Stručnjak upozorava
Umjetna inteligencija otkriva i stvara ranjivosti, mijenjajući ravnotežu kibernetičke sigurnosti.
| Autor | Objavljeno | Portal | Original |
|---|---|---|---|
| Mladen GavrančićMladen Gavrančić | Poslovni | Otvori |
Početak kibernetičkog AI sukoba ili back to the future financijske otpornosti?
U rujnu 2020. Europska komisija pokrenula je proces koji je nakon godina pregovora i odgoda doveo do usvajanja i današnje primjene uredbe o digitalnoj otpornosti financijskog sektora, poznate kao DORA.
U to je vrijeme prijedlog bio dio šireg Paketa za digitalne financije (Digital Finance Package) s jasnom ambicijom: potaknuti tehnološki razvoj i inovacije u financijskom sektoru, ali uz istovremeno očuvanje financijske stabilnosti sustava, zaštitu potrošača i ublažavanje kibernetičkih rizika. U istom paketu pokrenute su i druge važne inicijative, poput Uredbe MiCA, koja regulira tržište kriptoimovine i prema kojoj su u Hrvatskoj već izdane prve dozvole za pružanje usluga pod nadzorom Hanfe.
Umjetna inteligencija tada je još bila na marginama – zanimljiv znanstveni segment s povremenim prodorima u svakodnevnicu kroz navigaciju, preporuke ili automatizaciju pojedinih procesa.
Rat u Ukrajini nije se nazirao u široj javnosti, a kibernetički rizici, premda stalno prisutni, promatrani su kao prateća pojava ubrzane digitalizacije.
No kako je proces donošenja DORA-e odmicao, svijet se ubrzano mijenjao. Nagli porast kibernetičkih napada, krađa podataka i ucjenjivanja ransomware tehnikama dramatično je podigao razinu svijesti o nužnosti sustavne regulacije. Potom je rat u Ukrajini preko noći pokazao da kibernetički napadi nisu samo tehnički problem, već su instrument usporediv s konvencionalnim vojnim sredstvima, sposoban destabilizirati cijele države i društva.
U međuvremenu je eksplozivan razvoj AI rješenja široko dostupnih korisnicima otvorio potpuno novu dimenziju prijetnji. Kriminalci danas raspolažu alatima koji im omogućuju sofisticiranije pripreme i učinkovitije napade na sustave svih gospodarskih subjekata, pri čemu se financijski sektor nalazi među najčešćim metama.
No ista se tehnologija počinje koristiti i na obrambenoj strani. AI industrija sve organiziranije odgovora na izazove, a inicijative koje koriste umjetnu inteligenciju za kibernetičku sigurnost označavaju novu eru digitalne obrane.
U tom je kontekstu zanimljiv nedavni razvoj, koji bi mogao redefinirati globalnu kibernetičku sigurnost. Kompanija Anthropic objavila je da je njihov napredni sustav umjetne inteligencije Claude Mythos Preview pomogao identificirati više od 10.000 ozbiljnih softverskih ranjivosti u nekim od najraširenijih digitalnih infrastrukturnih sustava na svijetu.
Nalazi su se pojavili u okviru projekta Glasswing – strogo ograničene inicijative za kibernetičku sigurnost pokrenute prije nekoliko tjedana. Projekt omogućuje ograničenom krugu partnera, uključujući banke, proizvođače softvera, operatere infrastrukture i kompanije za obrambenu sigurnost, rani pristup najnaprednijem AI modelu usmjerenom na kibernetičke resurse Anthropica.
Prema dostupnim podacima inicijativa je već otkrila 6202 ranjivosti visoke ili kritične razine, koje utječu na više od 1000 open-source softverskih projekata koji se globalno koriste u poslovnim sustavima, cloud okružjima, financijskim mrežama, telekomunikacijskoj infrastrukturi i državnim uslugama. Nakon dublje analize i ljudske validacije potvrđeno je 1726 stvarnih ranjivosti, od kojih su 1094 kategorizirane kao one visoke ili kritične razine.
Ti rezultati ulijevaju određenu dozu optimizma: kibernetički AI sukob mogao bi biti uravnoteženiji nego što se u početku činilo. Ironično, prošle je godine upravo Anthropicov AI alat bio iskorišten za izvođenje napada, što dodatno naglašava dvosjeklu prirodu te tehnologije!
Anthropicov sustav Claude, u zatvorenoj verziji Mythos, opisuje se kao sustav sposoban neovisno pregledavati i analizirati velike softverske repozitorije, identificirati ranjivosti koje se mogu iskoristiti, prioritizirati razine ozbiljnosti, pa čak i simulirati načine na koje bi ih napadači mogli iskoristiti u punim lancima napada.
Posljedice su značajne jer su se “branitelji” godinama borili s neravnotežom: otkrivanje ranjivosti zahtijevalo je visoko specijalizirano znanje i dugotrajne ručne revizije, dok je napadačima često bila dovoljna jedna propuštena ranjivost da kompromitiraju sustav, otmu podatke i pokrenu ucjenu. Kada se radi o državno sponzoriranim napadima, ciljevi su često politički i usmjereni na destabilizaciju te narušavanje javne razine sigurnosti i povjerenja.
Među identificiranim ranjivostima posebno se istaknula kritična mana u široko korištenoj kriptografskoj biblioteci wolfSSL, ocijenjena s 9,1 prema ljestvici CVSS (Common Vulnerability Scoring System). Takva ranjivost napadačima potencijalno omogućuje krivotvorenje digitalnih certifikata i lažno predstavljanje legitimnih online servisa – scenarij s ozbiljnim posljedicama za financijske transakcije, autentifikaciju i sigurnu komunikaciju.
Ranjivosti u kriptografskoj infrastrukturi posebno su opasne jer narušavaju mehanizme povjerenja koji se koriste na internetu, uključujući sigurno pregledavanje interneta, VPN komunikaciju, ugrađene sustave i industrijske uređaje.
Dosadašnji rezultati projekta Glasswing već uključuju:
- 97 ranjivosti koje su održavatelji zakrpali uzvodno
- 88 službenih sigurnosnih upozorenja
- tisuće dodatnih nalaza koji su još u procesu analize.
Te su brojke neusporedive s tradicionalnim metodama traženja slabosti i pokazuju kako AI dramatično ubrzava otkrivanje ranjivosti brzinom koju sami sigurnosni timovi teško mogu postići, otvarajući prostor za pravovremenu obranu. Važno je naglasiti da velik dio pogođenog softvera dolazi iz open-source zajednice – temelja moderne digitalne infrastrukture.
Open-source projekti pokreću cloud platforme, bankarske sustave, mobilne aplikacije, operativne sustave, industrijske upravljačke mreže i samu AI infrastrukturu. Ipak, mnoge od njih održavaju male volonterske ekipe s ograničenim sigurnosnim resursima.
Istodobno se organizacije, osobito u financijskom sektoru, suočavaju sa znatno povećanim pritiskom da ubrzano implementiraju sigurnosne zakrpe. Financijska industrija model upravljanja rizicima već primjenjuje i procesi su dobro poznati, no unatoč tome, opseg potrebnih aktivnosti prijeti značajnim povećanjem potreba za ljudskim resursima.
Posljedično, taj pritisak može odvući stručnjake s razvojnih i strateških projekata prema operativnom “gašenju požara”. Upravo se tu otvara ključno pitanje: vraćamo li se, uz svu naprednu tehnologiju, na temeljnu ideju otpornosti ili ulazimo u potpuno novu fazu digitalnog nadmetanja, u kojoj će umjetna inteligencija istodobno biti i najveća prijetnja i najvažniji saveznik? Drugim riječima, je li pred nama početak kibernetičkog AI sukoba – ili povratak osnovama, u kojima otpornost ponovno postaje najvrjednija valuta financijskog sustava?
* Sadržaj omogućila HANFA