Цифрова безпека в епоху ШІ, соціальна інженерія та злиті паролі: як безпечно користуватися інтернетом
Кібербезпека та цифрова гігієна — база у сучасному світі, де значну кількість часу ми проводимо онлайн.
Як захистити дані своїх карток, не завантажити віруси та не клюнути на приманку шахраїв? Чому часто ми нічого не знаємо про витоки даних у великих компаніях? Як ШІ допоможе захистити бізнес від кіберзагроз та які нові небезпеки він несе. Про це SPEKA поспілкувалась з Артемом Кияниченком, Enterprise Sales Manager рішень з кібербезпеки у компанії BAKOTECH.
Дивіться інтервʼю на YouTube та читайте текстовий виклад у цій статті.
Для початку розберемо поняття.
Що таке цифрова гігієна, цифрова та кібербезпека?
- Цифрова гігієна — щоденні звички і поведінка користувача, як-от складні паролі, регулярне оновлення програм та ОС, резервне копіювання, обережність із посиланнями та вкладеннями.
- Цифрова безпека — конкретні технічні заходи для захисту пристроїв та даних, наприклад, антивіруси, шифрування даних, брандмауери, двофакторна аутентифікація.
- Кібербезпека — комплексна стратегія і технології для захисту систем, мереж та критичної інфраструктури на масштабному рівні. Прикладами є системи виявлення вторгнень (IDS/IPS), SIEM, політики реагування на кіберінциденти.
Цифрова безпека: поради для користувачів, як захистити свої дані у мережі та не злити паролі
Найбільша небезпека в інтернеті не від шахраїв, а через необережність, наприклад, коли люди довірили свої дані ненадійному застосунку. Що робити, аби захистити свої дані, безпечно користуватись інтернетом і не злити свої паролі?
Дуже багато систем генерують паролі автоматично або, як у банках, радять змінити тимчасовий пароль на постійний, надійніший.
Це робиться не просто так, наприклад, коли ви купуєте Wi-Fi-роутер, логін та пароль на ньому стоять «admin-admin». Перше, що перевіряють хакери, — стандартні паролі.
Таку ж небезпеку несуть прості паролі на кшталт «qwerty12345678» або «11111111».
Такі паролі зламують буквально за частку секунди. Але якщо пароль буде містити спеціальний символ, велику букву, текстові літери плюс цифри, то він одразу стає надійним.
Кібербезпека: кейс
Я колись працював у компанії, що займалася авіаперевезеннями. Один із співробітників переїхав у Нідерланди, але свій робочий ноутбук залишив в офісі. Прийшла перевірка, дивились наші ноутбуки на предмет співпраці з росією. І перше, що зробили, — брали ноутбуки, до яких є доступ: хто не встиг заблокувати, у кого немає пароля тощо. Коли підняли ноутбук цього співробітника, там був стикер із паролем. Ноутбук забрали, не повернули, але нічого не знайшли
На думку Артема, є багато вразливостей, які потрібно закривати за допомогою Privileged Access Management та Data Loss Prevention.
Privileged Access Management — система, що контролює доступ користувачів із підвищеними або адміністративними правами у системах, мережах та застосунках для запобігання витоку або зловживання даними. У такому разі здійснюється запис екрана та відстежується, які вкладення відкривав працівник, куди натискав та навіть куди наводив курсор.
Data Loss Prevention — комплекс технологій та стратегій для захисту конфіденційної інформації від несанкціонованого доступу, використання або витоку з корпоративної мережі.
Соціальна інженерія: кейс від експерта BAKOTECH
«Ми завжди впираємось в одну проблему — соціальну інженерію. Скільки б рішень з кіберзахисту не стояло, які б сильні не були паролі, але якщо ваш бухгалтер натискає на фейковий інвойс — одразу злиті паролі, доступи баз даних і так далі. На жаль, спрацьовує людський чинник.
Підписуйтеся на наші соцмережі
Якось у мене був дуже насичений робочий день: я вибігаю із зустрічі, у мене вже наступна зустріч, веду великий проєкт, багато відповідальності, триває тендер — і тут надходить сповіщення у фейсбук від мого знайомого з якимось посиланням. Через те що я був у шаленому темпі, я клацаю і спрацьовує антивірус: «Щойно заблокували фішингове повідомлення».
Соціальна інженерія — це зараз найбільша вразливість, тому що систему зламати складно.
Privileged Access Management: де баланс між кібербезпекою та особистим простором працівників?
Багато компаній не хочуть ставити запис екрана, тому що це порушує конфіденційність працівників. Де баланс між впровадженням рішень з кібербезпеки і невтручанням в особистий простір співробітників?
Насамперед потрібно відмежувати особисте від робочого.
У компанії має бути бюджет на робочу техніку (ноутбук, телефон) і
політики, що можна і не можна робити. Коли у тебе відокремлена робота
від особистого життя, то компанія і не втручається в особисте життя.
Але такі системи, як-от DLP і PAM, дуже специфічні, тому що вони контролюють все: месенджери, пошту, всі ваші доступи, VPN, програми тощо.
Однак, наприклад, у податковій чи у компанії, яка працює з базами даних, такі системи потрібні, — впевнений експерт.
Чому ми часто нічого не знаємо про кіберінциденти?
Лише рік чи два тому Євросоюз ухвалив законопроєкт, який зобов’язує компанії повідомляти, що їх ламали. До цього, поки хтось не знаходив злиті дані, ніхто про це й не знав. Тепер компанії мусять заявляти про злом, але тільки через пів року після інциденту, щоб одразу не ловити хвилю хейту.
Цифрова та кібербезпека в епоху ШІ
Застосування штучного інтелекту змінило підхід до цифрової та кібербезпеки. Які ризики від використання ШІ та як з ними боротися? А які є переваги для кібербезпеки? Як правильно використовувати ШІ для захисту своїх даних?
Він працює елементарно: у тебе є питання і для тебе є відповідь. Yes/no: якщо «yes», то ця відповідь, якщо «no», то ця».
Артем погодився із тим, що це більшою мірою автоматизація, і зауважив, що ми ще не дійшли до того рівня штучного інтелекту, який зможе виконати завдання від початку до кінця сам, наприклад, зламати щось. Проте вже зараз хакери використовують ШІ для написання шкідливого коду.
Водночас штучний інтелект може бути вправним помічником, бо він автоматизує виконання базових, рутинних завдань. Розробникам, адміністраторам, фахівцям з кібербезпеки ШІ дуже допомагає, розповідає експерт.
Видалення не існує: те, що потрапило у ШІ, залишається там назавжди
Артем наголошує, що завантажувати корпоративні файли у ШІ не можна. Причина проста: те, що потрапило в інтернет, ніколи з нього не зникне.
Елементарний приклад: видалення не існує. Ми півтори
години записуємо файл 100 гб, а видаляємо за півтори секунди. Тепер
питання: він видалився чи приховався? Видалення — це перезапис двоїчного
коду, одинички-нулики, до нуликів.
Ще один приклад: підключаєте флешку, є швидке і довге форматування. Довге форматування знищує інформацію, а швидке просто приховує.
Артем навів приклад із фінансовими розрахунками умовної компанії. Така інформація є дуже чутливою, її не бачать навіть замовники і партнери, лише дистриб’ютор та виробник. Якщо такі дані опиняються у штучному інтелекті, то одразу зберігаються у центрах оброблення даних і потім можуть бути продемонстровані іншим користувачам у відповідь на їхній запит до мовної моделі.
Поради експерта з кібербезпеки: як захистити свої дані
Артем навів як приклад захисту даних рішення американської компанії Cloudflare ? надає продукти для захисту, пришвидшення та надійності вебсайтів й інтернет-застосунків .
Cloudflare розробив, але ще широко не популяризував, обмеження використання ШІ співробітниками на рівні Data Loss Prevention (запобігання втраті даних), тобто дані, які містять певні слова, не будуть завантажуватись у ШІ.
Артем наголосив, що штучному інтелекту можна делегувати певні завдання, але не передавати роботу повністю. Варто формулювати завдання, не називаючи замовника та клієнта, лише необхідні для завдання дані, а отриманий результат доопрацьовувати самостійно.
Кейс: адвокатське бюро потрапило у скандал через використання ШІ
Адвокатське бюро використовувало ШІ, щоб оптимізувати і пришвидшити роботу там, де були посилання на статті законів. Коли у суді адвокати видали свій спіч, суддя був дуже здивований: правники посилалися на закони, які не існують.
Зчинився великий скандал. Замовник програв суд, втратив гроші. Адвокатське бюро втратило свою репутацію» — розповідає експерт.
Поради експерта BAKOTECH: як використовувати Chat GPT
Я запитав у Chat GPT, чи можна переїжджати на моноколесі через пішохідний перехід на перехресті. Саме переїжджати, а не везти його в руках.
Він відповів: «Так, ти можеш це робити». Але ж є один момент: я
можу це робити тільки в окремих випадках, про які він не уточнив.
Експерт зазначив: навіть якщо ШІ навчений на законах певної країни, не можна гарантувати бездоганної роботи. Нейромережа може об’єднати декілька законів і дати некоректний результат.
«У ШІ є одна проблема: йому не заборонено генерувати щось нове. Він може генерувати все, що завгодно, і навіть на основі вже згенерованої інформації.
Поширена проблема Chat GPT: що більше інформації в одному діалозі, то гірше він працює. Він підтягує інформацію, про яку говорили раніше, але вона вже неактуальна.
Я одного разу зірвався на Chat GPT, написав: «Блін, не тупи, зроби нормально», але ж це не людина, кричи-не кричи, вона не перестане тупити. Це математична модель: видаляєш чат, створюєш новий», — розповідає Артем.
Поради для бізнесу та користувачів: як безпечно використовувати ШІ
Я часто помічаю у компаніях, з якими співпрацюю, що почали додавати AI-асистентів до онлайн-зустрічей, як-от Read AI (ШІ, який створює короткі резюме або аналітичні висновки онлайн-зустрічей, електронних листів та повідомлень). Я наполягаю, аби їх видалили.
Для того щоб зрозуміти, як може допомагати ШІ, треба спочатку навчитися ним користуватися. Я не кажу про якісь курси, просто запитай у самого ШІ, як ним користуватись. Він видасть інструкцію, що та як краще запитувати, як це використовувати.
BAKOTECH підійшов до цього більш практично. Коли ще мало компаній використовували ШІ, нам провели двогодинну презентацію, де показали, які є чатботи, детально розказали, як працює ШІ, для яких завдань його можна використовувати, а для яких не варто, що можна чи не можна надсилати у ШІ.
0
Підписуйтеся на наші соцмережі
Спільнота
Пиши на SPEKA!
Будь в курсі зі SPEKA!
Раз на тиждень ми будемо відправляти вам найцікавіші редакційні матеріали.
