Synspunkt
Synspunkt | Toktam Ramezanifarkhani og Guru Prasad Bhandari: Høytid er hackertid
Cybersikkerhetseksperter bruker KI for å sikre IT-basert infrastruktur. Hackere bruker samme teknologi for å angripe datasystemer. Hvordan kan du sikre deg, spør Toktam Ramezanifarkhani og Guru Prasad Bhandari.
Toktam Ramezanifarkhani er førsteamanuensis ved School of Economics, Innovation and Technology, Høyskolen Kristiania Oslo.
Guru Prasad Bhandari er software-ingeniør ved School of Economics, Innovation and Technology, Høyskolen Kristiania, og én av deltakerne i forskningsprosjektet ENViSEC.
Lyst til å sende oss et innlegg? E-post-adressen er synspunkt@dagensperspektiv.no
SYNSPUNKT: Vi har hørt det før: når folk tar ferie, jobber hackerne på høygir. Det er når vi er distrahert av badestrender eller julegaver, at vi er mest sårbare for phishing-mailer eller datainnbrudd.
Det gjelder ikke bare privatpersoner, men i aller høyeste grad virksomheter – også de små og mellomstore.
I det siste alvorlige globale cyberangrepet, som også en god del norske virksomheter ble rammet av, var det igjen snakk om en såkalt «nulldagssårbarhet», altså en software-svakhet som ingen kjenner til, og som verken utviklere eller sikkerhetsekspertene har hatt mulighet til å oppdage og «patche».
Rapporten «Nasjonalt digitalt risikobilde 2023», som kom i slutten av oktober, viser at trusselbildet endrer seg og at cyberangrepene blir stadig hyppigere, mer målrettede og mer profesjonaliserte.
– Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser, sier direktør Sofie Nystrøm i Nasjonal sikkerhetsmyndighet (NSM) på nettsiden deres.
Sikkerhet og automatiserte løsninger må med fra starten
De nye truslene krever en ny tilnærming til cybersikkerhet, et system vi gjerne kaller DevSecOps – development, security, operations. Det innebærer at sikkerhet inngår som en del av virksomhetens øvrige drift og strategi.
For det første bygges sikkerhet inn fra starten, og er for det andre et delt ansvar i organisasjonen. Her spiller kunstig intelligens (KI) en viktig rolle, sammen med alle ansatte. Og ledelsen, naturligvis.
Det er lett å tenke at hackere helst går etter banker, departementer eller store virksomheter. Men start-ups og små bedrifter er sårbare, nettopp fordi man gjerne tror de er uinteressante. Og gjerne også fordi ledelsen ikke har tatt seg tid eller råd til å investere i gode sikkerhetsløsninger.
Som oftest ligger en menneskelig feil bak sikkerhetsbrudd: en ansatt har klikket på en lenke eller brukt samme passord mange steder. Menneskelige feil skjer, og kunnskap om digital sikkerhet er en god start. God IT-infrastruktur er like viktig.
Sikkerhetssystemet må være bakt inn helt fra IT-systemet utvikles, i stedet for at man bare «patcher» når man oppdager sårbarheter. I tillegg må virksomhetene legge inn automatiserte løsninger for driftsstyring, overvåking, kontinuerlig sanering og kontrollfunksjoner. Brannmur, tilgangskontrollister og nettverkssegmentering kan bidra til å forhindre uautorisert tilgang.
«Start-ups og små bedrifter er sårbare, nettopp fordi man gjerne tror de er uinteressante. Og gjerne også fordi ledelsen ikke har tatt seg tid eller råd til å investere i gode sikkerhetsløsninger.»
Målet er å skape et kulturskifte der sikkerhet er en integrert del av hele utviklingsprosessen.
Både hackere og sikkerhetseksperter bruker KI
Hackere og sikkerhetseksperter jobber på måter som ligner hverandre. Begge søker etter sårbarheter i programmet. Begge bruker kunstig intelligens som et verktøy i arbeidet.
Man kan bruke et så enkelt og tilgjengelig verktøy som ChatGPT for å finne svakheter og sikkerhetshull som gjør det mulig å gjennomføre et såkalt «tjenestenektangrep» der systemet bryter sammen på grunn av overbelastning eller man skaper en feil.
Det burde vel la seg gjøre å ligge i forkant av hackerne ved å bruke kunstig intelligens? Dessverre er det ikke bare enkelt.
«Det skal godt gjøres å få en KI-modell til å fungere i alle tenkelige og hittil utenkelige situasjoner.»
KI-modeller finner løsninger basert på all tilgjengelig informasjon og det de tidligere har lært. Slik kan de avsløre eksisterende svakheter. Men modellen kan ikke skape forsvar for et angrep som ennå ikke har skjedd – det skal godt gjøres å få en KI-modell til å fungere i alle tenkelige og hittil utenkelige situasjoner.
Videre mangler modeller ofte «transparens», det vil si vi vet ikke alltid hva som ligger til grunn for valg de tar – vi ber om noe, får et svar, men hva KI-modellen har basert svaret på, er ikke gitt. Bruk av KI på etisk forsvarlige måter krever samhandling mellom menneske og maskin – vi som sikkerhetspersoner kan ikke overlate til KI-modeller å «tette sikkerhetshull» uten å holde et øye med hva modellen dermed gjør.
Alle ansatte må med
Ansvar for cybersikkerhet må fordeles i organisasjonen og tverrfaglig arbeidsflyt må settes i system. Ved å sørge for at alle ansatte må gjennom godkjente sikkerhetkontroller på flere trinn, skaper man bedre sikkerhet og konsistens. Dessuten må sikkerhets- og administrasjonsverktøy fungere godt sammen.
Vår oppfordring er at man bruker kunstig intelligens og maskinlæringsteknologi når sikkerhetsbeslutninger skal tas. Sørg for kontinuerlig trening av KI-modellene og systemet ved at nye cybertrusler og sårbarheter som er oppdaget, tas med i videre utvikling. Parallelt må det gjøres etiske vurderinger underveis.
Man må altså sørge for at organisasjonen følger prinsipper om rettferdighet, pålitelighet, inkludering, sikkerhet og personvern. Her kommer den viktige menneskelige faktoren inn. Med kunnskap og kloke valg kan teknologien hjelpe oss å ta kontroll.