Działają "jak zorganizowana przestępczość", "zarabiają miliardy". Ekspert ostrzega

Gdy Derek Manky zaczynał swoją karierę na początku lat 2000., wiele osób nie miało pojęcia, czym się zajmuje.

- Jak mówiłem, że jestem analitykiem cyberbezpieczeństwa, ludzie reagowali pytaniem: co to takiego? Dziś słyszę: wow, to naprawdę interesujące - opowiada Manky, podkreślając, że to pokazuje zmianę w podejściu do tematu.

Dwie dekady temu mało kto sobie zawracał tym głowę, a dziś cyberbezpieczeństwo jest na ustach wszystkich.

- Różnica jest jak między dniem a nocą, ale nie tylko w zakresie rozpoznawalności tematu i świadomości. Także w kwestii tego, jak wygląda sama branża i z czym się mierzymy - dodaje Manky.

W 2005 roku mieliśmy do czynienia z systemami hermetycznymi. Funkcjonowały na przykład w ochronie zdrowia, infrastrukturze krytycznej, firmach zajmujących się przetwórstwem ropy czy gazu. Wiele z nich z założenia tak było zaprojektowanych - nie było planu podłączenia danego systemu do internetu.

- Wiele z nich znajdowało się w zamkniętych sieciach, co oznaczało, że jeśli w systemie znajdował się wirus lub zagrożenie, pozostawało ono tylko w tym systemie - mówi Manky.

- Oczywiście w 2005 roku pojawiały się pierwsze epidemie robaków komputerowych (samodzielnie replikujący się złośliwy program podobny do wirusa – przyp. red.), które widzieliśmy. Takie jak: Slammer, Blaster, Anna Kournikova, I Love You, Nimdo. One pojawiły się wówczas wraz ze zmianami w postaci większej otwartości systemów, upowszechnianiem się internetu – wyjaśnia.

W 2005 roku nie mieliśmy także internetu rzeczy, czyli możliwości podłączania do sieci szeregu urządzeń domowych.

Manky wskazuje, że teraz mamy oczywiście zupełnie inną architekturę sieci i połączeń. Architektura ta napędza również wiele cyberzagrożeń, które się z nią wiążą.

- Dwadzieścia lat temu nie mieliśmy czegoś takiego jak chmura, prawda? I oczywiście teraz wszyscy mówią o sztucznej inteligencji i dużych modelach językowych. To kolejne zmiany, które powodują, że rośnie skala zagrożeń, ich częstotliwość - wskazuje nasz rozmówca.

Te trzy kamienie milowe, internet rzeczy, chmura czy obecny boom na generatywną sztuczną inteligencję i modele językowe, można podsumować jako "więcej połączeń, więcej urządzeń".

W 2005 roku w cyberbezpieczeństwie chodziło bardziej o wirusy komputerowe. Manky wskazuje, że z perspektywy obrońcy przed atakami mieliśmy do czynienia z jednym, jak to nazywane jest w branży, punktem końcowym.

- Teraz jest tyle możliwości, różnych rzeczy, o które trzeba się martwić, których trzeba pilnować. Od podstawowych wirusów, poprzez zagrożenia wyciekami danych, do kampanii dezinformacyjnych. Mamy do czynienia ze zorganizowanymi grupami, które atakują państwa – mówi Derek Manky, wskazując na tzw. Grupy APT (Advanced Persistent Threat – Zaawansowane Trwałe Zagrożenie).

- Cyberprzestępcy zarabiają miliardy dolarów. Cały element cyberprzestępczości uległ kompletnemu przemeblowaniu - dodaje.

Dwadzieścia lat temu cyberprzestępcy to były małe rozproszone grupki, które próbowały atakami zdobyć trochę pieniędzy. Obecnie to nie są pojedyncze jednostki, jak to sobie niektórzy wyobrażają, zakapturzonego hakera zamkniętego w pokoju z monitorami. To są poważne przedsiębiorstwa przestępcze.

- Grupy, nad którymi pracujemy, składają się od 50 do 100 osób. Działają jak prawdziwa zorganizowana przestępczość. Czegoś takiego nie było w 2005 roku. Tu doszło do dużej zmiany, także z perspektywy atakujących - mówi Manky.

Dark web było kiedyś małą, niszową ciekawostką owianą tajemnicą. Miejsce w internecie dla przestępców. Tak się kojarzyło. Dziś jest to naprawdę duży obszar sieci, w którym obecnych jest wiele forów z przeróżnymi ofertami. Także od cyberprzestępców.

- Jeśli masz pieniądze, możesz kupić praktycznie wszystko. Nowego wirusa, atak typu ransomware czy DoS. Możesz kupić dostęp do systemów, które już zostały zainfekowane. Mamy do czynienia ze sprzedażą przestępczości jako usługi. Każdy mógłby kupić narzędzia, które nie wymagają wielkiej wiedzy, a które mogą posłużyć do popełniania przestępstw - zaznacza rozmówca tvn24.pl.

Aukcje "poważnych rzeczy", jak np. dostępu do zhakowanych systemów potężnych firm czy państw, potrafią zaczynać się od pół bitcoina. To około 50 tys. dolarów. Dużo, ale w ogólnym rozrachunku to niewiele za dostęp do ogromnej technologii operacyjnej.

- Dark web stał się marketem usług. Przez dwadzieścia lat przestępcy budowali infrastrukturę i narzędzia, których wykorzystanie oferują innym. Zastosowali podejście: pracuj mądrzej, nie ciężej. Stwierdzili: okej, zamiast robić wszystko sami, po prostu zaoferujmy nasze usługi - wyjaśnia Manky.

W Fortinet działa zespół, którego celem jest niejako czuwanie nad dark webem. Analitycy obserwują transakcje, czy nie pojawiają się nowe złośliwe programy (malware), żeby wiedzieć, z czym może przyjść im się mierzyć.

- Jednak nie chodzi tylko o obronę naszych klientów, co oczywiście jest naszym priorytetem. Jesteśmy w kontakcie także ze służbami ścigania, którym przekazujemy informacje. Zdarzało się, że efektem były aresztowania - dodaje Manky.

Kiedy słyszymy o cybeprzestępczości, to naturalnym skojarzeniem jest myśl o ataku na firmę, z której wykradziono dane, zhakowano dostęp do skrzynek, czy kampanie phishingowe w sieci. Ekspert Fortinet wskazuje, że to są typowe zagrożenia, które kończą się znacznymi stratami finansowymi. Widać ich wiele, ale w jego ocenie to nie jest najgorsze, co może nas spotkać.

- Dla mnie większym problemem są zagrożenia cyberfizyczne. Takie na styku cyberprzestrzeni i ludzkiego życia. Coraz więcej widzimy takich ataków, a przestępcy stają się coraz bardziej agresywni. Pięć lat temu mieli… powiedzmy, że więcej moralności. Mogli włamać się do systemu ochrony zdrowia, by zażądać na przykład okupu za dane. Jednak jednocześnie mieli podejście, że nie zrobią niczego, co spowoduje, że szpitale zostaną wyłączone, a zdrowie i życie pacjentów będzie zagrożone. Dziś to trafiło do kosza – wyjaśnia Manky.

Celem przestępców staje się infrastruktura, jednostki o krytycznym znaczeniu dla społeczeństwa. Takie jak właśnie wspomniane szpitale czy rafinerie, zakłady produkcyjne czy łańcuchy dostaw różnych istotnych produktów.

- Żądanie okupu za jedno przedsiębiorstwo miałoby wpływ tylko na to przedsiębiorstwo. Gdy mamy do czynienia z łańcuchem dostaw, to ma to wpływ na większą grupę użytkowników końcowych. W rezultacie zagraża to nawet życiu ludzkiemu – wskazuje rozmówca tvn24.pl i dodaje, że w niektórych przypadkach dochodzi też do fizycznych gróźb, prób wymuszeń.

- Sytuacja przypomina nieco Dziki Zachód i dla mnie to najpoważniejsze zagrożenie – zaznacza.

Jak się możemy przed tym chronić? Manky zauważa, że gdy nocą widzimy na ulicy drugiego człowieka, to od razu zapala nam się w głowie ostrzegawcza lampka. Mamy się na baczności. Tysiące lat ewolucji wykształciło w człowieku mechanizmy obronne. Tymczasem internet jest rzeczą stosunkowo nową. Początki to lata 80. XX wieku, ale zaczął upowszechniać się dopiero w latach 90., co oznacza, że towarzyszy nam od około 40 lat.

- Podstawy są ważne, wystarczy mieć świadomość potencjalnych ataków. Gdy pisze do nas znajomy z prośbą o pieniądze na messengerze, to mamy przecież telefon, zadzwońmy do niego spytać się, o co chodzi. Gdy widzimy ogłoszenie o pracę, gdzie ktoś nam oferuje gigantyczne pieniądze za klika godzin przy komputerze… Gdy coś wygląda zbyt dobrze, by było prawdziwe, to pewnie tak właśnie jest - mówi Manky i zachęca do sprawdzania, z czym lub kim mamy do czynienia po drugiej stronie.

Cudowna oferta pracy? Wrzućmy nazwę firmy w Google. Brak informacji albo ich nikła ilość powinny nas zaalarmować.

Ktoś może pomyśleć, że "okej, przestępcy nie będą czyhać na takiego maluczkiego jak ja". Rzecz jednak w tym, że każdy może stać się celem.

- Przy ataku na małą firmę cyberprzestępcy szukają na przykład dostępu do infrastruktury, która może okazać się przydatna w przypadku większego skoordynowanego ataku. To samo dotyczy zwykłych ludzi. Ich profile w mediach społecznościowych mogą zostać wykorzystane do popełnienia przestępstw, choćby wyłudzenia pieniędzy od znajomych – wskazuje ekspert.

Jednak często w temacie cyberbezpieczeństwa panuje przekonanie, że mnie to nie spotka, albo w firmach, że szkoda wydawania ciągle na to pieniędzy, skoro nic się nie dzieje. Tymczasem, gdy dojdzie do tragedii, to będzie już za późno.

Jak więc można przekonać ludzi do tego, by dbali o swoje cyfrowe bezpieczeństwo? - Czy wsiadłbyś do samochodu i jeździł nim bez ubezpieczenia? Jasne, to nielegalne, ale nie bez powodu. Oczywiście są produkty ubezpieczeniowe od cyberprzestępczości, ale firmy często potrafią odmawiać wypłat w przypadku zdarzeń. Prawdziwym ubezpieczeniem jest inwestowanie w ochronę, tak by się przed atakami zabezpieczyć. Cyberprzestępcy, szykując się do ataku, robią dokładny wywiad. Wiedzą, jakie dane kraść, jakie systemy wyłączyć. Potrafią uderzyć tak, że to będzie kwestia zapłacenia okupu albo po prostu końca biznesu - tłumaczy Manky.

W ostatnich latach coraz więcej mówi się o sztucznej inteligencji. Szczególnie z powodu rozwoju jej generatywnej odsłony i dużych modeli językowych, jak np. ChatGPT. Postęp jest tak szybki, że dziś narzędzia te potrafią wykonywać bardzko skomplikowane zadania i wręcz wyręczać wiele osób w ich pracy. Pojawił się problem tzw. deepfake'ów, które do złudzenia przypominają prawdziwych ludzi.

W marcu 2024 roku Komisja Europejska przyjęła rozporządzenie o sztucznej inteligencji - AI Act. Nowe przepisy mają w założeniu zagwarantować poszanowanie praw człowieka i kontrolowany rozwój sztucznej inteligencji. Jednak biorąc pod uwagę tempo rozwoju, czy nie pojawiły się zbyt późno?

- Nigdy nie jest za późno, a to dobry początek. Pojawiły się, by postawić pewne bariery, zwolnić niekontrolowany rozwój, uchronić nas przed Dzikim Zachodem. To dobrze. Jednak w rzeczywistości, wprowadzenie ich w życie trochę zajmie. To będzie długa droga - przewiduje Manky i zauważa, że jest to okazja by przyjrzeć się integralności systemów, przepływom danych czy kwestii kontroli.

- To kluczowe elementy do przemyślenia, bo inaczej mamy globalny dostęp do wszystkiego. Jednak nie widzimy jeszcze pełnego wykorzystania sztucznej inteligencji przez atakujących, dlatego nie jest jeszcze za późno na regulacje - dodaje.

Oczywiście sztuczna inteligencja to narzędzie, które jest wykorzystywane przez przestępców. Jednak, póki co nie można mówić o tym, by było poważnym zagrożeniem.

- Mamy przewagę po naszej stronie. Rozwijaliśmy takie systemy od ponad dekady. Branża poświęciła na to sporo środków, posiadamy prawa własności. Wszystko jest pod naszą kontrolą. Tak, sztuczna inteligencja jest wykorzystywana przez oszustów, ale oni jej nie stworzyli. Myślę więc, że choć raz jest to narzędzie, które bardziej przemawia na korzyść obrońców. Tak, może być mieczem obosiecznym, ale jest przewaga po naszej stronie w jego wykorzystywaniu – tłumaczy nasz rozmówca.

Obecnie narzędzia oparte na sztucznej inteligencji są wykorzystywane do ochrony przed zagrożeniami w sieci. Są umieszczone w programach, zaporach sieciowych. W produktach, które potrafią wykrywać zagrożenia i odpowiednio szybko na nie reagować.

- Ich rozwój jest bardzo szybki. Za rok będziemy mieli więcej agentowego podejścia do sztucznej inteligencji, w którym masz różne systemy, a moduły sztucznej inteligencji wchodzą ze sobą w interakcje. Obrona stanie się szybsza - wskazuje Manky.

Podejście agentowe cechuje rozproszenie, wykorzystywanie niepełnej informacji, decentralizacja i inteligentne współdziałanie wielu autonomicznych jednostek.

Jak to działa? Na przykład poprzez rozpoznawanie wzorów. Można sobie wyobrazić, że to sposób na szukanie igły w stogu siana. Samo w sobie jest trudne, ale jakby przepuścić to przez filtr, który odsiewa duże elementy, zatrzymuje nietypowe, to będzie nam łatwiej. Podobnie działają te narzędzia wykorzystywane do cyberobrony.

- Mamy do czynienia z miliardami zdarzeń każdego dnia. Inspekcja AI jest wykorzystywana do zredukowania tych miliardów zdarzeń do setek. Po takiej selekcji tymi naprawdę podejrzanymi zdarzeniami zajmują się ludzie, którzy ustalają, że z tych kilkuset zdarzeń w przypadku około 20 trzeba podjąć działania. To forma triażu (sortowania) – wyjaśnia Manky.

Powiedzmy, że mam wirusa na laptopie. Laptop zgłasza logowanie do systemu AI. System AI identyfikuje, że dzieje się tu coś złego poprzez rozpoznawanie wzorców. Określa wysoki stopień pewności, że jest to problem, a następnie podejmie działania w celu poddania systemu kwarantannie, odłączenia go od sieci do czasu podjęcia działań.

- To zmniejsza ryzyko. Jest to więc prosty przykład, ale jest to coś w rodzaju znajdowania zagrożenia na podstawie danych wywiadowczych, a następnie reagowania na nie – podsumowuje Manky.