IDA: Regeringen tøver, mens cybertruslen fra kunstig intelligens vokser i styrke
Fra alle sider lyder det, at kunstig intelligens udgør en stigende trussel mod både den kritiske infrastruktur og helt almindelige danskere. Det haster med at få styr på cybersikkerheden, men Danmark nøler, skriver Jørn Guldberg.
Jørn Guldberg
It-sikkerhedsekspert, Ingeniørforeningen, IDATil oktober træder nye EU-regler om cybersikkerhed i kraft.
NIS2 hedder forordningen, og reglerne udgør det hidtil mest ambitiøse forsøg på at ruste virksomheder, myndigheder og såkaldt kritisk infrastruktur mod den konstant stigende mængde af cyberangreb, hvad enten vi taler om de forholdsvist harmløse DDoS-angreb, de langt mere skadelige ransomware-angreb eller angreb, der sætter vitale samfundsinstitutioner ud af kraft.
Det er på høje tid. Antallet af cyberangreb er støt stigende, og konsekvenserne er alvorlige for de virksomheder og myndigheder, der rammes. Det gælder blandt andet mistet tillid hos kunderne, tabt omsætning, store datalæk, stjålne forskningsresultater og langvarige nedbrud i elforsyning eller betalingssystemer.
AI er fremragende til at skabe falske hjemmesider, som kan være ekstremt vanskelige at gennemskue.
Jørn Guldberg
IT-sikkerhedsekspert, IDA
Mange virksomheder er desuden internt forbundne via tjenester og serviceydelser. Et angreb kan dermed bredes ud og tage flere med i faldet.
Samtidig har de cyberkriminelle fået nem adgang til angrebsværktøjer, som kan købes på nettet. I dag taler man ligefrem om Ransomware-as-a-Service, hvor eksempelvis russiske cyberkriminelle, der har oprettet hele kontorlandskaber med HR-afdeling og 9-16 jobs, tilbyder at udføre ransomware-angreb mod betaling.
Det nye supervåben
Seneste supervåben i deres arsenal er kunstig intelligens (AI). Som det hedder i en ny rapport fra det anerkendte schweiziske IT-sikkerhedsfirma Acronis: "I de senere år er der fremkommet en mørkere side af kunstig intelligens, hvor cyberkriminelle udnytter intelligente værktøjer til at opskalere sofistikerede angreb på virksomheder. Og udgivelsen af ChatGPT har eskaleret den trussel."
De cyberkriminelles brug af AI har ifølge Acronis ført til en stigning i e-mailangreb – de såkaldte phishing-angreb – på 222 procent i løbet af 2023.
Med AI kan ondsindede hackere udvikle angrebsværktøjer, som hele tiden tilpasser sig omgivelserne, og slippe uset igennem de traditionelle forsvarsværker i IT-systemer for at få adgang til netværket. Derfra kan de være næsten ustoppelige, og det sker med en fart, som i praksis er umulig at hamle op med for et menneske.
Helt nye typer af cyberangreb
Nogle af disse AI-værktøjerne er WormGPT og dens onde lillebror FraudGPT, som begge angiveligt er bygget på store sprogmodeller ligesom ChatGPT og trænet på data, der gør dem i stand til at udføre angreb. Brugere af WormGPT kan simpelthen bede den om at skrive en e-mail, der foregiver at komme fra en bank, og udbede sig login-oplysningerne. Teksten er typisk grammatisk korrekt og langt mere overbevisende, end hvad de fleste angribere selv kan levere.
Heldigvis er mange mindre danske virksomheder blevet bedre til at indføre de mest basale sikkerhedstiltag. Men der er lang vej endnu.
Jørn Guldberg
IT-sikkerhedsekspert, IDA
AI er også fremragende til at skabe falske hjemmesider, som kan være ekstremt vanskelige at gennemskue. Der findes mange andre AI-angrebsværktøjer som for eksempel ChaosGPT, og nogle af udbyderne har sågar en online chatfunktion på deres hjemmeside.
Et andet område er AI-deepfakes, hvor værktøjerne på overbevisende vis kan kopiere en bestemt persons stemme eller udseende og derved manipulere offeret til at udlevere informationer eller overføre penge.
Eksperter forudser, at den næste front for cyberkriminelle bliver vores smarte apparater i hjemmet, som er tilsluttet nettet – det såkaldte Internet of Things (IoT). Typisk er vores smarte køleskabe eller højttalere meget dårligt beskyttet mod cyberangreb, og herfra kan cyberkriminelle få adgang til alle apparater i dit netværk – for eksempel dine computere.
Alvorlig og stigende trussel
Truslen fra cyberangreb med AI som motor er alvorlig. På en konference for nylig advarede Nationalt Cyber Crime Center om, at AI og deepfakes har ”kæmpestore og banebrydende konsekvenser for de IT-kriminelles muligheder”, og at antallet af sager, der involverer IT-kriminalitet, stiger med 20-30 procent årligt herhjemme.
Samtidig viser en undersøgelse fra Version2, at de danske politikredse siden 2021 har afsluttet behandlingen af 272 sager om ransomwareangreb mod ofre på dansk jord. Men ingen af sagerne er endt med, at hackerne er blevet pågrebet.
Heldigvis er mange mindre danske virksomheder blevet bedre til at indføre de to mest basale sikkerhedstiltag, som er backup af data og systematisk opdatering af deres software. Men der er lang vej endnu. Og en undersøgelse fra Digitaliseringsstyrelsen viser, at 64 procent af de små og store virksomheders ledelse kun i nogen grad, lille grad eller slet ikke er involveret i virksomhedens arbejde med digital sikkerhed.
Det er faktisk helt ubegribeligt, at danske virksomheder ikke kan få klart svar på, hvem der bliver direkte og indirekte berørt af EU's nye regler.
Jørn Guldberg
IT-sikkerhedsekspert, IDA
Dansk nølen
Det skal der ændres på. NIS2 venter lige om hjørnet med en lang række krav til virksomhedernes cybersikkerhed – ikke mindst at ledelsen kan drages personligt til ansvar, hvis reglerne ikke efterleves. NIS2 har formatet til at blive en gamechanger for cybersikkerheden i hele samfundet
Men det hjælper ikke på moralen, at forsvarsminister Troels Lund Poulsen (V) i sidste måned annoncerede, at regeringen ikke kan nå at implementere NIS2 inden tidsfristen i oktober – selv om deadline har været kendt i halvandet år.
Det er faktisk helt ubegribeligt, at danske virksomheder ikke kan få klart svar på, hvad de skal opfylde af helt konkrete krav, og hvem der bliver direkte og indirekte berørt af NIS2.
I takt med, at Danmark investerer stadig flere milliarder i Ukraines forsvar mod Ruslands aggression, rykker vi også tydeligere frem på den russiske radar som potentielle mål for cyberangreb.
Krig finder ikke kun sted på slagmarken. Den er i høj grad også rykket ind i cyberspace – med AI som turbo. Derfor er det afgørende, at vi i alle dele af samfundet er årvågne, efteruddanner flere til at håndtere truslerne og generelt opruster på vores cybersikkerhed.