Jen Easterly, a korábbi CISA vezetője, egy nemrégiben San Diegóban tartott konferencián azt állította, hogy a mesterséges intelligencia (AI) forradalmi változásokat hozhat a kiberbiztonság területén, olyannyira, hogy akár az egész iparág megszűnéséhez is vezethet. Az ok? A hibás, sebezhető szoftverek gyorsabb és hatékonyabb feltérképezése, amelyekre a bűnözők hagyatkoznak.
A fenyegetettségi környezet folyamatos változása
Easterly az AuditBoard felhasználói konferenciáján hangsúlyozta, hogy a fenyegetettségi környezet soha nem áll meg az evolúcióban. Az adatok, platformok és eszközök rohamos terjedése jelentősen megnövelte a támadási felületet olyan kibertámadók számára, mint Kína, Oroszország, Irán, Észak-Korea vagy különböző bűnbandák.
„Ha a kiberbűnözés egy ország lenne, akkor a harmadik legnagyobb lenne a világon, közvetlenül az Egyesült Államok és Kína mögött.” – fogalmazott Easterly.
A valódi probléma: rossz minőségű szoftverek
Az ex-CISA vezető szerint azonban nem maga a kiberbiztonság jelenti az alapvető problémát, hanem a szoftverek minősége. A sebezhetőségek és hibák tömege miatt válik lehetővé a támadások sikeressége. Ennek hátterében pedig az áll, hogy a szoftverfejlesztők gyakran a piacra jutás sebességét és költségcsökkentést helyezik előtérbe a biztonság rovására.
Az AI kettős szerepe: támogató és védekező eszköz
A mesterséges intelligencia egyaránt növeli a támadók képességeit és segíti a védelmet. Easterly rámutatott, hogy az AI segítségével a rosszindulatú programok egyre rejtettebbé válhatnak, valamint megjelennek az úgynevezett „hiperszemélyre szabott adathalász” technikák. Ugyanakkor az AI képes gyorsabban felismerni és feltárni a sebezhetőségeket is.
A CISA ezért saját AI akciótervet dolgozott ki, amelynek célja, hogy az új technológiák alkalmazásával előnybe hozza a védelmezőket. Ez magában foglalja:
- a fenyegetések gyorsabb felismerését,
- hatékony ellenintézkedések kidolgozását,
- a támadásokból való tanulást,
- a sebezhetőségek azonosítását és
- a biztonságos szoftvertervezést (secure by design).
A jövő: amikor a biztonsági incidens lesz az anomália
Easterly szerint ha sikerül biztonságosan fejleszteni és szabályozni ezeket az erőteljes technológiákat, akkor eljöhet az idő, amikor egy biztonsági incidens nem lesz mindennapos költség vagy veszélyforrás, hanem kivételes esemény. Ez gyakorlatilag azt jelentené, hogy véget érne a hagyományos értelemben vett kiberbiztonsági ipar.
A hackerek mítoszának lebontása
Easterly kiemelte annak fontosságát is, hogy ne idealizáljuk vagy misztifikáljuk túl a hackereket. Olyan nevekkel illetni őket, mint Fancy Bear vagy Scattered Spider csak felesleges félelmet kelthet. Szerinte sokkal találóbb elnevezések lennének például „vékony kis kellemetlenség” vagy „gyenge nyest”.
Továbbá fontos tisztázni valódi technikai képességeiket is. Az olyan kifejezések mint „advanced persistent threat” (APT) elfedik azt a tényt, hogy ezek a támadók főként ugyanazokat az évtizedek óta ismert sebezhetőségeket használják ki. Például Kína Népi Felszabadító Hadserege nem egzotikus kibervédelmi fegyverekre támaszkodik háborús helyzetben Tajvan ellen, hanem egyszerűen kihasználja például routerek vagy hálózati eszközök hibáit.
A hangsúly áthelyezése: áldozatok helyett valódi okokra
Easterly szerint túl gyakran kerül fókuszba az áldozatok hibája vagy felhasználói viselkedésük elemzése. Bár ez lehet egy nyom kezdete egy vizsgálatnak, nem szabad ez legyen a végkövetkeztetés. A valódi figyelmet arra kell fordítani, hogy olyan alapvető sebezhetőségek – mint cross-site scripting (XSS), memóriabizonytalan kódolás (memory unsafe coding), SQL injection vagy könyvtárbejárás (directory traversal) – még mindig jelen vannak sok szoftverben.
„Nem újdonságokról van szó… Ezek voltak az aranykor klasszikusai.”
A szoftveripar felelőssége és az AI megoldási lehetőségei
A problémát tovább súlyosbítja, hogy sok szoftvercég áthárította a kockázatot ügyfeleire és meggyőzte a szabályozókat ennek elfogadhatóságáról. Easterly szerint azonban az AI ebben jelenthet áttörést: sokkal hatékonyabban képes követni és felismerni a kódhibákat.
Ezáltal kezelhetővé válhat az évtizedeken át felhalmozódott technikai adósság – egy olyan „instabil infrastruktúra kusza hálója”, amelyet túl sok javítás és foltozás jellemez.
Az amerikai adminisztráció támogatása az AI szabályozásában
Easterly támogatja az aktuális amerikai kormányzat AI szabályozási törekvéseit is. Kiemelte:
„A jó hír az, hogy az adminisztráció továbbra is kiáll amellett az elképzelés mellett, hogy széles körben biztonságos alapokra kell helyezni a szoftverfejlesztést.”
Különösen fontosnak tartja azt is, hogy a Fehér Ház által nemrégiben kiadott AI Akcióterv konkrétan foglalkozik a kiberbiztonsággal és hangsúlyozza: minden AI rendszert biztonsági szempontból kell tervezni és fejleszteni.
Belső kontrollok és jövőbeli kihívások
Az AuditBoard CISO-ja, Richard Marcus kérdésére válaszolva Easterly elmondta: cégeiknél hasznosnak bizonyultak azok az elvek, amelyek alapján beszállítóikat értékelik biztonság szempontjából. Ugyanakkor belső csapataikra is alkalmazzák ezeket az elveket annak érdekében, hogy termékeik megfeleljenek ugyanazon magas követelményeknek.
Marcus arra volt kíváncsi, mi lesz 2024 legfontosabb témája Easterly szerint. Ő így válaszolt:
„A kulcs abban rejlik, hogy többet követeljünk meg maguktól a szoftverszállítóktól. Itt keletkezik ugyanis leginkább a kockázat – és itt van meg mindannyiunk ereje arra, hogy jelentősen csökkentsük ezt.”
Összegzés
Jen Easterly meglátásai alapján tehát egyértelműen kijelenthető: bár ma még komoly kihívásokkal néz szembe a kiberbiztonsági ipar – elsősorban rosszul megírt szoftverek miatt –, az AI fejlődése lehetőséget kínál arra, hogy radikálisan átalakuljon ez a terület. Ha sikerül megfelelően integrálni és szabályozni ezt az új technológiát úgy, hogy közben elsődleges szempont legyen a biztonságos tervezés és fejlesztés („secure by design”), akkor akár eljöhet egy olyan korszak is, amikor egy biztonsági incidens már csak kivételes eset lesz – nem pedig üzleti költség vagy mindennapos veszélyforrás.
Kiberbiztonság és AI kapcsolata tehát kulcsfontosságú téma 2024-ben is – mind fejlesztőknek, mind vállalatoknak érdemes erre fókuszálniuk.
Forrás: https://www.theregister.com/2025/10/27/jen_easterly_ai_cybersecurity/