Generatywna AI wyniosła phishing, deepfake i BEC na nowy poziom. W obliczu ataków na OT potrzebne są wytyczne „security-by-design”, audyty dostawców i szybkie ćwiczenia odpornościowe.
Izabela Albrycht
Dyrektor Centrum Cyberbezpieczeństwa AGH i współzałożycielka Women4Cyber
Jak generatywna AI i autonomiczne agent-narzędzia zmieniły w ostatnich latach taktyki ataków (deepfake, BEC, spear-phishing na sterydach)? Jakie trzy działania powinni priorytetowo wdrożyć polscy regulatorzy i organizacje w perspektywie 12 miesięcy?
AI znacząco zwiększa skalę i zaawansowanie cyberataków przez automatyzację i personalizację, zwłaszcza phishingu oraz fałszywych treści (deepfake). AI ułatwia tworzenie hiperpersonalizowanego phishingu na bazie analizy cyfrowych śladów użytkownika (social media, lokalizacja, zwyczaje). Ataki stają się bardziej zautomatyzowane i wielowektorowe, co utrudnia wykrywanie i reakcję. Deepfake audio i wideo oraz generowane przez AI wiadomości stają się trudne do odróżnienia od prawdziwych, co zwiększa skuteczność socjotechniki, ponieważ poprzez użycie syntetycznego głosu lub obrazu możliwe jest podszycie się pod członka rodziny czy przełożonego i wymuszenie pewnych działań na odbiorcy komunikatu. Co z kolei uruchamia lawinę nieodpowiednich reakcji czy działań, które mogą doprowadzić do skompromitowania danej infrastruktury IT czy OT.
Taki rozwój AI coraz częściej stanowi strategiczne ryzyko i wskazuje na możliwe geopolityczne konsekwencje, zwłaszcza w playbooku działań hybrydowych, który może zostać wzmocniony dzięki algorytmom sztucznej inteligencji o zmasowaną dezinformację i manipulację, tak sformatowaną, aby do poszczególnych grup społecznych czy nawet jednostek trafiała konkretna treść komunikatu.
Z tych względów konieczne jest podejście oparte na bezpieczeństwie w projektowaniu i wdrażaniu tej technologii, co wymaga również pilnych działań nie tylko regulacyjnych i nadzorczych, lecz także edukacyjnych. Należałoby się zastanowić nad podejściem opartym na wdrażaniu wytycznych, technologia bowiem zmienia się tak dynamicznie, że wymaga bardziej elastycznych formuł quasi-regulacyjnych.
Gdzie dziś są najsłabsze ogniwa w łańcuchach dostaw cyber (MŚP, podwykonawcy, oprogramowanie)?
Coraz słabszym ogniwem w łańcuchach dostaw cyber w 2025 roku są podwykonawcy, third-parties i MŚP, a tuż za nimi oprogramowanie oraz jego podatności.
Prawie jedna trzecia wszystkich naruszeń cyberbezpieczeństwa pochodzi obecnie od zewnętrznych podmiotów – dostawców, partnerów i podwykonawców. Atakujący wykorzystują charakterystykę nowoczesnych łańcuchów dostaw, czyli wzajemne powiązania podmiotów, szukając wśród nich jednego słabego punktu – czy to dostawcy oprogramowania, usług chmurowych, dostawcy sprzętu IT/OT, kontraktora logistycznego, integratora systemów czy firmy serwisowej – aby otworzyć furtkę do systemów wielu organizacji jednocześnie. MŚP są szczególnie narażone, ponieważ często nie dysponują wystarczająco dojrzałymi procedurami, narzędziami ani personelem dbającym o cyberbezpieczeństwo firmy. Dlatego MŚP pozostają w tyle, co obniża odporność całego ekosystemu. Atakujący, w tym grupy przestępcze i wspierane przez państwa (Rosja, Chiny, Iran), wykorzystują AI do szybkiego wyszukiwania właśnie takich słabych punktów i skutecznej ich eksploatacji. Eksperci podkreślają, że nawet bardzo zaawansowane organizacje są bezradne wobec błędów i zaniedbań partnerów, a koncentracja infrastruktury u kilku gigantów IT wzmacnia systemowe ryzyka i grozi efektem domina w razie awarii.
Drugim kluczowym obszarem ryzyka jest software supply chain. Zgodnie z analizami ekspertów, zawartymi chociażby w alarmistycznym raporcie World Economic Forum, nowoczesne oprogramowanie i aplikacje rzadko powstają wyłącznie na podstawie kodu tworzonego na zamówienie; zamiast tego integrują mieszankę komponentów open source, interfejsów API, bibliotek, wtyczek, konfiguracji oraz infrastruktury chmurowej. Oprogramowanie open source (OSS) stanowi obecnie szacunkowo od 70 do 90 proc. każdego pakietu programistycznego, a rosnąca zależność zwiększa złożoność, ogranicza bezpośrednią kontrolę nad środowiskiem oprogramowania i wprowadza nowe podatności w zakresie bezpieczeństwa. Ta zależność staje się głównym celem ataków, ponieważ jeden podatny lub nieaktualizowany element może dać dostęp do wyższych warstw systemu. Statystyki są porażające, bowiem wskazują, że aż 84 proc. kodu zawiera co najmniej jedną podatność open source. Jednym z najgłośniejszych przykładów incydentu supply chain był ten przeprowadzony na SolarWinds (2020). Pokazał dobitnie, że jeden skompromitowany update oprogramowania może wywołać globalne skutki nawet w dobrze zabezpieczonych organizacjach. Ofiarami tego ataku padło 30 tys. organizacji, w tym agencji rządowych USA, a firmy straciły średnio 11 proc. rocznych przychodów. Następnie potwierdziły to zagrożenie ataki np. na CrowdStrike IT, MOVEit, Log4j.
Jak w erze kampanii hybrydowych i ataków na infrastrukturę OT budować odporność społeczną i organizacyjną?
Powyższe przykłady zagrożeń odnoszą się także do infrastruktury OT, co pokazuje skalę zagrożeń właśnie w czasie, już chyba nie tylko kampanii hybrydowych, co raczej „niewypowiedzianej wojny hybrydowej” prowadzonej przeciwko Europie, czy szerzej – NATO.
Żyjemy w jednym wielkim cyfrowym ekosystemie, w którym „połączoność” znacząco zwiększa ryzyko skutecznych ataków na obiekty infrastruktury krytycznej. Ta eskalacja działań hybrydowych, przypisywana zwłaszcza Rosji, wskazuje na pilną potrzebę wdrożenia solidnych strategii ograniczania ryzyka i ochrony przed podatnościami. Kluczowe jest powszechne zrozumienie skali problemu, uzmysłowienie decydentom i obywatelom, że kompromitacja systemu OT to bezpośrednie ryzyko dla dostępności kluczowych usług publicznych, takich jak służba zdrowia, edukacja, zaopatrzenie w wodę, transport i energia, a w konsekwencji zagrożenie dla ciągłości funkcjonowania państwa i społeczeństwa. Czyli najpierw coś, co nazwałabym edukacją odpornościową, a co powinno także obejmować scenariusze reakcji w razie zaistnienia takich sytuacji. Jeśli chodzi o odporność poszczególnych organizacji zależnych od infrastruktury OT, to kluczowe jest zrozumienie różnic pomiędzy Operational Technology a IT (Information Technology), bo one wymuszają podejście bardziej zindywidualizowane do zabezpieczenia takiej infrastruktury – nie da się skopiować rozwiązań z jednej organizacji do drugiej, bo OT znacznie różnią się od siebie. Dlatego kluczowe są nie tylko szkolenia, które muszą obejmować personel techniczny i operatorów, ale także współpraca z zespołem IT – bowiem większość OT działa teraz ze wsparciem IT właśnie, dlatego konieczna jest wspólna analiza zagrożeń, testy, zarządzanie incydentami i projektowanie polityk oraz opracowanie procedur.
