Vlček taky popisuje i jednu z největších nastupujících hrozeb pro jednotlivce: takzvaný chat Love-GPT, který dokáže obejít zabezpečovací mechanismy.
Gen se podílí na vývoji evropské digitální peněženky spojené s digitální identitou. Může to pomoci k větší ochraně osobních údajů?
Hlavní myšlenka spočívá v tom, že pokud provozujete službu na internetu, tak si u vás lidé vytváří účty a vy chtě nechtě schraňujete jejich osobní data v databázi. To je model starý padesát let, který se nijak nezměnil a vede mimo jiné právě k útokům na taková data.
Lepší model je, když mají lidé data u sebe a mohou je selektivně poskytovat komu chtějí, například e-shopu. Taková decentralizace je podle mě lepším modelem, ke kterému nyní stavíme infrastrukturu.
Ondřej Vlček
|
Chceme minimalizovat počet služeb, které mají nějaký registr osobních údajů. Třeba takový prodavač květin to přece vůbec nepotřebuje.
V čem má být evropská digitální peněženka lepší než podobné aplikace od Googlu nebo Applu?
Nejde o tu aplikaci samotnou, je jedno, jestli to je Apple Wallet nebo Gen Wallet. Jde o to, co umí. Ty stávající nemají takové rozhraní, jsou to lokální úložiště, která neumí vyměňovat data s ostatními tak, jak to nyní budujeme my.
V jaké jste nyní s digitální peněženkou fázi?
Jsme ve fázi vývoje. V Americe se testuje beta verze, kterou chceme příští rok testovat i v Evropě. Pracujeme také v rámci evropské regulace eIDAS, která chce sjednotit standardy digitálních peněženek v rámci sedmadvacítky. To by mělo jít do produkce kolem roku 2026.
Od ledna budeme mít v Česku e-doklady. Je to dobře?
Bude to náhražka za klasické plastové doklady, místo kartičky ukážu mobil. Splňovat to evropské regulace nebude, v principu je to ale dobré. Hlavně pro ty, kteří už nechtějí nosit peněženku.
Pozor na Love-GPT
Kyberútoků v poslední době rapidně přibývá. Na jaké kyberhrozby se máme připravit v příštích měsících?
Jedna věc jsou útoky na kritickou infrastrukturu státu, například vojenskou. Řada zbraňových či telekomunikačních systémů běží v digitálním prostředí, jsou připojené pomocí počítačových sítí. Nemusí být ani nutně připojeny k internetu, ale tím, že je to počítač, už může být takový systém hacknutý.
Metody jsou různé, od fyzického napadení až po plně softwarové. Všechny tyto druhy útoků vidíme i v rusko-ukrajinském konfliktu, kde to lítá z obou stran proti sobě. Cílem je vyřadit třeba řídící systémy elektráren a podobně.
Internet nezná hranice. Přesto: může se nějak lépe bránit státní správa, na kterou útoky často míří?
Důležité je, že jsme zapojeni do mezinárodních struktur, protože útoky opravdu často přecházejí přes hranice. Mám na mysli zapojení do Interpolu nebo Europolu, které mají své kyberbezpečnostní složky.
S nimi je třeba spolupracovat, naše složky se soustředí spíše na ty útočníky, kteří jsou fyzicky v Česku a ti na nás zpravidla moc neútočí.
Čeká nás tedy více DDoS útoků, jejichž cílem je znepřístupnit nějakou službu běžným uživatelům?
Ano. U takových útoků je také problém, že nelze dopodrobna monitorovat škody. Když máte konvenční zbraně jako rakety nebo tanky, můžete družicovými záběry přesně spočítat, kolik toho je. Počítačovou infrastrukturou se nikdo moc nechlubí, analytici nebo i novináři se k rozsahu škod těžko dostanou.
Co útoky na jednotlivce?
Jejich počet roste s rychlým vzestupem generativní umělé inteligence (AI). Ta zásadním způsobem zjednodušila život podvodníkům v rámci sociálního inženýrství. Podvodné emaily a SMS existují už dlouho, dříve je ale útočníci rozesílali po milionech náhodným lidem, nebylo to sofistikované. Cílení bylo dost drahé.
AI nyní v kombinaci se sociálními sítěmi umožňuje velmi levně stáhnutí informací o uživatelích a vygenerování příkazu pro různé druhy ChatGPT, které vytvoří SMS nebo email „na míru“. Říká se tomu Evil-GPT nebo třeba Love-GPT.
Co mi tedy přijde, pokud si mě najde Love-GPT?
Používá se klasicky na Tinderu a podobných online seznamkách. Policie nedávno uvedla příklad o muži z Česka, který uvěřil, že mu píše herečka Scarlett Johansson a přišel o statisíce. I to se může na internetu stát.
Jak AI obchází pravidla seznamky?
Tento nástroj je o krok před klasickými falešnými profily. Dokáže s obětí přesvědčivě komunikovat, obejít bezpečnostní opatření seznamovací platformy, jako je například CAPTCHA a optické rozpoznávání znaků, a vytvářet věrohodné zprávy plné emocí. Ačkoli nástroj samotný existuje už přibližně deset let, teprve nedávno do něj jeho autoři integrovali technologii OpenAI, čímž je ještě schopnější.
Novinkou jsou také falešné videohovory a naklonování hlasu. Jak se bránit takovým útokům?
Opět je to s pomocí AI relativně levné a nebezpečné. Vaši ženu asi neoblafnu, ta vás zná a po pár větách by podvodníka odhalila. Nový kolega v práci už ale nemusí.
To samé platí i pro deepfake videa, v obou případech z vás chtějí podvodníci vylákat co nejvíce peněz. Platí pro ně stejná pravidla jako pro ostatní druhy útoků, tedy mít bezpečná hesla, dvoufázové ověřování a tak dále.
Copyright bude paskvil
V čem vidíte největší potenciál AI?
Analytická AI má velký potenciál v zabezpečení dat a systémů, používáme ji už mnoho let. Generativní AI je, jak už jsem říkal, velmi nebezpečná hlavně v rukou útočníků. Cílené texty a videa, které míří na jednotlivce, jsou velkou hrozbou. Nejzranitelnější část řetězce je vždy člověk.
Na co ji používáte vy?
Fascinuje mě vyjadřovací schopnost jazykových modelů, to že umí česky a mluví i v padesáti dalších jazycích mě opravdu překvapilo. Velmi zajímavé je také generování obrazů, jsou to opravdu revoluční technologie, které postupně prosáknou do života skoro všech.
A co etická rovina? Jak se s AI mají vypořádat autorská práva?
Obecně je pro mě intelektuální vlastnictví poslední roky problematické. Říká se třeba, že všechny melodie už to byly, je tedy porušení copyrightu, když si půjčím část skladby? S generativní AI se z toho stane už úplný paskvil.
O únik citlivých údajů se zajímají úřady
Úřad pro ochranu osobních údajů (ÚOOÚ) již delší dobu prověřuje Gen kvůli nepřímému prodeji osobních údajů (včetně citlivých informací o vyhledávaných internetových stránkách, nainstalovaných aplikacích nebo uložených souborech), přes dceřinou společnost Jumpshot. V jaké fázi je nyní celá kauza? Jak jde tohle dohromady s firmou, která má své klienty chránit?
Případ není uzavřen, stále se řeší. Myšlenka Jumpshotu vznikla někdy kolem roku 2013 a byla založena na poskytování vhledů do toho, jak se lidé chovají v online prostředí. Na základě anonymizovaných a agregovaných dat, podobně jako fungují třeba lékařské kazuistiky. Zároveň jsme si uvědomovali, že je to poměrně neprobádané území, které je navíc mimo naše hlavní poslání.
V roce 2019, kdy jsem nastupoval do role CEO, jsme pak udělali strategické rozhodnutí, že Avast zaměříme na výhradně na oblast kyberbezpečnosti a Jumpshotu se zbavíme.
V červenci jsme pro něj našli kupce ve Velké Británii a prodali mu třetinový podíl, s opcí koupit zbytek během příštích dvou let. K tomu ale nakonec nedošlo, protože v lednu 2020 jsme se rozhodli celý proces urychlit a Jumpshot zavřít. Částečně i proto, že vzniklo podezření, že anonymizační a agregační algoritmus nebyl dokonalý, což je právě předmětem toho vyšetřování ÚOOÚ.
Jaké máte plány do budoucna?
Chceme snížit dluh, firma také poroste kolem pěti procent ročně z pohledu tržeb a dvanácti procent zisku. Hodně inovujeme v oblasti AI, naše nástroje mají pomáhat jednotlivcům a firmám před hrozbami spojenými právě s generativní AI.
