Kunstig intelligens oversælges som forsvarsværk
Alt for mange udråber kunstig intelligens til at være det længe ventede tryllestøv mod de stadig større online trusler.
Men spis brød til.
Erfaringen med de værktøjer, der er allerede taget i brug, er ikke ubetinget positive.
”Der er for stor hype, når det gælder AI (Artificial Intelligence, red.). Løfter, der ikke indfries, også grundet urealistiske succeskriterier, og data, hvor ”æbler og pærer”, desværre viser sig at være blandet, så der er større problemer end først antaget.” Sådan lyder beskeden i en mail fra Troels Ørting, der er en garvet IT-sikkerhedsmand på den internationale scene. Han fortsætter:
”En del virker dog godt nok, og udviklingen går stærkt. Der er heller ingen vej udenom. Der er simpelthen ikke nok IT- og cybersecurity-eksperter til rådighed, hverken i antal eller kvalitet.”
Som chef for sikkerhedsteams med tilsammen omkring 4.000 medarbejdere har Ørting de seneste tre år haft ansvaret for den store bankkoncern Barclays’ sikkerhed både i relation til IT og den fysiske verden. Lige nu er han inde i en karensperiode på vej mod nyt job. Tidligere var han ansvarlig for Europols Computer Crime Centre (EC3) i Haag, og herhjemme har han blandt andet været operativ chef for PET.
Kritisk mangel på eksperter
Manglen på eksperter rammer bredt, fortæller han. Lige fra i IT-sikkerhedscentret, hvor systemerne overvåges, til penetration tests, til i Red Teams – etiske hackere, der tester organisationens sikkerhedsniveau indefra og udefra.
Det kniber også med nok IT-arkitekter med ekspertise inden for Security by Design. Altså design af IT-systemer ud fra visheden om, at sikkerheden garanteret vil blive forsøgt brudt, hvorfor systemerne er indrettet til at spænde ben for de IT-kriminelle på alle niveauer. Og ikke mindst; til at minimere skaderne mest muligt ved indbrud.
Inden for storbanker har den del af AI, der kaldes Machine Learning, længe været i brug, fortæller Troels Ørting. Indledningsvis blev den brugt til, hvad der kaldes KYC – Know Your Customer – altså til at kende kundens mønstre, hvilket skal ses i relation til både service og risikobegrænsning.
AI er nødvendigt, for der er simpelthen ikke nok IT- og cybersecurity-eksperter til rådighed, hverken i antal eller kvalitet,
Troels Ørting
Kend din forbryder
”Nu står KYC også for Know Your Criminal,” lyder det fra Troels Ørting.
Machine Learning sker styret af mennesker, fodret af mennesker med enorme mængder af de data, som læringen gælder. Målet er, at de neurale netværk, bestående af chips og algoritmer, gennem egen videreudvikling af algoritmerne lærer at genkende normale mønstre i Big Data. På sikkerhedsområdet gælder det blandt andet data fra logfiler, varsler, adgangskontrol, lokationer samt viden om brugerens typiske opførsel (UBA – User Behaviour Analytics, red.), hvad enten det er en ansat eller en kunde.
”Systemet lærer, hvordan en normal dag ser ud, og varsler de menneskelige eksperter, når der ses afvigelser.”
De står selvfølgelig ikke på bar bund. For også de unormale mønstre – dem som er set udløst af kriminelle eller andre uønskede hændelser – bør være klart definerede. Ifølge Ørting benyttes for eksempel en metode, kaldet en Kill Chain, der oprindeligt er udviklet af den store flykoncern Lockheed Martin.
En Kill Chain er egentlig et militært begreb for strukturen i et angreb, og herunder for i hvilken rækkefølge alle de nødvendige elementer i et givent angreb skal udføres, lige fra for eksempel flytning af tropper til støtte fra bombefly luften. I IT-sammenhæng sker kortlægningen af angrebskæden med fokus på de angreb, der er set. Kortlægningen letter muligheden for at bryde kæden af hændelser, inden angrebet er fuldført.
Kriminelle uden samvittighed
”Kriminelle grupper bruger Big Data og Machine Learning bedre, end vi gør,” siger Ørting, og fortsætter:
”De har ikke nogen overvejelser gældende databeskyttelse, og de er ligeglade med, om de laver fejl, eller om deres handlinger skader nogen eller noget. De er gode til at samarbejde på tværs af kriminelle grupper og lande, og de sammenstiller brikker fra mange kilder til for eksempel personprofiler. Vi har set disse sammensatte databaser i realtime, så de eksisterer.”
Når bankerne selv bruger Machine Learning som forsvar mod angrebene, styrkes sikkerheden. Men ikke uden problemer. For eksempel ses for mange false positives, altså ubegrundede alarmer, og der overses true positives, fordi algoritmerne snydes af noget uventet.
”Det er hovedproblemet – ikke meget kører helt efter en snor i den kriminelle verden. Kunsten er at finde signal i støj i stedet for at producere mere støj.”
Ørting sætter sin lid til, at forskning i bedre algoritmer tager brodden af de fleste af disse problemer i kombination med bedre datakvalitet.
Svær udvikling af avanceret AI
Den del af AI, som gælder systemets læring og ræsonnement på egen hånd, er han endnu ikke imponeret af. Han betegner den som værende på baby-stadiet, om end fx Google er lykkedes med selvlærende systemer til spillene skak og Go.
Troels Ørting forventer, at de store forbedringer i AI netop drives af firmaer som Google, Facebook og andre giganter, der får en kommercielt gevinst ud af det.
”Security vil piggyback’e – ride med på ryggen af den udvikling. Optimalt for os er, hvis AI selv bliver i stand til at identificere sårbarheder og udarbejder de nødvendige patches, der forhindrer udnyttelse af sårbarhederne.”
Den kunstige intelligens imødeses med nogen bekymring af mange, der frygter at blive gjort arbejdsløse, men ifølge Troels Ørting gælder det næppe sikkerhedsfolket.
”Jeg tror, de fleste sikkerhedsansvarlige drømmer om, at det manuelle tidskrævende arbejde med at afkode logfiler og trends og mønstre i alle data overtages af maskiner, så mennesket kan koncentrere sig om at gøre det, vi er bedst til: tænke, analysere, vurdere og konsekvensberegne.”
Fremtidsscenariet, hvor AI overtager hele sikkerhedsarbejdet? Nixen Bixen.
”Der skal eksperter til at supervisere den kunstige intelligens og til at tage de afgørende beslutninger,” lyder beskeden fra Troels Ørting.
\