Jesteśmy świadkami dynamicznych zmian w obszarze cyberbezpieczeństwa. W zasadzie każde urządzenie w sieci staje się komputerem. Inteligentne rozwiązania dają użytkownikom nowe, niespotykane dotąd możliwości, ale zarazem tworzą nowe pole działania dla cyberprzestępców. To rodzi nowe wyzwania w zakresie odpowiedzialności za stworzenie warunków do bezpiecznego korzystania z najnowszych technologii. Rozmowa z Mikko Hypponenem, pełniącym funkcję Chief Research Officer w F-Secure.

Podczas wystąpienia na „Advanced Threat Summit 2018” mówił Pan, że tradycyjny model bezpieczeństwa cyfrowego przestał się sprawdzać…

Przez lata nieustannie powtarzaliśmy firmom, żeby zabezpieczały swoje sieci w taki sposób, jakby budowały sejf, który pozwoli cały czas trzymać wszystkich z dala od kluczowych zasobów. To już nie działa. Dzisiaj trzeba budować systemy, które sprawiają wrażenie możliwości powstrzymania wszelkich ataków, ale jednocześnie pozwalają wykrywać próby ataków i umożliwiają skuteczne reagowanie w sytuacji, gdy dochodzi do włamania. Problem polega na tym, że nikt nie chce dopuścić do siebie takiej myśli. Nikt nie lubi myśleć o tym, że dojdzie do naruszenia bezpieczeństwa. Tymczasem właśnie nad tym powinniśmy się zastanowić: czy jestem gotowy na atak i co zrobię, kiedy do niego dojdzie, jak zareaguję?

Z czego wynika ta potrzeba? Jakie okoliczności powodują konieczność zmiany podejścia do kwestii bezpieczeństwa?

Największym wyzwaniem dla bezpieczeństwa w tej chwili jest fakt, że wszystkie urządzenia stają się komputerami. Pracowaliśmy jako branża intensywnie nad zabezpieczaniem komputerów przez 30 lat. Jesteśmy w tym dobrzy. Wiemy, jak to robić. Dzisiaj mamy jednak do czynienia z samochodami, które są komputerami. Kamery monitoringu wizyjnego tworzące systemy ochrony dla ludzi i mienia są komputerami. Nawet automaty do sprzedaży kawy są obecnie komputerami. I nie potrafimy ich dobrze zabezpieczyć w taki sam sposób, jaki sprawdzał się jeszcze kilkanaście lat temu w przypadku tradycyjnych komputerów. To kluczowe wyzwanie, z którym musimy się dziś zmierzyć. Nad tym musimy i będziemy pracować.

Jakie mogą być kierunki przeciwdziałania temu zagrożeniu? Kto i jakie działania powinien podjąć?

Odpowiedzialność za bezpieczeństwo podłączonych do sieci inteligentnych urządzeń IoT czy ICS jest rozproszona, za bardzo rozproszona. Oczywiście, częściowo odpowiedzialność spada na producentów, dostawców tych urządzeń. Po części należałoby ją przypisać użytkownikom. Wiele problemów i luk w bezpieczeństwie systemów IoT wynika z tego, że użytkownicy nieprawidłowo je konfigurują. Część odpowiedzialności powinna także spadać na operatorów telekomunikacyjnych. Przecież to za pośrednictwem należących do nich sieci dokonywane są ataki. Możemy też mówić o odpowiedzialności regulatorów rynków i instytucji tworzących regulacje prawne. Jest bardzo prawdopodobne, że pewnego dnia będziemy mieli uregulowane kwestie nie tylko bezpieczeństwa fizycznego elektroniki domowej, ale także bezpieczeństwa cyfrowego tych urządzeń.

Największym wyzwaniem dla bezpieczeństwa jest obecnie fakt, że wszystkie urządzenia stają się komputerami. Nie potrafimy ich dobrze zabezpieczyć w taki sposób, jaki sprawdzał się w przypadku tradycyjnych komputerów.

W jaki sposób można zabezpieczyć środowisko IoT?

Zabezpieczenie współczesnych urządzeń IoT wymaga zastosowania routera bezpieczeństwa. To jedyny sposób, w jaki można to zrobić, ponieważ nie jest możliwe zainstalowanie rozwiązania typu Endpoint Security Solution na samych urządzeniach. Konieczne staje się zatem wykorzystanie sieci. Na rynku są dostępne takie urządzenia. My też je oferujemy. Pozwalają uruchomić hotspot WiFi i podłączyć do niego wszystkie urządzenia w domu, na jakich nie można zainstalować żadnego oprogramowania, które by je chroniło. Oznacza to, że zabezpieczamy te urządzenia od strony sieci. To działa, ale nie wiadomo, jak długo będzie się sprawdzać. Cały czas pojawiają się nowe technologie. Wkrótce zacznie się popularyzować 5G. Ostatecznie WiFi przestanie być najważniejszym mechanizmem wykorzystywanym przez urządzenia IoT.

Czy w tym obszarze może coś zmienić wykorzystanie sztucznej inteligencji?

To gorący temat. Cały czas otrzymuję wiele pytań dotyczących uczenia maszynowego i sztucznej inteligencji: jakie znaczenie mają one dla bezpieczeństwa i co to znaczy w kontekście możliwych ataków. W tej chwili sytuacja jest zadowalająca. Widzimy, jak uczenie maszynowe jest wykorzystywane przez dobrych, a nie przez złych.

Firmy z branży cyberbezpieczeństwa używają uczenia maszynowego od lat. Przede wszystkim, żeby być w stanie obsługiwać ogromne ilości danych, z jakimi mamy na co dzień do czynienia. Prawdą jest jednak, że z uczenia maszynowego mogliby również skorzystać atakujący. Nie widzieliśmy jeszcze takiego zastosowania tej technologii w praktyce. Do tej pory mogliśmy obserwować tylko prace badawcze prowadzone na uniwersytetach. Naukowcy zastanawiali się, jak takie ataki mogłyby wyglądać. Na razie nie widzieliśmy, żeby przestępcy wykorzystali sztuczną inteligencję czy uczenie maszynowe w swojej działalności.

W jakiej perspektywie czasowej ta sytuacja może ulec zmianie?

Moim zdaniem, główny powód, dla którego uczenie maszynowe nie jest używane obecnie przez przestępców, jest taki, że na rynku istnieje ogromne zapotrzebowanie na talenty w obszarze uczenia maszynowego, analizy danych oraz programowanie do sztucznej inteligencji. Na rynku brakuje takich specjalistów. To oznacza, że jeśli masz jakieś umiejętności w tych dziedzinach, nie musisz schodzić na złą drogę. Wystarczy przejrzeć ogłoszenia i w dowolnym miejscu na świecie można znaleźć bardzo dobrze płatna pracę. Oczywiście, nie zawsze tak będzie. W końcu systemy uczenia maszynowego staną się tak dostępne, że praktycznie każdy średnio inteligentny przestępca będzie w stanie z nich skorzystać. Wówczas zaczniemy obserwować prawdziwe ataki prowadzone za pomocą sztucznej inteligencji.

Rozmawiał Rafał Jakubowski.

Relację z konferencji „Advanced Threat Summit 2018”, której gościem był Mikko Hypponen, można przeczytać tutaj.