Uljuljali smo se u lažno uvjerenje da smo sigurni jer smo instalirali najmodernije sigurnosne programe, educirali se i redovito ažuriramo i krpamo sve i svašta, sudeći prema aktualnim svjetskim istraživanjima o kibernetičkoj sigurnosti. Upozoravaju da je sve zakomplicirala generativna umjetna inteligencija. I sreća je i nesreća da se njome mahom primitivno služimo
Ni najmoderniji sigurnosni sustavi ne jamče neupitnu zaštitu poslovnih podataka jer se kibernetičku sigurnost može, osim složenim informatičkim jezikom, metaforično definirati i kao utrku vremena i tehnologije. Postoji cilj – sigurnost, ali ne postoji granica, pobjednik je onaj tko stalno prati trendove u novim tehnologijama i u stvarnom vremenu kreativnije iskoristi dostupne tehnološke alate, posebice umjetnu inteligenciju (AI), koja može pomoći – kad prepozna i spriječi nedopušteni upad u poslovni sustav, ili odmoći – ako je iskoriste oni s lošim namjerama. Zbog toga su se veliki jezični modeli, large language model (LLM) i programi otvorenoga koda našli u središtu pozornosti, jer osim što su učinkoviti, neki od njih su i pristupačni i jeftini. Razvijaju ih velike tehnološke kompanije, ali i startupovi.
Otvoreni modeli
Mistral AI, koji posluje u Parizu, nedavno je predstavio svoj prvi veliki jezični model Mistral 7B i odmah najavio nove. Može ga se vrlo lako preuzeti s GitHuba, a u usporedbi sa sličnim modelima poput Llama 2, Mistral 7B omogućuje slične ili bolje mogućnosti od, primjerice modela poput GPT-4, koji nisu jednostavni za korištenje jer su najčešće dostupni putem API-ja (od engl. application programming interface, tj. sučelja za programiranje aplikacija). Mistral 7B besplatan je za preuzimanje i korištenje, optimalan je za nisku latenciju, sažimanje teksta, klasifikaciju te dovršavanje teksta i koda. Mistral AI odlučio je izdati Mistral 7B pod licencijom Apache 2.0, koja nema ograničenja u korištenju ili reprodukciji.
‘Rad s otvorenim modelima najbolji je način i za dobavljače i za korisnike da izgrade održivo poslovanje oko AI rješenja. Otvoreni modeli mogu se prilagoditi za rješavanje mnogih novih osnovnih poslovnih problema u svim industrijskim vertikalama, bez premca s modelima crne kutije‘, poručili su iz Mistrala AI na blogu objavljenome u povodu predstavljanja Mistrala 7B.
U blogu još stoji da će u budućnost razviti još mnogo različitih specijaliziranih modela, od kojih će svaki biti prilagođen specifičnim zadacima, komprimiran što je više moguće i povezan s određenim modalitetima, te će posebice ciljati na poslovne klijente i njihove potrebe vezane uz istraživanje i razvoj, brigu o kupcima i marketing, kao i da će im dati alate za izradu novih proizvoda pomoću umjetne inteligencije.
Osim toga, istaknuta je i transparentnost Mistrala 7B zbog decentralizacije – taj model jedini, navode, može generirati odgovor na bilo koji upit bez moderiranja. U odnosu na modele poput GPT-ja i Llame, čiji mehanizmi određuju kada treba odgovoriti, Mistral 7B je slobodan u izboru, odnosno decentraliziran, ali problem je što to mogu iskoristiti loši igrači. Ipak, potencijalna opasnost od zloporabe ne umanjuje njegovu prednost jer je njegova opća dobrobit mnogo veća zbog toga što može učiniti umjetnu inteligenciju dostupnom svima.
Lažni zapisi
Mistral 7B dostupan je pod licencijom Apache 2.0, što znači da nema prepreka za njegovu uporabu: može se upotrebljavati osobno, u velikim kompanijama ili javnoj upravi. Treba samo osigurati odgovarajući sustav za njegovo pokretanje, paziti na podatke, educirati zaposlenike i spremno dočekati nepodopštine umjetnih likova poput deepfakeova i chatbotova te smanjiti štetu koja može nastati korištenjem umjetne inteligencije.
– Najvažnija, a manje očita ranjivost u korištenju umjetne inteligencije jest sigurnost podataka. Napredni AI modeli podrazumijevaju obradu velike količine podataka, katkad i osobnih, pa se u pitanje dovodi sigurnost obrade i skladištenja tih podataka u oblak. Krajnji korisnici također će bez previše ustručavanja kopirati povjerljivu informaciju ili dio izvornog koda u chatbot-sučelje kako bi dobili pomoć s prijevodom ili rješavanjem poslovnog izazova, čime se otvara mogućnost curenja osjetljivih podataka izvan poslovnog okružja – objašnjava Filip Kiseljak, stručnjak za informacijsku sigurnost u KING ICT-u. Prema njegovim riječima, sigurnosne probleme mogu napraviti i tehnologije deepfakea i chatbota, koje napreduju iz dana u dan, a u posljednjih su nekoliko godina postale lako dostupne te za njihovo korištenje nije potrebna posebna ekspertiza.
– Ljudskim očima i ušima postaje sve teže razlikovati deepfake-video i audioisječke od autentičnih te se u svrhu detekcije takvih uradaka počela upotrebljavati AI tehnologija. Deepfake-tehnologija zlonamjernim trećim stranama otvara mogućnost prijevare, krađe identiteta, širenja dezinformacija te nanošenja reputacijske štete stvaranjem lažnih audiozapisa ili videozapisa. Postoje primjeri gdje su deepfake-tehnologije upotrijebljene za izradu lažnih izjava raznih političara, čime se uspješno mogu proširiti dezinformacije i prouzročiti nestabilnost u globalnim političkim sferama – nabraja Kiseljak.
Upitna zaštita privatnosti
Dodaje da se upotreba tehnologije chatbota primarno povezuje s prednostima kao što su brza analitika i rješavanje problema, ušteda vremena, visoka dostupnost…, ali neki od problema koje donosi su neprecizni i pristrani odgovori, upitna zaštita privatnosti, sigurnosne ranjivosti te visoki troškovi implementacije i održavanja. Prema Kiseljakovim riječima, velik broj korisnika bezrezervno prihvaća odgovore koje dobije u razgovoru s chatbotom, što može prouzročiti pogrešno primijenjena rješenja u poslovnim sustavima te kao posljedicu može imati pogreške ili čak prekid poslovanja.
– AI-jem se ne koristi u poslovanju samo za konstruktivne radnje. Globalno su u porastu automatizirani napadi te razvoj naprednog malwarea uz pomoć umjetne inteligencije (AI), a proizvođači sigurnosnog softvera prijavljuju i porast napada bez malwarea (malware free) s približno 60 na 70 posto svih detektiranih napada na poslovne sustave. Prilagođeni AI modeli mogu se upotrijebiti i za automatizirani pronalazak ranjivosti sustava i planiranje napada na interesno poslovno okružje – napominje Kiseljak.
Ističe kako je poznato da su napadači uvijek jedan korak ispred obrane, ali tek treba vidjeti koliko će korištenje umjetne inteligencije (AI) i naprednog strojnog učenja (ML) pomoći ili odmoći napadačima u njihovim nastojanjima.
– Velik broj etabliranih proizvođača sigurnosnog softvera s kojima blisko surađujemo u KING ICT-u u svoje je proizvode uključio neku vrstu analize pokretane umjetnom inteligencijom, čime je sigurnosnim analitičarima omogućena lakša trijaža i detekcija stvarnih prijetnji, ali i automatizirani odgovori u slučaju visokorizične prijetnje, a organizacijama i tvrtkama viša razina zaštite, bolji uvid u stanje sigurnosti, brža prilagodba prijetnjama te povećana učinkovitost sigurnosno-operativnog centra – objašnjava Kiseljak.
Tri glavna problema
Prema riječima potpredsjednika Hrvatske udruge menadžera sigurnosti Alena Delića, prostor razvoja tehnologije iznimno je širok i tek dio tog razvoja i korištenja danas odlazi na nešto što se skupno zove umjetnom inteligencijom.
– Prije svega, trebali bismo znati za koje potrebe trebamo ili želimo upotrijebiti različite alate, što uključuje i one koji ne se koriste AI-jem kakvim ga danas percipiramo. Korištenje takvih alata ima različite rizike i probleme. Dio njih je pravne naravi, kao što je to područje privatnosti podataka, autorskih prava i slično. Drugo, iz perspektive rizika korištenja trećih strana, zaboravljamo na područje testiranja i provjere alata, što nas stavlja u poziciju da upotrebljavamo alate za koje ne znamo kako rade i koje rizike donose. I posljednje, možda nešto što zaboravljamo, područje je edukacije i osvještavanja korisnika koji se koriste takvim alatima. Korištenje alatima trebalo bi za sobom povlačiti i promjene načina edukacije i treninga korisnika kako bi znali koja je sposobnost takvih alata i koji se rizici kod njih nalaze. Ili, kako bi sam ChatGPT rekao kad ga pitamo: ‘Uvođenje umjetne inteligencije u poslovanje može donijeti brojne prednosti, ali isto tako nosi i ozbiljne sigurnosne izazove. Organizacije moraju biti proaktivne u prepoznavanju tih rizika i primjeni odgovarajućih sigurnosnih mjera kako bi zaštitile svoje podatke, resurse i reputaciju.‘ – ističe Delić.
Korijen ranjivosti
Također naglašava da većina zaposlenika danas zapravo samo upotrebljava alate koji im pomažu ubrzati neke automatizirane poslove te su ranjivosti u korištenju umjetne inteligencije u poslovanju većinom vezane uz nepouzdane podatke koje mogu upotrijebiti, unos povjerljivih ili osobnih podataka u sustave za koje ne znaju kako funkcioniraju i za što se koriste podacima koje unose te određene pristranosti modela koje korisnici ne provjeravaju.
– Deepfakeovi i chatbotovi automatizirani su alati koji se mogu upotrijebiti za prijevare i manipulaciju informacijama, što posljedično može utjecati na reputaciju pojedinaca i organizacija ili država – naglašava Delić te dodaje da se mogu upotrijebiti za širenje dezinformacija, prikupljanje osjetljivih informacija putem socijalnog inženjeringa kao i za neke druge napade koji uključuju potrebu za brzom razmjenom informacija.