Препоръките от блога от Иън Хълм, и. д. директор регулаторен надзор в ICO
Киберпрестъпниците все по-често използват изкуствен интелект (AI), за да извършват атаки, които са по-бързи, по-усъвършенствани и по-трудни за откриване. От генерирани от ИИ фишинг имейли, които се представят за доверени контакти, до автоматизирани инструменти, които сканират и използват софтуерни уязвимости, пейзажът от заплахи се развива бързо.
С този мащаб и сложност, киберсигурността трябва да бъде споделена отговорност във всяка част от икономиката. Като регулаторен орган за защита на данните, ние можем да предоставим ясни очаквания и практическа подкрепа, но всички организации трябва да предприемат проактивни стъпки, за да се подготвят за нововъзникващи заплахи.
Като инвестирате в киберустойчивост и осигурявате подходящи мерки за сигурност, можете да изградите обществено доверие в начина, по който вашата организация защитава личните данни, които съхранявате.
Ето пет практически стъпки, които можете да предприемете още днес, за да засилите устойчивостта си срещу заплахи, задвижвани от изкуствен интелект.
1) Знайте срещу какво се изправяте
Сканирането на хоризонта и разбирането на потенциалните заплахи е основата на ефективната сигурност. Основните рискове, задвижвани от изкуствен интелект, пред които са изправени организациите, включват:
– Фишинг, подобрен с изкуствен интелект: нападателите използват изкуствен интелект, за да генерират убедителни, персонализирани съобщения, представящи се за колеги, клиенти или доверени доставчици.
– Deepfake социално инженерство: Генерирано от изкуствен интелект аудио и видео могат да се използват за представяне за колеги или ИТ персонал, за да се подведат служителите да нулират идентификационните си данни или да предоставят достъп до системата.
– Автоматизирано сканиране и експлоатация на уязвимости: ИИ инструментите могат бързо да сканират системи, да идентифицират слабости и да стартират целенасочени атаки.
– Злонамерен софтуер, задвижван от изкуствен интелект: злонамерен код, който адаптира поведението си в реално време, за да избегне откриването си от конвенционалните антивирусни и защитни инструменти.
– Атаки за подправяне на идентификационни данни и пароли: Изкуственият интелект ускорява атаките с груба сила и подправянето на идентификационни данни, което прави слабите или повторно използвани пароли по-уязвими.
– Отравяне на данни: когато във вашите услуги се използват модели с изкуствен интелект, нападателите могат да се опитат да повредят данните за обучение или да манипулират резултатите от моделите, за да причинят вреда или да извлекат чувствителни данни.
– Атаки с индиректно инжектиране на команди: при които злонамерени инструкции са вградени във външно съдържание, което ИИ система обработва и интерпретира погрешно като легитимни команди. Това включва отравяне на инструменти, където това е скрито в метаданните на инструменти, с които ИИ агент взаимодейства.
Националният център за киберсигурност (NCSC) актуализира своята рамка за оценка на киберсигурността, за да отрази изрично заплахите, свързани с изкуствения интелект, с по-голям акцент върху това организациите да разбират как престъпниците могат да използват технологиите с изкуствен интелект, за да могат да реагират ефективно.
2) Подгответе правилно основите и подредете защитните си елементи на пластове
Повечето успешни кибератаки използват основни пропуски в сигурността. Очакваме организациите, които използват или съхраняват лични данни, да са въвели 5 технически контроли, описани в схемата Cyber Essentials, и да са внедрили действията в Кодекса за киберуправление.
Но когато става въпрос за заплахи, задвижвани от изкуствен интелект, само фундаменталната сигурност не е достатъчна. Слоевете на защита са от съществено значение, като например множество контроли, така че ако един се провали, други да ограничат щетите.
Инструментите с изкуствен интелект идентифицират и използват известни уязвимости с висока скорост, така че се уверете, че има солиден процес за инсталиране и актуализиране, така че наличните корекции за сигурност да се прилагат своевременно.
3) Ограничете точките за достъп
Слабите точки за достъп са основна цел за кибератаки, включително и вашите доставчици от трети страни. Трябва да внедрите многофакторно удостоверяване (MFA) за всички отдалечени достъпи, администраторски акаунти и имейли, както и да наложите политики за силни пароли.
Прилагайте „ принципа на най-малките привилегии“ – например потребителите, системите и приложенията трябва да имат достъп само до това, от което наистина се нуждаят. Редовно проверявайте привилегированите акаунти и премахвайте достъпа в момента, в който вече не е необходим. Ако интегрирате изкуствен интелект в системи за контрол на достъпа, уверете се, че разбирате последиците за поверителността и сигурността на всички използвани поведенчески и идентификационни данни.
Що се отнася до вашата верига за доставки, картографирайте до какво имат достъп вашите трети страни и ги дръжте под наблюдение, за да отговарят на подходящи стандарти за сигурност. Уверете се, че включвате изисквания за сигурност в договорите и провеждате пропорционална проверка. Разполагаме с подробни насоки относно отговорностите на обработващите и администраторите на лични данни.
4) Подобрете откриването, наблюдението и реагирането на инциденти
Трябва да внедрите цялостен мониторинг на сигурността за подозрителна активност, като например необичайни модели на влизане, неочаквани трансфери на данни и необичайна употреба на API, както и редовно да идентифицирате слабости чрез сканиране за уязвимости и тестове за проникване.
Изкуственият интелект може да се използва и като мощен инструмент за киберзащита чрез бързо сигнализиране и ограничаване на заплахи. Той обаче трябва да функционира в ясна рамка от човешки надзор и отчетност, за да се предотврати злоупотреба и експлоатация от злонамерени лица.
Също така трябва да поддържате и редовно да тествате план за реагиране при инциденти. Уверете се, че персоналът знае ролите си и че контактите за докладване са ясни. Поддържайте достъпни ключови данни за контакт и офлайн копия на критична документация, в случай че системите са компрометирани.
5) Защитете личните данни
Атаките, задвижвани от изкуствен интелект, все по-често са насочени към лични данни, които могат да се използват и за улесняване на по-нататъшни атаки. Вашите задължения съгласно GDPR на Обединеното кралство изискват да внедрите подходящи технически и организационни мерки за защита на личните данни. В зависимост от вашата организация, мерките могат да включват:
Минимизиране на данните и ограничаване на съхранението : събирайте и съхранявайте само личните данни, от които наистина се нуждаете. Колкото по-малко данни съхранявате, толкова по-малко има за кражба.
Одити на данни: редовно проверявайте какви лични данни съхранявате, къде се съхраняват и кой има достъп до тях. Инструментите с изкуствен интелект, които обработват или са обучени за работа с лични данни, изискват специално внимание.
Осведоменост на персонала: обучете персонала да разпознава атаки чрез социално инженерство, задвижвани от изкуствен интелект, като например генериран от изкуствен интелект фишинг, клониране на глас и техники за „дълбока фалшификация“. Обучението трябва да бъде редовно и актуализирано, за да отразява текущия пейзаж на заплахите.
Управление на ИИ: ако вашата организация използва инструменти с ИИ, които обработват лични данни с висок риск , трябва да имате оценка на въздействието върху защитата на данните (DPIA) и подходящи предпазни мерки, включително срещу атаки, насочени към ИИ. Трябва също така да спазвате правителствения Кодекс за киберсигурност на ИИ.
Можете също така да обмислите криптиране и псевдонимизация , за да намалите въздействието на евентуално нарушение.
Нищо от това не е ново, но изкуственият интелект носи нова спешност и по-голяма скорост. Организациите могат да се подготвят за бъдещи киберзаплахи, като установят стабилни основи на сигурността рано, прилагат многопластови защити и осигуряват човешки надзор в процесите си на откриване и реагиране.