Med AI har cybertruslen ændret sig markant. Cyberangreb, der tidligere krævede hele teams og mange timers arbejde at sætte i gang, kan nu udføres af enkeltpersoner på få sekunder. Det er hovedbudskabet i rapporten ‘When Cyberattacks Happen at AI Speed’ fra Booz Allen Hamilton.
The problem is time. Sådan skriver Booz Allen i deres nye rapport. Og netop tid er kernen af problemet, når det kommer til cybersikkerhed.
De fleste nye cyberangreb kører på nemlig i AI-tempo, mens forsvaret kører i menneskeligt tempo. Det efterlader forsvaret, altså virksomheden under angreb, i en dårlig position. Booz Allen kalder det for ‘Cybersecurity speed gap’ – forskellen mellem angribernes og forsvarernes hastighed.
Den udvikling betyder, at traditionel cybersikkerhed kommer under pres. Mange virksomheder opererer stadig på en meget manuel måde. Når alarmerne blinker rødt, er det typisk mennesker, der tager arbejdshandskerne på til at begynde med.
Beslutninger om håndtering går igennem flere led, og først derefter går man i gang med at isolere og begrænse angrebet. Den model fungerede førhen. Dengang der var tid nok til, at man lige kunne tænke sig om, før man besluttede sig for, hvordan man ville håndtere situationen.
Men det er der ikke længere. Modsvaret bør komme med det samme, automatisk, ved brug af AI.
Social-engineering angreb i stor skala
En anden stor udfordring er, at AI har gjort det langt nemmere for it-kriminelle at udføre social-engineering angreb, og dermed skaffe adgang til følsomme data og systemer.
Førhen var det relativt nemt at genkende phishing – i dag er sagen en anden. Overbevisende e-mails, falske dokumenter og personlige beskeder kan fremstå troværdige, og de kan oprettes i massiv skala på kort tid.
Derfor er træning af medarbejdere til at identificerer disse forfalskninger ikke længere nok. Det kan være usandsynligt svært at kende forskel med det blotte øje. Der skal tekniske greb i brug. Man kan reducere admin-adgange, indføre ekstra verifikation ved login, køre zero trust principper.
I samme dur gør AI det også nemmere for hackere at angribe ved at oprette legitime identiteter. Det kan blandt andet være ved at oprette AI-genererede kandidater til et job, hvor de så kan infiltrere virksomheden via et realistisk CV og interviews.
Når hackere først får adgang til rigtige brugerkonti, bliver det vanskeligere at opdage dem gennem traditionelle sikkerhedsmekanismer. Det betyder, at cybersikkerhed i stigende grad bliver et spørgsmål om adfærdsanalyse. Virksomheder bør overvåge loginmønstre, ændringer i brugerrettigheder, adgang til data og atypisk aktivitet.
En anden pointe er, at interne AI-platforme ikke længere bør betragtes som almindelige softwareværktøjer. De udvikler sig hurtigt til at blive kritisk infrastruktur, da de kobles direkte til virksomheders data, identitetssystemer, workflows.
Når AI-platforme har adgang til e-mails, dokumenter, osv. bliver de attraktive mål for it-kriminelle. Et kompromitteret AI-system kan give adgang til store dele af virksomhedens digitale økosystem.
Man bør derfor behandle AI-systemer på samme måde som man ville behandle andre platforme med følsomme data. Det kunne indebære stærk autentifikation, detaljeret logging, streng kontrol med plugins og integrationer samt løbende overvågning og sikkerhedstest.
Den dog allervigtigste pointe er klar: Cybersikkerheden bør automatiseres. Når man kommer under angreb, er man alt for langt bagefter, hvis man først skal respondere manuelt. Man bør have et AI-automatiseret sikkerhedssystem klar, der kan identificere trusler, slå alarm, blokere trafik og isolere de systemer, der er under angreb.
Den øgede automatisering kommer med en risiko for utilsigtede forstyrrelser. At systemet går i gang på falske forudsætninger. Men det er at foretrække fremfor infiltrering af ens systemer. Hellere for meget automatisering end for lidt. Selvom systemet bør opstarte et modsvar automatisk, betyder det dog ikke, at mennesker bør være uden for processen. Opgaver bør blot fordeles anderledes. Mennesker bør overvåge AI-systemer, håndtere de komplekse sager og træffe strategiske beslutninger.
Det er vigtigt, at der er helt klare linjer. Klare autoritetsstrukturer og ansvarsområder. Virksomheder bør på forhånd definere hvilke handlinger AI må udføre autonomt, og hvornår menneskelig godkendelse kræves.
MAL
