Legendarny amerykański złodziej bankowy Willie Sutton spędził 40 lat na rabowaniu banków, ponieważ uwielbiał to robić. Zapytany, dlaczego wybierał właśnie banki do rabowania, odpowiedział: „Bo tam są pieniądze”.
W 2017 roku powstała książka, w której przewidziano, że wkrótce bankami będą zajmować się nie tylko złodzieje pokroju Suttona, ale także sztuczna inteligencja (AI).
Wygląda na to, że ten dzień może już niedługo nadejść. Banki na całym świecie poważnie obawiają się, że cyberprzestępcy wkrótce wykorzystają najnowsze osiągnięcia w dziedzinie sztucznej inteligencji.
Cyfrowe tylne drzwi do skarbca
Obawy świata finansów koncentrują się na imponujących możliwościach cybernetycznych produktu o nazwie „ Mythos ”. To najnowszy i najpotężniejszy model sztucznej inteligencji firmy Anthropic, stojącej za popularnym chatbotem Claude.
Jako osoba prywatna nie możesz na razie uzyskać dostępu do tego modelu ani go używać. Dzieje się tak, ponieważ Anthropic (i wielu innych) uważa, że Mythos jest zbyt zdolny, by zaatakować niczego niepodejrzewający świat.
Wewnętrzne testy systemu Mythos ujawniły tysiące poważnych luk w zabezpieczeniach we wszystkich głównych systemach operacyjnych i przeglądarkach internetowych.
Niektóre z tych luk w zabezpieczeniach pozostawały niewykryte przez dekady. Wiele z nich to, jak nazywają je specjaliści technologiczni, luki „ zero day ” – ataki tak niebezpieczne, że programiści muszą je naprawić w ciągu zero dni.
Nie do użytku publicznego
Aby przeciwdziałać temu nowemu zagrożeniu, Anthropic udostępnił model kilkunastu partnerom koalicji obronnej, do której należą Microsoft, Amazon Web Services, Apple, Cisco i Linux Foundation.
Firma zobowiązała się również przeznaczyć 100 milionów dolarów na kredyty użytkowe i 4 miliony dolarów amerykańskich na granty open source, aby rozpocząć wyszukiwanie i naprawianie błędów.
Ponadto dostęp otrzymało ponad 40 innych organizacji – w tym kilka banków amerykańskich. Co niepokojące, Anthropic nie udzielił jeszcze dostępu żadnym bankom w Australii, Wielkiej Brytanii ani Europie.
Co więcej, w środę firma Anthropic potwierdziła , że bada doniesienia Bloomberga , jakoby niewielka grupa nieautoryzowanych użytkowników uzyskała dostęp do Mythos. Na tym etapie nie ma jednak przesłanek sugerujących, że ten domniemany dostęp miał na celu celowe działanie.
W zeszłym tygodniu regulatorzy i decydenci z całego świata zebrali się na wiosennym spotkaniu Międzynarodowego Funduszu Walutowego w Waszyngtonie. Wojna z Iranem była głównym tematem. Uczestnicy wydali również szereg ostrzeżeń przed tym nowym zagrożeniem cyberbezpieczeństwa dla sektora bankowego.
Banki są atrakcyjnym celem nie tylko ze względu na swoje pieniądze, ale branża ta opiera się na wielu przestarzałych systemach i technologiach sprzed dziesięcioleci, które mogą być szczególnie podatne na tego rodzaju ataki.
Osobiście nie musisz się zbytnio martwić. Wiele krajów zapewnia solidną ochronę klientom banków. Na przykład w Australii pierwsze 250 000 dolarów australijskich depozytów klienta jest ubezpieczone w ramach wspieranego przez rząd Programu Roszczeń Finansowych (Financial Claims Scheme ).
Australijska Komisja Papierów Wartościowych i Inwestycji dba o to, aby banki badały i zwracały pieniądze za oszukańcze transakcje, w przypadku których klient nie zawinił.
Zaleca się regularną aktualizację komputera i smartfona i mieć najnowsze wersje systemu operacyjnego i aplikacji bankowych. Prawdopodobnie w najbliższej przyszłości pojawi się wiele kolejnych aktualizacji, w miarę jak nowe luki w zabezpieczeniach będą odkrywane i łatane.
I, jak zapewne wiesz, musisz być cały czas czujny na ataki phishingowe za pośrednictwem poczty elektronicznej i SMS-ów, których celem jest zdobycie Twoich danych uwierzytelniających do konta bankowego.
Zmieniający się krajobraz zagrożeń
W dłuższej perspektywie Mythos ukazuje wyzwanie, jakim jest obrona, która jest znacznie trudniejsza niż atak. Oprogramowanie jest jednym z najbardziej złożonych produktów, jakie tworzy ludzkość. Dlatego zapewnienie jego bezbłędności jest praktycznie niemożliwe.
To stawia nas w niekończącym się wyścigu ze „złymi ludźmi”, aby wykryć i naprawić błędy, zanim zostaną wykorzystane.
Unia Europejska właśnie wydała swoją aplikację do weryfikacji wieku mającą stanowić kamień węgielny dla nowych przepisów dotyczących dostępu do mediów społecznościowych, pornografii i innych treści objętych ograniczeniami wiekowymi. Jednak w ciągu kilku godzin eksperci ds. bezpieczeństwa odkryli luki w cyberbezpieczeństwie , które nieletni użytkownicy mogli łatwo wykorzystać.
W najbardziej krytycznych sytuacjach możemy próbować matematycznie udowodnić, że nasze oprogramowanie jest wolne od błędów. Na przykład, fundacja Beneficial AI Foundation właśnie ogłosiła ambitny projekt „moonshot”, mający na celu udowodnienie, że popularna aplikacja do przesyłania wiadomości Signal jest wolna od błędów i chroni prywatność, zgodnie z zapewnieniami.
Jednak takie wysiłki stanowią obecnie raczej wyjątek niż normę. Być może dalsze postępy w dziedzinie sztucznej inteligencji pomogą wkrótce odwrócić ten trend.
