ChatGPT ja kyberturvallisuus
Viime vuoden loppupäässä OpenAI avasi keinoälyllä ohjatun ChatGPT -palvelun kaikille kiinnostuneille arvioitavaksi. Varmasti kaikki, jotka ovat palvelua nyt kokeilleet, ovat olleet yllättyneitä siitä, kuinka hyvin ChatGPT:n keinoäly suoriutuu hyvin moninaisista tehtävistä ja kysymyksistä. Erityisen hyvin se näyttää suoriutuvan ohjelmointitehtävistä, jopa pelottavan hyvin. Palvelusta saattaa hyvinkin tulla välttämätön työkalu kaikille tietotyötä tekeville, aivan kuten Googlesta nettiä käyttäville.
Parhaimmillaan ChatGPT tarjoaa täsmällistä ja hyvin kuvattua tietoa sille, joka osaa kysyä siltä täsmällisiä asioita. Tietoturva-ammattilainen voi pyytää sitä tuottamaan skriptit ja koodipätkät esim. verkkoturvajärjestelmien ohjaamiseen, konfiguroimiseen tai syötteiden järjestelyyn. Tehokkaasti käytettynä uskon, että ChatGPT tulee eksponentiaalisesti kasvattamaan tietoturvatiimien työsuoritusten nopeutta ja laajuutta ja sitä kautta helpottamaan ylityöllistettyjen tietoturvatiimien työtaakkaa ja vahvistamaan näiden tehokkuutta. Kroonista pulaa tietoturva-ammattilaisista keinoäly tuskin poistaa, mutta todennäköisesti se pystyy ainakin auttamaan kilpajuoksussa haittatoimijoita vastaan.
Joulukuun F-Alert uutiskirjeessä F-Securen Laura Kankaala huomauttaa, että vaikka ChatGPT on ohjeistettu välttämään haittaohjelmistojen tuottamista ja kalastelukirjeiden laatimista, on selvää, että taitava yksilö voi teetättää sillä korkealaatuisia puijausviestejä tietojen kalasteluun. Samalla tavalla taitava yksilö voi luonnollisesti pyytää keinoälyä tuottamaan kehittyneitä koodinosia tai ohjausskriptejä, joita voi hyödyntää myös rikolliseen toimintaan. Koodin ja tiedon kaksoiskäyttöä, kun on lähes mahdoton estää koska mikä muu erottaa hyökkäävän haittaohjelman suojaavalta vastatoimelta, kuin niiden lopullinen käyttötarkoitus?
Koska haittakoodin tuottamista ChatGPT:n avulla on helpompi estää kuin kaksoiskäyttöisen “suostuttelukirjeen” laatimista lailliseen markkinointiin tai rikolliseen tietojen kalastelutarkoitukseen, varoittaa F-Securen Laura Kankaala entistä taitavampien kalasteluhyökkäysten kasvavasta riskistä. Tämä riski on jo nyt arkea ja ChatGPT lisää riskiä vain entisestään. Niin kauan, kun käyttäjien tunnistaminen perustuu salasanapohjaiseen tai ns. jaetun salaisuuden menetelmään (Microsoft MFA, Duo Mobile, Okta, Ping, Google Authenticator jne.), ei käyttäjä tai organisaatioverkko ole suojassa hyvin tehdyltä tietojen kalastelulta. Mikäli keinoäly osataan valjastaa tietojen kalasteluun yhtä hyvin kuin mitä ChatGPT osaa tuottaa ohjelmakoodia, niin mikään käyttäjän oma toiminta ei enää pysty suojaamaan yritystä tietomurroilta. Ainoa jäljelle jäävä ratkaisu on siirtyä kaikkien käyttäjien vahvaan salasanottomaan tunnistamiseen. Tämä prosessi kannattaa aloitta viimeistään nyt, koska tietoturva ei juurru toimintakulttuuriin parissa viikossa vaan siirtymälle pitää antaa aikansa.
Spear Innovations Oy tuottaa pelkästään vahvaan salasanottomaan tunnistukseen perustuvat tunnistusratkaisut ja -palvelut mobiilisti, henkilökortilla tai USB-avain- ja FIDO2 -ratkaisuilla. Ota yhteyttä niin järjestetään demo salasanottamaan kirjautumiseen!