Sztuczna inteligencja ułatwia ataki na firmy – i czyni je bardziej niebezpiecznymi

Niewiele brakowało. Pewna firma z USA poszukiwała programisty do zespołu AI. Zamieściła ogłoszenie, przeanalizowała aplikacje i CV, przeprowadziła rozmowy kwalifikacyjne (online), sprawdziła szczegóły i referencje, a następnie zatrudniła kandydata i wysłała mu firmowy komputer.

Jednak gdy tylko nowy pracownik otrzymał sprzęt firmowy, zainstalował na nim złośliwe oprogramowanie. Dział bezpieczeństwa zauważył podejrzaną aktywność i skontaktował się z nim, oferując wsparcie – wtedy mężczyzna zniknął. Śledztwo ujawniło, że nowo zatrudniona osoba była szpiegiem przemysłowym z Korei Północnej. Przeszedł standardowe procedury weryfikacyjne, używając skradzionej tożsamości obywatela USA i zdjęcia wygenerowanego przez sztuczną inteligencję. Próba infiltracji została powstrzymana – choć niewiele brakowało.

Na uwagę zasługuje jeszcze jeden istotny aspekt tego incydentu: celem ataku była firma, która jest jednym z największych dostawców szkoleń zwiększających świadomość na temat zagrożeń cyfrowych, mających uwrażliwić pracowników na metody cyberprzestępców. Ta historia powinna być ostrzeżeniem dla wszystkich: jeśli dział HR renomowanego specjalisty w tej dziedzinie może paść ofiarą oszustwa wspieranego przez AI, każda firma może być zagrożona.

Od początków istnienia technologii informacyjnej dwoma głównymi zagrożeniami dla bezpieczeństwa były phishing (fałszywe e-maile lub wiadomości) oraz socjotechnika (manipulowanie ofiarą poprzez wykorzystywanie zachowań społecznych, takich jak uprzejmość, ciekawość czy strach przed sprzeciwieniem się rzekomemu przełożonemu lub współpracownikowi). Dobrym przykładem jest słynny haker Kevin Mitnick, który pod koniec lat 70. XX wieku uzyskał kod źródłowy DEC (jednego z najważniejszych dostawców IT tamtych czasów) – nie za pomocą zaawansowanego hakowania, ale przez socjotechnikę. Zadzwonił do administratora systemu, podszywając się pod jednego z głównych programistów firmy i przekonał go, że zapomniał hasła.

Dziś takie działania – niezależnie od tego, czy mają na celu oszustwa finansowe, szpiegostwo przemysłowe czy sabotaż – są znacznie łatwiejsze dzięki wykorzystaniu sztucznej inteligencji. Generatywna AI, np. ChatGPT, potrafi błyskawicznie tworzyć teksty – napisanie wiadomości phishingowej zajmuje jej tyle samo czasu, co stworzenie szekspirowskiego sonetu. ChatGPT, opracowany przez OpenAI, ma wbudowane zabezpieczenia zapobiegające niewłaściwemu wykorzystaniu, lecz sprawcy ataków regularnie je omijają poprzez sprytnie sformułowane instrukcje (prompty) lub korzystając z usług dostępnych w dark webie, które umożliwiają omijanie tych zabezpieczeń. Co gorsze, sztuczna inteligencja nie tylko ułatwia cyberprzestępcom przeprowadzanie ataków, ale także je przyspiesza – niektóre można nawet w pełni zautomatyzować. Oznacza to, że żadna firma nie jest odporna na ataki phishingowe lub ransomware wspierane przez sztuczną inteligencję. Argument: „nasza firma jest zbyt mała, żeby zainteresować cyberprzestępców” już dawno przestał mieć rację bytu w obliczu niemal nieograniczonej skalowalności zasobów chmurowych i AI.

Podobna sytuacja dotyczy bariery językowej. Przez lata niemieckie firmy uważały się za względnie bezpieczne, ponieważ większość cyberprzestępczych metod wymagała znajomości języka niemieckiego. Sztuczna inteligencja jednak i tutaj zmienia reguły gry. Każdy, kto korzystał z DeepL czy Google Translate, wie, że modele AI do tłumaczenia są dobre, stale się poprawiają i prawdopodobnie niedługo będą zdolne do tłumaczenia w czasie rzeczywistym. Według raportu firmy Trend Micro, w dark webie dostępne są już różne narzędzia AI typu deepfake, umożliwiające fałszowanie wyglądu, głosu czy języka ludzi podczas wideokonferencji – wszystko po to, by dokonywać oszustw.