Klucze i kłódki sprzed dziesięcioleci. Jak wygląda świat współczesnego bezpieczeństwa?
Wiele dzisiejszych systemów mających za zadanie uwierzytelnić użytkownika, bazuje na statycznych sekretach, takich jak hasła lub kody PIN. Jest to standard, który został wprowadzony dziesiątki lat temu głównie ze względu na swoją prostotę. Wraz ze wzrostem mocy obliczeniowej komputerów, dziś każdy sekret może zostać odkryty bądź złamany po upłynięciu wystarczającej ilości czasu. Naturalnym rozwiązaniem tego problemu wydaje się być zatem częsta zmiana sekretów – kluczy. Zmiany nie są wygodne dla użytkowników, gdyż powodują pogorszenie się ich doświadczeń użytkownika (tzw. UX – z angielskiego "user experience"; parametr mierzący wygodę używania usługi lub narzędzia) lub w skrajnych przypadkach pójście na skróty, na przykład w postaci fizycznego zapisania hasła na kartce. Troy Hunt w przystępny sposób opisał ewolucję haseł w swoim artykule: https://www.troyhunt.com/passwords-evolved-authentication-guidance-for-the-modern-era/.
Systemy regułowe są kolejnym przykładem, gdzie funkcjonowanie statyczne wedle niezmiennych reguł może być zabezpieczeniem złudnym, czyli zawodnym. W narzędziach antyfraudowych może być to na przykład przekazywanie transakcji do manualnej analizy powyżej pewnej kwoty. W przypadku firewalli będzie to ograniczenie ruchu sieciowego do tylko kilku portów. Kwestią czasu jest, by osoba chcąca pokonać systemy regułowe poznała ich zasady i odpowiednio je wykorzystała omijając zabezpieczenia.
Uczenie maszynowe i wzrost bezpieczeństwa
Ludzie oraz systemy zmieniają się w czasie. Metody uczenia maszynowego umożliwiają dobre modelowanie tej zmienności. Dzięki nim można zbadać, czy zachowanie użytkownika, bądź też charakterystyka sprzętu, z którego korzysta, pasuje do historii obserwacji. Innymi słowy, za pomocą matematyki staramy się przewidzieć przyszłość i ocenić, czy to, co się w tym momencie dzieje, jest normalne.
Jeszcze więcej informacji
Podczas interakcji z systemami zostawiasz po sobie coraz więcej informacji: sposób w jaki korzystasz z myszy i klawiatury, gdzie jesteś, jaki jest Twój adres internetowy, co przeglądałeś i jak długo. Dane te są tak istotne, że na podstawie ruchu myszki można wysnuć wnioski na temat potencjalnego zagrożenia chorobą Parkinsona (https://arxiv.org/pdf/1805.01138.pdf)
. Innym przykładem jest badanie dotyczące klasyfikacji stanu emocjonalnego (http://hci.usask.ca/uploads/203-p715-epp.pdf)
, który również jest wykrywalny na podstawie interakcji użytkownika z urządzeniem. Na szczęście dla nas RODO chroni przed nadużyciami w postaci niekontrolowanego przetwarzania danych pod każdym pretekstem. Cel ich przetwarzania musi być bowiem jasno określony przez dostawcę usługi. Był to jeden z tematów, które miałem przyjemność poruszać podczas prowadzonych przeze mnie sesji round tables 23-24 września podczas AI & Big Data Congress 2019 w Warszawie.
Całościowe zrozumienie użytkownika
Systemy idealnie bezpieczne i wygodne w użyciu nie istnieją. Metody uczenia maszynowego (a w uproszczeniu AI – ang. Artificial Intelligence, sztuczna inteligencja) umożliwiają nam tworzenie prostszych systemów, które stają się bezpieczniejsze i łatwiejsze w użyciu. Wiedza o nas oraz o naszym sposobie korzystania z aplikacji i serwisów internetowych powinna być wykorzystywana w sposób etyczny i zgodny z prawem – czyli tylko do celów, na jakie zgodziliśmy się, wyrażając zgodę na przetwarzanie danych, co zapewnia nam RODO. Połączenie systemów regułowych i dynamicznych, opartych na uczeniu maszynowym, zmniejsza prawdopodobieństwo ataków lub fraudów.
Podczas drugiego dnia konferencji AI & Big Data Congress, który odbył się w dniach 23-24 września 2019 r., miałem przyjemność prowadzić panel dyskusyjny, w czasie, którego debatowaliśmy między innymi o etyce funkcjonowania AI. Komisja Europejska stworzyła poradnik związany ze zorientowanym na człowieka podejściem do sztucznej inteligencji (http://www.ehcca.com/presentations/intpharmacon13/EC_AI_ethical_guidelines_ms2.pdf)
. Dokument ten wśród cech, które powinny posiadać produkty korzystające z AI, wymienia: transparentność, brak dyskryminacji, prywatność, a także nadzór człowieka nad wynikami.
Sztuczna inteligencja
Dziś pojęcie sztucznej inteligencji jest jak cukier. Podobnie nadużywane i powszechne. Systemy wykorzystujące metody głębokiego uczenia maszynowego potrafią dzięki odpowiedniej ilości danych bez żadnych wskazówek nauczyć się pożądanych wzorców. Zapisujemy więc w postaci matematycznej pewną dynamikę. W walce z cyberprzestępczością jest to wspaniałe narzędzie, które powoduje, że atakujący muszą znać i umieć podrobić aktywność dla odpowiednich danych wejściowych, takich jak klawiatura lub mysz a także sposób nawigacji.
Zdarzają się jednak przypadki, w których następuje gwałtowna zmiana dynamiki. Z perspektywy modeli matematycznych jest ona interpretowana jako silne wskazanie zmiany, a więc anomalia, która często utożsamiana jest z wykryciem ataku. W zależności od urządzenia lub systemu, z którego korzystamy – na przykład z bankowości internetowej, z telefonu, bądź samochodu – może nam ona ograniczyć lub nawet uniemożliwić dostęp. To zaś może skutkować frustracją, co w przypadku każdego biznesu w perspektywie czasu może zmniejszać jego zyski.
Dziękuje wszystkim uczestnikom za ciekawe dyskusje podczas konferencji i zachęcam do kontaktu. Świat jest pełen wyzwań, które można rozwiązać w sposób etyczny za pomocą nowoczesnych technologii.
Mateusz Chrobok
Artykuł sponsorowany