Алгоритмите напаѓаат, организациите во Македонија и регионот доцнат!

Кога „Антропик“ (Anthropic) на почетокот на април објави дека нивниот нов ВИ-модел Клод митос (Claude Mythos) може самостојно да пронаоѓа безбедносни пропусти во оперативни системи и популарни интернет-прелистувачи, компанијата истовремено донесе уште една одлука: моделот нема да биде јавно достапен.

Истиот месец беа компромитирани ВИ-стартапот „Меркор“ (Mercor), проценет на 10 милијарди долари, и „Версел“ (Vercel), една од најголемите облак-платформи за развој на апликации. Во двата случаи, влезната точка не биле софистицирани алатки за хакирање, туку секојдневен софтвер што го користат вработените.

ВИ стана новата реалност на сајбер-безбедноста

Нападите повеќе не бараат големи тимови, месеци подготовки и врвни експерти. Вештачката интелигенција го забрзува откривањето ранливости, ги автоматизира фишинг-измамите и им овозможува на помали групи да изведуваат напади што досега беа речиси невозможни.

Компаниите во регионот Адрија ги користат истите ВИ-алатки, истите библиотеки со отворен код и истите облак-услуги како компаниите во Силициумската Долина. Сепак, поголемиот дел регионални компании сè уште немаат ни основни механизми за заштита, ниту покриени основни безбедносни стандарди.

„Поголемиот дел организации не се подготвени ниту за напади без помош на вештачка интелигенција, што се гледа од бројот на јавно објавени инциденти. А тие претставуваат само мал дел од вкупниот број инциденти. Напаѓачите што целат на жртва се приспособуваат на нејзината одбрана и остануваат во системот со месеци пред некој да ги забележи. Тоа се таканаречени напредни перзистентни закани, кои најчесто со леснотија ги пронаоѓаат и компромитираат западните пазари“, објаснува Хрвоје Енглман, директор за информатичка безбедност во „Спан“ (Span).

Вештачката интелигенција, вели тој, само ќе ја влоши и онака лошата состојба бидејќи ќе го скрати времето и ќе ги намали бариерите, ќе им овозможи на напаѓачите да ги изведуваат нападите во многу поголем обем и истовремено врз повеќе цели и ќе го намали нивото на експертиза потребно за сериозен напад. „Знаењето што денес беше ретко и скапо може евтино да се купи или едноставно да се преземе преку вештачка интелигенција“, предупредува тој.

Го пренесуваме списокот со клучни прашања што секој директор мора да му ги постави на својот ИТ-тим, како и совети што уште денес мора да почнете да ги применувате во работењето.

Хрвоје Енглман, директор за информатичка безбедност во „Спан“/Bloomberg Adria

ВИ го забрзува темпото на нападите

Јасно е дека вештачката интелигенција не го создаде сајбер-криминалот, но со користењето ВИ тој станува побрз, помоќен и попрофитабилен за хакерите што се занимаваат со него.

Напаѓачите денес автоматски можат да скенираат интернет-инфраструктура, да анализираат код, да генерираат различни скрипти и да приспособуваат фишинг-пораки за конкретни вработени, корисници или за оние што вештачката интелигенција ќе ги препознае како потенцијална слаба точка.

Она што порано бараше тим на експерти, сега може да го направат неколку луѓе со помош на јавно достапни ВИ-модели. „ВИ го скратува времето од откривањето слабост до нејзиното искористување“, вели Урош Свете, директор на Канцеларијата на Владата на Република Словенија за информатичка безбедност.

Во Словенија во 2025 година е забележан првиот случај на вирус со интегриран ЛЛМ-модел; му биле потребни помалку од 45 минути да го извидува системот и да почне да го шири нападот. Пред неколку години компаниите можеа да чекаат со недели пред да инсталираат безбедносни поправки. Денес тој временски прозорец е драстично пократок.

„Практиките за месечно ажурирање на поправките повеќе не важат. Денес зборуваме за часови и максимум неколку дена“, вели Енглман од „Спан“.

Проблемот повеќе не се само хакерите

Нападите врз „Версел“ и „Меркор“ покажаа уште една промена: најголемиот ризик повеќе не е само надворешниот напаѓач туку и алатките што вработените ги користат секој ден. Еден додаток за прелистувач, една библиотека со отворен код или една ВИ-алатка може да стане влезна точка за компромитирање на целата компанија.

Бранко Џакула, директор на „Секјурити компани“ (The Security Company), предупредува дека неконтролираното користење ВИ-алатки стана еден од најголемите безбедносни ризици за компаниите.

Тој потсетува на случајот со „Самсунг“ (Samsung), каде што вработени пренесувале доверливи информации на ЧетГПТ без контрола врз тоа каде завршиле податоците. „Поголемиот број напади не беа директно насочени кон системот, туку преку кориснички сметки без повеќефакторска автентикација“, вели Џакула и додава: „Повеќефакторската автентикација, управувањето со идентитетот, контролата на пристап и евиденцијата на сите јавно достапни системи станаа минимална, а не дополнителна заштита, но многу компании во регионот сè уште го немаат тоа.“

Од „Телеком Словенија“ предупредуваат дека не постои единствена технологија што може да ја „реши“ сајбер-безбедноста и дека компаниите мора системски да пристапат кон заштитата преку стратегија, интерни политики и стандарди како ISO/IEC 27001 и ISO 22301. Во практика тоа значи дека безбедноста повеќе не смее да зависи од еден ИТ-администратор или еден антивирусен софтвер, туку од начинот на кој е поставена целата организација.

Сепак, тие истакнуваат дека неколку релативно едноставни мерки можат значително да го намалат ризикот од напад ако се применуваат доследно. „Првата е повеќефакторската автентикација во рамките на моделот ‘нула доверба’, каде што ниту еден корисник или уред автоматски не се смета за доверлив, дури и кога се наоѓа во мрежата на компанијата. Сè повеќе компании затоа преминуваат на модели за најава FIDO2/passkeys, кои ја намалуваат зависноста од класичните лозинки и ги отежнуваат фишинг-нападите.“

Вториот важен елемент е континуираната едукација на вработените. Експертите истакнуваат дека вештачката интелигенција овозможува креирање многу уверливи фишинг-пораки, поради што вработените повеќе не можат да се потпираат само на „чувството“ дека некој имејл е сомнителен. Затоа организациите мора редовно да ги обучуваат вработените како изгледаат новите облици на напади и како функционираат процедурите за проверка на идентитетот и финансиските барања.

 

 

Посебен акцент се става и на контролата на излезниот сообраќај и ДЛП-системите водени од вештачка интелигенција, кои можат да препознаат кога вработени се обидуваат да изнесат чувствителни податоци од компанијата или да ги внесат во надворешни ВИ-сервиси. Тоа станува особено важно кога вработените секојдневно користат ЧетГПТ, Клод, Џемини и други ВИ-алатки.

Во „Телеком Словенија“ дополнително ја нагласуваат важноста од попишување на системите: „Не можете да заштитите нешто што не го познавате“, порачуваат од нивната безбедносна единица. Голем број компании денес немаат целосен преглед на сите сервери, облак-услуги, апликации и уреди поврзани на мрежата, што на напаѓачите им остава голем број потенцијални влезни точки.

На крајот, целта на сите овие мерки не е само заштита на ИТ-инфраструктурата туку и зачувување на доверливоста, интегритетот и достапноста на информациите, што претставува основа за стабилно и безбедно работење. „Во ерата на напади забрзани со вештачка интелигенција, токму таа дисциплина и доследност во спроведувањето на основните безбедносни правила станува најголемата разлика меѓу компаниите што можат да издржат сериозен инцидент и оние што ќе почнат да инвестираат во заштита дури по нападот“, истакнуваат.

Сајбер-безбедноста повеќе не е само ИТ-тема

Директивата NIS2 на Европската Унија воведува директна одговорност на менаџментот за сајбер-ризиците. Компаниите од критичните и важните сектори мора да имаат воспоставени заштитни мерки, план за одговор при инциденти, процедури за континуитет на работењето и обврска за пријавување сериозни напади во рок од 24 часа. Првото предупредување се испраќа во рок од 24 часа, подетален извештај во рок од 72 часа, а конечниот извештај во рок од еден месец.

За членките на ЕУ, како Хрватска и Словенија, ова веќе е законска обврска. Хрватска ја пренесе NIS2 преку новиот Закон за сајбер-безбедност, додека Словенија во 2025 година го усогласи законот за информатичка безбедност со европските правила.

Во практика тоа значи дека компаниите од секторите енергетика, банкарство, здравство, телекомуникации, транспорт и дигитална инфраструктура мора да докажат дека активно управуваат со сајбер-ризиците, а доколку не го сторат тоа, казните може да достигнат и до 10 милиони евра или два отсто од глобалниот годишен приход на компанијата.

Покрај тоа, сајбер-безбедноста станува дел од ЕСГ и управувачките стандарди што пазарот ги очекува од компаниите.

За Србија, Босна и Херцеговина и Северна Македонија, NIS2 формално не се применува на домашните компании, но сè повеќе се пренесува преку барањата на пазарот. Ако компанија од регионот соработува со европски банки, корпорации или државни институции, барањата за сајбер-безбедност ќе доаѓаат преку договори, процеси на длабинска анализа и проверки на доставувачи.

„Функцијата директор за информатичка безбедност често е дел од највисокиот менаџмент на западните пазари, додека кај нас сè уште се третира како техничка ИТ-функција, а тоа мора да се промени“, вели Свете за „Блумберг Адрија“.

Тоа станува важна разлика бидејќи сајбер-отпорноста денес директно влијае врз способноста за добивање клиенти, осигурување, финансирање и големи меѓународни договори.

Колку навистина чини еден инцидент

Најголемиот проблем со сајбер-нападите ретко е самата техничка штета. Серверите може да се вратат во претходна состојба, системите може да се обноват од резервни копии, а инфраструктурата може повторно да се изгради. Вистинската цена се изгубеното време, довербата на клиентите и загубата на бизнисот.

Прекинот на работењето често е најскапиот дел од инцидентот. Ако производството запре, логистиката не функционира или вработените изгубат пристап до системите на неколку дена, загубите растат многу побрзо од самиот трошок за ИТ-обнова. За компаниите што работат со големи клиенти, дополнителен проблем стануваат договорните казни, пробиените рокови и губењето идни зделки.

Колку во просек чини сериозен инцидент за компанија со приход од 50 милиони евра? „Тешко е да се даде точна процена бидејќи тоа зависи од индустријата, нивото на безбедност и видот на инцидентот. Но, од практиката се гледа дека вкупните трошоци може да изнесуваат од неколку отсто до неколку десетици отсто од годишниот приход“, вели Свете.

Не станува збор за еднократен трошок, туку за синџир на трошоци. Директните трошоци, како форензика, ИТ-тимови, обнова на системи и евентуален откуп, претставуваат помал дел. Поголемиот дел се изгубени зделки, изгубени приходи, губење клиенти, договорни казни, регулаторни казни и долгорочна штета врз репутацијата. „Казните со новиот закон дополнително се зголемуваат и можат да бидат поврзани со процент од вкупниот промет“, објаснува директорот на Канцеларијата на Владата на Република Словенија за информатичка безбедност.

Според податоците на SI-CERT, во Словенија во 2025 година биле обработени повеќе од 6.000 инциденти, додека вкупната пријавена штета од интернет-измами надминала 40 милиони евра. Поединечните финансиски последици може да бидат многу специфични: просечен фишинг-напад ја чини компанијата околу 46.000 евра, додека кај целните напади, односно BEC-измамите, износите можат да достигнат 170.000 евра или повеќе.

Податоците јасно покажуваат дека најголемиот финансиски удар не е самата измама, туку прекинот на работењето, а токму тоа ја одредува вистинската цена на инцидентот.

Износите зависат од видот на инцидентот, времето на откривање, регулаторните последици и индиректните ефекти. Во словенечки контекст, објаснува Свете, релативното влијание често е поголемо отколку во поголемите економии, бидејќи компаниите имаат помали финансиски резерви, поголема зависност од клучните системи и ограничени внатрешни безбедносни капацитети. За помалите фирми, последиците можат да го загрозат и самиот опстанок на работењето.

Европа веќе имаше неколку примери што покажуваат колку сериозни може да бидат последиците. Еден од најголемите беше нападот на хакерската група „Конти“ врз ирскиот здравствен систем HSE во 2021 година. Нападот ги парализира болниците, лабораториите и здравствените служби низ целата земја. Прегледите беа откажани, медицинскиот персонал работеше без пристап до дигиталните записи, а државата со месеци ја обновуваше инфраструктурата. Вкупните трошоци за закрепнување се проценуваат на повеќе од 100 милиони евра.

Вештачката интелигенција не ги менува само нападите туку и одбраната

Повеќето дебати за вештачката интелигенција и сајбер-безбедноста се фокусираат на хакерите. Сепак, истата технологија што ја користат напаѓачите денес сè поагресивно ја користи и одбраната.

Современите центри за безбедносни операции повеќе не функционираат како пред пет години. Наместо тимови аналитичари што рачно прегледуваат илјадници предупредувања дневно, ВИ-системите денес автоматски ги анализираат однесувањето на корисниците, мрежниот сообраќај и аномалиите во системот.

Од „Телеком Словенија“ за „Блумберг Адрија“ велат дека „нивниот Центар за сајбер-безбедност и отпорност веќе користи ВИ-решенија што овозможуваат превентивно дејствување и висок степен на автоматизација на одбраната. Овие решенија препознаваат закани, аномалии и сомнително однесување пред инцидентот да ескалира.“

Тоа е важна промена бидејќи количеството на податоци што компаниите денес го создаваат ги надминува можностите на човечките тимови. Големите организации имаат десетици илјади уреди, облак-сервиси, кориснички сметки и апликации. Без автоматизација речиси е невозможно да се следи што се случува во реално време.

ВИ-системите денес можат да препознаат невообичаено однесување на вработените, да откријат обиди за кражба на идентитет, да анализираат сомнителни датотеки и автоматски да блокираат пристап до компромитирана сметка. Во големите организации токму таа брзина на реакција станува клучната разлика меѓу помал инцидент и сериозен прекин на работењето.

Проблемот за компаниите во регионот е што голем број организации сè уште немаат ни основни системи за следење, а камоли безбедносни операции поддржани со вештачка интелигенција. Додека големите западни компании вложуваат милијарди во автоматизирана заштита, многу фирми во регионот Адрија и натаму зависат од мали ИТ-тимови што реагираат дури кога проблемот ќе стане видлив.

Вештачката интелигенција денес е алатка и на напаѓачите и на бранителите. Напаѓачите ја користат за автоматизација на нападите и креирање поубедливи измами, додека бранителите ја користат за анализа на големи количества податоци, брзо откривање закани и развој на напредни механизми за заштита.

Центарот за сајбер-безбедност и отпорност на „Телеком Словенија“ веќе користи решенија базирани на вештачка интелигенција што овозможуваат превентивно дејствување и висок степен на автоматизација на одбраната. Тие препознаваат закани, вклучувајќи и директни напади и аномалии во однесувањето на системите, и овозможуваат побрз одговор пред заканите да ескалираат.

Посебен проблем е поместувањето на „социјалниот инженеринг“ кон сценарија во кои лажен глас и видео можат да се користат за лажно одобрување плаќања или промена на банкарски податоци, дури и на ниво на менаџмент.

На техничко ниво, вештачката интелигенција не само што го забрзува скенирањето на познати слабости туку и откривањето нови таканаречени нулти ден ранливости, преку анализа на код, генерирање тестови и развој на безбедносен код. Последицата е пократок временски прозорец меѓу откривањето на ранливоста и нејзиното искористување.

„Не постои јасен одговор на прашањето која страна има поголема корист од вештачката интелигенција, тоа е динамична трка меѓу нападот и одбраната“, порачуваат од „Телеком Словенија“.

ВИ го забрзува и пазарот на трудот

Глобалниот пазар веќе долго време се соочува со недостиг од експерти за сајбер-безбедност, а развојот на ВИ-алатките дополнително ја менува структурата на тој пазар. Работите што порано бараа големи тимови од  аналитичари денес сè повеќе се автоматизираат.

Современите ВИ-алатки денес можат да анализираат системски записи, да класифицираат инциденти, да пишуваат првични безбедносни извештаи и автоматски да бараат ранливости во кодот. Тоа им овозможува на помали тимови да управуваат со значително поголеми системи отколку порано.

Истовремено, расте притисокот врз компаниите што немаат експерти за сајбер-безбедност. Во регионот проблемот е уште поизразен поради заминувањето на кадарот на западните пазари, каде што платите и буџетите се значително поголеми.

Резултатот е дека многу компании во регионот Адрија денес имаат мал број безбедносни експерти, надворешни ИТ-услуги и многу ограничени капацитети за следење инциденти 24 часа дневно. ВИ може делумно да помогне во намалувањето на тој јаз, но само кај компаниите што вложуваат во алатки, процеси и обука на вработените.

„Автоматизацијата им помага и на компаниите што се бранат бидејќи можат да ги тестираат своите системи со истите модели и да ги откријат ранливостите пред некој да ги искористи“, вели Бранко Џакула.

Сепак, постои и друга страна на проблемот. Напаѓачите немаат бирократија, процедури за набавка или регулаторни ограничувања. Тие можат да експериментираат многу побрзо од корпоративните одбранбени системи. Тоа значи дека компаниите во следните години ќе мора да создадат сосема нови профили на вработени: луѓе што ги разбираат и сајбер-безбедноста и ВИ-системите. Оваа комбинација ќе стане еден од најбараните и најскапи профили на пазарот на трудот.

Сајбер-осигурувањето станува нов пазар

„Во последните години сајбер-осигурувањето од услуга што ја користеа мал број компании прерасна во стандарден дел од работењето на големите компании.“ Причината е едноставна: сајбер-инцидентите станаа премногу скапи за фирмите сами да ги апсорбираат.

Нападите денес доведуваат до прекин на работењето, регулаторни казни, губење клиенти и повеќемесечни трошоци за закрепнување. Затоа сè повеќе компании се обидуваат дел од ризикот да го префрлат на осигурителните компании.

Во 2026 година влијанието врз сајбер-осигурувањето ќе стане сè повидливо за финансиските директори: премиите и условите за покривање сè повеќе зависат од докажливи механизми за контрола, како заштита на идентитетот, процедури за одговор, мониторинг и детекција, односно од вложувањата во сајбер-отпорност. Ако компанијата ги нема тие контроли или не ги применува доследно, ризикот расте, премиите се зголемуваат, се појавуваат исклучоци од покривањето или осигурувањето станува недостапно под прифатливи услови. Одговорниот финансиски директор денес проверува дали вложувањата во сајбер-безбедноста се соодветни и споредливи со слични организации.

Покрај тоа, сајбер-отпорноста сè повеќе влегува во рамките на управувањето и ЕСГ-известувањето: инвеститорите, банките и партнерите очекуваат компанијата да има воспоставено дигитално управување со ризици, способност за одговор и континуитет на работењето. Во практика тоа значи дека сајбер-безбедноста повеќе не е само ИТ-прашање туку и елемент на деловниот кредибилитет што влијае врз кредитната способност, условите за финансирање и довербата на пазарот.

Сепак, не е доволно само да се купи полиса за осигурување. Осигурителните компании денес проверуваат дали компанијата користи повеќефакторска автентикација, како управува со привилегиран пристап, дали има план за одговор при инциденти и колку брзо ги применува безбедносните поправки. Ако тие контроли не се воспоставени, премиите растат, се појавуваат исклучоци од покривањето или осигурувањето станува прескапо.

Тоа особено ги погодува компаниите во регионот што сè уште немаат развиени безбедносни процеси. Во практика, многу фирми дури преку барањата на осигурителните друштва првпат ќе сфатат колку се ранливи. Вештачката интелигенција дополнително ја комплицира ситуацијата бидејќи ги зголемува бројот и брзината на нападите. Осигурителните компании затоа ги менуваат моделите за процена на ризик, а сајбер-безбедноста полека станува слична на процената на заштита од пожар или финансиски ризик.

За финансиските директори тоа значи нова реалност: вложувањето во сајбер-безбедност повеќе не е само трошок на ИТ-одделот туку и директно влијае врз цената на осигурувањето, достапноста на покривањето и вкупниот оперативен ризик на компанијата.

Критичната инфраструктура станува најранлива

Енергетските системи, телекомуникациската инфраструктура, водоводните мрежи, фабриките и индустриските погони претставуваат посебен проблем. За разлика од современите системи во облак што можат да се ажурираат на секои неколку дена, голем дел од критичната инфраструктура во регионот и натаму работи на технологија стара 10, 15 или дури 20 години.

Тие системи се дизајнирани за стабилност и континуирано работење, а не за брзо приспособување на новите безбедносни закани.

Срѓан Бабиќ, раководител на одделот за информатичка безбедност во белградската компанија „Сајбер гејт дифенс“ (Cyber Gate Defense), одговараше на прашања за подготвеноста на институциите во регионот Адрија за сајбер-напади и го изјави следново:

Срѓан Бабиќ, раководител на одделот за информатичка безбедност во белградската компанија „Сајбер гејт дифенс“/Bloomberg Adria

„Важно е јасно да се разликуваат два вида сајбер-напади: оние во кои вештачката интелигенција се користи за создавање и истражување на една или повеќе ранливости и таканаречените напади управувани со вештачка интелигенција, каде што целиот процес е автоматизиран и воден од пресметковната моќ на ВИ. Дали сме подготвени? И да и не. Да, нападите создадени со помош на вештачка интелигенција се во пораст повеќе од четири години, а со понатамошниот развој на технологијата се очекува нивен експоненцијален раст. Спречувањето на таквите напади во голема мера ќе зависи од тоа како глобалните влади ќе ги регулираат и ограничат неетичката употреба на ВИ-модели и ширењето решенија со отворен код. Моменталниот фокус на сајбер-безбедноста е на обезбедување суверенитет на податоците, контрола на нивната изложеност и континуиран надзор, вклучувајќи и работа на безбедносни оперативни центри, активно откривање закани, заштита на брендот и имплементација на системи-мамки. Од друга страна, нападите управувани со вештачка интелигенција, каде што пресметковната моќ на ВИ се користи за изведување напади, се многу поретки и најчесто се поврзуваат со АПТ-групи, односно актери спонзорирани од државата. Таквите напади се многу пософистицирани и бараат сериозна инфраструктура за нивна реализација. Проблемот е што многу индустриски и инфраструктурни средини не можат едноставно повторно да се стартуваат заради безбедносно ажурирање. Енергетските системи, производствените линии или телекомуникациските мрежи често работат 24 часа дневно и секој прекин значи финансиска загуба или ризик за функционирањето на целиот систем. Со други зборови, дали имаме капацитет да откриеме, идентификуваме и соодветно да одговориме на таквите активности?“

Подготвеноста, сепак, е резултат на анализа на ризиците и континуирана процена на трендовите и заканите во однос на нивото на имплементирани безбедносни контроли. Но тоа бара институционална подготвеност за донесување закони, стандарди за управување, нивна примена и постојано унапредување. Токму тоа, истакнува Бабиќ, е најслабата точка во сите земји од регионот Адрија, но не само таму. Сличен недостиг од институционална рамка и капацитети за спроведување сајбер-безбедност постои низ целиот свет.

Од перспектива на институционалната подготвеност за поддршка на сајбер-безбедноста, постојат значителни разлики меѓу земјите од регионот Адрија, како и разлики меѓу подготвеноста на јавниот сектор и деловните организации. Податоците од Националната подготвеност за сајбер-безбедност и Индексот на подготвеност за вештачка интелигенција даваат основен увид во тоа што државите презеле или имплементирале во обидот да управуваат и да ја регулираат оваа област. Сепак, јасно е дека овде повеќе станува збор за почетни обиди за регулација отколку за нивна доследна и вистинска примена.

Управувањето со податоци и информации и безбедноста, како темелен принцип на сајбер-безбедноста и клучен придонес кон подготвеноста за вештачка интелигенција, веројатно е најслабата алка во овој синџир и често се занемарува во овие дискусии. Многу малку земји, ако воопшто ги има, имаат национален закон за суверенитет на податоците што ги дефинира критичните податоци на кои им се потребни пристап и заштита преку концептот на суверенитет на податоците. Таквите прописи всушност ги обликуваат потребите и мерките за сајбер-безбедност и одредуваат кои податоци и информации треба да се заштитат при отворена и јавна употреба на вештачка интелигенција. „Она што моментално го гледаме во некои случаи е регулирано со Општата регулатива на ЕУ за заштита на податоци (GDPR), која често погрешно се толкува како регулатива за приватност“, објаснува Бабиќ.

Сето тоа е проблематично за регионот, каде што голем дел од инфраструктурата има ограничени буџети за модернизација и мал број експерти за сајбер-безбедност. Додека големите западни компании вложуваат милијарди во заштита на критичните системи, многу организации во регионот Адрија и натаму се обидуваат да одржуваат застарена инфраструктура со минимални вложувања.

Последицата е што напаѓачите денес често не бараат „совршена“ ранливост, туку доволно е да пронајдат еден застарен сервер, незаштитен далечински пристап или лошо сегментирана мрежа за да загрозат многу поголем систем, што може да има огромни последици за луѓето, како во случајот со инцидентот во Ирска.

Дипфејкот повеќе не е футуризам

До неодамна фишинг-нападите главно лесно се препознаваа. Лош англиски, граматички грешки и генерички пораки често беа првиот знак дека нешто не е во ред. Тоа брзо се менува.

Развојот на локализирани ВИ-модели овозможува создавање целосно уверливи пораки на локални јазици, без граматички грешки и со локални изрази и контекст. Со други зборови, ВИ денес може да напише електронска порака што звучи како да ја испратил колега од истата канцеларија или партнер со кој компанијата соработува со години.

Ова е голем проблем за регионот, каде што вработените со години се обучуваат да препознаваат фишинг токму преку „лош јазик“ и сомнителни формулации.

Од „Телеком Словенија“ предупредуваат дека поради тоа организациите повеќе не можат да се потпираат само на едукација на вработените туку мора да воведат дополнителни технички контроли: заштита на идентитетот, детекција на аномалии, DMARC/SPF/DKIM-заштита за електронска пошта, како и дополнителни проверки на финансиските барања и промени на податоците за доставувачите.

Дипфејк аудио и видеоалатките денес овозможуваат симулација на глас на членови на управата или финансиски директори во реално време. Неколку минути јавно достапен аудио или видеоматеријал се доволни за ВИ-моделите да создадат многу уверлива имитација.

„Дипфејк глас и видео можат да се користат за лажно одобрување плаќања или промена на банкарски податоци, дури и на ниво на менаџмент“, предупредуваат од „Телеком Словенија“.

Таквите напади повеќе не се теоретски сценарија. Веќе се регистрирани неколку случаи низ светот во кои вработени извршиле трансфери на пари по видеоповик или гласовна порака за која верувале дека доаѓа од директорот на компанијата.

Напаѓачите денес можат да анализираат профили на Линкдин, внатрешни хиерархии, јавни настапи на извршни директори и стилот на комуникација на вработените, а потоа да генерираат пораки приспособени на конкретна личност.

Тоа значи дека класичната едукација на вработените повеќе не е доволна сама по себе. Компаниите мора да ги променат процедурите за одобрување плаќања, контрола на идентитет и финансиските процедури. Ако промена на банкарска сметка или итен трансфер на пари може да се одобри само врз основа на една електронска порака или повик, компанијата веќе има сериозен безбедносен проблем.

Што треба да направат извршните директори во регионот

Првата одлука што извршниот директор мора да ја донесе е повеќе да не ја третира сајбер-безбедноста како технички проблем на ИТ-секторот, туку како деловен ризик. Ако нападот ја запре продажбата, производството, логистиката или пристапот до податоците за клиентите, последиците нема да ги решава само ИТ-тимот туку целата компанија. Во тој момент се вклучени финансиите, правниот сектор, човечките ресурси, поддршката за корисниците, односите со јавноста и администрацијата. Затоа сајбер-безбедноста денес сè повеќе станува дел од управувањето со ризици, исто како финансиските, регулаторните или оперативните ризици.

 

 

Првиот чекор е воведување повеќефакторска автентикација на сите важни системи и сметки на вработените. Тоа вклучува деловна електронска пошта, облак-сервиси, CRM, ERP, внатрешни административни алатки и привилегирани администраторски сметки. Поголемиот дел сериозни компромитирања денес повеќе не се предизвикани од „хакирање“ на системите во класична смисла, туку од кражба на идентитет на вработени преку фишинг, протечени лозинки или компромитирани уреди. Токму затоа експертите ја сметаат повеќефакторската автентикација за најевтина мерка што може драстично да го намали ризикот. „Телеком Словенија“ исто така препорачува премин кон модели за најава FIDO2/passkeys, кои ја намалуваат зависноста од класични лозинки и ги отежнуваат фишинг-нападите.

Вториот чекор е контрола на ВИ-алатките што ги користат вработените. Во голем број компании денес вработените користат ЧетГПТ, Клод, Џемини или разни ВИ-модели со отворен код без каков било надзор од компанијата. Проблемот не е само во тоа што ВИ-алатките можат да чуваат податоци туку и во тоа што вработените често несвесно внесуваат доверливи информации, изворен код, финансиски податоци или интерни документи во надворешни системи. Џакула предупредува дека неконтролираното користење ВИ-алатки стана еден од најголемите нови безбедносни ризици за компаниите. Тој препорачува компаниите да користат една централизирана ВИ-алатка за претпријатија со јасни правила за пристап и користење, наместо секој тим да користи различни јавни сервиси без контрола од ИТ-секторот.

Третиот чекор е управување со пристапите и привилегиите на вработените. Голем број компании и натаму имаат ситуации во кои вработените со години задржуваат пристап до системи што повеќе не им се потребни, додека поранешни вработени понекогаш остануваат активни во одредени алатки со месеци откако ќе ја напуштат фирмата. Напаѓачите денес често не бараат софистицирани ранливости, туку компромитираат сметка што веќе има премногу овластувања. Затоа експертите сè повеќе инсистираат на моделот „нула доверба“, каде што ниту еден корисник или уред автоматски не добива доверба, дури ни кога се наоѓа во мрежата на компанијата.

Четвртиот чекор е редовно ажурирање на системите и евиденција на сите јавно достапни сервиси. Вештачката интелигенција драстично го скрати времето меѓу откривањето ранливост и нападот. „Практиките за месечно ажурирање повеќе не важат. Денес зборуваме за часови, максимум денови што ги имате за да го решите проблемот“, вели Енглман. Проблемот за многу организации во регионот е што често немаат ни целосен преглед на сите сервери, домени, облак-сервиси, апликации и уреди поврзани на мрежата. Затоа „Телеком Словенија“ предупредува на важноста од попис на системите: „Не можете да заштитите нешто за кое не знаете дека го имате.“

Петтиот чекор е план за одговор при инциденти. Поголемиот дел компании вложуваат во превенција, но малку од нив точно знаат што треба да направат кога нападот навистина ќе почне. Извршниот директор мора да знае кој носи одлуки ако системите паднат, кој комуницира со клиентите, кој разговара со регулаторите, како функционираат резервните системи и колку брзо компанијата може да продолжи со работа. Кај сериозните инциденти, брзината на реакцијата често одредува дали штетата ќе трае неколку часа или неколку недели.

Директорот не мора да биде експерт за сајбер-безбедност, но мора да преземе одговорност за ризикот. Првото што треба да го направи е да ги собере финансискиот директор, техничкиот директор и лицето задолжено за безбедност и да ги постави основните прашања: каде имаме повеќефакторска автентикација, кои ВИ-алатки ги користиме, кој има пристап до критичните системи, што е јавно изложено на интернет и што правиме ако вечерва бидеме нападнати.

Токму тука почнува разликата меѓу компаниите што сајбер-безбедноста ја третираат како формалност и оние што разбираат дека таа стана основен услов за стабилно работење во време на напади забрзани со вештачка интелигенција.

Во подготовката на текстот учествуваа Ивана Раониќ, Александар Лукиќ, Игор Смилевски и Миро Солдиќ.