CRN Organizuje Pan konferencje poświęcone bezpieczeństwu IT od 1993 r. Jak ta dziedzina zmieniła się przez lata?

Jeff Moss Zmieniło się praktycznie wszystko. Przede wszystkim wówczas stawką nie były pieniądze. Korzystając z komputera, trudno było cokolwiek ukraść. Owszem, hakerzy włamywali się do systemów operatorów telekomunikacyjnych, aby zapewnić sobie darmowe rozmowy, ale to była ich jedyna korzyść, która w globalnej skali nie generowała wielkich strat. Tymczasem obecnie, gdy wszystko jest połączone, kwestie związane z bezpieczeństwem rozciągnęły się na wiele obszarów, a więc w grę zaczęły wchodzić duże pieniądze, poufne informacje, polityka… Kolejną ważną zmianą jest to, że ćwierć wieku temu było bardzo trudno o dostęp do profesjonalnej wiedzy na temat bezpieczeństwa. Większość osób była samoukami. Tymczasem dziś ta wiedza jest na wyciągnięcie ręki, można wręcz powiedzieć, że jest jej za dużo i czasem nie wiadomo z czego wybierać, które źródła są wartościowe. Nie trzeba nawet chodzić na studia, jest mnóstwo poradników, filmów czy przygotowanych przez firmy warsztatów online. Są przeznaczone dla klientów, ale oczywiście korzystają z nich także cyberprzestępcy.

Na początku do zdalnego włamywania się służyły linie telefoniczne i sieć X.25. Potem pojawił się internet. Czy można już wskazać jakąś nową technologię, która w podobny sposób wpłynie na zmianę reguł gry i ułatwi życie przestępcom?

W tej kwestii dużo mówi się o Internecie rzeczy. Natomiast podłączone do tej infrastruktury urządzenia będą po prostu kolejnymi „komputerami”, niestety, dość słabo zabezpieczonymi. Będą z nich wykradane dane lub ich zasoby będą wykorzystywane,  np. do kopania kryptowalut albo innych działań wymagających dużej mocy obliczeniowej, jak łamanie haseł. Natomiast mam duże obawy związane z wykorzystywaniem przez przestępców uczenia maszynowego i sztucznej inteligencji. Obcnie często zastosowaniem tych mechanizmów chwalą się firmy dostarczające rozwiązania zabezpieczające, ale tak naprawdę obecnie szala wagi przechyla się na stronę przestępców.

Czy dysponują oni wystarczającą wiedzą, aby zbudować skuteczny mechanizm atakujący, wykorzystujący sztuczną inteligencję?

Z pewnością, po tej „ciemnej stronie mocy” są naprawdę inteligentne osoby, a stawką w grze są miliardy dolarów. Największym problemem jest to, że proces ataku jest łatwo zautomatyzować, a obrony nie. Możliwe jest stworzenie algorytmu uczącego się, który będzie łatwo rozpoznawać, jakie rodzaje prowadzonych ataków są skuteczne, a więc powinno się zintensyfikować ich zakres w celu maksymalizacji zysku. Wdrożenie podobnego mechanizmu po stronie broniącej się okazuje się niemożliwe, bo wobec obrony nie można zdefiniować pojęcia sukcesu. Nie wiadomo, czy atak został w całości odparty, a więc nie da się odpowiednio wyskalować systemu sztucznej inteligencji.

Czy zatem zawsze cyberprzestępcy będą mieli tę przewagę?

Uważam, że przynajmniej przez najbliższych 5–10 lat. Potem sytuacja trochę się ustabilizuje i stanie bardziej przewidywalna. Wówczas będzie szansa, że gdy atakujący osiągną maksimum swoich możliwości, pojawią się narzędzia do obrony przed nimi. Oczywiście sztuczna inteligencja będzie skutecznie wykorzystywana także przez dostawców rozwiązań zabezpieczających. Już teraz służy do korelowania informacji o różnych zdarzeniach występujących w sieci i automatycznej klasyfikacji złośliwego kodu. Ale z drugiej strony cyberprzestępcy wykorzystują ją też do tworzenia mutacji malware’u.

Kiedy można spodziewać się poważnego ataku bazującego na uczeniu maszynowym? Takiego, który pojawi się na pierwszym miejscu w wiadomościach telewizyjnych?

Nie będzie takiej sytuacji. Tak jak wspomniałem, sztuczna inteligencja już jest wykorzystywana przez cyberprzestępców, ale zwiększanie  stopnia jej stosowania będzie procesem dość powolnym i raczej niezauważalnym. Szczególnie dla osób, które nie są ekspertami w tej dziedzinie. Natomiast dużym i medialnym wydarzeniem będzie atak z ewidentnym wykorzystaniem uczenia maszynowego, przeprowadzony na zlecenie jakiegoś rządu przeciwko innemu krajowi lub instytucji. W takiej sytuacji jednak najważniejszy będzie kontekst polityczny, a informacja o sztucznej inteligencji pojawi się w charakterze ciekawostki, aby podkreślić technologiczne zdolności danego kraju.