Leto 2023 bo v analih kibernetske varnosti zaznamovano kot prehodno. Kvantno računalništvo je še vedno v povojih, umetna inteligenca je omejena na ustvarjanje večinoma avtentičnih pisnih in vizualnih vsebin in ne na splošno umetno inteligenco.
Nils Gerhardt, tehnični direktor in vodja izdelkov v podjetju Utimaco, je s svojo ekipo je opredelil pet ključnih trendov, ki bodo oblikovali kibernetsko varnost v letu 2024. Ob tem napoveduje, da bo leta 2024 prišlo na površje veliko tem, ki se kopičijo že več let. Po njegovem mnenju prihaja zanimiv čas za mnoge panoge, še posebej za kibernetsko varnost, ki bo v ospredju številnih pomembnih sprememb, ne samo v letošnjem letu, ampak tudi v prihodnje.
"Kmalu se bo pojavila tehnologija, ki bo omogočila preobrazbo kibernetske varnosti. Do takrat se bomo še naprej spopadali z naraščajočo stopnjo spletnega kriminala in nestabilnim gospodarstvom v večjem delu razvitega sveta." Nils Gerhardt, tehnični direktor in vodja izdelkov v podjetju Utimaco
PQC podobno kot problem letnice 2000
Prehod na post-kvantno kriptografijo (PQC) bo podoben prehodu na letnico 2000, ki je bil boleč za zastarele informacijske sisteme. Vendar pri PQC v nasprotju z letnico 2000 ni določenega datuma, kdaj bodo kvantni računalniki lahko razbili današnjo kriptografijo. Toda, ko bo prišel ta dan, bodo kvantni računalniki lahko razbili današnjo kriptografijo, kar bo vplivalo na celotno družbo. Za velike organizacije in vlade, ki so odvisne od starih sistemov, bi bil lahko ta vpliv še posebej nevaren.
»V primeru letnice 2000 si je industrija usklajeno prizadevala za zmanjšanje tveganja, da bi to povzročilo znatne posledice. Zdaj si je treba enako prizadevati za preprečitev podatkovne apokalipse v prihodnosti. Gre za dolg proces prilagajanja realnosti kvantnega računalništva in post-kvantne kriptografije, ki pa se je že resno začel in se bo letos še pospešil,« je dejal Gerhardt.
Ti mehanizmi bi se lahko uporabljali tudi na drugih področjih razvoja programske opreme, kot so varnost dobavne verige, modeliranje groženj in celo nekaj tako vsakdanjega, kot je obvladovanje dokumentov.
Umetna inteligenca
Vladne agencije za kibernetsko varnost po vsem svetu se že združujejo pri oblikovanju varnostnih načel za umetno inteligenco, ki poudarjajo načrtovanje, razvoj, uvajanje, delovanje in vzdrževanje. Predsedstvo Sveta Evrope in Evropski parlament sta recimo dosegla dogovor o predlaganih in usklajenih pravilih za umetno inteligenco – o tako imenovanem zakonu o umetni inteligenci. Namen osnutka uredbe je zagotoviti, da bodo sistemi umetne inteligence, ki se ponujajo in uporabljajo v EU, varni in da bodo podpirali vrednote EU.
»Velik del tega, kar smernice določajo, so predlagani varnostni mehanizmi za učinkovit nadzor in urejanje umetne inteligence. Ti mehanizmi bi se lahko uporabljali tudi na drugih področjih razvoja programske opreme, kot so varnost dobavne verige, modeliranje groženj in celo nekaj tako vsakdanjega, kot je obvladovanje dokumentov,« ocenjuje Gerhardt.
Panoga kibernetske varnosti se sicer že srečuje z uporabo umetne inteligence pri kibernetskem kriminalu, čeprav zaenkrat še ni bila uporabljena pri večjih vdorih v velike institucije.
»Kot pri vsaki novi tehnologiji se tudi tu najdejo tisti, ki jo želijo uporabiti v dobro ali slabo. UI bo pomagala tudi pri odkrivanju napadov in obrambi omrežij/podjetij. Trdim, da bo, ker ima potencial, da to počne veliko bolj učinkovito kot ljudje in ker je zmožna izvajati korelacijo velikih zbirk podatkov, postala močan zaveznik za izboljšanje kibernetske varnosti,« je prepričan Gerhardt.
Že prej smo opozorili, da imajo projekti interneta stvari, ker vključujejo na stotine ali tisoče posameznih podatkovnih povezav, v primerjavi s tradicionalnimi namestitvami močno povečano površino za napade, zato enako velja tudi za trajnostne projekte.
Kibernetska varnost in trajnost
Kot pravi Utimacov tehnični direktor, se na prvi pogled zdi, da je praksa zagotavljanja varnosti digitalnih sistemov ter zagotavljanja trajnostnega razvoja podjetij in institucij le malo povezana. Vendar narašča konsenz, da sta obe področji bolj povezani, kot se zdi na prvi pogled.
»Prvič, kibernetski napadi povzročajo izgube. Čas, denar, električno energijo in nešteto drugih virov je treba porabiti za odpravo škode uspešnih napadov. Prav tako smo bili priča napadom, ki neposredno škodujejo okolju, na primer daljinski izklop čistilnih naprav za odpadno vodo,« pravi Gerhardt.
Na drugi strani doseganje trajnostnih ciljev, ne glede na to, ali so v okviru evropskega okvira za ocenjevanje okolijskih, družbenih in upravljavskih vidikov (ESG) ali ne, zahteva uvedbo novih tehnologij in njihovo spremljanje. To so večinoma naprave interneta stvari, na primer omrežja senzorjev CO2, mikrosolarna omrežja in tako naprej.
»Že prej smo opozorili, da imajo projekti interneta stvari, ker vključujejo na stotine ali tisoče posameznih podatkovnih povezav, v primerjavi s tradicionalnimi namestitvami močno povečano površino za napade, zato enako velja tudi za trajnostne projekte,« je izpostavil Nils Gerhardt.
Stanje, v katerem na 71 odstotkov organizacij vpliva vrzel pri usposobljenosti za kibernetsko varnost, ni trajnostno.
Znanje in spretnosti
V Utimacu predvidevajo, da bo leta 2024 končno prišlo do napredka pri premoščanju velike vrzeli med potrebami organizacij in razpoložljivim številom in usposobljenostjo strokovnjakov za kibernetsko varnost.
»Stanje, v katerem na 71 odstotkov organizacij vpliva vrzel pri usposobljenosti za kibernetsko varnost, ni trajnostno. Enostavno je problem dosegel točko, ko ga ni več mogoče ignorirati in je glede tega dovolj hrupa, da se bo nekaj naredilo,« razmišlja Gerhardt.
Rešitev vidi v stalnem posodabljanju usposabljanja na univerzitetni ravni za strokovnjake za kibernetsko varnost, vendar bi trajalo več let, da bi naslednja generacija strokovnjakov opravila usposabljanje in se vključila kot delovna sila. Varnostne rešitve ponudnikov storitev v oblaku lahko prav tako zmanjšajo tveganje, tretja rešitev pa je prekvalifikacija in izpopolnjevanje kadrov znotraj podjetij.
Odpornost infrastrukture
Krhkost našega sedanjega ekosistema poudarja dovzetnost infrastrukture za napade, ki lahko povzročijo motnje v delovanju celotnih sistemov. Že tako preprost scenarij, kot je prekinitev ključnih kablov, nas lahko vrne v tehnološko kameno dobo, kar izpostavlja, da nujno potrebujemo zanesljivo obrambo.
»Danes potekajo številne pobude za dopolnitev tradicionalnih zemeljskih infrastruktur s satelitskimi rešitvami za komunikacijo in infrastrukturo. Vendar to prinaša nov izziv – zagotoviti varnost teh vesoljskih tehnologij,« poudarja Gerhardt.
Šele z uporabo več slojev varnostnih ukrepov nad osnovno infrastrukturo, kot je recimo šifriranje povezav med sateliti, bo zagotovljena ustrezno visoka raven varnosti, ki je potrebna za kritične podatke.
Kot kažejo Utimacove napovedi, prihodnost ne zahteva le tehnoloških inovacij, temveč tudi temelje zaupanja in varnosti, ki bodo utrdili medsebojno povezani svet. Vendar je na voljo že veliko preizkušenih tehnologij, ki samo čakajo na primerno uporabo pri poslovanju v gospodarstvu in v javnem sektorju. Pričakovanja, da bodo končno zavzele pravo mesto v sistemih informacijske in kibernetske varnosti, so v luči prihajajočih zakonodajnih zavez v EU povsem realna.
