I det siste alvorlige, globale cyberangrepet, som også en god del norske virksomheter ble rammet av, er det igjen snakk om en såkalt «nulldagssårbarhet», altså en programvaresvakhet som ingen kjenner til, og som verken utviklere eller sikkerhetsekspertene har hatt mulighet til å oppdage og «patche».
Rapporten «Nasjonalt digitalt risikobilde 2023», som kom i slutten av oktober, viser at trusselbildet endrer seg og at cyberangrepene blir stadig hyppigere, mer målrettede og mer profesjonaliserte.
– Cybersikkerhet må prioriteres for å unngå store samfunnskonsekvenser, sier direktør Sofie Nystrøm i Nasjonal sikkerhetsmyndighet (NSM).
Hackere og sikkerhetseksperter jobber på måter som ligner hverandre: begge søker etter sårbarheter i programmet. Begge bruker KI som et verktøy i arbeidet. Man kan bruke et så enkelt og tilgjengelig verktøy som ChatGPT for å finne slike svakheter og sikkerhetshull, noe som gjør det mulig å gjennomføre et såkalt «tjenestenektangrep» der systemet bryter sammen på grunn av overbelastning eller at man skaper en feilsituasjon.
Det burde vel la seg gjøre å ligge i forkant av hackerne? Dessverre er det ikke bare enkelt.
Sjekk listen: Dette er de mest brukte passordene i år
Må ha transparens
KI-modeller finner løsninger basert på all tilgjengelig informasjon og det de tidligere har lært. Slik kan de avsløre eksisterende svakheter. Men modellen kan ikke skape forsvar for et angrep som ennå ikke har skjedd – det skal godt gjøres å få en KI-modell til å fungere i alle tenkelige og hittil utenkelige situasjoner.
Videre mangler modeller ofte «transparens», det vil si at vi ikke alltid vet hva som ligger til grunn for valg de tar – vi ber om noe, får et svar, men hva KI-modellen har basert svaret på, er ikke gitt. Bruk av KI på etisk forsvarlige måter krever samhandling mellom menneske og maskin og at vi som sikkerhetspersoner kan ikke overlate til KI-modeller å «tette sikkerhetshull» uten å holde et øye med hva modellen dermed gjør.
For å møte de nye truslene, kreves en ny tilnærming til cybersikkerhet, et system vi gjerne kaller DevSecOps – development, security, operations. Det innebærer at sikkerhet inngår som en del av virksomhetens øvrige drift og strategi, og for det første bygges inn fra starten, og for det andre er et delt ansvar i organisasjonen gjennom hele IT-systemets levetid. Her spiller kunstig intelligens (KI) en viktig rolle, sammen med alle ansatte. Og ledelsen, naturligvis.
Det er lett å tenke at hackere helst går etter banker, departementer eller store virksomheter. Men start-ups og små bedrifter er sårbare nettopp fordi man gjerne tror de er uinteressante, og fordi ledelsen ikke har tatt seg tid eller råd til å investere i gode sikkerhetsløsninger.
Som oftest ligger en menneskelig feil bak sikkerhetsbrudd: en ansatt har klikket på en lenke eller brukt samme passord mange steder. Menneskelige feil skjer, og vi legger bak oss en måned der mange virksomheter igjen har hatt fokus på digital sikkerhet. Kunnskap er en god start og bør ledsages av en god IT-infrastruktur.
Fyller inn passord mer enn seks ganger daglig – nå vil de bruke KI
Patching alene er ikke nok
For at IT-systemer til enhver tid skal være best mulig rustet til å møte nye trusler, kreves en løsning der sikkerhet er bakt inn helt fra IT-systemet utvikles, i stedet for at man bare «patcher» når man oppdager sårbarheter. I tillegg må man legge inn automatiserte løsninger for driftsstyring, overvåking, kontinuerlig sanering og kontrollfunksjoner. Brannmur, tilgangskontrollister og nettverkssegmentering kan bidra til å forhindre uautorisert tilgang.
Ansvar for cybersikkerhet må fordeles i organisasjonen, og tverrfaglig arbeidsflyt må settes i system. Ved å sørge for at alle ansatte må gjennom godkjente sikkerhetkontroller på flere trinn, skaper man bedre sikkerhet og konsistens. Dessuten må sikkerhets- og administrasjonsverktøy fungere godt sammen.
Vår oppfordring er at man bruker KI og maskinlæringsteknologi når sikkerhetsbeslutninger skal tas og for å tilpasse infrastrukturen og utviklingsprosessene. Sørg for kontinuerlig trening av KI-modellene og systemet ved at nye cybertrusler og sårbarheter som er oppdaget, tas med i videre utvikling. Parallelt må det gjøres etiske vurderinger underveis. Man må altså sørge for at organisasjonen følger prinsipper om rettferdighet, pålitelighet, inkludering, sikkerhet og personvern – her kommer den viktige menneskelige faktoren inn. Med kunnskap og kloke valg kan teknologien hjelpe oss å ta kontroll.
Dansk samarbeid om retningslinjer for ansvarlig bruk av KI-assistenter