Umělá inteligence v kyberbezpečnosti: Spojenec i nepřítel v jednom

Zatímco organizace po celém světě investují do umělé inteligence, aby posílily svou kybernetickou obranu, stejná technologie se stává mocným nástrojem v rukou útočníků. Tato nová realita nutí firmy přehodnotit jejich bezpečnostní strategie a pečlivě zvažovat investice do AI řešení. Nad možnostmi zvládnout tuto válku se zamýšlí Lawrence A. Gordon, americký odborník na kybernetické zabezpečení.

Kybernetické riziko se podle Lawrence A. Gordona[1] stalo jednou z hlavních obav vedoucích pracovníků napříč soukromým i veřejným sektorem v USA[2]. Auditoři rozpoznali kritickou povahu kybernetického rizika pro organizace, o čemž svědčí vývoj rámce pro vykazování rizik kybernetické bezpečnosti Americkým institutem veřejných účetních. Kybernetická bezpečnostní rizika jsou klíčovým problémem také pro americkou Komisi pro cenné papíry a burzy, o čemž svědčí její pravidla pro zveřejňování informací z roku 2023, která vyžadují, aby žadatelé o registraci zahrnuli do formuláře informace ohledně kybernetické bezpečnosti a aby zveřejnili závažné kybernetické incidenty.

Dvojí tvář AI

Technický arzenál, který organizace používají k řízení svých kybernetických rizik, zahrnuje takové věci, jako je šifrování, řízení přístupu, systémy detekce a prevence narušení, firewally a obnova systému. Během posledních dvou desetiletí jsou široce využívány modely umělé inteligence (AI) k tomu, aby pomohly společnostem implementovat výše uvedené metody prevence a reakce na kybernetické útoky. Například modely strojového učení generované umělou inteligencí usnadňují firmám detekci a nápravu incidentů, prediktivní analýzu, odhalování finančních podvodů a reakce na kybernetické události v reálném čase.

Přestože AI pomáhá organizacím bránit se proti kybernetickým útokům, je to dvousečná zbraň. Ještě důležitější dnes je uvědomovat si, že AI poskytuje rovněž řadu nákladově efektivních technik kybernetickým útočníkům, které usnadňují jejich kybernetické ataky. Sofistikované phishingové útoky generované pomocí AI, útoky sociálního inženýrství a ransomwarové útoky jsou jen některé ze způsobů, jak umělá inteligence učinila prostředí kybernetických útoků smrtelnějším.

Herní aspekty kybernetického rizika

Modely generované umělou inteligencí, které používají kybernetičtí útočníci a kybernetičtí obránci, se vyvíjejí rychlým tempem. V důsledku toho se strategické interakce mezi kybernetickými útočníky a kybernetickými obránci staly automatizovanějšími, dynamičtějšími, přizpůsobivějšími a složitějšími. Tento vývoj rozvinul a podstatně změnil aspekty teorie her spojené s kybernetickým rizikem.

Bohužel neexistuje žádná dominantní strategie, která by organizaci (jako kybernetickému obránci) poskytla jasnou cestu k minimalizaci pravděpodobnosti, že se stane obětí úspěšného kybernetického útoku. Bez ohledu na výše uvedené je dobře známo, že organizace se stávají méně atraktivním cílem kybernetických hackerů (tj. jejich kybernetické riziko je sníženo), investují-li do různých aktivit souvisejících s kybernetickým zabezpečením. Tento poznatek ovšem vyvolává kardinální otázku: Kolik by měla organizace investovat, aby zabránila nebo alespoň snížila pravděpodobnost kybernetického incidentu?

Jak spočítat náklady a efekty

Ačkoli na výše uvedenou otázku neexistuje jasná a jednoznačná odpověď, dobře zavedený rámec pro odvození optimální částky pro investice do aktivit souvisejících s kybernetickou bezpečností poskytuje Gordon-Loebův model. Gordon-Loebův model je založen na analýze nákladů a přínosů a skládá se z následujících 3 hlavních složek: (1) potenciální náklady spojené s kybernetickým incidentem, (2) pravděpodobnost, že dojde ke kybernetickému incidentu, a (3) přínosy plynoucí z investic do kybernetické bezpečnosti (tj. jak výdaje na kybernetickou bezpečnost snižují pravděpodobnost, že dojde ke kybernetickému incidentu).

Kolik vynaložit na AI?

Kromě zohlednění celkové částky, kterou je třeba vynaložit na činnosti související s kybernetickou bezpečností, je pro organizace významná další podpůrná otázka, na kterou by měly odpovědět: Kolik z rozpočtu naší organizace na kybernetickou bezpečnost by mělo být věnováno na vývoj a implementaci modelů AI navržených tak, aby snížily pravděpodobnost kybernetického incidentu? Při odpovědi na tuto pomocnou otázku musí organizace zvážit náklady spojené s modely AI.

Náklady na vývoj a implementaci nových modelů umělé inteligence navržených tak, aby snížily pravděpodobnost kybernetického incidentu, závisí na mnoha faktorech specifických pro konkrétní organizaci. Mezi tyto faktory patří mimo jiné: (1) zda firma musí vyvinout specializované modely AI, nebo zda by mohla použít stávající modely AI s otevřeným zdrojovým kódem, (2) zda společnost potřebuje najmout nové pracovníky pro vývoj a implementaci modelů AI a (3) zda je pro správnou integraci modelů AI do stávajících informačních systémů organizace vyžadován nový software a/nebo hardware.

V konečném důsledku je třeba vzít v úvahu ekonomické aspekty řízení programu kybernetických rizik organizace, tedy jak náklady, tak přínosy spojené s obranou proti kybernetickým útokům. Vzhledem k rostoucímu využívání modelů generovaných umělou inteligencí kybernetickými útočníky a kybernetickými obránci však aspekty kybernetických rizik z hlediska teorie her nabyly nových rozměrů. Vítězi v této nové hře budou pravděpodobně ti, kteří jsou nejlépe obeznámeni s vývojem a implementací modelů umělé inteligence, a jsou tak schopni efektivně využívat potenciál AI.

[1] Lawrence A. Gordon je absolventem EY a profesorem manažerského účetnictví a informační bezpečnosti na Robert H. Smith School of Business na University of Maryland. Je také přidruženým profesorem na UMD Institute for Advanced Computer Studies.
[2] Tento článek byl původně publikován v Newswise.