Журнал "Information Security/ Информационная безопасность" #6, 2018

Искусственный интеллект l Как мы используем искус- ственный интеллект в целях кибербезопасности? l Как можно атаковать искусственный интеллект и что можно противопоставить этим атакам? l Как противодействовать злонамеренному использо- ванию искусственного интеллекта против нас? l Кто проверяет условия смарт- контракта на наличие уязвимо- стей, ошибок и явно мошенни- ческих действий? В обычных договорах это делают юристы, служба экономической безопас- ности, отделы продаж. Обла- дают ли они компетенциями делать то же самое и для смарт- контрактов? l Как мы обеспечиваем аудит и контроль смарт-контрактов? Это не только часть законода- тельных требований, но и здра- вый смысл. Службы аудита и внутреннего контроля готовы к работе со смарт-контракта- ми? Искусственный интеллект "Искусственный интеллект" – очень неудачный перевод анг- лийского Artificial Intelligence, который уже прижился в рус- ском языке, но не отражает реальной сути этой технологии, которая на самом деле не нова (первые работы в этой области можно отнести к середине про- шлого века), но именно сейчас она переживает новый виток своего развития, что обуслов- лено и наличием больших объе- мов данных для анализа, и новыми задачами, и грядущим появлением квантовых вычис- лений. С точки зрения страте- гии кибербезопасности пред- приятия искусственный интел- лект интересен нам в трех областях: l Как мы используем искус- ственный интеллект в целях кибербезопасности? l Как можно атаковать искус- ственный интеллект и что можно противопоставить этим атакам? l Как противодействовать зло- намеренному использованию искусственного интеллекта про- тив нас? Мы сейчас коснемся послед- них двух вопросов, так как пер- вый очень обширен и сам по себе требует отдельной статьи о том, как применяется ИИ в кибербезопасности. Итак, как можно атаковать искусственный интеллект? Есть несколько точек приложения сил зло- умышленников, основными из которых являются две: 1. Атака на алгоритм/модель: l внесение изменений в алго- ритм; l подстройка под алгоритм; l состязательные примеры. 2. Атака на данные: l внесение посторонних дан- ных; l изменение существующих данных. Но это в теории. На практике мы должны учитывать весь жиз- ненный цикл применения искус- ственного интеллекта, и поэто- му нельзя не брать в расчет возможные атаки на специали- стов, занимающихся разметкой обучающих данных (для алго- ритмов машинного обучения с учителем, Supervised Learning), а также на систему взаимодей- ствия ИИ с другими компонен- тами. Схожую идею мы рас- сматривали в разделе про био- метрию: необязательно атако- вать сам процесс обучения и принятия решений, достаточно просто подменить вердикт в процессе его передачи. Исходя из вышеописанного, я бы включил в разрабатывае- мую или обновляемую страте- гию кибербезопасности ответы на следующие вопросы: l Включены ли обучающие дан- ные для используемых бизне- сом систем искусственного интеллекта в перечень защи- щаемых? l Каково происхождение обучающих данных и насколько мы им доверяем? l Как мы обучаем системы искусственного интеллекта? Кто имеет к ним доступ? l Учитывает ли наша модель угроз/нарушителя применение искусственного интеллекта зло- умышленниками? Сегодня известны примеры применения ИИ со злым умыслом – для поиска уязвимостей, фишинга, подбора пароля, обхода CAPTC- HA, подмены личности, обмана биометрии. Готова ли наша система защиты к таким инно- вационным угрозам? Заключение Вновь возвращусь к дискус- сии, упомянутой в начале статье. Сейчас, после анализа четырех прорывных технологий (а их больше, размер статьи не позволил говорить про боль- шие данные, дополненную и виртуальную реальность, робо- тов и Интернет вещей) и про- чтения каждой из четверки вопросов, вы можете с уверен- ностью сказать, что да, на все 16 вопросов наша стратегия ИБ уже сейчас дает ответы? Если ваш ответ будет утверди- тельным, то я вас поздравляю! Вы действительно стратег в области ИБ и подошли к вопро- су разработки стратегического документа, определяющего развитие вашей системы кибербезопасности на годы вперед, с полной серьезностью. В этом случае я признаю, что коллеги, отвечавшие, что новые технологии не должны влиять на стратегию ИБ, правы. Если же какие-то вопросы у вас остаются без ответа, а может быть и вовсе у вас не всплывали в голове до начала чтения этой статьи, то правы будут те, кто утверждает, что новые технологии влияют на стратегию ИБ. Перед вами встает непростая, но интерес- ная задача – пересмотреть раз- работанную вами дорожную карту, направленную на повы- шение защищенности вашего предприятия в информацион- ной сфере. Да и время сейчас самое подходящее – начало года. l • 41 УПРАВЛЕНИЕ www.itsec.ru Рис. 4. Ваше мнение и вопросы присылайте по адресу is@groteck.ru