Tutustuin UK:n kansallisen kyberturvallisuuskeskuksen (NCSC) ”Impact of AI on Cyber Threat from now to 2027” -raporttiin ja poimin sieltä kiinnostavia aiheita pohdittavaksi. Tekoälypohjaiset järjestelmät lisääntyvät lähitulevaisuudessa merkittävästi ja niihin kohdistuvat uhat kasvavat. Raportin mukaan tekoäly muuttaa kyberuhkien luonnetta lisäämällä niiden määrää, nopeutta ja monimutkaisuutta.
Raportissa kuvataan, kuinka organisaatioiden välinen ”kyberkuilu” syvenee: syntyy jako niihin, jotka pysyvät tekoälyn kehityksessä mukana ja rakentavat etumatkaa, ja niihin, jotka jäävät odottelemaan ja altistuvat kehittyneille uhkille aiempaa helpommin.
Teen seuraavassa muutamia nostoja raportista, niin tekoälyn tuomista uhista kuin mahdollisuuksistakin. Tarkastelen asiaa kolmesta kulmasta (1) miksi tämä on varsin tärkeää ja ajankohtaista, (2) millainen on tekoälyn vaikutus hyökkääjiin ja (3) mitä uutta on tarjolla AI-avusteiseen torjuntaan.
Miksi tämä on ajankohtaista?
Tekoälyn kehitys kiihtyy vauhdilla ja samalla sen kyberturvallisuusvaikutukset korostuvat. NCSC:n raportti nostaa esiin kolme merkittävää muuttujaa:
- AI nopeuttaa hyökkäysketjua. Haavoittuvuuden julkaisu- ja hyväksikäyttöväli on jo kutistunut päivistä tunteihin; tekoälyn myötä se lyhentyy minuuteiksi.
- Kyberkuilu syvenee. Järjestelmät, jotka eivät pysy tekoälyn kehityksessä mukana, ovat lähes varmasti (raportin sanoin “almost certainly”) entistä helpompia hyökkäyskohteita vuoteen 2027 mennessä.
- Hyökkäyspinta kasvaa. Tekoälyjärjestelmät itsessään (mallit, dataputket, rajapinnat) muodostavat uuden väylän hyökkääjille.
Tämä muutostahti pakottaa organisaatiot uudelleen arvioimaan kyberturvallisuustasonsa pikimmiten.
Millainen vaikutus tekoälyllä onhyökkäyksiin?
Tekoäly tekee kyberhyökkäyksistä tehokkaampia ja intensiivisempiä, mutta myös helposti hankittavissa ja skaalattavissa olevia, mikä lisää niiden määrää ja vakavuutta.
Raportissa korostuu suurimpana uhkaa kasvattavana tekijänä AI-assisted Vulnerability Research & Exploit Development (VRED). Tekoälymallit pystyvät analysoimaan lähdekoodia ja konfiguraatioita huikealla nopeudella, jolloin päivitysikkuna (“patch window”) supistuu entisestään.
Tekoälymallit löytävät ja hyödyntävät koodivirheitä nyt minuuteissa, ei päivissä. Avoimet ja kaupalliset AI-mallit madaltavat kynnystä niin merkittävästi, että myös vähäisemmillä resursseilla toimivat rikolliset voivat hyödyntää tekoälyavusteisia kyberpalveluita (AI-cyber-as-a-Service) hyökkäysvolyyminsä kasvattamiseen. Nämä mahdollisuudet avautuvat yhä useammille toimijoille, niin valtiollisille kuin ei-valtiollisille tahoille.
”Riittämätön kyberturvallisuus lisää lähes varmasti kyvykkäiden valtiollisten toimijoiden ja kyberrikollisten mahdollisuuksia väärinkäyttää tekoälyä.” – NCSC
Vaikka täysin autonomiset hyökkäykset ovat raportin mukaan epätodennäköisiä ennen vuotta 2027, ihmisen ja tekoälyn yhdistelmä nopeuttaa jokaista ketjun vaihetta tiedustelusta aina haittaohjelmien variointiin.
Samaan aikaan itse tekoälyjärjestelmät muodostavat uuden hyökkäyspinnan: prompt-injektiot, kielimallin myrkyttäminen ja toimitusketjuun kohdistuvat hyökkäykset ovat jo nyt käytännön työkaluja, joita hyökkääjät käyttävät väylänä laajempaan murtoon.
Mitä uutta tekoäly tuotorjuntaan?
Tekoälymallien ja -järjestelmien yleistyminen, myös kriittisessä infrastruktuurissa, lisää hyökkäyspinta-alaa, jota vihollinen voi hyödyntää. Eli myös tekoälyjärjestelmät tulee suojata! Ilman riittäviä kyberturvatoimia kriittiset järjestelmät voivat tulla haavoittuvaisemmiksi kehittyneille uhkatoimijoille sekä AI-pohjaisille uhkille.
Kyberturvallisuuden parantaminen ja tekoälykehityksen seuraaminen ovat kriittisiä resilienssin kannalta.
Jos tekoäly on hyökkääjille kätevä työkalu, niin se on myös torjujalle. Tässä keskeisimmät puolustajan edut:
- Reaaliaikainen uhkien tunnistaminen
Tekoälypohjaiset järjestelmät voivat tunnistaa uhkia reaaliajassa ja reagoida niihin huomattavasti perinteisiä menetelmiä nopeammin, esimerkiksi tunnistamalla verkkoliikenteen poikkeavuuksia, phishing-yrityksiä ja nollapäivähaavoittuvuuksia sekä tehokkaasti reagoida niihin. - Rutiinitehtävien automatisointi
Tekoäly voi automatisoida rutiinitehtäviä, kuten lokien analysoinnin ja haavoittuvuuksien skannauksen, jolloin tietoturva-asiantuntijat voivat keskittyä monimutkaisempiin ja strategisempiin tehtäviin. - Sisäisten uhkien tunnistaminen
Tekoäly analysoi käyttäjien toimintamalleja ja havaitsee poikkeamat, jotka voivat viitata sisäisiin uhkiin tai esimerkiksi vaarantuneisiin tunnuksiin. Kun koneoppivat mallit seuraavat käyttäjien normaaleja toimintamalleja, erottuu pienikin poikkeama (epätavallinen tiedostolataus, outo kirjautumisajankohta) ja se voidaan liputtaa ja käsitellä automaattisesti. - Uhkamallien ennakointi
Tekoäly voi analysoida suuria tietomääriä ja sen avulla voidaan kehittää ja tunnistaa uhkien toimintamalleja, joiden perusteella uhkia voidaan tunnistaa sekä torjua. Tekoäly tekee tämän nopeudella ja mittakaavalla, johon ihmisen kyvyt eivät yksin yllä. Tämä parantaa ja nopeuttaa merkittävästi uhkien havaitsemista ja päätöksentekoa.
Tekoälyjärjestelmät vaativat myös itse suojausta. NCSC muistuttaa raportissaan, että tekoälykomponentit tulee suojata aivan kuten muutkin kriittiset järjestelmät, etenkin kun tekoälyn yleistyminen kasvattaa hyökkäyspintaa koko kriittisessä infrastruktuurissa. Välttämättömiä toimenpiteitä ovat esimerkiksi pääsynhallinta, dataputkien salaus, mallien validointi ja jatkuva seuranta.
Mihin nyt kannattaa panostaa?
Tekoälyllä on tietoturvallisuuden suhteen kaksi puolta. Toisaalta se antaa hyökkääjälle turbovaihteen, mutta se tarjoaa myös puolustajalle entistä tarkemmat ja nopeammat työkalut. Se, kumpi hyötyy enemmän, riippuu organisaatiosi valmiudesta, reagointinopeudesta sekä halusta ja kyvystä omaksua tekoälypohjaisia hallintakeinoja. Panosta näihin.
Voisi ehkä puhua kyberresilienssistä eli organisaation kyvystä sietää, sopeutua ja toipua kyberuhkista.
Neuvoni: hyödynnä tekoälyä ennen kuin hyökkääjä tekee sen.
Ville
___
NCSC:n raportti löytyy täältä: