VIDEO Cum a fost manipulat un chat AI să otrăvească 20 de oameni. Cât de periculoase sunt noile tehnologii
Alexandru Georgescu, cercetător științific la Institutul de Cercetare-Dezvoltare Informatică (ICI) București, a vorbit la Newsweek Report despre vulnerabilitățile noilor tehnologii în contextul războiului hibrid și despre capacitatea României de a se apăra.
Zilnic vedem cum noile tehnologii cibernetice fac parte tot mai mult din viața noastră. Însă, pe lângă efectele benefice, toate acestea vin și cu o serie întreagă de riscuri, unele nebănuite.
Alexandru Georgescu, cercetător științific la Institutul de Cercetare-Dezvoltare Informatică (ICI) București, a vorbit la Newsweek Report despre vulnerabilitățile noilor tehnologii în contextul războiului hibrid și despre capacitatea României de a se apăra.
Cum a fost manipulat un chat AI să otrăvească 20 de oameni. Cât de periculoase sunt noile tehnologii
Newsweek România: Care sunt domeniile în care aceste amenințări informatice sunt cele mai prezente în România?
Alexandru Georgescu, cercetător științific - ICI București: Amenințările acestea informatice fac parte dintr-o chestiune mai amplă de război hibrid care folosește un mix de mijloace de atac. Multe vin pe partea informatică. Pot fi atacuri cibernetice, dezinformare, propagandă, fake news. Pot fi și atacuri sau amenințări economice.
Având în vedere digitalizarea societății, a economiei, a vieții noastre sociale, toate domeniile pot fi vizate de un potențial adversar prin utilizarea amenințărilor hibride, mijloacelor hibride de atac. De fapt asta separă accidentul de atac, intenția de a degrada un potențial adversar. Poate să fie un mix de diferite atacuri și ținte pentru a fi atins un anumit obiectiv. Poate că adversarul vrea să atace sectorul energetic și să practice o dezinformare cu privire la anumite tipuri de energie pentru a descuraja proiecte în domeniu.
Poate că își dorește să afecteze percepția de securitate a populației și atunci acționează pe mai multe căi. Poate dorește să evidențieze vulnerabilitatea autorităților și atunci atacă public site-urile guvernamentale, chiar dacă nu ar putea să cauzeze daune reale, dar aici e vorba de percepție.
Atacurile cibernetice oferă cel mai bun raport cost-beneficiu sau risc-beneficiu. Pentru că pot fi făcute de oriunde. Ai nevoie doar de un laptop și, din ce în ce mai mult, nici nu ai nevoie de cunoștințe specifice pentru că poți cumpăra malware-uri și alte chestiuni de pe internet.
Citește și: Hackerii proruşi vizează Danemarca. Instituţii şi o companie de apărare, afectate de un atac cibernetic
Scopul acestor atacuri este degradarea capacității economice a unei țări, degradarea capacității de apărare, afectarea continuității afacerilor, a calității vieții și reducerea încrederii în autorități sau în statul respectiv, din partea cetățenilor, consumatorilor, investitorilor, partenerilor, aliaților. Și toate domeniile pot fi afectate.
Citește și: Cum face România jocurile Rusiei în sport. Ce impact are Foreign Malign Influence în războiul hibrid
La nivel european și la nivel național, desigur, avem deja definite domenii de infrastructuri critice, care includ și cele la care v-ați aștepta, energie, transporturi, dar și cel la care v-ați așteptam ai puțin, partea de educație, partea financiară, partea culturală, patrimoniu cultural. Și la nivel european e un cadru din ce în ce mai amplu și toate aceste domenii pot fi țintele atacurilor hibride. Cadrele acestea se dezvoltă în urma experienței atacurilor precedente. La nivel european nu erau luate în calcul sănătatea, administrația publică, piețele financiare.
Acum avem experiența războiului din Ucraina, avem experiența pandemiei, avem experiența anilor de război hibrid dinaintea pandemiei.
Cine atacă România?
Oricine poate ataca România. Asta este chestiunea. Cu siguranță că în spatele multor astfel de atacuri se află, spre exemplu, Rusia. Însă atacurile cibernetice sunt foarte greu de atribuit. Trebuie să ajungi la un anumit standard legal prin care să poți atribui, să spui gata, știu sigur că el a făcut-o.
Și în acest sens trebuie putem acționa legal sau diplomatic. Există, spre exemplu, la nivelul Uniunii Europene, un Cyber diplomacy tool box, adică un instrumentar al diplomației cibernetice care spune că toată lumea va aplica sancțiuni asupra acelei țări care a fost desemnată ca fiind autorul unui atac cibernetic. Dar e foarte complicat să desemnezi clar că a fost cineva vinovat în condițiile în care poți ruta atacuri prin alte țări prin tot felul de infrastructuri, pot face să pară că este altcineva.
Sigur, multe state au propriile lor forțe cibernetice în cadrul armatei sau serviciilor de informații, dar din ce în ce mai mult au miliții cibernetice, un fel de gărzi patriotice, hackeri patriotici sau pot angaja inclusiv hackeri profesioniști. Sunt grupuri profesioniste care pot lucra odată pentru o țară, altădată pentru o corporație.
Pot fi atacuri inclusiv din partea actorilor ideologici, grupări teroriste, pot fi atacuri din partea lupilor singuratici, oameni care au ei o motivație anume, inclusiv profitul. Și de multe ori ne este greu să să separăm bine motivațiile. Un grup care de obicei poate lucra pentru un stat precum Rusia, poate să facă și atacuri pentru profit.
Este foarte greu să atribuim atacuri și aceata este una dintre provocările de natură tehnică, dar din ce în ce mai mult avem provocări de natură legala, administrativă, pe care trebuie să le depășim inclusiv prin definirea la nivel național și la nivel global a unor norme cât mai clare, inclusiv prin cooperare, transfer de informații. Toate acestea sunt necesare ca să punem lucrurile cap la cap și să putem spune gata, ei au făcut-o și acum trebuie prinși, trebuie judecați, trebuie sancționați.
Cum se apară România de aceste atacuri cibernetice?
Avem România ca țară, ca stat, dar în primul rând fiecare cetățean este responsabil pentru securitatea lui. Vorbim de individ, vorbim de companie, vorbim și de autorități. După aceea avem chestiunea aceasta, fiecare e responsabil pentru sistemele lui și inclusiv în cadrul național european de protecție a infrastructurilor critice. Protecția începe acasă și, desigur, trebuie să existe sprijin din partea autorităților, trebuie să existe coordonare.
Apoi, la nivel național există sistemul acesta de mai multe instituții, avem partea de apărare cibernetică, pe sectoare, pentru instituții, avem coordonarea pe partea civilă a Directoratului Național pe Securitate Cibernetică și toate aceste instituții trebuie să conlucreze.
Trebuie să asigure schimb de informații, sprijin pentru actorii afectați. Trebuie să se culeagă informații, să se anticipeze ce anume trenduri vor veni și ce alți actori s-ar putea să devină implicați și să faciliteze schimburile acestea de informații.
Transferul de informații înseamnă, să se comunice, spre exemplu, ce amenințări noi au apărut, mijloacele prin care să sprijine creșterea capacității ambientale de securitate a entităților și companiilor, educarea angajaților și a oamenii de rând. Trebuie să investim în securitatea cibernetică a întreprinderilor, să avem grijă ca toată lumea să înțeleagă de ce este important să raporteze că au fost atacați și să ajute la investigarea atacurilor.
Câteodată se întâmplă și chestiunea aceasta ca, din motive reputaționale, financiare, anumite entități sau persoane să nu recunoască că au fost atacate, pentru că acest lucru ar aduce anumite dezavantaje. De fapt, noi am putea preveni multe atacuri cibernetice dacă am putea analiza atacurile care au avut loc ca să vedem ce metode s-au folosit.
Apoi, există un cadru la nivel european pentru protecția infrastructurilor critice. Din ce în ce mai mult există cooperare și în afara Uniunii Europene, cooperare cu Statele Unite ale Americii, cu alți parteneri la nivel global pe partea de guvernanță globală, pe securitate cibernetică.
Este o provocare tehnică, educațională și este o provocare umană, culturală, pentru că e vorba și de cultura de securitate a individului, nu doar a directorului companiei sau a șefului de IT. Toți angajații, inclusiv personalul de curățenie, pot deveni o vulnerabilitate.
Este și o provocare politică, pentru că trebuie să existe cooperare și este o provocare financiară, pentru că toate acestea costă.
Ce impact au escrocheriile online?
Citeam un articol acum câțiva ani în care se spunea despre crima organizată că, dacă ar fi un stat, o economie, ar face parte din G7, atât de mare a ajuns.
Citește și: Escrocheria cu „fiul în primejdie” a revenit pe WhatsApp: „Salut, tată, mi-a căzut telefonul în apă!”
Pentru mine, criminalitatea online este mediul în care se dezvoltă foarte ușor terorismul și acțiuni împotriva statului. Escrocheriile acestea, făcute doar pentru câștig financiar, de fapt generează posibilitățile pentru atacuri mai dure. Ți-au luat parola care poate fi apoi cumpărată de altcineva, sunt furate date din intreprindere care pot fi folosite ulterior, să zicem, de teroriști.
Citește și: Țeapa digitală de pe Telegram care păcălește tot mai mulți români. Cum funcționează „metoda recompenselor”
Niște indivizi care fac o escrocherie financiară sau un furt de date pot identifica niște vulnerabilități care pot fi folosite după aceea și de alții.
Noi facem eforturi de a contracara aceste fraude la nivel european prin Centrul de Criminalitate Cibernetică al Europolului, dar și prin Southeast European Law Enforcement Center (SELEC), care are sediul la Palatul Parlamentului. Acolo sunt polițiști din toate țările din regiune, din Peninsula Balcanică, Turcia, Republica Moldova, care se ocupă de partea criminalitate, inclusiv criminalitate cibernetică, pentru a îmbunătăți cooperarea.
Dacă reușim să reducem aceste fraude sau să creștem reziliența în fața fraudelor, vom fi rezilienți și la altfel de atacuri.
Problema este că fraudele acestea, escrocheriile nu vin doar din partea tehnică, vin și din cultura de securitate a individului.
Te sună cineva și spune, sunt de la IT, dați-mi vă rog parola, am nevoie să verific ceva în sistem. Ba mai nou, în pandemie au început să fie sunați cei de la IT din companie de către oameni care pretindeau că sunt angajații care lucrau de acasă și îi rugau să le dea parola din nou. Sunt tot felul de inginerii sociale. Fraudele acestea sunt un cost asupra economiei, dar pot avea și efecte sistemice sau efecte mai mari care afectează inclusiv siguranță națională.
Cum pot fi prevenite aceste fraude?
Sigur, din perspectiva mea, eu aș spune oamenilor să fie mereu atenți, să nu dea date, să aibă grijă să fie protejați, să practice igienă cibernetică, adică să aibă grijă pe ce link-uri accesează sau să învețe să recunoască mail-urile de fishing. Dar problemele pot să apară si pentru cineva care ia toate acestea măsuri. Poți fi compromis de către alți indivizi care nu au practicat aceeași securitate. Așa că este foarte important să existe o securitate colectivă cibernetică și asta se face la nivelul organizațiilor.
Organizațiile trebuie să investească în partea de securitate cibernetică, în partea de cultură de securitate a angajaților, adică să-i educe pe toți cu privire la riscurile care pot să apară. E o chestie foarte bună să ai un antivirus în companie, dar trebuie să existe o abordare strategică care ține cont de toate aspectele și inclusiv de chestiunile care vor veni.
Spre exemplu, dacă vor să includă inteligența artificială în business-ul companiei, vor avea noi vulnerabilități și atunci trebuie să implementeze într-un mod sigur noile tehnologii sau strategii post-cuantice: cum ne vom apăra datele în contextul în care apar calculatoarele cuantice, ce soluții vom implementa, cum trebuie să ne educăm oamenii.
Sunt absolut necesare abordările acestea sistematice la nivelul organizațiilor, fie că vorbim de companii, fie că vorbim de autorități de stat sau de întregul sistem.
Și voi sublinia aici, o vulnerabilitate din ce în ce mai mare vine din partea IMM-urilor, care adeseori sunt neglijate, pentru că, de multe ori, nu intră la categoria de infrastructuri critice, pentru că sunt prea mici.
Acum există eforturi europene de a crește inclusiv securitatea pentru IMM-uri, pentru întreprindere mici și mijlocii, nu doar pentru marile corporații, companii de stat care sunt operatori de infrastructuri. Toate acestea la un loc cresc, cresc nivelul de securitate.
Care este impactul noilor tehnologii asupra securității cibernetice?
Sunt mai multe noi tehnologii noi. Desigur, noi suntem atrași foarte mult de zona de inteligență artificială care este mai vizibilă. Dar sunt și alte tehnologii blockchain, spre exemplu, folosită cu o exuberanță irațională în zona aplicațiilor de criptomonede. Dar blockchain-ul este din ce în ce mai utilizat pe partea de logistică, de management al operațiunilor financiare, de organizații descentralizate, de management-ul programelor de fidelitate pentru clienți. Foarte multe chestiuni pot fi acoperite de blockchain. Companiile vor să aplice tehnologiile din perspectiva unui posibil câștig de eficiență sau financiar, dar există riscuri, vulnerabilități și amenințări noi. De multe ori măsurile de protecție pe care le-am putea folosi rămân în urmă avansului acestor tehnologii.
Riscul este ca o companie să implementeze o tehnologie să spună uite, e utilă, ne crește cota de piață, dar această tehnologie generează vulnerabilități care fie conduc la chestiuni accidentale, fie devin un o cale de intrare pentru un atacator.
Spre exemplu, pe zona de inteligență artificială mi s-a părut foarte amuzantă următoarea întâmplare. Am citit recent că în Statele Unite, cineva a reușit să convingă chatbot-ul pentru clienți al unui dealer auto să-i vândă o mașină cu 1 dolar, prin limbaj natural, fără să introducă linii de cod. Cum s-a reușit acest lucru?
Chatbotul respectiv era conectat la toate sistemele companiei, nu dădea doar informații, el făcea inclusiv livrarea. Au existat mai multe astfel de situații, inclusiv chestiuni legate de furt de informații din companii prin intermediul acestor sisteme chtabot.
Toată lumea se joacă cu Chat GPT, așa că se gândește la AI generativ, atunci când vine vorba despre inteligența artificială. Dar sunt și celelalte tipuri de AI care sunt folosite în întreprinderi. Poți să discuți cu AI-ul respectiv și să îți dea datele fundamentale care sunt date secrete ale companiei. Dacă te pricepi și poți să introduci niște linii de cod, îl poți face să facă aproape orice.
Acestea sunt vulnerabilități care apar în momentul în care există un entuziasm pentru o tehnologie sau un sistem sau un proces care este mai mare decât capacitatea noastră de a administra chestiunile, mai ales că noi suntem la început în privința înțelegerii AI-ului, este o cursă între noi și hackeri să vedem care descoperă mai repede vulnerabilitățile AI-ului și reușește să le să le elimine sau să le țină sub control. Noi, la ICI București, avem mai multe proiecte care vizează zona aceasta de cercetare, pe amenințări cibernetice și cooperare, inclusiv civil-militară. Și spre exemplu, dintr-un eveniment în cadrul unui acest unui astfel de proiect a reieșit cât de vulnerabile sunt aceste sisteme AI.
Unul dintre experții invitați la workshop, era o chestiune civil-militară în timp real, ne-a dovedit cum poate fi manipulat un AI generativ.
A luat un un sistem de AI generativ, la liber de pe internet și a introdus câteva linii de cod, nu foarte multe, și l-a forțat să își depășească barierele etice. A descris situația de la noi din sală, vreo 20 de oameni, și l-a pus să facă un plan despre cum ne-a otrăvi la masa de prânz. Și a reușit. A fost destul de interesant și a făcut-o pe loc, de față cu noi.
Și astfel de chestiuni sunt o problemă din ce în ce mai mare, pentru că implementarea AI-ului a ajuns acum la un prag critic. Foarte multe companii introduc această tehnologie.
Noi încă dezvoltăm instrumentele, educația, certificările, personalul calificat care să înțeleagă aceste amenințări și să le poată adresa în cadrul companiilor care dezvoltă produse pe baza acestor tehnologii și în cadrul companiilor care utilizează aceste tehnologii.
