A felelős cégeknek már a chatbotok használatát is szabályozni kellene! – Digital Hungary Magazin

Még összetettebb feladat lesz a vállalatok, a városok, vagy éppen az otthonaink működését biztosító kiberbiztonság a mesterséges intelligencia előretörésével – véli Sándor Barnabás okleveles biztonságtechnikai mérnök, az Óbudai Egyetem kiberbiztonsági kutatója.

Mik jelentik a legnagyobb kihívást manapság a vállalatoknak a kiberbiztonság terén?

A főbb kihívásokat a zsarolóvírusok, az adatszivárgás, az illetéktelen hozzáférés. A legnagyobb veszélyt a felhasználók nem megfelelő edukációs szintje jelenti, ezért a vállalatoknak egyre nagyobb figyelmet kell fordítani olyan programokra, ahol megtanítják a kollégákat arra, hogyan lehet védekezni például egy zsarulóvírus támadással szemben. Növelni kell a munkavállalók kiberbiztonsági tudatosságát, hogy a támadási kísérleteket minimalizálni tudják, de azt is fontos tudatosítani, hogy milyen szerepe van ebben a felkeresett közösségi média felületeknek. E-mailek esetében is oda kell figyelni, mire kattintanak rá az emberek, különösen, ha ismeretlen forrásból származnak. A munkavállalóknak meg kell tudni mutatni, hogyan és mire kell figyelni – például a feladó e-mailcímében. Oda kell figyelni a social engineering támadásokra, amikor a felhasználók bizalmára alapoznak pszichológiai módszerekkel, hogy a támadók a vezérigazgató asszisztensének, a rendszergazdának vagy más hiteles szereplőnek adják ki magukat. Erre alapozva próbálnak bizalmas adatokhoz hozzájutni. Ez ma már egyre inkább a magánembereket is érinti, biztosan sokan kaptak olyan SMS-t, amiben azt kérik, hogy kattintsanak az adott linkre, mert nem fizették a Netflix havidíját.

Érezheti biztonságban magát bármely vállalat? Milyen szerepe van a cégméretnek?

A technológia adottságok nagyon változatosak, amiben a vállalatméretnek is szerepe van. Minél több terület kiberbiztonságát kell megszervezni, annál magasabbak a költségek. Ma már egy nagyvállalatnak is igen összetett kihívást jelent minden terület védelmének megszervezése a compliance területtől kezdve a security operation center működtetésén át az awareness, assuarance területekig és az architektúra kialakításáig, és még sorolhatnánk.

Milyen kihívást jelent a biztonság szempontjából, hogy egyre több külsős, felhő alapú megoldást használnak a vállalatok?

A felhőszolgáltatók megpróbálják szavatolni szerződéseikben a szolgáltatás biztonságát, amennyire csak tudják. Így nem is feltételen ezekkel szokott probléma lenni, hanem inkább az elérési úttal és a hozzáférő személyekkel kapcsolatban. Ha egy rendszergazda gépe kompromitálódik, vagy publikus wi-fi-ről csatlakozik a hálózatra, és sikerül közbeékelődni a forgalomba, akkor hozzáférhetnek a kiberbűnözők információkhoz – ezek akár lehetnek belépési adatok is. Manapság egyre jobban elterjedt, hogy böngészőből cookie adatokat szereznek meg, ezáltal szimulálni tudják, mintha be lenne jelentkezve a felhasználó egy online felületre, ezáltal bejuthatnak például egy adminisztrációs felületre. Ez is rámutat arra, hogy milyen kiemelt szerepe van a kétfaktoros azonosítás használatának, vagy hogy vannak-e olyan gépek, amiket csak és kizárólag a domainek adminisztrálására használnak a felhőben. A zero trust modell már elég sok cégnél megjelent, ami azt jelenti, hogy senkiben nem szabad megbízni, még az eszközeinkben sem. Ezért ki kell alakítani olyan réteget, védelmi határokat, amivel elérhető, hogyha még egy gép kompromitálódik is, ne tudja a teljes vállalati hálózatunkat elérni, csak az adott szerverhez legyen hozzáférése.

Milyen változást hoz a mesterséges intelligencia a kiberbiztonságban?

Iszonyatosan nagy hatása van, és lesz is a jövőben. Egyelőre a keresőmotorokat, kép- és hanggeneráló megoldásokat kapta fel a média, de egyre nagyobb lesz a verseny az AI területen, egyre több nagyvállalat fog kiadni mesterséges intelligenciás megoldásokat. Minél több szereplő lesz a piacon, annál nagyobb nyomás fog nehezedni a vállalatokra kiberbiztonsági szempontból. Elég csak arra gondolni, hogy megkérdezhetnek egyre több személyes információt is, ezért a rendszerekben a személyes adatok megfelelő titkosítására és tárolására is gondolni kell. Mind támadói, mind védekezői oldalról is nagy lehetőség van az AI használatában.

Annak milyen kockázata van, hogy túlzottan hallgatunk a chatbotokra?

Nemrégiben történt az sajnálatos eset, amikor egy mentálisan beteg férfi beszélgetett a mesterséges intelligenciával, és önkezűleg vetett véget az életének – miután több héten át beszélgettek. Pont az a baj a mostani ChatGPT-vel, hogy nem dönt a válaszokról, hanem abba az irányba megy, amerre mi szeretnénk. Látjuk tehát már a veszélyeit az AI-nak is, különösen hogy a tanítással is kihatással lehetünk a működésére. A ChatGPT például magyarul még nem igazán tud, de ha minél többször megkérdezünk valamit, és elvisszük abba az irányba, hogy az adott válasz ne feltétlenül az igazság legyen, akkor el lehet ferdíteni a jövőbeli válaszait.

A vállalatok számára jelent extra kockázatot a mesterséges intelligencia?

Már elkezdtek a vállalatok is felkészülni, hogyan tudják ezt kezelni – első körben a válasz várhatóan a szolgáltatás korlátozása lesz. A jövőben ki kell alakítani olyan protokollokat, hogy ne lehessen olyan információkat, fájlokat feltölteni, amit nem szeretnének, hogy kikerüljön.

Az okosvárások terjedésével mennyire lehet többletköltséget a biztonsági kockázatok kezelése?

Nagy lehetőség előtt áll Budapest, Pécs és Miskolc, mivel bekerültek az Európai Unió 2030-as okosváros támogatási rendszerébe, így sokat fog fejlődni ez a terület. Én alapvetően a biztonsági megközelítéssel foglalkozom, és nem a gazdasági kérdésekkel. A fejlesztéseknek természetesen van költsége, de azt látom, hogy nagy a nyitottság minél több új megoldás megvalósítására a beruházói és finanszírozói oldalon, egyre több uniós finanszírozás érhető el. Már csak ezért is egyre fontosabb szerepe lesz az okosvárosoknak Magyarországon is. Fontos azonban az a kérdés, hogy a lakosság hogyan fogadja ezeket, és ez utóbbinak is szerepe van abban, hogy milyen kiberbiztonsági megoldásokat érdemes alkalmazni.

Az okosotthonok biztonsága miatt mennyire kell aggódnunk?

A veszély hatalmas – de meg kell különböztetni, hogy milyen szintű okosotthonról beszélünk. Teljesen más védelemre van szükség, ha arról van szó, hogy megveszünk egy okosizzót, és azt tekerjük be a nappaliba, vagy amikor komplett rendszert tervezünk saját magunknak, vagy ha egy vállalatot bízunk meg egy rendszer megtervezésére és kivitelezésére. Nyilvánvalóan az ezzel foglalkozó cégeknek feladata a biztonsági kérdések kezelése is, így milyen firmware vagy software fut az eszközökön, az adott hálózatban a router, tűzfal hogyan van beállítva. Az okosotthonok fejlesztése két részre bontható: van egy villanyszerelési és egy IT része. Számos példát látok arra, hogy villanyszerelők képzik át magukat, és nem minden esetben erősek a kiberbiztonsági kérdésekben. Ráadásul egy okosotthon fejlesztésnek fontos eleme kellene, hogy legyen az edukáció is: meg kell értetni a felhasználókkal, hogy mi miért van, mire kell odafigyelni. Azt is érteni kell, hogy egy okosotthonba telepített kamerához történő hozzáférésnek mi a kockázata. A szakmában dolgozók ezért is nagyon sokat foglalkozunk tudásmegosztásokkal, előadásokkal. Most alakult meg a Magyar Okosotthon és Épületautomatizálási Szövetség, ahol külön feladat lesz a közérthető oktatás. Fontos tudni, hogy feltörhetetlen rendszer nincsen, de a megfelelő elővigyázatossággal nagyon sokat tehetünk a hatékonyabb védelemért. Egy ismertebb gyártó terméke ilyen szempontból is előnyösebb, mint egy online Kínából, vagy bizonytalan forrásból rendelt eszköz, aminek nem ismerjük a szoftveres hátteret, nincsen támogatása, vagy éppen nincsen jelszóval levédve.

Szerző: Bucsky Péter

Forrás: Digital Hungary