Вступ

Гра в кібербезпеку залишається незмінною: захищатися від примарної армії, яка прагне даних та систем для вимагання, шахрайства, крадіжки, маніпуляцій чи зміни інститутів та людей. Але дошка змінюється. Нападники з країн, що розвиваються, які до цього часу не були значними, приєднуються, а гіперзв'язок підприємств і користувачів з все більш цифровим середовищем залишає тисячі відкритих фронтів — переважно критичні інфраструктури, освітні та медичні заклади — де вже не працюють класичні оборонні методи. І також з'явились нові правила.

Захисники та нападники більше не мають обмеженого набору варіантів, що визначають їх стратегії. Штучний інтелект (ШІ) став інструментом, що розширює можливості гри. На початку цього місяця компанія водопостачання Севільї (Emasesa) з більш ніж мільйоном користувачів надіслала попередження: "Emasesa виявила спроби підробки особи через надсилання фальшивих електронних листів деяким своїм постачальникам. У цих листах кіберзлочинці видають себе за працівників компанії, зазвичай з фінансового або контрактного відділу, з метою: отримати інформацію про рахунки чи невиплачені платежі, замінити постачальника, щоб перенаправити законні платежі на шахрайські рахунки та вимагати платежі за фальшивими підставами, такими як оголошення, пов'язані з присудженими тендерами." Це приклад поточної ситуації.

Щотижня банки, кредитні установи та всілякі інституції надсилають схожі попередження. Гіперзв'язок, з постачальниками, користувачами та внутрішніми структурами, які залежать від цифрових платформ, робить кожну взаємодію, навіть з простим листом чи підключеним пристроєм, потенційною вхідною точкою, де чекає штучний інтелект.

Зміна кібербезпеки

"Прихід ШІ як інструменту як для оборони, так і для атаки назавжди змінив кібербезпеку. Додатково, постійне зростання та прискорення Інтернету речей означає, що все стає розумним: ваш годинник, холодильник, тостер — все. Це два основні елементи, які, на мою думку, змінилися і продовжують змінюватися", — підсумовує Рупал Холленбек, президентка, що виходить, компанії Check Point під час міжнародної зустрічі у Відні (CPX).

Нападники, які залишають все менше слідів, використовують "складність та взаємозалежність глобальних ланцюгів постачання" для експлуатації вразливостей, тому "зовнішні постачальники [особливо критичної інфраструктури] стали шляхом для атак на ланцюг постачання", застерігає Світовий економічний форум (СЕФ) у своїй "Глобальній перспективі кібербезпеки 2025".

Сектори, що постраждали

Дослідницький відділ компанії кібербезпеки Check Point зазначає, що найбільш постраждалими секторами є освіта (+75%) та охорона здоров'я (+47%) через величезну, розкидану та нерегулярно захищену кількість користувачів та постачальників, які зазнають "помітного зростання атак програм-вимагачів [викрадення та шантаж]".

Google, з однією з найбільших підрозділів кіберзахисту (Mandiant), також відзначає зростання на 50% атак на медичні заклади рік за роком.

"Вплив цих атак слід сприймати серйозно як загрозу національній безпеці, незалежно від мотивації учасників", — застерігає Mandiant у звіті, оприлюдненому цього середовища. Це підтверджує Холленбек: "Кіберзлочинці дуже розумно атакують ті сфери, де є великі обсяги даних про громадян і області, де проживають найбільш вразливі популяції. Люди вважають, що фінансові послуги мають бути найатакованішою індустрією, адже ми думаємо, що там є гроші, але найкращий спосіб зламати й отримати інформацію — через системи, які мають найширші дані про громадян. Як тільки ви їх отримаєте, ви можете піти на атаку їх банківського рахунку, інших більших установ і, звісно, фінансових послуг."

Зміна стратегії

"Тепер це не просто досягнення або реакція на загрози", — пояснює Дан Карпаті, віце-президент з технологій ШІ у Check Point. Поточна ситуація, зміна правил, яку ввела інтеграція ШІ у гіперз'єднаний світ, вимагає іншої стратегії: автономна кібербезпека, використання можливостей цього інструменту для моніторингу, запобігання та дії з будь-якої точки мережі (гидридна сітка) постійно за мікросекунди.

"Ставити силу там, де це потрібно в кожен момент", — підсумовує Наталі Кремер, керівник продукту в тій же компанії.

Великий стрибок ШІ, щоб стати інструментом атаки та оборони, — це його здатність програмувати, написати код, щоб машина виконувала дію за допомогою простого голосового команди або самостійного навчання системи.

"Це дійсно дуже потужне як для доброї, так і для поганої сторони", — застерігає Карпаті. Для поганих ШІ дозволяє, практично безкоштовно і з набагато меншими навичками, ніж два роки тому, запускати масові кампанії фішингу [фальшиві повідомлення або QR-коди], деефейків [недоступні підробки] та підробки особи.

Для добрих нові можливості систем відкривають шлях для агентів безпеки, роботів, які планують і виконують складні рішення від імені користувача, з мінімальним втручанням з його боку у будь-який момент.

Махер Ямут, старший аналітик безпеки у підрозділі GReAT компанії Kaspersky, додає ще один елемент: "Експерти з кібербезпеки повинні використовувати цей інструмент [ШІ] з обережністю, переконуючи, що його впровадження не відкриває нові шляхи експлуатації випадково".

З усіма запобіжними заходами, ШІ змінив цю сферу; він може програмувати, перевіряти коди захисту або атаки, змушувати інші елементи мережі діяти та перепрограмуватися, симулювати або перевіряти за секунди, що завдання відповідають внутрішнім та зовнішнім нормам.

Карпаті не вважає, що цей горизонт автоматизації означає усунення людського компонента, який вважає ключовим для розвитку систем.

Життя під загрозою

Але в грі не лише змінилися правила. На дошці з'явились нові агенти. "Останній звіт про безпеку", — зазначає Холленбек, "виявляє зростання в певних областях, які зазвичай були ігноровані. Ми бачили стрімке зростання, на жаль, в Африці та багатьох інших зонах, що розвиваються світу, таких як Східна Європа та південно-східні райони Азії та Латинської Америки, де більше жертв і нападників", — додає.

Ця нова реальність не означає, що старі учасники та держави, які їх підтримують, зменшили свою активність. Bitdefender нещодавно опублікував дослідження про активну кампанію Lazarus Group (APT38), пов'язану з Північною Кореєю, направлену на організації та розроблену для крадіжки облікових даних та запуску шкідливих програм через фальшиві робочі пропозиції LinkedIn.

Точно так, Mandiant, підрозділ безпеки Google, відзначає у своєму останньому звіті, як чотири основні держави кіберзлочинності (Росія, Китай, Іран та Північна Корея) використовують її не лише для шпигунства та дестабілізації, а й з економічними мотивами. Це випадок групи APT41, якій приписують китайську підтримку і яка поєднує викрадення з фінансовими цілями та збором даних для розвідувальних служб.

Так само, як і Check Point, Mandiant також підкреслює зростання атак на критичну інфраструктуру, як в постачанні, так і в соціальному та медичному секторі, з метою "ерозії публічної довіри та дестабілізації життєво важливих послуг, що можуть коштувати життя".

У цьому сенсі звіт підрозділу Google нагадує дослідження Школи громадської охорони здоров'я Університету Міннесота-Твін Сіті (США), яке показує: "Коли відбувається атака програм-вимагачів [щодо медичного закладу], смертність у лікарні [пацієнти, які вже госпіталізовані] зростає на 35-41% завдяки таким атакам.