Szkolenia pracowników z aspektów dotyczących cyberbezpieczeństwa są fundamentem skutecznej ochrony danych. Nabywane na nich umiejętności stają się jednak coraz mniej skuteczne wraz z rozwojem sztucznej inteligencji (SI). Chester Wisniewski, dyrektor ds. technologii w firmie Sophos, wskazuje, że SI w rękach cyberprzestępców stała się dużym zagrożeniem, nawet dla doświadczonych specjalistów IT. Fałszywe wiadomości przestały wyglądać podejrzanie.
Rozpoznawanie fałszywych linków, szukanie zielonych kłódek obok adresów stron internetowych w przeglądarkach, zwracanie uwagi na zabezpieczenia sieci Wi-Fi – wielu użytkowników przyswoiło sobie te elementarne zasady cyberhigieny.
Jednym z najskuteczniejszych elementów szkoleń z zakresu cyberbezpieczeństwa było instruowanie pracowników, aby zwracali uwagę na błędy gramatyczne i ortograficzne w otrzymywanych wiadomościach. Tekst z błędami wskazywał na to, że użytkownik może mieć do czynienia z atakiem.
Tymczasem niezwykle popularne w ostatnich tygodniach narzędzie ChatGPT okazało się bardzo skuteczne w udzielaniu wiarygodnych i często bardzo dokładnych odpowiedzi na zadane pytania. Świetnie nadaje się też do pisania krótkich tekstów, zwłaszcza w języku angielskim. Czy zatem ChatGPT i inne modele SI są w stanie wyeliminować ostatni element wielu oszustw, który zwykli użytkownicy byli w stanie wykryć?
Sztuczna inteligencja pozostaje niewidoczna
Zdaniem Konstantina Berlina, kierownika działu ds. sztucznej inteligencji w firmie Sophos, ChatGPT osiągnął już taki poziom zaawansowania, że większość ludzi prawdopodobnie będzie potrzebować pomocy, by móc odróżnić generowaną przez niego treść od tej stworzonej przez człowieka. Już teraz cyberprzestępcy zarabiają miliony dzięki kiepsko spreparowanym fałszywym wiadomościom. Czy czatując z korzystającym z zaawansowanego SI botem przez komunikatory takie jak WhatsApp czy Microsoft Teams w ogóle wiedzielibyśmy, że nie rozmawiamy z człowiekiem?
Tworzenie tekstowych wiadomości, do złudzenia przypominających te napisane przez człowieka, to tylko jedna z możliwości, jakie oszustom daje SI. Można wykorzystać ją również do wygenerowania fałszywych zdjęć ludzkich twarzy, których człowiek nie będzie w stanie odróżnić od prawdziwych. Potrzebna jest fałszywa firma jako przykrywka dla oszustów? Stworzenie 25 twarzy nieistniejących pracowników i zlecenie czatowi ChatGPT napisania ich biografii nie stanowi żadnego problemu. Podobnie jak założenie dla nich fałszywych kont w serwisie LinkedIn i rozpoczęcie „działalności”.
Stworzenie deepfake’ów (tworzenie i obróbka materiałów wideo i dźwięków przy użyciu sztucznej inteligencji), wymaga sporych umiejętności – przynajmniej na razie. Jednak upowszechnienie się tej techniki, zarówno wśród zwykłych użytkowników, jak i cyberprzestępców, którzy wykorzystają ją do swoich celów, jest wyłącznie kwestią czasu.
SI kontra SI
Wygląda na to, że w przyszłości będziemy potrzebowali mechanizmów sztucznej inteligencji, które będą w stanie ocenić czy inne mechanizmy sztucznej inteligencji nie próbują nas oszukać. Hugging Face, amerykańska firma projektująca aplikacje bazujące na uczeniu maszynowym, już opracowała narzędzie, które potrafi wykrywać tekst wygenerowany wcześniej przez model GPT w wersji 2. Możliwe, że w najbliższej przyszłości podobne rozwiązania będą pomagać nam w rozpoznawaniu treści tworzonych przez GPT-3.5.
Nie oznacza to jednak, że powinniśmy przestać szkolić pracowników. Wciąż należy uczyć ich, że powinni być podejrzliwi i sprawdzać wiadomości, zwłaszcza te z prośbami o dane logowania czy dotyczące kwestii finansowych. Warto poświęcić kilka chwil, aby upewnić się z czym faktycznie ma się do czynienia, a w razie wątpliwości prosić o pomoc. To nie paranoja – naprawdę jesteśmy na celowniku cyberprzestępców.