Powszechna dostępność technologii sprawia, iż te same mechanizmy, które są używane do tworzenia coraz lepszych usług, są też wykorzystywane przez hakerów. Mamy więc do czynienia ze specyficznymi paradoksami współczesnego świata. W przypadku cyberbezpieczeństwa obie strony (atakujący i obrońcy) mają do dyspozycji taką samą broń i cała rzecz jest w tym, kto jest szybszy w tym swoistym wyścigu.
Niestety, nie ma wątpliwości, iż jest to regularna wojna. Chodzi o to, iż ludzie dysponują określonymi możliwościami technicznymi. Przewagę zdobywa ten, kto potrafi lepiej – i szybciej – je wykorzystać. Do celów dobrych czy złych. Sztuczna inteligencja jest tylko narzędziem.
Chodzi nie tylko o pieniądze
– Bardzo interesujące są motywacje atakujących – podkreśla Izabella Krzemińska, Technology Leader w firmie Orange, wiceprzewodnicząca Komitetu Przełomowych Technologii w Polskiej Izbie Informatyki i Telekomunikacji. – w tej chwili nie jest to już tak oczywiste. Kiedyś hakerzy najczęściej nieuczciwie zdobywali pieniądze. Od dłuższego czasu działają również z pobudek politycznych.
W 2024 roku rynek cyberbezpieczeństwa wart był, jak się szacuje, około 20 miliardów dolarów (w tym przypadku mówimy o nakładach ponoszonych na cyberobronę). I według firmy badawczo-doradczej Grand View Research rośnie o około 35-40 procent rocznie. Straty nie są dokładnie znane, ponieważ nie wszyscy poszkodowani – ze względu na groźbę utraty reputacji – przyznają się, iż padli ofiarą ataku. Według raportu Cybersecurity Ventures szacuje się je na około 10 bilionów dolarów.
Jak wynika z raportu CERT Polska, w naszym kraju po raz pierwszy od dziesięciu lat udało się zatrzymać trend wzrostowy liczby zablokowanych domen i liczby użytkowników, którzy dali się złapać. Co nie oznacza, iż ataków jest mniej. Polska jest jednym z najczęściej atakowanych państw w Europie. Według raportu Check Point Research notuje się ponad 1000 ataków tygodniowo. Niewątpliwie ma to związek z rosyjską wojną hybrydową, wojną tego kraju przeciwko Ukrainie i naszym zaangażowaniem w pomoc tej drugiej.
Generalnie dominują ataki stanowiące oszustwa finansowe. Zaliczamy do nich szantaże, wyłudzenia, kradzież danych. Skierowane są zarówno przeciwko osobom fizycznym, firmom, jak i różnego rodzaju organizacjom społecznym.
Zdarza się też wykorzystywanie ataków hakerskich, w tym również sztucznej inteligencji, do działań destabilizacyjnych i wzbudzania chaosu społecznego. Na przykład w 2023 r. w Niemczech pojawiła się fałszywa informacja (rzekomo ministra zdrowia) o powrocie pandemii. Spowodowała ona duże zaniepokojenie wśród części społeczeństwa. Jak zwykle, odwołanie tej wiadomości nie wszystkich od razu uspokoiło. W takich trudnych sytuacjach spory posłuch znajdują przecież teorie spiskowe.
– Ostatnio coraz częściej pojawiają się manipulacje społeczne mające aktywizować ludzi do różnorodnych działań zgodnie z wolą pomysłodawców – przypomina Izabella Krzemińska. – Zjawisko to określam mianem haktywizmu, czyli hakowaniem z pobudek ideologicznych, społecznych lub moralnych. Chodzi o pobudzanie i wzmacnianie pewnych przekonań w społeczeństwie, a przede wszystkim – sianie chaosu. Są to działania wymierzone w instytucje publiczne: rządowe i samorządowe, ale również biznesowe. Przykładem są ataki grupy Anonymous.
Popularyzacja tych działań bezpośrednio wiąże się z rozwojem sztucznej inteligencji. Cyberataki z użyciem SI istotnie różnią się od tradycyjnych. Większa jest ich skala, duży stopień automatyzacji i personalizacji sposobów działania. Dzięki możliwościom analitycznym SI jest w stanie dopasować model oszustwa do danej jednostki. Atakujący nie szukają już 10 procent populacji najbardziej podatnych na oszustwo. Docierają do różnych osób, sprawdzając wcześniej ich wrażliwość. SI analizuje ich cyfrowe zachowania i dostosowuje (indywidualizuje) rodzaj ataku, co jednocześnie znacząco utrudnia obronę. Przestaje być skuteczna tradycyjna, statyczna obrona.
W darknecie istnieją generatywne modele SI, takie jak Fraud GPT, Worm GPT i Shell GPT, sprzedawane w celu tworzenia złośliwego kodu, oszustw i deepfake’ów. W niedalekiej przyszłości z pewnością staniemy wobec całkowitej adaptywności SI, czyli tworzenia zupełnie nowych (nieznanych wcześniej) rozwiązań. Zwiększa się też pole działania SI. Powstają na przykład fake’i głosowe, a także wideo dostosowane do konkretnych osób. Czy jesteśmy na to przygotowani? Niestety, zdecydowanie nie. Na razie nie ma mechanizmów obronnych na odpowiednim poziomie.
Czy pozostajemy jednak zupełnie bezbronni? Indywidualni użytkownicy muszą pamiętać o podstawowych zasadach: częstych zmianach silnych, koniecznie dwuskładnikowych haseł. Nie można bowiem zapominać, iż stale rośnie moc obliczeniowa urządzeń, a więc rosną też możliwości hakerów.
Istnieją też tak zwani asystenci ochrony (czyli wykorzystywanie SI do ochrony) i ich popularność będzie rosła. To boty sprawdzające, czy na urządzeniach nie zostały zainstalowane podejrzane systemy. Ale jest to miecz obosieczny, bo takiemu botowi trzeba udostępnić dane użytkownika. Bot nie zadziała przecież bez analizy tych danych. Sprawdza on, które rodzaje zachowań są charakterystyczne dla użytkownika. Pojawia się jednak pytanie, co się stanie, gdy użytkownik zmieni swoje zachowanie. Czy nie będzie tak, iż nie uzyska dostępu do swoich własnych zasobów? Na przykład reakcje człowieka zmieniają się po spożyciu leków lub alkoholu. Czyli biometria behawioralna na ogół się sprawdza, a jednak ma swoje minusy.
Dostępne są też takie rozwiązania jak password manager (1Password Competitor Keeper czy Bitwarden), również wykorzystujące sztuczną inteligencję. Aplikacje tego typu sprawdzają i przechowują hasła, testują algorytmy rekomendujące poziom siły hasła oraz wykrywają schematy użycia haseł, proponując zmiany.
Coraz trudniejsza staje się ochrona systemów przedsiębiorstw. Może się bowiem okazać, iż człowiek (który jest przecież przez cały czas najsłabszym ogniwem) choćby się nie zorientuje, iż pozwolił komuś na wejście do systemu. Po prostu wszystko, co robimy dla ułatwienia sobie życia, może zostać wykorzystane przeciwko nam. Od dawna wiadomo, iż kluczowa jest higiena cyfrowa. I jej znaczenie stale rośnie.
W przypadku użytkowników indywidualnych ochrona opiera się na narzędziach pasywnych. Są to filtry, aplikacje zabezpieczające, menedżery haseł. Dlatego trzeba również podkreślać, iż konieczna jest edukacja. Nawyki poznawcze powinny oznaczać szczególną ostrożność, czyli przede wszystkim nieklikanie w nieznane linki i unikanie działania pod wpływem emocji.
– o ile coś się nie udaje, bo wymaga pewnej wiedzy, użytkownicy często szukają szybkich rozwiązań – twierdzi Izabella Krzemińska. – Trzeba na to szczególnie uważać w przypadku aplikacji bankowych. Bo przecież banki są instytucjami wysokiego zaufania, a więc z założenia nie chcą oszukiwać swoich klientów. I właśnie zaufanie (między innymi do banków) jest przez hakerów sprytnie wykorzystywane do ataków. W jaki sposób uzyskują oni dostęp do danych swoich ofiar? Bardzo często właśnie poprzez instytucje wysokiego zaufania, takie jak banki, firmy kurierskie, szkoły czy przychodnie lekarskie. W tych przypadkach użytkownikom wyłącza się tryb czujności. Dzięki temu hakerzy mają ułatwione zadanie, bo ofiara dowiaduje się o ataku ze sporym opóźnieniem.
Trochę inaczej wygląda to w przypadku przedsiębiorstw, szczególnie dużych. Bardzo często wdrażają one systemy bezpieczeństwa oparte na działaniu proaktywnym. Są w stanie przewidywać pewne zdarzenia, między innymi wykorzystując mechanizmy sztucznej inteligencji. Może ona na przykład udawać hakera, czyli pozorować ataki, stale podnosząc odporność systemów ochrony cyfrowej.
Naturalnie trzeba stale przypominać o czynniku ludzkim, który zawsze pozostaje najsłabszym ogniwem. Najlepszą drogą jest edukacja. Należy pamiętać o unikaniu postępowania automatycznego, a także prób działań na skróty. Nie wolno działać impulsywnie. W firmach tym bardziej powinna być wdrażana kultura odpowiedzialności. Chodzi też o to, by systemy ochrony wykrywały działania, w których ludzie nieświadomie są wykorzystywani jako narzędzia do ataku.
– Istotne jest także uświadomienie sobie, iż to sami użytkownicy prowokują erupcję fake newsów – mówi Izabella Krzemińska. – o ile szukają treści niosących pierwiastek sensacji, sztuczna inteligencja podsuwa im właśnie takie informacje. A to, również przy wykorzystaniu SI, daje asumpt atakom hakerskim. To internauci są przecież najcenniejszym zasobem dla manipulatorów. Walczą oni o uwagę użytkowników i nie ma wątpliwości, iż to zjawisko będzie coraz powszechniejsze. Dlatego Polska Izba Informatyki i Telekomunikacji aktywnie angażuje się w projekty mające na celu wzmacnianie odporności państwa na zagrożenia informacyjne. Jednym z nich jest powołana z inicjatywy Ministerstwa Spraw Zagranicznych oraz organizacji społecznych Rada Konsultacyjna ds. Odporności na Dezinformację Międzynarodową, do której zaproszony został Andrzej Dulka, prezes PIIT. To platforma współpracy ekspertów, którym przyświeca idea ochrony przestrzeni informacyjnej oraz stabilności instytucji demokratycznych.
Nie mniej ważne są działania edukacyjne i informacyjne, których celem jest zwiększanie świadomości użytkowników sieci, aby potrafili oni samodzielnie rozpoznawać fałszywe treści. Dlatego wszyscy eksperci powtarzają: edukacja, edukacja i jeszcze raz edukacja. I rosnąca dzięki niej świadomość zagrożeń.
Nie jesteśmy bezbronni
– Polska jest jednym z najczęściej atakowanych cyfrowo państw na świecie – uważa Michał Kanownik, prezes Związku Cyfrowa Polska. – W ubiegłym roku liczba cyberataków w naszym kraju podwoiła się w porównaniu z 2023 r. W ujęciu globalnym mówiło się w tym okresie o 30-procentowym wzroście liczby ataków na infrastrukturę krytyczną. Według szefów firm w Europie Środkowo-Wschodniej zagrożenia cyfrowe są czwartym najważniejszym ryzykiem, ustępując wyłącznie inflacji, zagrożeniom geopolitycznym i kondycji makrogospodarczej. Nie dziwi zatem, iż cyberbezpieczeństwo stanowi dziś jeden z priorytetów władz i przedsiębiorstw w regionie i na świecie.
Wyścig zbrojeń pomiędzy cyberprzestępcami a podmiotami zapewniającymi cyberbezpieczeństwo w coraz większym stopniu definiowany jest przez zastosowanie sztucznej inteligencji i możliwości tej technologii. SI w coraz większym stopniu determinuje dynamikę rozwoju technologicznego na całym świecie. Według ekspertów firmy doradczej PwC do 2030 roku może wnieść do globalnej gospodarki choćby 15,7 biliona dolarów, znacząco zwiększając produktywność. Z drugiej strony, rosnąca dostępność narzędzi SI przyczynia się do coraz bardziej wyrafinowanych metod ataku.
Cyberprzestępcy wykorzystują SI do automatyzacji, personalizacji i zwiększenia skuteczności ataków. W przypadku użytkowników indywidualnych SI wspomaga tworzenie przekonujących wiadomości phishingowych, generowanych na przykład przez modele językowe. Dzięki analizie danych z mediów społecznościowych ataki są silnie spersonalizowane, co zwiększa szanse na udane oszustwo. Natomiast przedsiębiorstwa są celem coraz bardziej zaawansowanych operacji. SI może analizować sieci firmowe w poszukiwaniu luk, generować kod złośliwego systemu trudniejszy do wykrycia oraz symulować zachowania normalnych użytkowników, by unikać systemów detekcji. Przestępcy stosują też tak zwane deepfake’i głosowe, między innymi do podszywania się pod członków zarządu i wyłudzania przelewów. Sektory najchętniej obierane na cel przez przestępców to finanse, opieka zdrowotna, transport, administracja publiczna oraz energetyka. Wysoka wartość danych, jakimi operują, czynią je wyjątkowo wartościowymi obiektami ataków.
Z drugiej strony – zarówno użytkownicy indywidualni, jak i firmy mogą wykorzystywać SI do umacniania swojego bezpieczeństwa. Dla osób prywatnych pomocne okazują się na przykład inteligentne filtry antyphishingowe w przeglądarkach i poczcie elektronicznej czy aplikacje analizujące zachowanie urządzeń (podejrzane logowania, nietypowe użycie kamery lub mikrofonu). Rozwiązania te coraz częściej stanowią integralny element aplikacji, z których korzystamy i nie wymagają od nas żadnych dodatkowych działań. W przedsiębiorstwach SI stosuje się do wykrywania anomalii, predykcji zagrożeń i reagowania w czasie rzeczywistym. Systemy typu SIEM (Security Information and Event Management) i SOAR (Security Orchestration, Automation, and Response) wspierane przez SI są w stanie analizować miliony zdarzeń dziennie i celnie wskazywać realne zagrożenia. SI pomaga też automatyzować odpowiedzi na incydenty, zamykać luki oraz testować zabezpieczenia poprzez tzw. red teaming, czyli symulowane ataki na systemy organizacji.
Kluczowym elementem walki z cyberprzestępczością wspieraną przez SI jest oczywiście edukacja. Użytkownicy powinni znać podstawowe techniki inżynierii społecznej i uczyć się rozpoznawania manipulacji. Firmy powinny regularnie szkolić pracowników – nie tylko z zasad higieny cyfrowej, ale także z rozpoznawania głosowych i wizualnych deepfake’ów. Potrzebna jest też edukacja techniczna w zakresie stosowania narzędzi obronnych, szczególnie w małych i średnich firmach, które są często praktycznie bezbronne.
– Jako Związek badamy każdego roku poziom kompetencji cyfrowych (w tym tych z zakresu cyberbezpieczeństwa) wśród młodzieży szkolnej i nauczycieli – ujawnia Michał Kanownik. – Dane z badania IT Fitness Test pozwalają nie tylko monitorować ten poziom, ale także identyfikować najważniejsze luki w umiejętnościach cyfrowych młodych pokoleń. Działania edukacyjne kierujemy też między innymi do rodziców i nauczycieli, ale także do samorządów, które borykają się nie tylko z rosnącą liczbą ataków, ale również niedoborami specjalistów IT i brakami w kompetencjach kadr. Stale podnosimy świadomość społeczną na temat cyberzagrożeń, działamy na rzecz umacniania krajowego sektora cyberbezpieczeństwa i wspieramy współpracę na tym polu pomiędzy państwami naszego regionu Europy.
Automatyzacja ataków
– Sztuczna inteligencja zrewolucjonizowała wiele dziedzin życia, ale stała się także orężem w bitwach w cyberprzestrzeni – przypomina Piotr Mieczkowski, członek zarządu Krajowej Izby Gospodarczej Elektroniki i Telekomunikacji, wiceprezes European AI Forum. – Z jednej strony hakerzy wykorzystują SI do prowadzenia wyrafinowanych ataków, z drugiej – specjaliści od cyberbezpieczeństwa używają jej do wzmacniania ochrony. Ten swoisty wyścig zbrojeń nabiera tempa, a jego stawką jest bezpieczeństwo danych, finansów, a także infrastruktury krytycznej.
Coraz więcej oszustów wykorzystuje SI. W 2024 r. na świecie odnotowano 38-proc. wzrost liczby cyberataków w porównaniu z 2021 r. Również w Polsce liczba incydentów nieustanie rośnie. Według raportu firmy doradczej KPMG, w ubiegłym roku aż 83 proc. polskich przedsiębiorstw doświadczyło przynajmniej jednej próby cyberataku, co oznacza wzrost o 16 punktów procentowych rok do roku. Eksperci prognozują, iż w tym roku liczba ataków opartych o rozwiązania SI wzrosną o połowę w porównaniu z 2021 r. Przyczyni się do tego zwiększona dostępność tanich narzędzi generatywnej sztucznej inteligencji, takich jak te do tworzenia deepfake’ów czy złośliwego kodu.
Formy cyberprzestępstw dokonywanych dzięki technologii SI stają się coraz bardziej wysublimowane i skomplikowane. Szczególnym wyzwaniem dla całej branży IT jest powszechna automatyzacja ataków. Pozwala to hakerom działać szybciej i na większą skalę, obniżając próg wejścia dla mniej doświadczonych włamywaczy.
Do najpoważniejszych rodzajów cyberataków wzmocnionych przez SI należą:
- deepfake: technologia SI wykorzystywana jest do tworzenia fałszywych nagrań wideo lub audio;
- phishing AI: zautomatyzowane generowanie sprofilowanych i przekonujących wiadomości e-mail czy wiadomości typu WhatsApp, które coraz trudno odróżnić od autentycznych;
- ataki ransomware: tworzone jest złośliwe oprogramowanie szyfrujące dane, gdzie SI optymalizuje procesy wyłudzania okupu;
- zatruwanie danych (data poisoning): manipulacja danymi treningowymi modeli SI, co prowadzi do błędnych decyzji systemów obronnych;
- ataki DDoS: wykorzystanie SI do przeciążania serwerów, powodujące przestoje w działaniu systemów.
Biorąc pod uwagę strukturę ofiar ataki można podzielić na konsumenckie oraz dotyczące organizacji, w tym przedsiębiorców. Różnią się one co do głównych wektorów ataku oraz metod, w których używana jest SI. Z punktu widzenia konsumentów coraz bardziej powszechne są ataki typu spear phishing, w których SI analizuje dane z mediów społecznościowych, tworząc spersonalizowane wiadomości phishingowe podszywające się pod zaufane osoby lub instytucje. Równie popularne są fałszywe lub zmanipulowane nagrania głosowe lub wideo, w których na przykład SI udaje przełożonego proszącego o przelew. Natomiast z punktu widzenia firm SI coraz częściej wykorzystywana jest w atakach ransomware, gdyż dzięki algorytmom coraz bardziej optymalizowany jest proces szyfrowania danych i negocjacje samego okupu, który powinien być wypłacony w kryptowalucie.
Naturalnie ataki z użyciem SI są dziś stosowane w różnej skali w rozmaitych branżach. Według rozmaitych danych za 2024 r. ataki z użyciem SI najczęściej przeprowadzane są w branży finansowej. Szczególnie popularny jest wysoce spersonalizowany phishing dzięki SI oraz deepfake. Na drugim miejscu znajdują się ataki na placówki z sektora ochrony zdrowia, gdyż dane pacjentów są szalenie wartościowe dla atakujących. Z uwagi na rosnącą skalę konfliktów coraz więcej ataków dotyczy również szeroko rozumianej energetyki, co przekłada się na brak stabilności infrastruktury krytycznej.
– Sztuczna inteligencja pozwala dziś nie tylko optymalizować koszty ataków i je przyspieszać, ale również zwiększać możliwości firm w zakresie obrony lub wykrycia ataków. Coraz więcej firm, również małych i średnich, ma do dyspozycji zaawansowane narzędzia SI, które mogą wzmocnić ich cyberodporność. Do najbardziej popularnych można zaliczyć wykrywanie anomalii, w którym systemy SI analizują ruch sieciowy w czasie rzeczywistym, identyfikując nietypowe zachowania, na przykład nieautoryzowany dostęp. Równie popularną metodą obrony jest lepsza segmentacja sieci dzięki SI, co pomaga ograniczać rozprzestrzenianie się ataku. Sztuczna inteligencja pozwala też znacznie szybciej podejmować reakcje obronne, na przykład natychmiast izolować zainfekowane systemy, minimalizując szkody, jak w przypadku reakcji na atak ransomware – podsumowuje Piotr Mieczkowski.
