się kwestiami cybernetycznego bezpieczeństwa, doradzając polskim firmom i przedsiębiorcom w tym obszarze.

Szymon Radzewicz, Spider’s Web: Czy sztuczna inteligencja może zostać wykorzystana jako narzędzie do popełnienia przestępstwa?

Maciej Kleina, ERGO Hestia: Jak najbardziej. Na przykład do podszywania się pod dowolną osobę z takim stopniem autentyczności, którego wcześniej nie znaliśmy. Przy pomocy sztucznej inteligencji jestem w stanie wygenerować dźwięk, maila, sposób pisania, nawet melodię zdania danej osoby.  Nie ma więc żadnego problemu, aby podszyć się pod wysoko postawioną osobę z firmy.  To nie jest nic przesadnie trudnego z perspektywy tego, co potrafi sztuczna inteligencja.

AI będzie w obszarze oszustw game-changerem. Kiedyś, żeby dokonać przestępstwa cybernetycznego, trzeba było posiadać zestaw umiejętności. Trzeba było być dobrym programistą albo wiedzieć, jak się poruszać po darknecie, by zamówić odpowiednie oprogramowanie. Teraz, w dobie AI, osoba posiadająca komputer i Internet może być “hakerem”. To coś, co wpłynie na niekorzyść cyberbezpieczeństwa.

Tomasz Dolata, ERGO Hestia: AI jest wielką szansą dla każdego przedsiębiorstwa, ale jest to także duże zagrożenie dla bezpieczeństwa. Niestety, w żadnym społeczeństwie nie ma wyłącznie jednostek chcących wykorzystywać narzędzia w słusznych celach. Ransomware, phishing - to metody oszustw internetowych, które będą ściśle powiązane ze sztuczną inteligencją.

Czyli niebawem, albo nawet już teraz, hakerem może zostać każdy?

M.K: Nie powiedziałbym, że absolutnie każdy. Pewną wiedzę wciąż trzeba bowiem posiadać. Na przykład o formach ataku czy jak działa system cyberbezpieczeństwa. Za to laik komputerowy - tak. Do tej pory laik od bezpieczeństwa nie byłby w stanie napisać oprogramowane ransomware. Dzisiaj jest to już wielce prawdopodobne. Co jednak zrobić z takim oprogramowaniem dalej - tu wciąż potrzebna jest pewna wiedza.

T.D: Jednak co do zasady mleko się rozlało. Istnieją pewne technologie - przykładowo klonowanie - które są ściśle kontrolowane, zarezerwowane dla kilku laboratoriów na świecie. Takie laboratoria - czy też państwa za nimi stojące - mogą się umówić na krok wstecz. W przypadku AI można się umawiać na co chcemy, ale ta technologia już żyje w domowych zaciszach. Jest powszechnie dostępna. Tego nie da się cofnąć.

Dla zupełnych laików pewną barierą muszą być same korporacje stojące za AI. To one powinny stawiać bariery, by laicy nie byli w stanie przeskoczyć pewnego pułapu zaawansowania w zakresie tworzenia ransomware. Póki co korporacje żadnych takich barier nie stawiają. Jesteśmy na etapie wyścigu pod tytułem “kto więcej potrafi”.

Taki wyścig może mieć jednak dobre konsekwencje w obszarze cyberbezpieczeństwa. Na przykład dojdzie do powstania asystenta AI, który sam rozpozna, czy rozmawiamy z autentyczną osobą, a może z oszustem podszywającym się pod kolegę z pracy przy pomocy sztucznej inteligencji. Taki policjant AI będzie czujny 24 godziny na dobę, 7 dni w tygodniu. Przydatna sprawa, biorąc pod uwagę, że najwięcej ataków ma miejsce właśnie w weekendy, kiedy firmy często nie są w stanie odpowiednio szybko reagować.

Dojdzie więc do swoistej walki robotów: te atakujące będą się ścierać z tymi broniącymi. Brzmi jak science fiction, ale właśnie wchodzimy w taką rzeczywistość.

Jak może wyglądać wykorzystanie AI do dokonania cyberprzestępstwa? Raczej nie poproszę ChatGPT o atak na dane klientów banku.

T.D.: AI może pomoc np. w ataku phishingowym na konkretnego pracownika, poprzez podszycie się pod inną osobę. Oszust brzmiący bądź nawet wyglądający jak kolega zza biurka wydobywa firmowy login i hasło. Od dostępu użytkownika przechodzi do uprawnień administratora. Na tym poziomie wydobycie danych to już banał.

M.K.: Sztuczną inteligencją może też pomagać już po złamaniu zabezpieczeń. Na przykład w przeglądzie infrastruktury klienta oraz posiadanych przez niego danych, jak dane osobowe klientów. AI może więc pomagać osobom o złych intencjach na wiele różnych sposobów.

Nie licząc koncepcji ochroniarza AI, niedaleka przyszłość nie rysuje się kolorowo, skoro każdy laik będzie mógł zostać hakerem.

T.D.: Fakt, perspektywa może być niemiła, ale tylko przez kilka najbliższych lat. Jesteśmy bowiem w tym niefortunnym momencie, kiedy nie nadążamy z zabezpieczeniami w stosunku do nowych możliwości. Jednak za kilka lat, jako społeczeństwo, nauczymy się żyć z nowymi wyzwaniami. Wyrobimy nowe nawyki, np. włączenie konkretnego programu na komputerze, pilnującego, by nikt mnie nie oszukał. Będzie to tak samo naturalne, jak dzisiaj zamykanie drzwi na klucz. Takie uodpornienie chwilę potrwa, oszustwa na wnuczka będą się mnożyć, ale wyrobimy nowe nawyki i będziemy funkcjonować normalnie.

M.K.: Już dzisiaj zaczynamy się oswajać z tym, czym jest AI i jakie daje możliwości, również te negatywne. Jednak większość z nas chce wykorzystywać sztuczną inteligencję w dobrych celach. Widzi w niej szansę na rozwój. Wraz z rozwojem zawsze pojawia się zagrożenie. Tego nie da się uniknąć. To cena progresu. Szanse znacząco przewyższają jednak zagrożenia. AI przyspieszy ludzką pracę o pokolenia.

Oszuści mają ulubiony model AI, czy może tworzą własne, szkoląc ich do przestępstw?

T.D: Hakerzy zazwyczaj nie stosują szeroko dostępnych rozwiązań, ponieważ są one łatwo wykrywalne. Dlatego np. lubią mniej popularne kryptowaluty niż BitCoin, na przykład Monero. Z tego powodu nie wskazywałbym na powszechne rozwiązania AI jako ulubione wśród hakerów.

M.K: Do tego jako haker miałbym zagwozdkę, czy tworząc oprogramowanie do atakowania celów z pomocą popularnego narzędzia od Google, OpenAI czy Microsoftu, nie byłoby to łatwe do wychwycenia. Dlatego hakerzy kopiują i rozwijają sieci neuronowe jako narzędzia już pod ich pełną kontrolą. To zamknięty obieg informacji.

Pytam, bo zastanawia mnie, czy można pozwać wielkie korporacje takie jak Google czy Microsoft w ramach społecznej odpowiedzialności, jeśli ich AI pomaga oszustom.

T.D: To pytanie z pogranicza tych filozoficznych. Czy pozywamy producentów samochodów, bo dochodzi do wypadków? Czy pozywamy producentów noży? Są jednak pozwy zbiorowe w prawie amerykańskim na podstawie tzw. public niuanse - dolegliwości społecznych odkrywanych po latach. Na ich podstawie są generowane roszczenia do konkretnych podmiotów. Na przykład producentów leków, w kontekście opioidów.

W Europie oraz Polsce system prawny jest jednak “ciaśniejszy”, kiedy chodzi o związek przyczynowo skutkowy. Pozwy zbiorowe nie są też tak łatwo dostępne. Niewykluczone jednak, że wraz z popularyzacją AI korporacje będą musiały zapłacić za uciążliwości związane z możliwościami sztucznej inteligencji. To jednak dosyć odległa perspektywa. Nie jesteśmy na tym etapie.

Osobna kwestia to obowiązujące prawo. Mamy kompletny brak regulacji, nie nadążają one za technologią. W Polsce prawodawstwo nie nadąża za “klasycznym” IT funkcjonującym w naszym kraju. Co dopiero mówić o gonieniu za sztuczną inteligencją. Z kolei egzekwowanie odpowiedzialności będzie bardzo trudne, ze względu na powszechność wykorzystania AI.

Jeśli czyta nas przedsiębiorca, to co może zrobić, by zwiększyć poziom bezpieczeństwa w firmie już teraz, od jutra.

M.K.: Podstawowa reguła: najsłabszym ogniwem w cyberbezpieczeństwie zawsze jest człowiek. Dlatego zalecam szkolenia pracowników w obszarze zagrożeń ransomware i phishingu. Bardzo ciekawym rozwiązaniem jest też zamówienie kontrolowanej akcji phishingowej, pozwalającej zbadać, jak zachowają się pracownicy i jak zadziałają mechanizmy w firmie podczas ataku. W ten sposób poznamy świadomość naszych kadr dotyczącą bezpieczeństwa.

Nie do przecenienia jest także stabilna polityka firmy na wypadek takich ataków. Dokumentacja zawierająca plany działania, aby każdy wiedział, jak się zachować i co robić, by minimalizować skutki dokonanego ataku.

T.D.: Smutna prawda jest taka, że wiele polskich firm musiałoby najpierw zejść kilka poziomów niżej niż szkolenia pracowników. Do podstawowych kwestii sprzętowych. Znaczna część polskich przedsiębiorców korzysta z niewspieranych już systemów operacyjnych. Żaden haker nie potrzebuje AI, by skutecznie zaatakować systemy, które nie mają już wsparcia producenta. Dlatego zachęcam przedsiębiorców do wsłuchania się w potrzeby i postulaty ich własnych działów IT.

M.K.: Warto dodać, że dzisiaj posiadanie działu IT w firmie to nie wszystko. Warto rozróżnić dział zajmujący się komputerami i drukarkami od bezpieczeństwa IT. To dwa różne systemy. W dużych firmach często nie jest to dostrzegane. Własny dział IT nie oznacza z automatu bezpieczeństwa cyfrowego.

Większość biznesu w Polsce nie posiada własnego działu IT. Co z małymi firmami zatrudniającymi kilka osób?

M.K.: Dzisiaj każdy musi mieć na uwadze cyberbezpieczeństwo, nawet jednoosobowe działalności i małe przedsiębiorstwa. Gdy jest się małym, zadbanie o bezpieczeństwo bywa łatwiejsze - wystarczy zaktualizować oprogramowanie antywirusowe na jednym komputerze, z którego się korzysta. Mały biznes ma też tę przewagę, że może outsource’ować usługi bezpieczeństwa, to się im opłaca.

Zwracam natomiast uwagę, że jeśli biznes jest mały, to nie oznacza, że hakerzy się nim nie interesują. Każdy jest potencjalnie narażony. Często mały biznes jest prostszy do zaatakowania, przez co pada łatwym łupem oszustów. Na przykład mała klinika stomatologiczna dysponująca danymi medycznymi pacjentów. Świetny potencjalny cel.

T.D.: Dlatego każdy przedsiębiorca powinien uruchomić wewnętrzny kalkulator: ryzyko kontra koszty. Wspomniana klinika stomatologiczna nie chce dopuścić do wycieku danych medycznych. Naraża to bowiem reputację firmy. Do tego może spowodować postępowanie kończące się wysoką karą, bardzo dotkliwą dla małego biznesu. Świadomości tej smutnej konsekwencji jest za mało.

W obszarze cyberzagrożeń widzimy nowe trendy i zagrożenia? Co najczęściej nam zagraża?

M.K.: Od kilku lat mamy do czynienia z tym samym trendem: dużą popularnością phishingu oraz ataków ransomware. Te drugie hakerom opłacają się najbardziej - oszust szyfruje dyski firmy i klient ma do wyboru: albo zapłacić albo żegnać się z danymi, a także z reputacją. Żadna inna forma ataku nie jest tak prosta, skuteczna i dochodowa, jak atak typu ransomware.

Czy w takiej sytuacji zaatakowany przedsiębiorca powinien zapłacić okup?

M.K.: To zależy. Pytanie, czy doszło do faktycznych skutków i czy roszczenie oszusta jest czymkolwiek poparte. Czasem warto zapłacić, ponieważ hakerzy zazwyczaj nie upubliczniają przejętych danych. Zabiliby w ten sposób własny “biznes”. Nasze doświadczenie pokazuje, że jedna zapłata zamyka problem.

T.D.: Ktoś może powiedzieć, że nie zależy negocjować z terrorystami. Inni powiedzą: wolę zapłacić 100 tysięcy, niż zrujnować firmę. Dlatego wszystko zależy od konkretnej sytuacji. Powinniśmy kierować się zasadą ekonomiki szkody. Przedsiębiorca musi skalkulować, co opłaca się bardziej – zapłacić oszustowi, czy doprowadzić do wycieku danych, co może być też związane z karami administracyjnymi. To trudne moralnie, ekonomicznie i nie da się tego podsumować w formie jednego, uniwersalnego schematu postępowania.

Czy ubezpieczenie z zakresu cyberbezpieczeństwa sprawia, że ta “ekonomika straty” staje się korzystniejsza dla przedsiębiorcy?

T.D.: Zdecydowanie, ekonomika jest wtedy na koszt klienta. By poradzić sobie ze szkodą po ataku, trzeba wynająć specjalistów, co jest bardzo drogie. Przy większej szkodzie koszt samych informatyków śledczych na wolnym rynku to 100 - 200 tysięcy złotych. I nawet nie zaczęliśmy jeszcze płacić za samą szkodę. Mówimy tylko o kosztach jej likwidacji oraz sporządzenia raportu. Potem dochodzą do tego koszty odtwarzania danych, a także ewentualne kary administracyjne.

M.K.: Warto zwrócić uwagę, że ubezpieczenie powinno iść w parze z dbaniem o bezpieczeństwo w firmie. Jedno nie rozwiązuje drugiego. Dobre zabezpieczenie plus ubezpieczenie daje dużą gwarancję tego, że po ataku biznes będzie mógł nadal funkcjonować, a jego właściciel otrzyma odszkodowanie.

T.D.: Ubezpieczenie jest też bardzo pomocne zaraz po ataku. Wtedy w firmie najczęściej panuje ogromne zamieszanie. Pracownicy nie wiedzą, jak się zachować. Chaos jest niewyobrażalny. Nasi informatycy śledczy naprowadzają klienta na to, co powinien robić. Jakie kroki powinien podjąć. Dzięki temu ataki mogą pozostać informacją tylko wewnątrz firmy. Tacy specjaliści są drodzy, więc to duża wartość dodana naszego ubezpieczenia.

ERGO Hestia posiada w ofercie ubezpieczenie Cyber, stworzone z myślą o przedsiębiorcach.

Wiele polskich przedsiębiorstw ma kontakt z wrażliwymi danymi klientów - ich informacjami osobowymi, historią medyczną, numerami kont i tak dalej. To czyni je potencjalnym celem w oczach hakerów. Z tego powodu powstało ubezpieczenie Cyber w ofercie ERGO Hestia. Cyber to ubezpieczenie od zagrożeń cybernetycznych, chroniące przed skutkami ataków oraz następstwami naruszeń danych osobowych.

ERGO Hestia Cyber obejmuje swoją ochroną finansowe skutki wycieku danych elektronicznych, koszty dodatkowe i zysk utracony w wyniku ataku komputerowego, a także odpowiedzialność cywilną klienta. Więcej szczegółów dotyczących tego rozwiązania znajdziecie w tym miejscu.