Algorytmy AI nie dominują dziś ani w obszarze cyberobrony, ani cyberataków. Nic też nie zapowiada, aby jeszcze przez dłuższy czas miało do takiej zmiany dojść. Obecnie to ludzie są po obu stronach barykady – ciemnej i jasnej strony – cyberbezpieczeństwa. I to oni są podstawą gry o bezpieczeństwo firm i instytucji.

Czy sztuczna inteligencja ma dzisiaj w ogóle znaczenie w cyberbezpieczeństwie? Na tak sformułowane pytanie można odpowiedzieć najkrócej, że algorytmy AI grają ważną, pożyteczną rolę wszędzie tam, gdzie trzeba zrobić coś szybko (np. zablokować atak) albo przeanalizować ogromną ilość danych (np. logów). Należy jednak w tym miejscu postawić wyraźne zastrzeżenie. Mówimy o algorytmach, którym raczej daleko jeszcze do sztucznej inteligencji, do jakiejś mocno posuniętej autonomii.
Miraż ofensywnego Cybersec-AI
Algorytmy uczenia maszynowego są zatem przydatne w detekcji anomalii, jednak daleko im – i nam – do etapu, w którym podejmowałyby decyzje obronne. Algorytmy co najwyżej wybierają wcześniej przygotowane strategie obronne według ściśle przygotowanych zasad. Dlaczego? Ponieważ nic nie zapowiada, abyśmy mieli przekroczyć podstawowe ograniczenie algorytmów opartych na uczeniu maszynowym. Uczenie maszynowe ma to do siebie, że skuteczność wyniku działania już nauczonego algorytmu jest ściśle zależna od tego, czego się algorytm nauczył. Zupełnie jak w przypadku dzieci. Ich wiedza jest ściśle zależna od tego, jak były uczone.
Tym bardziej trudno sobie wyobrazić dzisiaj, aby konstruować – na podstawie dostępnych metodyk – modele i narzędzia o charakterze AI, które miałyby aktywnie i ofensywnie przeciwdziałać cyberzagrożeniom, „utrzymywać ład i porządek” w otoczeniu firmy, na cyberszlakach łączących ją z partnerami biznesowymi, klientami, administracją. Tak jak na dawnych szlakach handlowych – prywatne armie prowadzą do chaosu rodem z Dzikiego Zachodu. Prawa powinno więc strzec cyfrowe państwo. Myślę, że to dobra analogia.
W biznesie nigdy bym się nie odważył zdać na AI w kwestii podejmowania działań ofensywnych. I tylko w ograniczonym zakresie – działań defensywnych. Zbyt łatwo zrobić coś sprzecznego z prawem, zbyt mocno regulowany mamy świat. Z drugiej strony, nauczanie AI powinno być skonstruowane tak, aby Prawa Robotyki były zaimplementowane w sposobie działania AI. Czy to AI na potrzeby bezpieczeństwa, czy jakiekolwiek inne. Myślę, że to jednak nie kwestia regulacji, ale zdrowego rozsądku.
Dowodzą ludzie, nie AI
Jasna strona mocy dziś wygrywa i to nie dzięki algorytmom AI, tylko ludziom, którzy te algorytmy tworzą oraz tym, które te algorytmy wykorzystują w codziennej pracy. Masowe zastosowanie AI może wiele zmienić. Może przyspieszyć działania ludzi, zastąpić ludzi w wielu czynnościach, które są pracochłonne lub trudne dla ludzi, ale nie dla komputerów. Ale powtórzę, w biznesie nie powierzyłbym jeszcze AI funkcji decyzyjnych… Istnieją obszary, gdzie już dziś te funkcje decyzyjne można sobie wyobrazić. Nie zawaham się stwierdzić, że takim obszarem jest wojsko i sprawy obronności. Tam ograniczenia prawne są mniejsze, zadania większe – utrzymanie cyber ładu i porządku w polskiej cyberprzestrzeni. I tam prędzej można sobie wyobrazić „wojny algorytmów”.
Użycie AI oczywiście spowoduje zmiany w kompetencjach w tych obszarach, gdzie zabierze pracę ludziom. Podobnie jak to mam miejsce przy robotyzacji procesów. Ludzie będą musieli uczyć AI, a nie wykonywać te czynności osobiście. Będą również musieli rozumieć lepiej jak działa AI. Po to, aby znajdować ich słabe punkty, dlatego że będą to zarazem słabe punkty obrony. To ważny obszar, gdzie my, ludzie cyberbezpieczeństwa, kierujemy dzisiaj uwagę. Niewątpliwie AI stanie się najpierw uzupełnieniem, dopełnieniem wysiłków ludzi na tym polu, zanim zacznie zastępować ich przy niektórych działaniach. Stwarza to czas na dostosowanie kompetencji, być może wykreowanie nowych.
Piotr Skibiński, dyrektor bezpieczeństwa ICT w Polkomtelu
O zastosowaniu AI w cyberbezpieczeństwie interesująco wypowiadali się na naszych łamach także Przemysław Dęba, CSO w Orange Polska oraz Jan Kostrzewa, CISO w Ministerstwie Sprawiedliwości.