Dirbtinio intelekto nusikaltimai, ar tokių yra?

Kas nėra girdėjęs apie ChatGPT? Šis robotukas mandagus, nuolat atsakantis į pateiktas užklausas, stengiasi kuo geriau atlikti darbą, tam, kad gautų iš Jūsų patiktuką. Dirbtinio intelekto (DI) kalbos modelis, žinantis visus atsakymus, sukėlė sensaciją visais tinkamais ir netinkamais būdais. Taip, šis robotas gali praturtinti mūsų profesinį gyvenimą, todėl, nepaisant nerimo dėl galimai prarastų darbo vietų ir pasaulio užvaldymo, visi dėl jo šurmuliuoja. Jūs, mes ir, deja, taip pat kibernetiniai nusikaltėliai.

„Baltimax“ pardavimų inžinierius Gediminas Mikelionis mano, kad kibernetinės grėsmės ir jų poveikis visuomenei nuolat auga kartu su informacinių technologijų plėtra. „Naujausios inovacijos, tokios kaip dirbtinio intelekto algoritmai, gali turėti įvairių taikymo sričių, tačiau kai kurios jų gali būti panaudotos ir blogiems tikslams. Pavyzdžiui, OpenAI sukurtas galingas kalbos modelis ChatGPT, kuris, nors ir turintis daug naudingų taikymo galimybių, gali būti panaudotas ir kibernetinėms grėsmėms kurti. “

Kalbos modelis turi gerų ketinimų – padėti žmogui! Skamba gerai ne tik Jums, bet ir kibernetiniams nusikaltėliams. Juo galima piktnaudžiauti, netyčia ar piktavališkai, tampant potencialia grėsme jūsų verslui ir jūsų duomenims.

Versle

ChatGPT yra puikus įrankis daugeliui kasdienių verslo operacijų atlikti – nuo atsakymų į el. laiškus iki duomenų analizės ir apdorojimo ir net daug sudėtingesnių užduočių. Kai kurioms iš šių užduočių atlikti žmogui prireiktų kelių valandų, o robotas tai gali padaryti greičiau nei per minutę. Tačiau nors tokių papildomų sistemų naudojimas analizuojant įmonės finansinę informaciją atrodo puiki idėja, kuri padėtų sutaupyti laiką, tai gali greitai atsigręžti prieš jus.

Kodėl ChatGPT gali kelti grėsmę duomenų saugumui?

ChatGPT bando imituoti, kaip veikia žmogaus smegenys. Ji sugeria informaciją į savo roboto „smegenis” ir prireikus gali ją prisiminti bei panaudoti tolesnėje analizėje ir sąveikoje. Tačiau, kaip sakoma, su didele galia ateina ir didelė atsakomybė – ChatGPT „žino” neįtikėtinai daug informacijos. Ar reikėtų nerimauti?

Tai yra gilaus mokymosi modelis, todėl jis gali mokytis iš pokalbių su naudotojais. Kitaip tariant, jūsų pokalbiai neliks tik tarp jūsų dviejų. Kad ir kaip asmeniškai skambėtų ChatGPT, tai tik beširdė, bejausmė programa, nekreipianti dėmesio nei į jus, nei į jūsų verslą. Neįmanoma išsaugoti konfidencialios informacijos konfidencialumo. Nors yra tūkstančiai užklausų, kurias galite duoti ChatGPT, „saugoti mano slaptus duomenis ” – nėra viena iš jų.

Yra dar daugiau! Dirbtinio intelekto kalbos modelis ne tik įsimena bet kokius jūsų įvestus duomenis, tam, kad galėtų juos analizuoti ateityje, bet ir OpenAI darbuotojai gali pasiekti jūsų pokalbių duomenis, todėl visa ši duomenų saugumo situacija dar labiau sudėtingėja dėl žmogiškojo faktoriaus. Atminkite, kad 2022 m. žmogiškasis faktorius buvo susijęs su 82 % visų duomenų saugumo pažeidimų (remiantis 2022 m. Verizon duomenų saugumo pažeidimų tyrimų ataskaita). Ir tai buvo prieš ChatGPT naudojimą.

„Ir tai dar ne viskas – jei nesate atsargūs ir, tarkime, pokalbiui su ChatGPT naudojotės neapsaugotu arba viešu Wi-Fi tinklu, kas nors, turintis blogų ketinimų, potencialiai galėjo prisijungti prie jūsų pokalbio ir pamatyti, kokiais duomenimis dalijatės“ – priduria G. Mikelionis.

Kibernetiniai nusikaltėliai išnaudoja saugumo sistemų pažeidžiamumą

Visame pasaulyje klesti ištisas tamsusis tinklas, kuris uždirba milijonus iš pavogtų organizacijų ir asmenų duomenų. Iš tikrųjų išpirkos reikalaujančių programišių grupės veikia kaip įprastos įmonės, turinčios rinkodaros skyrius ir RaaS (ransomware as a service) produktus! Galima daryti prielaidą, kad kai 2022 m. lapkritį ChatGPT tapo prieinama visiems norintiems, kibernetiniai nusikaltėliai ėmėsi darbo.

Blogi vyrukai greitai įšoko į kalbos boto bandomąjį vagoną, naudodamiesi juo, kad surastų duomenų apsaugos sistemų pažeidžiamumą, rašytų įtikinamus apgaulingus el. laiškus, padėtų kurti išpirkos reikalaujančias programas ir net pritaikytas kenkėjiškas programas, kad išvengtų apsaugos sistemų.

Visa tai – greičiau, mažiau aptinkama ir gramatiškai taisyklingiau nei bet kada anksčiau (žinoma, kad dėl gramatinių klaidų sukčiavimo el. laiškai tampa lengviau atpažįstami).

G. Mikelionio nuomone tobulėjant pačiam moduliui kibernetiniams piktavaliams vis paprasčiau skleisti dezinformaciją. „Viena iš didžiausių galimų kibernetinės grėsmės pasekmių yra dezinformacijos ir melagienų skleidimas. Dėl ChatGPT galimybių kurti ir generuoti tekstą, tampa paprasčiau sukurti tikroviškus ir įtikinamus melagingus pranešimus, kurie gali suklaidinti žmones ir sukelti chaosą“, – pasakoja pašnekovas.

ChatGPT palengvina kibernetinių nusikaltėlių galimybes vykdyti atakas ir vogti slaptus įmonių duomenis. Įmonėms vis labiau pasikliaujant dirbtiniu intelektu ir ChatGPT apdorojant ir analizuojant duomenis, didėja galimų duomenų pažeidimų atakų paviršius. Tai reiškia, kad atsiranda daugiau potencialių patekimo taškų, kuriais gali pasinaudoti kibernetiniai nusikaltėliai.

„Kitas pavojingas panaudojimo būdas yra kenkėjiško kodo rašymas pasitelkiant DI. Nors pats ChatGPT šiai dienai nesukurs sudėtingos kenkėjiškos programos savarankiškai, bet gali palengvinti programavimo procesą ar ištaisyti kenkėjiško kodo spragas ir taip padėti sukurti dar tobulesnę, niekada nematytą kenkėjišką programą, kuri bus pranašesnė už jos pirmykščius variantus“, – dalinasi G. Mikelionis.

Kibernetinės atakos taip pat gali tapti sudėtingesnės. Ar ChatGPT gali būti naudojama siekiant išvengti tradicinių saugumo priemonių aptikimo? Tikriausiai. Ar įsilaužėlis darytų viską, ką gali, kad ChatGPT panaudotų savo kenkėjiškiems tikslams? Neabejotinai.

ChatGPT gali būti naudojama kaip vidinių grėsmių priemonė

DI ir ChatGPT taip pat gali būti naudojami vidinių asmenų duomenų pažeidimams vykdyti. Pavyzdžiui, darbuotojas gali naudoti dirbtinį intelektą jautriems duomenims nustatyti, o tada naudodamasis dirbtinio intelekto kalbos modelį sukurti gerai parašytus apgaulingus el. laiškus kitiems darbuotojams ar verslo partneriams.

Vidines grėsmes gali būti sunku aptikti, nes vidinis asmuo jau turi prieigą prie neskelbtinų duomenų, kuriuos gali panaudoti norėdamas pavogti daugiau duomenų.

Naudoti galite, bet imkitės saugumo priemonių

  • Nustatykite neskelbtinus duomenis: klientų informacija, komercinės paslaptys ar finansiniai įrašai. Išmanūs sprendimai, tokie kaip DLP gali padėti aptikti ir klasifikuoti duomenis.
  • Reguliariai atlikite saugumo auditą: taip lengviau nustatomos ir pašalinamos bet kokios duomenų saugumo sistemų spragos. Taip galėsite ištaisyti visas problemas, kol kibernetiniai nusikaltėliai ar vidiniai veikėjai nespėjo jomis pasinaudoti.
  • Apmokykite darbuotojus duomenų saugumo klausimais: mokykite darbuotojus geriausios duomenų saugumo praktikos, įskaitant tai, kaip elgtis su slaptais duomenimis ir atpažinti saugumo grėsmes.