Iako se godinama govori o potencijalu umjetne inteligencije, njenim pozitivnim stranama, ali i brojnim izazovima koji prijete ako se AI ne iskorištava na pravi način, čini se kako se kako je rapidan razvoj ove tehnologije koje nam je prikazao ChatGPT, a naknadno i drugi AI alati, iznenadio većinu ljudi. Uključujući i brojne stručnjake iz tehnološke industrije.
Umjetna inteligencija, već sada je jasno, imat će značajan utjecaj na naše živote i našu budućnost, a Sam Altman već govori i o sljedećem velikom koraku, superinteligenciji te smatra kako već sada treba razmišljati o načinima njene regulacije. Ono o čemu također treba razmišljati i na što se već sada treba pripremiti su izazovi umjetne inteligencije s kojima se moramo boriti već danas, a nema sumnje da će oni biti sve veći u budućnosti.
To se pogotovo odnosi na kompanije koje bi svoju kibernetičku zaštitu morati podići na još veći nivo jer jasno je kako će hakeri i ljudi loših namjera također (pokušati) iskoristiti AI za nove sofisticirane napade, zbog čega ne treba čekati i djelovati reaktivno, već proaktivno kako bi se takve situacije dočekale spremne. O izazovima kibernetičke sigurnosti i opasnostima koji prijete zbog AI, razgovarali smo sa stručnjakom za to područje, direktorom Direkcije za informacijsku sigurnost u Setcoru Vedranom Vujasinovićem.
Već su zabilježeni hakerski napadi koji koriste AI
AI se razvija dugo vremena, no jeste li očekivali ovakav nagli skok kakav je zabilježen s ChatGPT-om?
Razvoj umjetne inteligencije proteklih godina doista je bio impresivan, posebno s naglim skokom kakav smo svjedočili s ChatGPT-om. Slično tome, kako je internet revolucionirao pristup informacijama, tako razvoj umjetne inteligencije danas omogućuje generiranje sadržaja i donošenje odluka, što predstavlja rast rizika.
Unatoč tome što je razvoj AI-a bio predvidljiv, brzina kojom su se generativni modeli poput ChatGPT-a poboljšali iznenađujuća je. Ovaj napredak donosi brojne mogućnosti, ali istovremeno i sigurnosne izazove. Iz navedenog vidimo kako je razvoj umjetne inteligencije neizbježan, a najveći sigurnosni izazov je osigurati da se AI modeli ne mogu zloupotrijebiti na štetu korisnika.
AI je zanimljiv i hakerima i kriminalcima - na koje sve načine oni mogu iskoristiti umjetnu inteligenciju i jesu li već zabilježeni neki takvi napadi?
Da, umjetna inteligencija zainteresirala je i hakere i kriminalce zbog njenog potencijala. Realna opasnost od napada koji koriste AI već postoji, iako još nije dosegnula masovnu razinu. Napadači mogu iskoristiti AI za manipulaciju, prijevare i napade na sigurnost sustava. Nažalost, već su zabilježeni napadi koji koriste AI. Hakeri mogu koristiti AI za stvaranje sofisticiranih i uvjerljivih lažnih sadržaja, kao što su lažne slike, video ili audio zapisi, koji mogu obmanjivati ljude. Također, AI može biti iskorišten za poboljšanje učinkovitosti napada, kao što su generiranje naprednih phishing poruka ili automatsko pronalaženje ranjivosti u sustavima. Napadači, čak i bez prethodnog iskustva, sada mogu lako pristupiti sofisticiranim alatima i tehnikama koje AI pruža, često bez ikakvih dodatnih troškova, čime se povećava potencijalna uspješnost njihovih napada.
Curenje podataka je još jedna vrsta rizika koju vidim, jer zaposlenici mogu nehotice ili namjerno izložiti povjerljive informacije tvrtke njihovim unosom u generativni AI poput ChatGPT-ja, primjerice, tražeći da se napravi prezentacija na temelju teksta s povjerljivim informacijama koji je poslan na internet.
Imamo i scenarij kada AI generira sadržaj poput kôda, slike ili dokumenta za koje ne znamo izvor, a zaposlenici neoprezno integriraju taj neprovjereni sadržaj u svoje aplikacije ili produkcijske sustave – te tom radnjom nehotično prouzroče prekid poslovanja ili financijsku štetu. Potrebno je pronaći način za sigurno usvajanje AI-ja koje će onda adresirati ove rizike.
Kakva je trenutačno realna opasnost od takvih napada? Na što bi svi trebali pripaziti i što možemo napraviti (kao pojedinci, a pogotovo tvrtke) kako bi se zaštitili od takvih napada? Kakav je vaš savjet za kompanije, što bi trebale napraviti?
Realna opasnost od napada koji koriste AI već postoji, iako još nije dosegnula masovnu razinu. Kako bismo se zaštitili, ključno je poduzeti odgovarajuće sigurnosne mjere. Pojedinci i tvrtke trebaju biti svjesni prijetnji i educirati se o potencijalnim prijevarama i phishing pokušajima.
Tvrtke također trebaju ulagati u sva sigurnosna rješenja koja će pratiti i suzbijati nove prijetnje AI-a, educirati zaposlenike o sigurnosnim rizicima i praksama.
Uzmimo za primjer razvoj kvantnih računala, koji je uveo novi rizik da će se jednog dana moći dekriptirati sva današnja sigurna komunikacija, npr. s bankama, poslovnim partnerima, pa sve do naših privatnih fotografija u cloudu, poslanih mailom i slično. Radi ilustracije, sve što je napadaču potrebno je pričekati godinu-dvije i onda koristeći kvantna računala jednostavno dekriptirati ove tuđe podatke. Taj rizik potrebno je adresirati već danas, na način da se počne koristi kriptografija koja je otporna na kvantna računala.
Na sličan način, trebamo biti svjesni koji su rizici razvoja AI modela, i već danas primijeniti zaštitne metode, što tehnološke, što one u osvještavanju zaposlenika.
Savjeti za zaštitu
Edukacija o prijetnjama: Pojedinci i tvrtke trebaju biti svjesni potencijalnih prijevara i phishing pokušaja. Redovito se educirati o sigurnosnim rizicima i praksama kako bi bili pripremljeni.
Snažne lozinke i dvofaktorska autentifikacija: Koristiti snažne lozinke za sve račune i aktivirati dvofaktorsku autentifikaciju kad god je to moguće.
Zaštita od curenja podataka: S tehnološkog aspekta koristiti rješenja za zaštitu od curenja podataka kako bi spriječili neovlašteni pristup osjetljivim informacijama.
Zaštita u cloudu: Ako koristite usluge u cloudu, poput pohrane podataka, koristiti rješenja poput CloudSOC-a za osiguranje tih informacija.
Zero-trust tehnologija: Razmisliti o implementaciji zero-trust tehnologije koja zahtijeva autentifikaciju i provjeru svakog koraka pristupa sustavu.
Redovito ažuriranje softvera: Redovito ažurirati operativne sustave, aplikacije i sigurnosne zakrpe kako bi zatvorili poznate sigurnosne propuste.
Smatrate li da će AI povećati ili oslabiti kibernetičku sigurnost?
Utjecaj AI-a na kibernetičku sigurnost može biti dvostruk. S jedne strane, AI pruža nove alate i tehnike za jačanje sigurnosti. Na primjer, AI se može koristiti za detekciju prijetnji i analizu sigurnosnih događaja s većom preciznošću i brzinom od tradicionalnih pristupa. AI također može pomoći u identifikaciji neobičnih aktivnosti i otkrivanju ranjivosti sustava.
S druge strane, napredak u AI-u otvara vrata novim sigurnosnim izazovima. Generativni modeli, kao što je ChatGPT, mogu stvarati uvjerljive lažne sadržaje koji mogu biti iskorišteni u napadima. AI također može biti korišten za automatizaciju napada, pronalaženje slabosti i prilagodbu taktika napada. Stoga je važno ulagati u sigurnosna rješenja koja prate i suzbijaju nove prijetnje AI-a.
AI već danas može oponašati ljudske misli i djela, a bori se s etičkim pitanjima, što zajedno otvara veliku površinu napada na novu iznimno interesantnu ne-tehnološku metu – čovjeka. Umjetna inteligencija predstavlja resurs koji je na raspolaganju svim korisnicima, bez obzira na njihove namjere. Njeno korištenje postaje neizbježan element naših svakodnevnih aktivnosti.
Za sigurnost AI mora biti odgovoran samo čovjek
U kojem smjeru vidite daljnji razvoj umjetne inteligencije, što možemo očekivati od AI?
Daljnji razvoj umjetne inteligencije donijet će naprednije AI modele i primjene. Očekujemo veću integraciju AI-a u različite industrije i svakodnevni život. AI će vjerojatno poboljšati naše iskustvo s tehnologijom, pružajući personalizirane usluge, automatizaciju i pomoć u donošenju odluka. Vidjet ćemo napredak u područjima poput medicine, prometa, financija, obrazovanja i drugih sektora. AI će imati važnu ulogu u analizi velikih podataka, automatizaciji procesa i razvoju naprednih sustava predviđanja.
Moramo pratiti i regulirati njegovu upotrebu kako bismo osigurali da AI služi ljudskim interesima i da se pridržava etičkih standarda. AI će biti i ostati alat, koji tvrtke već danas koriste i koristiti će sve više i više, na sličan način kao što je to bio i Google. Oni vještiji prilagodbi novim alatima steći će veću prednost na tržištu, čemu smo svjedočili kroz godine iza nas kako su se alati korišteni u poslovanju mijenjali.
Aktualna tema oko AI je i regulativa. Kakav je vaš stav - treba li i koliko/kako regulirati razvoj i korištenje umjetne inteligencije?
Regulacija razvoja i korištenja umjetne inteligencije je izuzetno važna tema koja zahtijeva pažljivu analizu i donošenje uravnoteženih odluka. S jedne strane, regulacija može pružiti okvir za zaštitu pojedinaca i društva od potencijalnih štetnih utjecaja AI-a. S druge strane, pretjerana i prekomjerna regulacija može suziti inovacije i usporiti tehnološki napredak.
Regulativa treba biti usklađena s postojećim zakonima i propisima poput zakona o zaštiti privatnosti, GDPR-a, kaznenog i prekršajnog zakona. Eksperimenti s AI-jem puštenim na potpunu slobodu, čak i s dobrim namjerama, su pokazali potencijalne rizike u kojima AI zbog nedostatka emocija, ljudskog zdravog razuma i slično može nehotice eliminirati čovječanstvo, pa je iz tog razloga potrebno razviti jasniju regulativu.
Važno je izbjeći scenarije u kojima AI donosi odluke bez kontrole čovjeka, onda su čak i postojeći zakoni primjenjivi. Regulacija treba pratiti razvoj tehnologije i prilagođavati se novim izazovima. Potrebno je osigurati transparentnost, odgovornost i pravednost u razvoju i primjeni umjetne inteligencije. Također, važno je uspostaviti mehanizme nadzora i provjere kako bi se osiguralo da se AI koristi na način koji je u skladu s etičkim standardima i zakonima.
Zero-trust model može biti primijenjen kao nit vodilja u razmišljanjima oko regulative i razvoja koji promiče inovacije i napredak, dok istovremeno osigurava sigurnost, privatnost i etičnost u upotrebi AI-a. Potrebno je uspostaviti dijalog između stručnjaka, industrije, regulatornih tijela i civilnog društva kako bismo zajednički definirali najbolji pristup regulaciji umjetne inteligencije.
U konačnici, za sigurnost AI-a mora ostati odgovoran čovjek, a regulative su tu kako bi poticale istraživanje i razvoj AI-a koji ima pozitivan društveni utjecaj. Kao i kod autonomnih vozila, ljudi trebaju zadržati kontrolnu ulogu i odgovornost prilikom korištenja generativne AI tehnologije.
Za kraj, istaknuo bi, kako uz sve navedeno, sigurnosno osvještavanje zaposlenika koje je bilo važno i od ranije, sad postaje važnije nego ikad jer će biti sve teže razlikovati računalno generirani sadržaj od autorskog, što će otvoriti dodatne rizike koje sama tehnološka rješenja neće biti u mogućnosti svaki put zaustaviti, već će čovjek i tu uz alate koji olakšavaju zadatke i omogućuju poslovanje budućnosti - trebati ostati posljednja linija obrane, koja ima ono što AI nema, zdrav razum i emocije.
