Popredný slovenský odborník v oblasti kybernetickej bezpečnosti Ivan Makatura v druhej časti rozhovoru pre Defencenews.sk hovorí o rozličných metódach určených na uvedenie používateľa počítača do omylu. Neodsudzuje používanie umelej inteligencie, aj keď tá umožňuje progres nielen ľuďom s dobrými úmyslami, ale aj tým so zlými. Najlepším prístupom je teda opatrnosť a neveriť hneď všetkému, čo sa na počítačovej obrazovke objaví.
Čítajte viac Ivan Makatura: V konečnom dôsledku je vždy za kybernetickým útokom človek
Predpokladajme, že zamestnanci sú poučení a minimálne jeden týždeň si pamätajú, čo počuli na školení a dodržiavajú všetky pravidlá. Napriek tomu nie vždy človek udrží stopercentnú pozornosť. Útočník, ktorý chce vykonať kybernetický útok, sa tiež vyvíja a zdokonaľuje, vymýšľa stále nové a nové metódy. Na zahlcovanie a oklamanie používateľov sa dokonca používajú stroje – chatboty. Tie sa môžu dokonca v spojení s umelou inteligenciou „učiť“. Aká veľká je v súčasnosti hrozba zo strany umelej inteligencie pri podvádzaní bežných užívateľov?
Umelá inteligencia, teda kognitívne systémy, principiálne zvyšujú spôsobilosť na obidvoch stranách. Zvyšujú spôsobilosť a znásobujú pracovný výkon, alebo pracovné schopnosti. Ľudia dosahujú vyššiu produktivitu pri použití nástrojov umelej inteligencie, čo je cieľom každého zamestnávateľa a všetkých vlastníkov – pracovať menej, ale efektívnejšie. Lenže umelá inteligencia zvyšuje efektivitu aj na strane útočníkov, a to najmä tým spôsobom, ktorý ste naznačili. Vďaka umelej inteligencii získali programátorské zručnosti aj ľudia, ktorí dovtedy nevedeli programovať, alebo len veľmi slabo. Tým sa znásobil počet potenciálnych útočníkov, ktorí si dokážu prostredníctvom nástrojov umelej inteligencie nakódovať, naprogramovať škodlivý kód. Donedávna by toho mnohí neboli schopní, pretože sú na to potrebné určité programátorské zručnosti. Teraz už aj so základnými programátorskými vedomosťami napíšu prostredníctvom umelej inteligencie vlastný počítačový kód. Či je to zle alebo dobre? Umelá inteligencia zvýšila produktivitu, nástroj sám nemôže za to, akým spôsobom je používaný. Umelá inteligencia zvýšila produktivitu dobromyseľných, aj tých zlomyseľných. To však neznamená, že musíme prestať používať umelú inteligenciu. Problém je skôr v tom, ako pristúpiť k tomu, aké produkty, výstupy chceme prostredníctvom umelej inteligencie dosiahnuť. V jednej veci AI veľmi napomáha útokom – akékoľvek nástroje generatívnej umelej inteligencie (napr. ChatGPT) výrazne zlepšujú schopnosti útočníka v sociálnom inžinierstve. Strojové preklady sú oveľa presnejšie, phisingové e-maily sú jednoznačnejšie a odbornejšie napísané; sú veľmi vhodne zvolené ciele na tzv. spearphising (cielený phising). Útočníci vďaka umelej inteligencii budú v komunikácii používať mená konkrétnych osôb, konkrétnych nadriadených, konkrétnych procesov a ich názvy. Zamestnanec, ktorý je cieľom útoku nedokáže rozpoznať, že na druhej strane nie je dobromyseľný používateľ, ale že sa práve stal obeťou snahy napr. o získanie nejakých informácií, napríklad prístupových údajov, alebo peňazí. Útočník vďaka umelej inteligencii používa veľmi dobrý odborný slang, používa veľmi dobrú slovenčinu, a v poslednej dobe to zachádza až do roviny posielania falošného multimediálneho obsahu (deepfake). To všetko zvyšuje dôveryhodnosť útočníkov, pričom si ale reálne žiadnu nezaslúžia.
Čítajte viac Elektrická sieť pod útokom: Ako sa Slovensko môže vyhnúť španielskej nočnej more
Takže niekto môže naštudovať moje e-maily, môj štýl vyjadrovania a v mojom mene niekomu napísať?
Áno, môže si naštudovať spôsob vyjadrovania a doslova „rukopis“. Keď bude chcieť niekto zaútočiť, bude to vyzerať tak, ako keby ste to písali Vy. Keď bude chcieť preniknúť do nejakého systému alebo získať nejaké informácie prostredníctvom metód sociálneho inžinierstva cez nejakého zamestnanca, tak najjednoduchším riešením bude nechať spracovať umelej inteligencii akoby Váš spôsob vyjadrovania, Váš rukopis, načítať si mená konkrétnych osôb a procesov a potom to bude veľmi dôveryhodné. Prijímateľ phisingového e-mailu bude naozaj presvedčený o tom, že vy ste ten, kto s ním komunikuje.
Čítajte viac Umelá inteligencia mení oblasť kybernetickej kriminality
Čiže je dôležité strážiť si e-mailovú komunikáciu.
Samozrejme áno, aj keď ani to nie je univerzálny spôsob ochrany. Ja vždy vravím, že je potrebné zvýšiť ostražitosť. Pri jednom rozhovore v televízii som dostal otázku, že keby som mal povedať jedno slovo, ktoré by malo vystihnúť spôsob konania používateľov v dnešnej dobe umelej inteligencie so všetkými tými hrozbami, ktoré tu boli, sú a ktoré ešte vzniknú, tak som na to odpovedal – opatrnosť. Rozmýšľajte o tom, čo robíte. Takisto, ako keď sa povie: dávajte pozor, kam stúpate, ak sa nechcete pošmyknúť napr. na chodníku, ktorý je zľadovatený. Rozmýšľajte nad tým, na čo klikáte, kam stúpate v kybernetickom priestore, pretože tých hrozieb, tých nástrah, zraniteľností je v ňom oveľa väčšie množstvo a výrazne sofistikovanejších, než len šmykľavý chodník.
Čítajte viac Kybernetické útoky: Rada Európskej únie predĺžila platnosť sankcií a právneho rámca
Bolo by teda dobré vrátiť sa do čias, keď boli drahé telefonáty a viedli sme len skrátenú konverzáciu, napríklad sme si len potvrdili stretnutie?
Samozrejme, treba minimalizovať objem informácií, ktoré tečú kybernetickým priestorom, ak chcete zároveň chrániť vlastné súkromie, ak chcete chrániť vlastné údaje… Čím menej informácií, najmä osobných a citlivých niekde zavesíte, tým ste relatívne bezpečnejší. Univerzálne to takto ale nefunguje, pretože to, čo sa zmenilo, je prostredie. My sme za 40 000 rokov od doby cromagnonského človeka mali čas na evolúciu vlastného konania, alebo riadenia rizík vo fyzickom priestore, hoci takto sa vtedy tento koncept nenazýval. Pračlovek sa naučil, ako vyjsť pred jaskyňu a nepošmyknúť sa na zľadovatenom kameni a nezlomiť si nohu, čo v tom čase pre neho samozrejme znamenalo smrť; alebo pri love mamutov vedel, kde sa má postaviť, aby naňho to obrovské zviera nestúpilo apod. K tomu všetkému sa nejakým spôsobom prepracoval skúsenosťami, empiricky. Na to, aby sme vedeli konať vo fyzickom priestore, sme teda my ako Homo Sapiens mali čas 40 000 rokov evolúcie. Koľko rokov evolúcie máme na to prispôsobiť sa novému priestoru, ktorý sa volá kybernetický? Tridsať! Približne toľko rokov existuje kybernetický priestor.
Čítajte viac Pochopenie sociálneho inžinierstva - ochrana pred kybernetickými hrozbami
A to nás ovplyvňujú ešte j iné priestory…
Áno. Napríklad aj z vojenského hľadiska je kybernetický priestor jednou z operačných domén. Existujú: zem, vzduch, voda a na samite NATO v júli v roku 2016 bolo rozhodnuté, že kybernetický priestor je ďalšou operačnou doménou. Vojaci sú tradične citliví na hrozby a aj oni uznali, že kybernetický priestor je vlastne životným priestorom človeka. Takže je tu nepomer 40 000 ku 30 rokom. Ja som ešte z generácie, ktorá si pamätá, že neexistovali osobné počítače. Dnes má každý jeden z nás násobne výkonnejší počítač vo vrecku – mobilný telefón alebo smartfón. Samotné zosieťovanie týchto strojov a zmenšovanie zariadení, zrýchľovanie, zväčšovanie výpočtového výkonu prebieha v ohromnom tempe zhruba od 90-tych rokov minulého storočia, takže máme skutočne prítomný kybernetický priestor len tých 30 rokov. Každý si uvedomuje, čo to je, čo všetko sa spracúva prostredníctvom výpočtovej techniky, aj to, že kybernetický priestor sa zväčšuje. Naše pôsobenie, naša interakcia s kybernetickým priestorom sa zvyšuje veľmi výrazne na úkor toho fyzického. Väčšia časť nášho života, prípadne bytia sa z toho fyzického priestoru presúva do kybernetického. Dokonca by som si dovolil vyhlásiť, že väčšiu časť svojho života trávime v kybernetickom priestore. Každú chvíľu máme v ruke mobilný telefón, každú chvíľu sme pri počítači, pri smart televízore, sme účastníkmi on-line spojenia. Tak sa môžeme pýtať, kde žijeme? Vo fyzickom, alebo kybernetickom priestore?
Čítajte viac Je umelá inteligencia hrozba pre naše súkromie?
Odborníci ako vy sa viete určite lepšie prispôsobiť, pretože tým žijete každý deň. Bežní ľudia majú k tomu všetkému rozličné starosti rozličného druhu. Myslíte si, že čo sa týka bezpečnostného povedomia, sme na Slovensku iní v porovnaní so zahraničím alebo zapadáme do priemeru?
Je to porovnateľné s inými krajinami moderného sveta, aj keď z môjho pohľadu stále nedostatočné. Aj v rámci Európskej únie je naša situácia porovnateľná s ktorýmkoľvek západným štátom. Rozdiely sú skôr z hľadiska demografie. Vyššiu digitálnu gramotnosť máme u dospelých ľudí v strednom výkonnom veku, najmä s vyšším vzdelaním. Každá vysoká škola má určitú výuku spojenú s informačnými technológiami. Takže je vyšší predpoklad toho, že ak má niekto vysokoškolské vzdelanie, má aj vyššie digitálne zručnosti. Menšie (lebo nedostatočnejšie) digitálne zručnosti súvisia s nižším dosiahnutým vzdelaním. Úroveň klesá tiež veľmi výrazne s vekom, čo je spojené viac so sociálnymi dôvodmi. Ide o to, že starší ľudia, seniori, a zároveň malé deti hlavne v predškolskom veku, alebo na základnej škole sú výrazne dôverčivejší, náchylnejší podľahnúť sociálnemu inžinierstvu. Teda ak väčšinovým spôsobom kybernetického útoku je sociálne inžinierstvo, tak práve tieto dve skupiny sú náchylnejšie k tomu, že prídu o svoje cenné dáta (aktíva) práve kvôli tomu, že sú dôverčivejší. Aj tu teda platí Gaussova krivka rozdelenia obyvateľstva. Digitálne zručnosti je potrebné zvyšovať aj u cieľovej skupiny nazvanej ZAMESTNANCI. V dnešnej dobe asi niet žiadneho výrobného procesu, alebo poskytovania služieb, kde by sa nepoužívali informačné a komunikačné technológie. Zamestnanci v tom prípade prichádzajú najčastejšie, alebo počas väčšiny pracovnej doby do styku s kybernetickým priestorom. Od poštovej úradníčky cez špecialistu pri sústruhu, všetko sa odohráva v kybernetickom priestore. Naprieč všetkými sektormi, naprieč všetkými povolaniami, naprieč všetkými zamestnávateľmi sa zvyšuje miera používania informačných a komunikačných technológií – prebieha digitalizácia alebo informatizácia. Zamestnanci sú problematickou skupinou v tom zmysle, že je potrebné neustále s nimi pracovať v oblasti zvyšovania bezpečnostného povedomia. Tí osvietenejší zamestnávatelia to aj robia. Priebežne ich školia, priebežne im poskytujú nové informácie o možných hrozbách, niektorí ich aj skúšajú. Mnohé firmy sa dostali do polohy nie nepodobnej školeniam o BOZP alebo Požiarnej ochrane, keď jednoducho školenie o informačnej a kybernetickej bezpečnosti musia absolvovať pravidelne. V bankách je to dokonca zákonnou povinnosťou.
Čítajte viac Nová éra kybernetickej bezpečnosti na Slovensku založená na štandardoch postkvantovej kryptografie NIST
Spýtam sa teraz na novší fenomén. Napríklad na YouTube sa objavujú videá, v ktorých verejne známi ľudia hovoria neuveriteľné veci. Až po pozornejšom pohľade je pod nimi napísané, že sú vytvorené umelou inteligenciou. Hovorí sa im deep fake videá. Domnievam sa, že sú veľkou hrozbou…
Je to obrovská hrozba, súhlasím s Vami. Tu opäť použijem porovnanie so sociálnym inžinierstvom. Manipulácia bude čochvíľa prebiehať nielen prostredníctvom nejakej podvrhnutej SMS správy, alebo podvrhnutého phisingového e-mailu, ale aj napríklad prostredníctvom podvrhnutého videohovoru. Niekto Vám zavolá, vidíte ho na obrazovke, myslíte si, že práve on Vám zavolal, hovorí Vám, že Váš šéf Vám prikazuje napríklad poslať niekomu nejakú sumu peňazí, alebo zmeniť číslo na faktúre apod. Ako viete, že to (ne)bol Váš šéf? Vy na základe príkazu Vášho nadriadeného, ktorého ste práve videli na obrazovke v konferenčnom hovore, zmeníte údaje a pošlete peniaze hackerovi na účet. To sa už začína diať a bude sa to diať asi častejšie. Ako to rozpoznať? Na jednej strane si regulácia vyžaduje, aby multimediálny obsah spracovaný, aby bola na obrazovke umiestnená značka, ako napr. pri filmoch nevhodných pre mladistvých. Je to ako Pyrrhovo víťazstvo, pretože na druhej strane v dnešnej dobe celý filmový, multimediálny a televízny novinársky priemysel používa a bude čoraz viac používať umelú inteligenciu. Je otázne, kde bude tá hranica, ktorá povie, čo je ešte OK a čo už nie; čo musí byť označené a čo ešte nemusí byť označené. Pretože ak bude označené všetko, tak opäť znížite pozornosť. Je to podobné ako s alarmami v automobiloch na sídlisku. Keď počujete alarm prvýkrát, prídete k oknu a pozriete sa, čo sa deje. Ak nikoho nevidíte ani po niekoľkých razoch, nevenujete už tomu veľkú pozornosť, prípadne žiadnu. Čiže znovu: je dobrý opatrný prístup, nedôverovať všetkému. Na internete, v kybernetickom priestore, nie je dôveryhodné prakticky nič. Pozerajte sa na to ako na veľmi nebezpečný, veľmi znečistený, zaprášený priestor plný nedôveryhodných vecí, ktoré sa vôbec nemajú dostať na verejnosť. Sme zahltení informačným balastom, z ktorého veľká časť je navyše vedome skomolená a potom už ale hovoríme o misinformáciách, dezinformáciách. Je ich také veľké množstvo, že nakoniec nikto nevie, čo je pravda a čo nie.
Ďakujem veľmi pekne za rozhovor, pán Makatura.
