Agencje ds. cyberbezpieczeństwa partnerstwa Five Eyes, w tym USA (Stany Zjednoczone), Wielka Brytania (Wielka Brytania), Australia, Kanada i Nowa Zelandia,wydali wspólne oświadczeniewzywając liderów biznesu i rządów do natychmiastowego działania w odpowiedzi na zagrożenia cybernetyczne oparte na sztucznej inteligencji.
Agencje twierdzą, że pionierskie modele sztucznej inteligencji są na dobrej drodze, aby przekroczyć obecne oczekiwania branży i zasadniczo zmienią zarówno ofensywne, jak i defensywne możliwości cybernetyczne. Ich chronologia nie jest mierzona w latach. Mierzy się go w miesiącach.
Oświadczenie pojawia się w miarę przyspieszania wdrażania sztucznej inteligencji w różnych branżach oraz w miarę jak podmioty zagrażające coraz częściej korzystają z narzędzi sztucznej inteligencji do przeprowadzania szybszych i bardziej wyrafinowanych ataków. Agencje twierdzą, że okno pomiędzy wykryciem luki a jej wykorzystaniem już się kurczy. Sztuczna inteligencja jeszcze bardziej to zawęża.
Problem całego społeczeństwa, a nie problem IT
Agencje mówią wprost w jednej sprawie: ryzyko cybernetyczne nie jest już problemem technicznym zaplecza. Zarządy i kadra kierownicza ponoszą teraz bezpośrednią odpowiedzialność za zapewnienie, że ich organizacje będą w stanie przeciwstawić się atakom w rzeczywistych warunkach, a nie tylko na papierze.
Według wspólnego oświadczenia wprowadzenie kontroli bezpieczeństwa nie wystarczy. Liderzy muszą mieć pewność, że te kontrole rzeczywiście będą działać podczas zdarzenia na żywo. Wymaga to od organizacji ponownej oceny długotrwałych kompromisów, podważenia założeń dotyczących tego, które systemy wymagają ekspozycji zewnętrznej, oraz celowego wykorzystania sztucznej inteligencji w celu wzmocnienia obrony, a nie po prostu poprawy wydajności.
Agencje opisują wymaganą reakcję jako wymagającą pełnego udziału organizacyjnego i społecznego. Twierdzą, że cyberodporność ma obecnie kluczowe znaczenie dla ciągłości działania, zaufania rynku i długoterminowej wartości. Organizacje, które traktują to inaczej, znajdą się w coraz bardziej niekorzystnej sytuacji strategicznej i operacyjnej.
W oświadczeniu wzywa się przywódców, aby zrozumieli i ocenili swoją gotowość do podjęcia ryzyka i odpowiedzialność, nadali priorytety podstawowym praktykom w zakresie cyberbezpieczeństwa, zapewnili liderom ds. cyberbezpieczeństwa rzeczywistą władzę i odpowiednie zasoby oraz pozostali aktywnie zaangażowani w miarę ewolucji zagrożeń i oficjalnych wytycznych.
Co muszą teraz zrobić przywódcy?
Agencje przedstawiły zestaw praktycznych działań, które określają jako pilne i nie nowe, ale obecnie krytyczne, biorąc pod uwagę tempo rozwoju sztucznej inteligencji.
Organizacje muszą zmniejszyć powierzchnię ataku poprzez ograniczenie niepotrzebnego dostępu do systemu i łączności zewnętrznej. Agencje namawiają liderów, aby zastanowili się, czy systemy w ogóle wymagają ujawnienia, i odizolowali te, które tego nie wymagają.
Wzywają również do szybszych procesów łatania, zauważając, że sztuczna inteligencja skraca czas między wykryciem luki w zabezpieczeniach a jej wykorzystaniem. Opóźnienia w stosowaniu aktualizacji zabezpieczeń, szczególnie w przypadku systemów operacyjnych o długich cyklach aktualizacji, niosą ze sobą rosnące ryzyko.
Zalecenie to najwyraźniej znajduje potwierdzenie w ostatnich wydarzeniach.Mozilla szybko podjęła działania, aby załatać lukę AI w Firefoksiektóre mogły ujawnić kody weryfikacyjne poczty elektronicznej, co pokazuje, jak ważne jest szybkie reagowanie na luki związane ze sztuczną inteligencją.
Szczególną uwagę poświęcono starszym systemom. Agencje opisują nieobsługiwane systemy nie tylko jako dług techniczny, ale jako zobowiązania strategiczne. Wzywają przywódców, aby zajęli się tymi systemami w pierwszej kolejności, zamiast odraczać koszty.
Agencje proponują ustalenie ograniczeń dostępu do systemów krytycznych
Ważnym elementem była także kontrola tożsamości i dostępu. Agencje zalecają ograniczanie dostępu do krytycznych systemów, egzekwowanie silnego uwierzytelniania i regularne sprawdzanie uprawnień.
Jeśli chodzi o gotowość na incydenty, nawoływali organizacje do testowania planów reagowania, wcześniejszego szkolenia zespołów i działania przy założeniu, że wystąpią naruszenia. Należy skupić się na szybkim powstrzymywaniu i odbudowie, a nie na bezpośrednim zapobieganiu każdemu naruszeniu.
Agencje uznały również sztuczną inteligencję za narzędzie obronne. Zauważyli, że przeciwnicy już korzystają ze sztucznej inteligencji, aby poruszać się szybciej i precyzyjniej uderzać. Obrońcy muszą odpowiedzieć w podobny sposób. Organizacje, które włączają systemy sztucznej inteligencji do swoich protokołów bezpieczeństwa, mogą bezpośrednio wykrywać luki w zabezpieczeniach, skuteczniej monitorować podejrzane zachowania i szybciej reagować na incydenty, zmniejszając zarówno koszty finansowe, jak i operacyjne ataków.
Zgodnie z oświadczeniem sukces nie będzie zależał od posiadania jak największej liczby dostępnych narzędzi. Będzie to wynikać z prawidłowego opanowania podstaw, szybkiego działania i odgórnego włączenia cyberbezpieczeństwa do podstawowej strategii biznesowej.
Agencje zakończyły swoje działania wyraźnym ostrzeżeniem dla przywódców rozważających podejście wyczekujące. Przy obecnym tempie zmian, założenia dotyczące ryzyka cybernetycznego mogą stać się nieaktualne w ciągu kilku miesięcypionierski rozwój sztucznej inteligencji. Ci, którzy podejmą działania teraz, zmniejszą ekspozycję i zbudują zaufanie wśród klientów, partnerów i inwestorów. Ci, którzy zwlekają, odziedziczą ryzyko, którego można było całkowicie uniknąć.