DEBATT:
AI gir nye krav til it-avdelingene verden over
Utbredelsen av generative AI-er vil føre til en ny generasjon av opportunistiske amatørhackere, for aldri har det vært enklere å lære å kode og hacke – og med AI trenger man faktisk ikke engang lære det.
Alle ting var mye verre i gamle dager – også å skulle lære å kode og lære å infiltrere nettverk. Den gang satt vi selv med gamle Amigaer og DOS-systemer for å lære å kode – og alt var enten selvlært eller via bøker som ofte var foreldede allerede. Vi kodet for å lære og for å skape, men i enkelte tilfeller – også for meg selv – endte vi med å skape ødeleggelse.
Det var vanskelig, så det var kun de mest iherdige som fortsatte. Vi hadde ingen fancy verktøy til å hjelpe oss – kun lange, søvnløse netter foran CRT-skjermens bilderørsflimmer. Det krevde talent – eller bare standhaftighet.
Siden da kom det naturligvis bedre utdannelse, bedre redskaper, verktøy og oppslagsverk – men inngangsterskelen var stadig relativt høy.
Det endrer seg fullstendig nå, med generativ, kunstig intelligens.
For med verktøy som ChatGPT, som faktisk kan skrive kode for deg, og forklare deg som om du var et femårig barn, hvordan du infiltrerer nettverk eller datamaskiner, betyr det at enhver med minimal teknisk forståelse over tid kan lære å «hacke» (i mangel på en bedre term).
Her hjemme vil det bety flere små aktivistiske angrep fra skoleelever som ikke gidder å ta eksamen, eller amatør-hacktivister som ser en ny mulighet til å demonstrere for sin sak, men det betyr også at langt, langt flere kan ende som profesjonelle it-kriminelle.
Det velter om på den nåværende maktbalansen i cyberspace – og vi er slett ikke forberedt på den bølgen som kommer.
Tvinges til hacking
AI-løsninger som ChatGPT er programmert til å ikke hjelpe til med å utvikle malware eller annen skadelig programvare – og i utgangspunktet også programmert til ikke å lære av deg.
Men det kan omgås. Vi har allerede sett eksempler der ChatGPT har blitt brukt til å lage malware – det finnes blant annet et par kinesiske eksempler – og det finnes andre versjoner av ChatGPT eller andre lignende tjenester som ikke har den samme begrensingen.
Det er min klare overbevisning at vi kommer til at se flere unge mennesker, som har en interesse i hacking og å lage kaos på nettet, som kan finne den nødvendige veiledningen og inspirasjonen hos for eksempel ChatGPT – som vi jo alle har adgang til.
Men den største trusselen kommer ikke fra norske opportunister: Nei, trusselen skal derimot finnes i Afrika og Asia. De kreative phishing-mailene fra «arvinger» med milliarder har til alle tider vært en trussel mot de teknologi-svakeste i samfunnet, som blir lokket av gull og grønne skoger. Med demokratiseringen av teknologi, inklusive utbredelsen av internettforbindelser i flere geografiske områder, samt bedre maskinvare, har det betydd at fattige folk i land i den tredje verden har fått muligheten til å svindle seg til en inntekt – og det går ut over oss i Europa.
Og det er de menneskene som nå i langt høyere grad får tilgang til kunnskap om hvordan man kan ta it-kriminaliteten til neste nivå.
Forvent mer – ikke bedre
Det er min klare overbevisning at vi kommer til at se flere unge mennesker, som har en interesse i hacking og å lage kaos på nettet.
Den samme utviklingen ser vi i Asia, der dedikerte cyberkriminalitetsleire vokser seg stadig større. I vår nyeste trusselrapport avdekket vi TEHTRIS, hvordan Myanmar har blitt en sentral hub for cyberkriminalitet, der fattige borgere fra de omkringliggende landene svindles eller tvinges til å angripe vestlige borgere – primært via phishing, som blant annet understøttes av bruken av ChatGPT-lignende tjenester.
AI-utviklingen vil neppe føre til bedre og mere sofistikerte angrep, men derimot en økende mengde av allerede eksisterende angrepstyper, inklusive phishing og mindre effektive angrep. Samtidig blir det enklere for etablerte hackergrupper å benytte mindre «fotsoldater» til å utføre og eksekvere angrep, fordi de har AI-er ved sin side.
Det laveste nivået blir dermed hevet. Det betyr at virksomheter må være klare for flere, mer overbevisende angrep i et høyere tempo enn før. Samtidig bør organisasjoner som kanskje ikke tidligere var åpenbare mål, forberede seg på i høyere grad til å kunne bli rammet – rett og slett fordi fler får evnen til det.
Er du parat?