Новые технологии не только добавляют удобства в нашу жизнь, но и таят потенциальные опасности. Автоматизация и искусственный интеллект, нейросети и биотехнологии – каждый виток прогресса сопряжен с новыми рисками. WEALTH Navigator узнал у представителей IT-индустрии, какие угрозы они считают наиболее серьезными.
В ближайшем будущем для банковской отрасли актуальны риски, связанные с биометрией. Один из них – низкое качество идентификации по лицу. Опыт внедрения FacePay в Китае показал, что после определенной точки, когда объем биометрической информации достигает критической величины, качество работы систем распознавания ухудшается.
Так что основная проблема не в том, чтобы запустить биометрию, а в том, чтобы она продолжала работать эффективно при массовом использовании. Банки и другие организации, инвестирующие в эту область, должны быть готовы к тому, что для всеобщего внедрения потребуется значительно больше ресурсов, чем предполагалось изначально, и тщательно оценить собственные затраты.
Многие экономисты также возлагают особые надежды на технологии искусственного интеллекта, ожидая огромного роста производительности труда и благосостояния людей. Риск заключается в том, что реальность может не соответствовать ожиданиям, как это произошло с внедрением компьютеров в 1980‑х годах. Тогда прогнозировали значительное увеличение производительности труда. Однако, к примеру, электричество и двигатель внутреннего сгорания оказали гораздо более существенное влияние на производительность, чем компьютерная революция. Следовательно, к ИИ важно подходить не как к сенсации, которая изменит мир, а как к очередному инструменту умеренной автоматизации.
Я бы разделил технологические угрозы и риски – все-таки это разнопорядковые вещи. И не всякая угроза становится риском.
Что касается технологических угроз, то самые главные из них на предстоящие пять лет – искусственный интеллект и широкое предоставление доступа к этой технологии. Искусственный интеллект в этом плане сродни атомной энергии. С одной стороны, это практически неисчерпаемый источник энергии, с другой – самое разрушительное оружие в истории человечества. Таким же двуликим Янусом является и искусственный интеллект. Он может существенно ускорить и упростить работу с информацией и в то же время помочь хакерам выстроить эффективную атаку на информационный объект за счет глубокого анализа.
Другая технологическая угроза – расширение объема внедрения информационных технологий в повседневную жизнь общества и личности за счет развития онлайн-услуг и различного рода онлайн-сервисов как на государственном, так и на коммерческом уровне. Это приводит к распределенному электронному хранению персональной информации, в том числе и банковской тайны. Личная информация остается на ресурсах с различным уровнем защищенности и, несмотря на все контрольные процедуры, иногда с недостаточным подходом к обеспечению безопасности. Наглядный пример – онлайн-оформление кредитов, которым пользуются мошенники.
На базе этих двух технологических угроз и формируются те риски информатизации, о которых часто говорят: дипфейки, кражи данных, шифрование информации с целью вымогательства и т. д.
Но структурно риски целесообразно классифицировать несколько в иной, нетехнологической плоскости. Следует выделять риски для государства, риски для общества как социума, риски для бизнеса и, самое острое, риски для личности. В эту градацию и должна быть вложена оценка технологического проявления риска. Так, дипфейк как формат риска будет присущ всем градациям. Шифрование данных также будет постоянно формируемым риском со стороны злоумышленников.
Если мы говорим про потенциальные риски со стороны искусственного интеллекта для кибербезопасности непосредственно приложений, систем и их инфраструктуры, то не думаю, что в ближайшее время мы увидим какое-то существенное изменение парадигмы. Во-первых, сам характер работы ИИ не подходит для многих видов хакерских атак или не имеет преимуществ в сравнении с нынешними методами. Во-вторых, средства информационной безопасности постоянно совершенствуются и также используют ИИ для выявления потенциальных уязвимостей или обнаружения подозрительной активности.
Однако следует отметить два вектора потенциальных атак, в которых искусственный интеллект может существенно упростить работу злоумышленникам. Первый – генеративный ИИ, который способен сам написать и выполнить код, чтобы автоматически, без участия программиста, добавлять новые функции в систему. При этом любой слабо контролируемый запуск программного кода – потенциально критическая угроза для всей системы.
Второй – улучшенные методы социальной инженерии. Уже сейчас технологии дипфейков позволяют изменять голос или генерировать видеообращение конкретного человека. Убедительно выдав себя за другого человека, злоумышленник может уговорить жертву не только перевести ему деньги, но также выдать корпоративные тайны или получить доступ к персональным данным пользователей.
Отдельно стоит сказать про сценарии, в которых решения, принятые искусственным интеллектом, приводят к нежелательным последствиям. Это могут быть как ДТП с участием беспилотных автомобилей, так и более фантастичные варианты восстания машин против всего человечества. Любая высокотехническая система должна иметь в себе определенные ограничения и дублирующие системы, а потенциально опасные действия обязательно должны контролироваться оператором. И если произошла критическая ошибка, то следует искать проблему в проектировке отдельно взятого технического средства. Хотелось бы отметить, что такой подход не является новым, ведь у нас и до бурного развития нейросетей были поезда метро, которые ездят сами по себе, и самолеты, которые 90% времени летают без непосредственного участия пилота.
Что касается банковской сферы, то здесь основными угрозами останутся хакерские атаки, социальная инженерия и утечка персональных данных. Это наиболее стандартные задачи информационной безопасности, с которыми финансовые учреждения уже научились справляться. Еще одна угроза, которая нанесет большие репутационные потери, – это дезинформация, или дипфейки. Они особенно актуальны для финансовых рынков Западной Европы и Северной Америки. Если мы берем страны «Большой семерки» и достаточно развитые страны Юго-Восточной Азии, такие как Малайзия, Сингапур, то здесь от репутации и событий, на нее влияющих, зависит в том числе стоимость акций финансовых организаций.
В ближайшие несколько лет станут популярнее угрозы, связанные с нейросетями и в целом технологиями искусственного интеллекта. Это позволит мошенникам автоматизировать часть атак. Как следствие, вырастет их количество. Одни нейросети будут искать уязвимости в инфраструктуре и сканировать порты, другие – рассылать фишинговые сообщения и «притворяться» сотрудниками ЦБ РФ и т. д.
С одной стороны, риски растут: у злоумышленников появились новые инструменты. С другой стороны, атаки, использующие ИИ, менее качественные из-за своей шаблонности. А сторона защиты также получила обновленный инструментарий, который можно использовать разносторонне. Мы, например, используем нейросети в своих решениях для распознавания лиц и смартфонов.
Долгосрочные риски лежат в области регулирования и работы ИИ и нейросетей. Здесь важно соблюдать баланс в принятии решений. Если, как сейчас, не контролировать разработку и использование ИИ, будут возникать вопросы авторского права и ответственности. Но если взять искусственный интеллект под жесткий контроль, сделав слишком строгую стандартизацию, возникнет вопрос «контроля контролеров».
Речевая аналитика, биометрия, голосовые помощники, облачные технологии и чат-боты стали неотъемлемой частью любых процессов. Внедрение ИИ в компании предполагает предоставление ему большого объема данных, необходимых для обучения и корректной работы. Однако эти данные могут быть уязвимы и подвержены утечке. Возникает необходимость в создании надежных систем, способных работать с большими объемами информации и обеспечивающих их безопасность.
Скомпрометированные персональные данные начинают работать против нас – уже сегодня мы наблюдаем заметный рост информационных атак, осуществляемых с использованием дипфейков. Это новая форма технологической атаки, основанная на глубоком обучении и искусственном интеллекте. С развитием и совершенствованием дипфейков они будут становиться более сложными и реалистичными. Разработка надежных методов обнаружения и анализа фейков, а также повышение уровня осведомленности об этой проблеме могут сыграть важную роль в сдерживании негативного воздействия таких технологий.
Говоря о технологических рисках ближайшего будущего, в первую очередь стоит отметить технологии ИИ. Скоро инструменты, позволяющие по запросу генерировать видео высокого качества, станут доступны для широкого использования. Они наделяют человечество уникальными возможностями, например, погружения в виртуальные миры, генерируемые в зависимости от контекста, но одновременно повышают риски дипфейков.
Так, мы не сможем доверять информации, которую видим своими глазами. Видео больше не будут являться убедительным свидетельством чего-либо. Это ставит вопрос функционирования СМИ. Быстро появятся новые виды мошенничества. В частности, набравшие обороты схемы телефонного мошенничества выйдут на новый уровень, когда злоумышленники будут звонить вам по видеосвязи, а вы не сможете отличить их от ваших друзей ни по голосу, ни по видео.
Другой тип угрозы тесно связан с мировыми процессами – деглобализация, формирование новых центров влияния, усиление противостояния между этими центрами и, конечно же, технологическим прогрессом, развивающимся экспоненциально. Мы в ICL Services видим существенный рост кибератак на критическую инфраструктуру государств, коммерческих компаний, популярных ресурсов.
Третий тип угроз на 3–5 лет связан с разделением глобальных рынков. Технологии будут распространяться неравномерно. С одной стороны, так было всегда: электричество тоже не везде появилось одновременно. Но скорость изменений сейчас несопоставима с показателями столетней давности. Это может привести к появлению огромных технологических разрывов во многих аспектах, включая обороноспособность (в физическом и цифровом мире), жизнь и здоровье граждан, способы производства и т. д. Отстающие в этом смысле страны и регионы рискуют никогда не догнать передовые и потерять возможность конкурировать на рынках.