Руководителям по информационной безопасности (CSO) необходимо пересмотреть свои стратегии киберрисков, поскольку злоумышленники все чаще используют ИИ для обхода систем защиты, заявляет группа национальных агентств по кибербезопасности. Однако один из экспертов немедленно раскритиковал этот призыв, назвав его слишком расплывчатым, чтобы быть полезным.
В своем призыве к действию, опубликованном в понедельник, группа предупредила, что «ожидается, что передовые модели ИИ превзойдут текущие отраслевые ожидания, фундаментально трансформируя как наступательные, так и оборонительные кибервозможности. Сроки исчисляются не годами, а месяцами».
В заявлении говорится, что в связи с этим киберустойчивость имеет решающее значение для обеспечения непрерывности бизнеса, доверия рынка и долгосрочной ценности.
Заявление исходит от Агентства по кибербезопасности и защите инфраструктуры США (CISA), Национального центра кибербезопасности Великобритании, Канадского центра кибербезопасности (CCCS), Австралийского центра кибербезопасности и Директората по кибербезопасности Новой Зеландии, совместно известных как «Пять глаз» (Five Eyes).
Оно настоятельно призывает руководителей бизнеса и специалистов по информационной безопасности понимать и оценивать киберриски, готовность к отражению атак и подотчетность; расставлять приоритеты в отношении основополагающих практик и мер контроля кибербезопасности; наделять руководителей по кибербезопасности полномочиями и ресурсами; а также оставаться активно вовлеченными по мере развития угроз и появления новых рекомендаций.
Канадский центр кибербезопасности сообщил изданию CSO, что заявление «Пяти глаз» было выпущено сейчас, «потому что мы наблюдаем реальные, недавние сдвиги в том, как используются инструменты ИИ, в том числе для ускорения обнаружения и использования уязвимостей. По мере того как эти возможности становятся более доступными, риск перестает быть теоретическим».
Заявление ясно сигнализирует о том, что темпы изменений достигли точки, когда организациям необходимо действовать, добавили в CCCS, отметив: «Промедление лишь сузит окно для реагирования. Наша общая цель состояла в том, чтобы быть прямыми и доступными для высшего руководства: ИИ уже влияет на киберриски, и этим необходимо заниматься в рамках основного управления бизнес-рисками».
Наведите порядок в основах
В заявлении агентства предупреждают: «Успех придет от правильного выполнения базовых задач, быстрого реагирования и интеграции кибербезопасности в основную бизнес-стратегию. Те, кто этого не сделает, столкнутся с растущим операционным и стратегическим отставанием».
Киберриски больше нельзя рассматривать как чисто техническую проблему, указывают они. «Это основной бизнес-риск и ответственность руководства. Советы директоров и руководители должны обеспечить наличие и работоспособность киберустойчивости под давлением. Недостаточно просто иметь средства контроля. Руководители должны быть уверены, что эти средства контроля сработают во время реального инцидента. Это требует переоценки давних компромиссов и целенаправленного использования ИИ для усиления защиты, а не только для повышения эффективности».
Для руководителей в заявлении предлагаются три основных принципа действий, включая обеспечение того, чтобы принципы «безопасность по замыслу» (secure-by-design) и «безопасность по умолчанию» (secure-by-default) стали стандартной ИТ-практикой, а не просто устремлениями, внедрение эшелонированной защиты и готовность к новым уязвимостям нулевого дня.
Также рекомендуется пять практических действий, включая сокращение поверхности атаки, ускорение установки исправлений (патчей), решение проблем с устаревшими системами, усиление контроля идентификации и доступа, а также подготовку к компрометации средств контроля безопасности путем тестирования планов реагирования и сосредоточения внимания на сдерживании инцидента.
«Эти действия не новы», — признают агентства, — «но теперь они стали срочными для снижения не только технических рисков, но и операционных, финансовых и репутационных потерь».
Агентства также настоятельно призывают специалистов по информационной безопасности использовать ИИ для укрепления защиты предприятий.
[Связанный контент: Как SOC могут использовать ИИ]
Эксперты не впечатлены
Однако этот совет не впечатлил некоторых экспертов.
«Похоже, это общее заявление, констатирующее очевидное, и, честно говоря, оно не дает содержательных указаний по устранению рисков, связанных с ИИ», — пожаловался Джозеф Стейнберг, консультант по кибербезопасности и ИИ из США, работающий с бизнесом и правительствами.
«Заявление не только не затрагивает многие аспекты риска, создаваемого ИИ, к которым компании уже должны готовиться и внедрять контрмеры, но и четыре из пяти рекомендованных практических действий, содержащихся в заявлении, даже не упоминают ИИ и применялись задолго до наступления эры ИИ».
По его словам, в заявлении следовало бы обсудить полную трансформацию социальной инженерии под влиянием ИИ и его способность проводить более глубокую разведку, а также рекомендовать методы, нацеленные конкретно на социальную инженерию. Также следовало объяснить, что генеративный ИИ может раскрывать данные о внутренней работе компании, и что если в ИИ «скормить» отравленные данные, он может «выучить» неверные вещи; эту проблему обучения трудно исправить.
В ответ на жалобы о том, что заявление «Пяти глаз» слишком общее, представитель CISA указал на веб-сайт агентства с руководством по искусственному интеллекту, который содержит статьи о безопасности данных ИИ, о том, как ИИ должен быть безопасным по замыслу, а также другие ресурсы.
Роб Эндерл, глава Enderle Group, заявил, что предупреждение «Пяти глаз» «невероятно запоздалое».
«Угрозы, управляемые ИИ, и дипфейки уже некоторое время сильно влияют на корпоративный ландшафт», — сказал он по электронной почте. «Однако, хотя оно и запоздалое, руководство полностью соответствует серьезности и масштабу угрозы, с которой мы активно сталкиваемся, предоставляя необходимую основу для агентств, пытающихся наверстать упущенное в текущей среде».
Сами рекомендации, признал он, «твердые, но они служат скорее критическим сигналом к пробуждению, чем прозорливой дорожной картой. Они успешно подчеркивают, что ИИ фундаментально меняет вектор угроз, и организации больше не могут позволить себе рассматривать кибербезопасность как изолированную техническую проблему. Вместо того чтобы быть излишне общим, оно точно подчеркивает немедленные операционные уязвимости, которые корпорации должны устранить».
[Связанный контент: Толерантность к риску против аппетита к риску]
«Критически важно, — добавил Эндерл, — что это больше не обсуждение только для CSO. Для эффективного управления этим риском CSO, CIO и CEO должны быть согласованы и активно вовлечены. Поскольку ИИ влияет на все — от операционной инфраструктуры до доверия к бренду и корпоративного управления, — стратегия киберрисков должна рассматриваться как основной вопрос непрерывности бизнеса, инициируемый непосредственно с самого верха».
Илья Колоченко, генеральный директор ImmuniWeb и адъюнкт-профессор практики кибербезопасности и киберправа в Capitol Technology University (США), заявил, что заявление «Пяти глаз» «имеет прекрасный смысл. Однако его следовало отправить в конце 2023 года. Сегодня бездумное внедрение и неосмотрительное использование легитимных систем ИИ представляют собой гораздо большую угрозу, чем любое злонамеренное использование ИИ».
Он добавил, что, хотя практические рекомендации, такие как сокращение внешней поверхности атаки организации, актуальны, они имеют мало прямого отношения к современным рискам ИИ. ИИ ускоряет и усиливает обнаружение неправильно сконфигурированных, устаревших или уязвимых систем, открытых для интернета, согласился он, но такие проблемы существуют уже более десяти лет. «Существуют тысячи общедоступных не-ИИ инструментов, которые могут быстро найти легкую добычу, и они зачастую даже лучше и намного дешевле, чем LLM, так что ИИ здесь даже нерелевантен», — сказал он.
Самый большой риск, по мнению Колоченко, исходит изнутри организаций. Движимое страхом упустить выгоду (FOMO), корпоративное руководство часто принимает решение поспешно развернуть различные системы ИИ в своих организациях, даже не уведомив своего CSO, не говоря уже о проведении всесторонней оценки рисков. В конечном итоге, по его словам, ИИ создает бесчисленное множество новых векторов атак и уязвимостей, становясь гораздо большей угрозой, чем киберпреступники с ИИ.
Он добавил, что в 2026 году злоумышленникам на самом деле не нужны дополнительные уязвимости нулевого дня, потому что практически у каждой крупной компании так много теневого ИТ и так много неправильно сконфигурированных активов, что киберпреступники могут просто скачать все самые ценные активы организации в один клик. «Для получения всего уже не нужны ни уязвимости нулевого дня, ни более быстрый цикл эксплуатации с помощью ИИ», — заключил он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
