Zločinci se odjakživa snaží využít nové technologie. AI není výjimkou

Umělá inteligence bude mít zásadní dopad na kyberzločin a výrazně zvětší rozsah útoků, říká David Wright, výzkumník a zakladatel společnosti Trilateral Research.

David Wright byl hostem European Conference on Security Research In Cyberspace pořádané na podzim v Brně Masarykovou univerzitou. Brit ve své prezentaci mimo jiné ukázal přínos, který má pro kyberbezpečnostní komunitu program Evropské komise Horizont Evropa. 

Wrightova irsko-britská firma Trilateral Research z něj významně těží, stejně jako dříve z předchozích programů. „Když jsme se rozjížděli, byli jsme ve firmě jen tři. Zadařilo se nám získávat zakázky od Evropské komise, a tak jsme mohli osmnáct let růst. Teď je nás už 130,“ popisuje Wright.

Účast na evropských programech pomohla Trilateral i jinak. Dalším hmatatelným výsledkem jsou podle Wrighta stovky odborných článků v impaktovaných žurnálech.

„Zásadní je výzkum, k němuž jsme se dostali. Začínali jsme s poskytováním služeb v oboru ochrany dat a soukromí. Díky projektům Evropské komise jsme mohli rozšířit záběr do dalších oblastí, včetně hodnocení etického dopadu,“ doplňuje Wright, který je autorem historicky prvního impaktovaného článku na téma etického hodnocení dopadu (ethical impact assessment). 

„Od toho jsme se dostali k integrovanému assessmentu, tedy k integraci ochrany dat i posuzování etických dopadů do jednoho procesu. Vyvinuli jsme pro to metodologii, což by bez programu Horizont Evropa nešlo,“ dodává. 

Program podle Wrighta navíc usnadňuje propojení profesionálů a profesionálek po celé Evropě. „Známe se v Evropě s docela dost lidmi, a když dáváme dohromady konsorcia pro různé návrhy, je to mnohem snadnější než před osmnácti lety.“ 

Vidíte i nějaká negativa evropských programů?
Rizika bychom neměli opomíjet. Společnosti spolupracující na evropských projektech by si měly dávat velký pozor, aby měly i jiné zdroje financování. Existuje nebezpečí závislosti na evropských penězích. Zkrátka: nedávat všechna vajíčka do jednoho košíku.

Daří se vám to?
Určitě. Vyvíjená řešení jsme dokázali přetavit ve služby pro klienty v soukromé sféře. A takových klientů máme mnoho, zejména ve Spojeném království a v Irsku. Jde o univerzity, bezpečnostní složky, vládní agentury, nemocnice, města, muzea a další komerční klienty. 

Zmínil jste, jak výrazně se Evropská komise a Evropská unie podílejí na výzkumných projektech v kyberbezpečnosti. Vidíte brexit jako problém pro spolupráci Británie s členskými státy? Může to ohrozit její bezpečnost v kybernetickém prostoru?
Jak Spojené království, tak Evropská unie na brexitu tratí. Osobně bych velmi upřednostňoval, aby se Británie co nejdříve znovu připojila k unii.  

My sami jsme podnikli konkrétní kroky, aby nás to tolik nepoškodilo. I když naše původní firma sídlí v Londýně, založili jsme druhou firmu Trilateral Research v Irsku. To nám umožňuje podílet se na evropských projektech jako irský partner. Firmu jsme založili asi tři roky předtím, než k brexitu definitivně došlo.

Něco nás to stálo. A něco to stálo i Británii. Pracovní místa, která jsme vytvořili v Irsku, jsme totiž mohli vytvořit v Londýně. Proto moc doufám, že situace se brzy zase vrátí ke zdravému rozumu.

Jaký je vliv brexitu na Británii?
Výrazný. Účastnil jsem se řady konsorcií, kde nechtěli partnery ze Spojeného království, protože mají problémy s financováním a nejsou si jisti, zda budou spolehlivým partnerem po celou dobu trvání projektu. Záminek je mnoho a některé z nich jsou do jisté míry legitimní.  

Panuje obecná neochota zapojovat Spojené království, protože není součástí unie. Horizont Evropa byl založen, aby z něj těžily členské státy, a to Spojené království není. Mnoho projektů mělo britské koordinátory, ti museli kvůli brexitu skončit. Britské výzkumné komunitě v oblasti kyberbezpečnosti tedy odchod z unie v mnoha ohledech uškodil.

Zmínil jste množství klientů a institucí, jimž nabízíte služby. Zajímaly by mě konkrétně univerzity. Vidíte pro ně nějaké specifické hrozby v oblasti kyberbezpečnosti, na které by si měly dát prostor?
Neměly by podceňovat základní doporučení jako mít kvalitní firewall a dobrý antivirový program, vyškolit zaměstnance, často měnit hesla a tak dále. V závislosti na velikosti instituce se pak může i vyplatit pověřit kyberbezpečností některou z řady specializovaných firem.  

Důležité je také zvyšovat povědomí zaměstnanců zejména o spear phishingových útocích (podvodných zprávách zacílených na konkrétní jednotlivce, pozn. red.). To je strašně důležité. Jistě znáte okřídlené rčení, že lidé jsou nejslabším článkem řetězce, a je to nejspíš pravda. 

Instituce jsou za své zaměstnance odpovědné. Musejí je v této oblasti vzdělávat a připravovat je na hrozby kybernetických útoků. Jinak platí, že univerzity jsou cílem kybernetických útoků podobně jako zbytek ekonomiky. Jsou napadány stejným způsobem jako firmy nebo vládní úřady.

Podle dalšího hosta brněnské konference profesora Miroslava Mareše existuje jen tenká hranice mezi kyberútoky organizovanými zločineckými skupinami na straně jedné a kyberútoky organizovanými státy na straně druhé. Dokážeme vlastně říct, kde končí jedno a začíná druhé?
Zcela s tím hodnocením souhlasím. Ale jestli dokážeme říct, kde přesně ta hranice leží? V pondělí možná kybernetický gang pracuje pro stát, zejména v Rusku nebo Číně, a v úterý pracuje na sebe. Často jde o tytéž lidi, kteří dělají ty stejné věci, jen pro různé zákazníky. 

Když si ale vezmu izolovanou a chudou Severní Koreu, tak bude mít asi stejný cíl jako běžní kyberzločinci: získat finance. Jiný cíl budou mít expanzivní režimy vedoucí hybridní válku, tedy Rusko nebo Čína. Není právě v tom rozdíl oproti kyberzločinu?
Je naprosto jisté, že Severní Korea využívá především ransomware a že cílem jejích útoků je získat peníze pro stát. V případě Číny hraje významnou roli snaha prolomit duševní vlastnictví v Evropě a Americe, ačkoliv bychom neměli příliš generalizovat. 

Rusku jde o jeho vlastní politické cíle a snahu vměšovat se třeba do voleb v Evropě a Americe, zasévat dezinformace dále. Takže ano, jednotlivé státy mají rozdílné motivace. Přes rozdíly v motivech ale všechny mohou využívat stejné lidi i nástroje a způsoby útoků. Ransomware mohou nasazovat klidně všechny tři zmíněné státy. 

V prezentaci zmiňujete, že žijeme ve zlaté éře ransomwaru. Co tím myslíte?
Jde o citaci ze studie Evropské agentury pro bezpečnost sítí a informací. Podle mého názoru se ransomware už stal kybernetickým zločinem číslo jedna. I když hrozeb aktuálně existuje nespočet, ransomware se zdá být jednoznačně nejrozšířenější z nich.  

Gangům generuje největší část obratu a je stále sofistikovanější. Už tu není jen výhrůžka zničením obsahu počítače. Objevuje se hrozba zveřejněním obsahu počítače oběti, podobně jako u kyberšikany. Kyberzločin a s ním související postupy a technologie se tedy velmi rapidně vyvíjejí.

Vyjadřujete obavu ze zvětšování attack surface – tedy ze stále většího počtu bodů, na které lze zaútočit. V přednášce jste zmiňoval zařízení Internet věcí (Internet of Things, IoT), jichž každým rokem přibývá. O jak velkou hrozbu se jedná?
Je obtížné odhadnout, o jak velkou hrozbu v případě IoT jde, pokud se bavíme o chytrých toastovačích, lednicích nebo televizích. Nicméně musím zdůraznit, že podobný typ zařízení je rozptýlen i v rámci kritické infrastruktury, což je mnohem závažnější. 

V tomto ohledu se IoT stává velkou hrozbou. Příkladem mohou být chytré elektroměry používané v domácnostech. Energetické společnosti v řadě zemí je využívají stále častěji a spotřebitelé z nich mohou těžit. Zaznamenávají stále více informací o lidech. Co kdy dělají, kdy jsou doma a tak dále. V tomto ohledu je tedy třeba ke všem novým technologiím přistupovat obezřetně a být si vědomi jejich dopadu zejména v oblasti kyberbezpečnosti.  

Během naší konverzace jste zmínil, že lidé představují nejslabší článek v kyberbezpečnosti. Za pandemie mnoho firem přešlo na práci na dálku, ne všechny ale zavedly adekvátní bezpečnostní opatření. Zvýšilo to úspěšnost útoků?
Firmy mívají nepochybně lepší zabezpečení než jednotlivci. Pokud lidé pracují doma a používají vlastní počítače a vlastní internetové připojení, riziko kyberútoku se zvyšuje. Tím se tedy opět dostáváme k nutnosti vzdělávat zaměstnance a k nutnosti ujistit se, že chápou závažnost hrozeb. 

Jako firma jsme připraveni poskytnout poradenství v oblasti kyberbezpečnosti všem. Včetně toho, jak se mohou sami lépe chránit. Kyberbezpečnost považujeme za zásadní oblast a očekáváme, že v následujících letech toto odvětví ještě poroste.

Ve své přednášce jste citoval odhadovanou výši škod pro světovou ekonomiku v důsledku kyberzločinu: 5,5 bilionu eur ročně. Do roku 2025 se tato částka vyšplhá na 10,5 bilionu. Kolik by naopak stálo zavést všechna vhodná protiopatření? Máme nějakou cost-benefit analýzu
Nejdřív bych se vrátil k tomu číslu 5,5 bilionu. Objevilo se množství různých odhadů, jak moc kyberzločin poškozuje ekonomiku. Toto číslo jsem citoval z dokumentu Evropské komise z prosince 2020. Jde o výsledek výzkumu Společného výzkumného střediska Evropské komise vycházejícího z americké publikace od Cybersecurity Ventures. Od této společnosti pochází i ten zmíněný odhad nárůstu na 10,5 bilionu.  

Trilateral Research aktuálně pracuje na vlastní analýze socioekonomických dopadů kybernetického zločinu. Četl jsem tak řadu reportů, z nichž některé přišly s výrazně odlišnými odhady. Dojít k přesnému číslu je obtížné. Řada firem nenahlásí, že se staly obětí kyberútoku. Nedostatečné reportování je zásadní překážkou. Dokonce i když víme, že některé firmy při ransomwarovém útoku zaplatily peníze, nevíme kolik, protože to neřeknou. 

Vezměme si příklad WannaCry, ransomwaru, který si před několika lety nechala vytvořit Severní Korea. V roce 2017 vedl ke ztrátě mnoha dat britského systému zdravotního pojištění nebo lodních společností ve Skandinávii. Ale zdaleka nevíme, kolik přesně to stálo. 

Můžeme odhadnout, že nahradit počítače a zajistit je bezpečnější sítí vyšlo dejme tomu na 500 milionů dolarů. Netušíme ale, na kolik vyčíslit ztracený čas – tedy náklad obětované příležitosti. Někdo přece útok musel řešit, nahrazovat zařízení, přeškolovat lidi a tak dále. To všechno trvá. Pak tu máte i věci jako stres nebo strach. Jak chcete změřit tohle? 

Další problém je, jak definovat útok. Co třeba spam? Je to příklad kyberzločinu? 

Co myslíte vy?
Já myslím, že ano. Je to kyberzločin. Relativně málo významný zločin. Vypořádat se se spamery je menší problém než vypořádat se s ransomwarem, špionáží, deep fakes a tak dále. Pořád jde ale o zlomyslnou aktivitu, která by měla být potrestána.  

Je ovšem téměř nemožné toho dosáhnout. V prezentaci v Brně jsem uváděl, jak nízká je úspěšnost trestání kyberzločinu. Podle Světového ekonomického fóra jde o 0,05 procenta. Kyberzločince jejich zločiny nic nestojí, naopak se jim vyplácí. 

Jak se v kyberbezpečnosti může projevit rozvoj umělé inteligence?
Řada lidí z kyberbezpečnostních firem je přesvědčená, že AI ve skutečnosti nepředstavuje vážnou kyberbezpečnostní hrozbu. Já to vidím jinak. Už teď je AI využívána třeba pro výrobu deep fakes.  

Obecně lze říct, že kyberzločinci se vždy snaží najít využití pro nové technologie. Ať už pro skrývání svých aktivit, nebo naopak pro jejich podporu. A AI nebude výjimkou. Bude mít zásadní dopad na kyberzločin a výrazně zvětší rozsah útoků.

Můžete uvést konkrétní příklady?
Nabízí se třeba prostor pro automatizaci útoků. Můžete si představit chytré algoritmy, které odhalí, že jeden typ útoku nefunguje, a proto okamžitě přistoupí k jinému typu útoku, které se dokážou učit z typu reakce nebo absence reakce dané organizace na útok. Dalším příkladem může být sebereplikující se malware. Potom jsou tu útoky na samotné systémy AI, například ve formě manipulace s trénovacími daty. 

A co AI a dezinformace? Zmínil jste deep fakes – jde o hlavní hrozbu?
Dezinformace jsou v současnosti obrovskou hrozbou. Deep fakes jsou speciální forma dezinformací, která se snoubí s AI. Ale jde nakonec o všechny lži, co se šíří – o covidu nebo i ty bláznivé příběhy jako QAnon v USA. Ať už to šíří autentické skupiny, nebo je přímo zasazují Rusové. V budoucnu se budou více objevovat autonomní dezinformační kampaně využívající umělou inteligenci. 

Samotné algoritmy sociálních médií se podílejí na šíření dezinformací a extremistického obsahu. Zrovna čtu knihu The Chaos Machine od Marka Fishera, která tohle přesně popisuje. Když něco sledujete na YouTube, služba vám automaticky navrhne další videa. Včetně extremistických. Jakmile kliknete na první, začnete se nořit králičí norou do stále extremističtějšího obsahu. Protože extremistický obsah má více uživatelských reakcí a tím i pozornosti než pravda. I nesouhlasné reakce mu zvyšují dosah.

V souvislosti s možnými reakcemi firem na kyberútoky jste říkal, že kyberzločinci ztrácejí část svých práv ve chvíli, kdy se rozhodnou spáchat zločin. To zní minimálně sporně.
Představte si, že vás někdo udeří do tváře. Znovu a znovu a znovu. Kdy přesně se začnete bránit? U kyberútoků je to stejné. Firma je stále dokola napadána stejným útočníkem. Může to nahlásit na policii. Ale policie nemá kapacity na to s tím něco udělat. A tak jsou firmy neustále napadány. Znovu a znovu a znovu.

Co mají dělat?
Existuje spektrum možných reakcí. Říká se tomu aktivní obrana, někdo tomu taky říká šedá zóna. Jednou z takových odpovědí je hackerský protiútok na útočníky. Nebo vytváření honeypotů, které mají kyberútočníky naopak přilákat. Můžete také zveřejnit identitu útočníků. Možností je tedy několik. Někdy je to velmi citlivé, protože třeba nechceme, aby firmy vytvářely spory v zahraniční politice. Když ale stát není schopen chránit všechny firmy, měl by jim povolit některá z těchto protiopatření. 

Reakce z arzenálu aktivní obrany by měly účinně odstrašovat pachatele, zároveň být ale adekvátní a etické. Neměly by například škodit nevinným třetím stranám. Měly by být také legální, v ideálním případě by měly být podnikány s požehnáním státu.

Evropská komise loni vyzvala k předkládání návrhů, jak zkoumat slabosti útočníků a využít je k reakcím na útoky. Přijde mi pozoruhodné, že i Evropská komise se zajímá o aktivní obranu firem proti kybernetickým útokům.

Uvedl jste příklad z klasické kriminality. Ale zrovna tam není právo vůči zmíněné šedé zóně úplně vstřícné. Pokud mi někdo ukradl peníze a já ho se zbraní v ruce donutím mi je vrátit, budu zřejmě stíhán za loupež.
Máte pravdu, že aktivní obrana s sebou nese množství právních i etických problémů. Musíme se dobrat k zásadám vhodné regulace a vhodných politik. Právě dva evropské projekty, na nichž se Trilateral Research podílí, se snaží řešit nesoulad kybernetické legislativy a kybernetických politik mezi jednotlivými státy. Jde o projekty CC-DRIVER a Cyberspace. 

V rámci CC-DRIVER jsme provedli srovnávací analýzu politik a legislativy v osmi členských státech. Narazili jsme u toho na několik významných rozdílů. Ale vidíme taky zjevná právní omezení, pokud jde o to, jak daleko mohou firmy při sebeobraně zajít. 

Rozhodně nemají explicitní právo na aktivní obranu v kyberprostoru. Právní režimy také typicky zakazují ta opatření z arzenálu aktivní obrany, která probíhají mimo vlastní síť oběti. Podnik tedy nemůže legálně získat svá vlastní data z počítače pachatele, který je ukradl. Tedy přinejmenším to není možné bez nějakého oprávnění vydaného soudem.

V čem se právní prostředí jednotlivých zemí liší?
Výrazně se mezi jednotlivými členskými státy odlišují skutkové podstaty, délky trestů odnětí svobody i výše pokut za stejný delikt v kyberprostoru. Například tresty za neoprávněné zasahování do údajů (data interference) se v jednotlivých státech pohybují od šesti měsíců do čtrnácti let. Našli jsme rozdíly i v tom, do jaké míry jednotlivé legislativy kyberzločin řeší. V některých státech třeba zákon nemá co říct ke zneužití elektronického zařízení. To ukazuje na potřebu harmonizace kyberbezpečnosti a související legislativy.

Vlajka Evropské unie

Článek vznikl díky podpoře projektu Komunikace priorit a témat českého předsednictví Radě EU se zaměřením na problematiku vysokého školství a vzdělávání.