Cyberprzestępcy wykorzystują rozwój sztucznej inteligencji do własnych celów, opracowując nowe metody ataków. Podpinają się także pod aktualne trendy – trwającą za wschodnią granicą wojnę czy wybory. Jakie są koszty ich ataków? Co zmienia się w regulacjach w związku z postępującym rozwojem technologii? Oto najważniejsze cyberzagrożenia i idące za nimi regulacje w 2024 r.
Spis treści
- Generatywna AI
- Cyberwojna i oszustwa nawiązujące do konfliktu zbrojnego
- Oszustwa związane z wyborami
- Koszty cyberataków w 2024 r.
- Zmiany w prawie w ujęciu cyberbezpieczeństwa w 2024 r.
Generatywna AI
Zaawansowane modele sztucznej inteligencji z zakresu generative adversarial network (GAN) z wykorzystaniem danych treningowych i dostarczonych im wzorców potrafią generować fikcyjne, ale wyglądające na prawdziwe zdjęcia, obrazy i materiały wideo.
Fikcyjne materiały tworzone chociażby przez takie narzędzia, jak Midjourney, Adobe Firefly, Stable Diffusion czy DALL-E często są trudne do odróżnienia od rzeczywistości i już teraz są szeroko wykorzystywane w internecie.
Technologia generatywnej sztucznej inteligencji sama w sobie nie jest negatywnym zjawiskiem. Jej ogromne możliwości mogą być jednak wykorzystywane do szeroko pojętej manipulacji i dezinformacji. Tworzone materiały mogą przedstawiać fikcyjne wydarzenia czy prezentować własną narrację, by manipulować opinią publiczną.
Generatywna AI może być wykorzystywana do szantażowania osób poprzez przedstawianie ich w kompromitujących sytuacjach, atakowania np. polityków przeciwnej partii czy wywoływania wśród internautów skrajnych emocji poprzez prezentowanie nieistniejących wydarzeń.
Obroną przed tego typu zabiegami jest przede wszystkim świadomość istnienia problemu. W dzisiejszym świecie należy z jeszcze większą ostrożnością podchodzić do informacji napotykanych w internecie i czerpać wiedzę wyłącznie z zaufanych źródeł.
Dowiedz się więcej o cyberatakach z wykorzystaniem sztucznej inteligencji
Cyberwojna i oszustwa nawiązujące do konfliktu zbrojnego
Trwająca za wschodnią granicą wojna to doskonała okazja dla cyberprzestępców, którzy na celownik wzięli m.in. osoby chcące pomóc poszkodowanym w wyniku działań zbrojnych. Dostrzec można również wzmożone działania hakerów po obu stronach konfliktu.
Oszuści podszywają się pod poszkodowanych
Od momentu rozpoczęcia wojny na Ukrainie wykryto wiele przykładów wyłudzeń finansowych. Scenariusz zazwyczaj jest podobny: oszuści podszywają się pod poszkodowanych i proszą o wsparcie finansowe, grając na uczuciach internautów i wywołując w nich współczucie. Tego typu oszustwa rozprzestrzeniają się m.in. na TikToku i innych platformach społecznościowych.
Nie ulega wątpliwości, że wielu obywateli Ukrainy może obecnie potrzebować pomocy. Jak więc odróżnić prawdziwe prośby o wsparcie od oszustw i nie paść ofiarą wyłudzenia? Jeśli chcemy wesprzeć ofiary wojny, najlepiej robić to wyłącznie oficjalnymi kanałami, wpłacając pieniądze na stronach internetowych organizacji, które zajmują się pomocą Ukrainie.
„
Jeśli chcemy wesprzeć ofiary wojny, najlepiej robić to wyłącznie oficjalnymi kanałami, wpłacając pieniądze na stronach internetowych organizacji, które zajmują się pomocą Ukrainie.
Uczestniczenie w atakach DDoS
Podczas wojny w internecie pojawiło się także wiele zachęt do uczestniczenia w atakach DDoS rzekomo wymierzonych w Rosję. Teoretycznie każdy po pobraniu „prostych w obsłudze narzędzi” mógł stać się hakerem w imię dobrej sprawy.
Uczestniczenie w takich akcjach jest dużym ryzykiem. Po pierwsze jest to nielegalne – przeprowadzanie ataków DDoS jest według polskiego prawa przestępstwem. Po drugie nigdy nie wiadomo, czym dokładnie jest służące rzekomo do ataków DDoS oprogramowanie. Równie dobrze może ono wykradać prywatne informacje z urządzenia użytkownika. Po trzecie internauta nie ma pewności, czy generowane przez niego ataki rzeczywiście są wymierzone w rosyjską infrastrukturę teleinformatyczną.
Wojna w cyberprzestrzeni
Od początku wojny w ukraińskiej cyberprzestrzeni wzrosła liczba ataków phishingowych na dostawców internetu, infrastrukturę komunikacyjną czy administratorów domen. Działania te mają na celu zdestabilizowanie ukraińskiej infrastruktury internetowej. Pierwsze ataki wykryto na chwilę przed wybuchem konfliktu zbrojnego.
Ataki phishingowe mogą być również wymierzone w jednostki pomagające Ukrainie, w tym także w polskie organizacje. Warto więc teraz zwracać szczególną uwagę na odnośniki, które klikamy w internecie i pod żadnym pozorem nie pobierać i nie otwierać nieznanych załączników wiadomości.
Oszustwa związane z wyborami
Doskonałą okazją dla oszustów są także wybory. W 2024 roku odbyły się wybory samorządowe. Już w czerwcu czekają nas wybory europejskie, a w przyszłym roku wybory prezydenckie. W okresie poprzedzającym te wydarzenia warto zwracać szczególną uwagę na zagrożenia w sieci.
Wyłudzenia danych osobowych
Wybory europejskie poprzedzone będą zbieraniem podpisów dla kandydatów do Parlamentu Europejskiego. Osoby popierające danego kandydata proszone są o podanie na liście swojego numeru PESEL, imienia i nazwiska, podpisu oraz adresu zamieszkania.
Są to wrażliwe dane, które równie dobrze mogą posłużyć oszustom do zaciągnięcia kredytu na daną osobę czy podpisania umowy z operatorem GSM w celu wyłudzenia smartfona. Statystycznie do takich oszustw w okresie kampanii wyborczej dochodzi co 12 minut.
Jak się przed tym bronić? Przede wszystkim należy weryfikować osoby zbierające podpisy i upewnić się, że nie mamy do czynienia z oszustem. W tym celu warto poprosić o zaświadczenie z Państwowej Komisji Wyborczej i zwrócić uwagę, czy jest ono prawdziwe.
Wyłudzenia na komisje wyborcze
W okresie wyborów oszuści mogą też aktywnie działać w internecie, publikując ogłoszenia o możliwości zostania członkiem komisji wyborczej. Taka rola podczas wyborów wiąże się z atrakcyjną gratyfikacją finansową, dlatego cieszy się sporą popularnością.
Cyberprzestępcy mogą w ten sposób wyłudzać dane osobowe, które później posłużą im np. do zaciągnięcia kredytu. Z tego też względu chcąc zostać członkiem komisji wyborczej, warto korzystać wyłącznie z oficjalnych kanałów, czyli skontaktować się z komitetem wyborczym, zgłaszając swoją kandydaturę urzędnikowi wyborczemu lub pełnomocnikowi komitetu wyborczego.
Fałszywe wiadomości SMS
Przed wyborami oszuści mogą także wysyłać fałszywe wiadomości SMS i e-mail, podszywając się pod komitety wyborcze. Mogą to być działania dezinformacyjne, mające na celu wpłynięcie na wyniki wyborów, ale także phishingowe.
W wiadomościach mogą bowiem być zaszyte linki prowadzące do fałszywych stron wyłudzających np. dane osobowe lub bezpośrednio pieniądze. Warto więc pamiętać, by nie klikać w podejrzane linki i dokładnie weryfikować autentyczność otrzymywanych informacji.
Koszty cyberataków w 2024 r.
Cyberataki stają się coraz bardziej dopracowane, a co za tym idzie – skuteczne. Cybersecurity Ventures szacuje, że w 2023 r. kampanie cyberprzestępców wymierzone w firmy, organizacje, jednostki rządowe i użytkowników indywidualnych spowodowały straty rzędu 8 bilionów dolarów amerykańskich. W 2024 roku koszty te mają wzrosnąć nawet do 9,5 biliona dolarów, a rozwój sztucznej inteligencji ma przyspieszyć ten trend o kolejne 11%, czyli do 10,5 biliona dolarów w 2025 roku.
Według analiz Statista cyberataki już teraz postrzegane są jako największe źródło zagrożeń dla firm, wyprzedzając nawet przerwy w działalności gospodarczej i czynniki makroekonomiczne.
Kto płaci za straty wywołane przez cyberprzestępców?
Zdawałoby się, że straty firm wywołane atakiem cyberprzestępców zwykłego użytkownika w ogóle nie dotyczą. Nic bardziej mylnego. Jak wynika z raportu IBM, przedsiębiorstwa przerzucają poniesione straty na swoich klientów, podnosząc ceny usług czy oferowanych subskrypcji.
Naruszenia wrażliwych danych powodują najwięcej strat
Naruszenia bezpieczeństwa i kradzież danych są jednym z najczęstszych ataków cyberprzestępców wymierzonych w firmy. Straty wynikające z takiego ataku to średnio nawet 4,45 miliona dolarów. Znacznie większe są w przypadku firm na terenie Stanów Zjednoczonych i wiążą się z utratą średnio 9,5 miliona dolarów.
Duże straty powodują też ataki ransomware, które szyfrują dostęp do ważnych plików i żądają okupu w zamian za ich odblokowanie. Średnie straty wywołane takim atakiem to 4,54 miliona dolarów. Uśrednione koszty odzyskania danych to dodatkowe 1,85 miliona dolarów.
Kto jest najbardziej narażony na atak?
Opieka zdrowotna i finanse to dwa sektory najbardziej narażone na ataki cyberprzestępców. Jest to związane z przechowywaniem wrażliwych informacji, takich jak dane osobowe, historia medyczna czy numery kart płatniczych, które następnie mogą być sprzedane na czarnym rynku lub posłużyć do kolejnych nadużyć. Firmy z sektora medycznego ponoszą najwyższy średni koszt ataku cyberprzestępców – aż 10,93 miliona dolarów.
Z kolei sektor produkcyjny jest najbardziej narażony na ataki ransomware (aż 30% odnotowanych incydentów ransomware w 2023 roku dotyczyło właśnie tego sektora). Branża ta posiada niską tolerancję na ewentualne przestoje operacyjne, co sprawia, że firmy są bardziej skłonne do zapłacenia okupu w celu wznowienia produkcji.
Cyberprzestępcy chętnie atakują też firmy z sektora IT, które często biorą udział w utrzymaniu podstawowych usług. Zakłócenia działania przedsiębiorstw z tej branży mogą mieć duży zasięg, przez co są atrakcyjne dla hakerów.
Osobną kategorią są także znane i wpływowe osoby. Oprócz polityków, szefów dużych koncernów czy milionerów, oszuści często za cel obejmują także influencerów, szczególnie w kontekście wykorzystania deep fake i kradzieży danych.
Zmiany w prawie w ujęciu cyberbezpieczeństwa w 2024 r.
NIS 2 i CER
Nadchodzącą ewolucją prawa krajowego jest przyjęta przez Unię Europejską dyrektywa NIS 2 oraz CER. Obie mają zostać wdrożone w Polsce do 17 października 2024 roku. Ich celem jest zapewnienie wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium UE. Dotyczą one podmiotów kluczowych i ważnych, zarówno publicznych jak i prywatnych. Nowymi przepisami objęte będą również średnie i duże przedsiębiorstwa.
NIS 2 nakłada na objęte podmioty obowiązek wdrożenia środków zarządzania ryzykiem w cyberbezpieczeństwie oraz konieczność zgłaszania poważnych incydentów. Dyrektywa wprowadza też system środków nadzoru i możliwość nakładania kar pieniężnych przez regulatora w celu egzekwowania przepisów.
Dyrektywa CER dotyczy przede wszystkim ustanowienia ram odporności podmiotów krytycznych, włącznie ze strategią odporności i oceną ryzyka oraz mechanizmem identyfikacji podmiotów krytycznych.
W efekcie podmioty uznane za krytyczne będą musiały wdrożyć w swoich strukturach odpowiednie środki techniczne i organizacyjne, które zapewnią im wysoką odporność na incydenty.
Każde państwo członkowskie w ramach CER będzie musiało wyznaczyć organ nadzorujący, który uzyska takie środki nadzoru jak przeprowadzanie kontroli oraz zlecanie audytów.
Sprawdź nasze darmowe poradniki i programy
Rozporządzenie o cyberodporności
Sporą rewolucją dotyczącą znacznie większego grona odbiorców jest rozporządzenie o cyberodporności. Ma ono być uchwalone w pierwszej połowie 2024 roku i zacząć obowiązywać w ciągu 24-36 miesięcy od daty wejścia w życie.
Najważniejsze założenia rozporządzenia:
- dotyczy ono wszystkich produktów cyfrowych, które w jakikolwiek sposób łączą się z innym urządzeniem lub siecią, wprowadzając obowiązkowe wymogi w zakresie cyberbezpieczeństwa.
- jego celem jest wprowadzenie podstawowego poziomu zabezpieczeń chroniącego firmy i konsumentów przed cyberzagrożeniami.
- określa ono wymogi związane z procedurami w przypadku wykrycia podatności wprowadzonych przez producentów w całym cyklu życia produktu.
- produkty z elementami cyfrowymi będą oznaczane znakiem CE, który wskazuje na spełnienie odpowiednich norm.
- naruszenie wymogów przez producentów będzie się wiązać z wysokimi karami finansowymi.
Akt w sprawie sztucznej inteligencji
Akt będzie dotyczyć zarówno producentów wdrażających usługi bazujące na sztucznej inteligencji, jak i ich użytkowników, także tych zarejestrowanych poza Unią Europejską.
Najważniejsze założenia aktu:
- ma on ograniczać ryzyka związanie ze stosowaniem sztucznej inteligencji.
- wprowadza listę niedozwolonych narzędzi SI (np. systemów, które tworzą bazy danych rozpoznawania twarzy na podstawie zdjęć pobranych z internetu).
- wprowadza podział na narzędzia SI ze względu na poziom ryzyka.
- nakłada dodatkowe wymogi na narzędzia sklasyfikowane wysokim poziomem ryzyka.
- reguluje działanie generatywnej SI. Dostawcy takich usług będą musieli informować użytkowników, że treści powstały z wykorzystaniem sztucznej inteligencji. Trenowanie modeli nie będzie mogło łamać praw autorskich obowiązujących w UE, a dostawcy będą zobowiązani do udostępniania podsumowania wykorzystanych danych treningowych.
- w każdym państwie UE ma powstać organ ds. sztucznej inteligencji.
- nakłada wysokie kary finansowe za nieprzestrzeganie przepisów aktu.
Akt o usługach cyfrowych
Celem aktu o usługach cyfrowych jest zapewnienie bezpiecznego środowiska cyfrowego. Reguluje on sposób, w jaki dostawcy usług cyfrowych wchodzą w interakcję z użytkownikami w kontekście reklamy i handlu elektronicznego.
Dotyczy on dużych platform internetowych, które mają przynajmniej 45 milionów użytkowników, takich jak dostawcy usług hostingu, serwisy społecznościowe, platformy handlowe, sklepy z aplikacjami, serwisy umożliwiające zakup usług turystycznych czy wynajem lokali od osób prywatnych.
Najważniejsze założenia aktu:
- regulacja sposobu i zakresu odpowiedzialności prowadzenia działalności w internecie.
- wprowadzenie nowych zasad moderowania treści w sieci, w tym przeciwdziałania treściom szkodliwym i nielegalnym.
- nadanie nowych uprawnień użytkownikom, którzy nie zgadzają się z działaniami podejmowanymi w stosunku do nich przez pośredników internetowych.
- zwiększenie bezpieczeństwa handlu elektronicznego, głównie w kontekście transakcji B2C.
- zwiększenie transparentności i wprowadzenie ograniczeń dla reklamy internetowej.
- w każdym kraju powstanie organ koordynujący usługi cyfrowe.
- system sankcji za nieprzestrzeganie przepisów zakłada kary finansowe w wysokości maksymalnie 6% rocznego przychodu dostawcy usług pośrednich.
Źródło zdjęć: depositphotos.com