Dok umjetna inteligencija ubrzano mijenja način poslovanja, komunikacije i upravljanja podacima, paralelno transformira i svijet cyber prijetnji. Sigurnosni stručnjaci upozoravaju da AI danas više nije samo alat za odbranu, već sve češće i sredstvo za otkrivanje ranjivosti, automatizaciju napada i sofisticiranije djelovanje cyber kriminalnih grupa i državnih aktera. Pitanje više nije hoće li umjetna inteligencija promijeniti cyber sigurnost, već koliko su države, kompanije i institucije spremne odgovoriti na tu promjenu.
O tome koliko je regija Adria spremna za eru AI-potpomognutih cyber napada, gdje se nalaze najveće slabosti regulatornog i sigurnosnog okvira te šta je potrebno učiniti kako bi se zaštitili kritična infrastruktura i podaci, razgovarali smo sa Srđanom Babićem, šefom informacijske sigurnosti u kompaniji Cybergate Defense UAE iz Abu Dhabija.
Koliko su organizacije u Adriji spremne ako napadači počnu masovno koristiti AI za automatsko skeniranje i razvoj iskorištavanja?
Umjetnu inteligenciju kao tehnologiju koriste već godinama različiti akteri za različite načine skeniranja i analize podataka, još od pojave prvih AI sistema prije gotovo četiri decenije. Današnji trend predstavlja tek završnu fazu širenja i komercijalizacije ove tehnologije.
Zato je potrebno postaviti pitanje jesu li vlade i organizacije svjesne potencijalnog utjecaja koji AI napadi mogu imati na njihove operacije? Drugim riječima, imamo li kapacitete da takve aktivnosti otkrijemo, identificiramo i na njih adekvatno odgovorimo?
Spremnost je rezultat analize rizika i kontinuirane procjene trendova i prijetnji u odnosu na nivo implementiranih sigurnosnih kontrola. To, međutim, zahtijeva institucionalnu spremnost za usvajanje potrebnih zakona, standarda upravljanja, njihovu provedbu i stalno unapređenje. Prema mom mišljenju, upravo je to najslabija tačka u svim Adria zemljama, ali ne samo u njima. Sličan nedostatak institucionalnog okvira i kapaciteta za provođenje cyber sigurnosti vidljiv je i širom svijeta.
Srđan Babić, šef Odjeljenja za informacijsku sigurnost u kompaniji Cybergate Defense Abu Dabi
Iz perspektive institucionalne spremnosti za podršku cyber sigurnosti, evidentne su značajne razlike među državama u Adria regiji, kao i razlike između spremnosti javnog sektora i poslovnih organizacija. Podaci o nacionalnoj spremnosti za cyber sigurnost i indeksu spremnosti za AI daju osnovni uvid u to šta su države pokrenule ili implementirale u pokušaju upravljanja i regulacije ovog područja. Međutim, jasno je da se radi više o početnim pokušajima regulacije nego o njihovoj stvarnoj i dosljednoj provedbi.
Upravljanje i sigurnost podataka i informacija, kao osnovni princip cyber sigurnosti i ključni input za spremnost na umjetnu inteligenciju, vjerovatno je najslabija karika u ovom lancu djelovanja i često zanemaren u ovim raspravama. Vrlo malo država, ako ih uopće ima, posjeduje Zakon o nacionalnom suverenitetu podataka koji definira kritične podatke koji zahtijevaju pristup i zaštitu kroz koncept suvereniteta podataka. Ovakvi propisi zapravo oblikuju potrebe i mjere cyber sigurnosti te određuju koje podatke i informacije je potrebno štititi za otvorenu, javnu upotrebu umjetne inteligencije. Ono što trenutno vidimo u nekim slučajevima je vođeno Općom uredbom EU o zaštiti podataka (GDPR), koja se opet često pogrešno tumači kao regulativa o privatnosti (PII).
Prema mom mišljenju, trenutno postoji vrlo nizak nivo razumijevanja potreba, potencijala i rizika, a uvođenje umjetne inteligencije, zajedno s brzinom kojom se razvija i primjenjuje, samo dodatno pojačava potrebu za hitnim djelovanjem, jer je rizik kritičan.
Jesu li postojeći pravni okviri u jadranskim zemljama zadovoljni scenarijem u kojem AI automatski identificira kritičnu infrastrukturu kao ranjivu?
Ne bih rekao da AI na bilo koji način samostalno identificira kritičnu infrastrukturu kao ranjivu, takva tvrdnja je pogrešna. Današnji modeli, posebno oni javno dostupni i generativni, funkcioniraju tako što generiraju rezultate na osnovu dostupnih skupova podataka. Ako su podaci o kritičnoj infrastrukturi adekvatno upravljani i zaštićeni kroz cyber sigurnosne mehanizme, ovi modeli ne bi trebali imati nikakvu osnovu za procjenu ili analizu takvih sistema.
Važno je dodatno pojasniti, posebno za one koji nisu duboko upoznati s tehničkim aspektima cyber sigurnosti, da klasifikacija ranjivosti kritične infrastrukture ne proizlazi iz upotrebe ili dostupnosti AI-ja. Ona je prije svega određena prirodom same infrastrukture. Tu spadaju energetski sistemi, naftovodi i plinovodi, industrijska postrojenja, kao i gradska infrastruktura poput vodovodnih mreža i elektrodistribucije. Ovi sistemi su dizajnirani da funkcioniraju dugoročno, uz minimalne promjene i prekide. Upravo ono što ih čini pouzdanim, stabilnost i dug vijek trajanja, istovremeno ih čini i ranjivim.
Kao što je ranije naglašeno, uspostavljanje snažnog regulatora i nadzornog tijela ključno je za unapređenje stanja. Takva institucija bi osigurala da sve državne i poslovne organizacije jasno razumiju obaveze koje moraju ispuniti, ubrzala razvoj tržišta cyber sigurnosti i umjetne inteligencije u Adria regiji, te znatno unaprijedila kapacitete za prevenciju, odbranu i odgovor na prijetnje, uz istovremeno osiguravanje etične upotrebe AI tehnologija.
Kolika je stvarna spremnost kompanija i institucija u regiji za sigurnosne prijetnje uzrokovane AI? Postoji li jaz između zapadnih tržišta i naše regije?
Za početak je važno napraviti jasnu razliku između dvije vrste cyber napada, onih u kojima se AI koristi za konstruiranje i istraživanje jedne ili više ranjivosti, te tzv. AI-pokretanih napada, gdje je cijeli proces napada automatiziran i vođen AI računalnom snagom.
U tom kontekstu, odgovor je i da i ne. Da, napadi konstruirani uz pomoć AI-ja u porastu su već više od četiri godine, a s daljnjim razvojem tehnologije očekuje se njihov eksponencijalni rast. Prevencija ovakvih napada u velikoj mjeri će zavisiti od načina na koji globalne vlade budu regulirale i ograničavale neetičnu upotrebu AI modela, kao i širenje open-source rješenja. Trenutni fokus cyber sigurnosti je na osiguravanju suvereniteta podataka, kontroli njihove izloženosti i kontinuiranom nadzoru, uključujući rad sigurnosnih operativnih centara, aktivno traženje prijetnji, zaštitu brenda i implementaciju mamaca (decoy sistema).
S druge strane, AI-pokretani napadi, u kojima se AI računalna snaga koristi za izvođenje napada, znatno su rjeđi i najčešće se povezuju s APT grupama, odnosno državom sponzoriranim akterima. Ovakvi napadi su znatno sofisticiraniji i zahtijevaju ozbiljnu infrastrukturu za njihovu realizaciju.
Jesu li postojeći pravni okviri u jadranskim zemljama zadovoljni scenarijem u kojem AI automatski identificira kritičnu infrastrukturu kao ranjivu?
Ne bih rekao da AI na bilo koji način identificira kritičnu infrastrukturu kao ranjivu, takva tvrdnja nije tačna. Današnji modeli, posebno javno dostupni i generativni, funkcioniraju tako što generiraju rezultate na osnovu postojećih skupova podataka. Ako su podaci o kritičnoj infrastrukturi pravilno upravljani i adekvatno zaštićeni kroz cyber sigurnosne mjere, ovi modeli nemaju osnovu da uopće vrše procjenu takvih sistema.
Važno je naglasiti još jedan aspekt, posebno za one koji nisu detaljno upoznati s tehničkom stranom cyber sigurnosti. Klasifikacija ranjivosti kritične infrastrukture ne proizlazi iz upotrebe ili dostupnosti AI-a, već iz same prirode te infrastrukture. Tu spadaju sektori poput proizvodnje energije, cjevovoda, industrijskih postrojenja te gradske infrastrukture - vodovodnih sistema, elektroenergetske mreže i slično. Ovi sistemi su dizajnirani za dugotrajan rad uz minimalne promjene i prekide. Upravo ono što ih čini pouzdanim, stabilnost i dugovječnost - istovremeno ih čini i ranjivim.
Uspostavljanje snažnog regulatora i nadzornog tijela ključno je za unapređenje ukupne sigurnosti. Takva institucija bi osigurala da državne institucije i poslovne organizacije jasno razumiju obaveze koje moraju ispuniti, ubrzala razvoj tržišta cyber sigurnosti i umjetne inteligencije u Adria regiji, te značajno unaprijedila spremnost, odbrambene i odgovorene kapacitete, uz istovremeno osiguravanje etične upotrebe AI tehnologija.
.webp){kind=icon}
