Pramonės naujienos

Kodėl vyriausybė naudoja savo didžiausią saugumo riziką didžiausioms saugumo spragoms lopyti

CISA naudoja „Anthropic“ sukurtą „Mythos“ DI vyriausybiniam kodui skenuoti ir klaidoms ieškoti, nepaisant startuolio nesutarimų su Baltaisiais rūmais ir Pentagonu.
Kodėl vyriausybė naudoja savo didžiausią saugumo riziką didžiausioms saugumo spragoms lopyti

Nors viešajame diskurse dirbtinis intelektas dažnai pateikiamas kaip paprastas įrankis el. laiškams rašyti ar vaizdams generuoti, realybė yra kur kas labiau industrinė. Kibernetinio saugumo ir infrastruktūros saugumo agentūra, žinoma kaip CISA, šiuo metu naudoja galingą „Anthropic“ DI modelį vyriausybinei programinei įrangai skenuoti ieškant klaidų. Šis žingsnis yra ryškus posūkis po pastarojo meto įtampos tarp San Fransisko startuolio ir federalinių reguliuotojų. Tik prieš kelis mėnesius Pentagonas pavadino „Anthropic“ tiekimo grandinės rizika – tai žingsnis, kuris iš esmės prilygino bendrovę užsienio subjektams, įtariamiems šnipinėjimu. Šiandien ta pati įmonė yra nematomas pagrindas pastangoms apsaugoti federalinį kodą nuo užsienio šnipų.

Žvelgiant į bendrą vaizdą, šis priėmimas rodo, kad vyriausybė vertina pajėgumus labiau nei politinius nesutarimus. CISA naudoja konkretų DI modelį, vadinamą „Mythos“, įvairių departamentų kodo saugykloms audituoti. Šios saugyklos yra skaitmeniniai sandėliai, kuriuose vyriausybė saugo programinę įrangą, valdančią viską – nuo mokesčių apdorojimo iki logistikos. „Mythos“ veikia kaip nepavargstantis praktikantas, per kelias sekundes perskaitantis milijonus kodo eilučių ir ieškantis smulkių klaidų, kurias programuotojas gali praleisti po ilgos pamainos. Šios klaidos yra atviri langai, kuriais kibernetiniai nusikaltėliai ir užsienio žvalgybos agentūros naudojasi siekdami gauti prieigą prie jautrių Amerikos duomenų.

Nepavargstantis federalinių kodo saugyklų praktikantas

Žvelgiant giliau, kodo audito procesas istoriškai yra lėtas ir brangus. Žmogus, saugumo tyrėjas, per valandą gali su dideliu tikslumu peržiūrėti tik kelis šimtus kodo eilučių. JAV vyriausybė valdo milijardus kodo eilučių, kurių didelė dalis parašyta prieš dešimtmečius kalbomis, kurias šiuolaikiniai programuotojai naudoja retai. Tai sukuria didžiulį potencialių pažeidžiamumų kaupimąsi. „Mythos“ keičia šio proceso matematiką, nes tai yra proveržio įrankis, sukurtas specialiai kibernetinio saugumo analizei. Jis ne tik ieško rašybos klaidų; jis supranta, kaip skirtingos programinės įrangos dalys sąveikauja tarpusavyje, sukurdamos sisteminę riziką.

Pasak su šiuo klausimu susipažinusių asmenų, CISA Atakos paviršiaus vertinimo komanda yra grupė, vadovaujanti šioms pastangoms. Ši komanda atlieka skaitmeninio saugumo vertinimus ir įsilaužimo pratybas, kad rastų silpnąsias vietas anksčiau nei tikrieji užpuolikai. Naudodama „Mythos“, komanda jau atskleidė daugybę pažeidžiamumų. Nors specifinis šių klaidų pobūdis nėra viešas, atradimo greitis rodo, kad DI veikia tokiu lygiu, kurio žmonių komandos negali pasiekti. Šis efektyvumas yra būtinas, nes kodo kiekis, kurį vyriausybė turi ginti, auga kasdien.

Permainingi „Anthropic“ ir Baltųjų rūmų santykiai

„Anthropic“ istorija su institucijomis, kurioms ji dabar padeda, yra sudėtinga. Šiuo metu bendrovė vykdo konfidencialų pirminį viešą akcijų siūlymą, tačiau jos kelias į akcijų rinką buvo nepastovus. Vasario mėnesį „Anthropic“ ir Baltųjų rūmų santykiai pasiekė žemiausią tašką. Bendrovė atsisakė pašalinti vidines apsaugos priemones, kurios neleido jos DI naudoti autonominiams ginklams ar vidaus stebėjimui. Šis atsisakymas paskatino Pentagoną oficialiai įvardyti bendrovę kaip tiekimo grandinės riziką. Tai griežta etiketė, paprastai taikoma įmonėms, kurios, vyriausybės nuomone, palengvina užsienio šnipinėjimą.

Šis neeilinis įtraukimas į juodąjį sąrašą truko neilgai. Kovą teisėjas sustabdė šį nurodymą, o įtampa atslūgo po privataus „Mythos“ išleidimo. Įdomu tai, kad net kai oficiali politika buvo įtari, Nacionalinio saugumo agentūra jau naudojo šį modelį. Birželio pabaigos ataskaitos rodo, kad NSA analitikai išbandė „Mythos“ įslaptintoje aplinkoje ir nustatė, kad jo galimybės yra precedento neturinčios. Agentūra yra pagrindinė vyriausybės pasiklausymo institucija, o jos pritarimas „Mythos“ rodo, kad įrankis yra itin efektyvus tiek randant, tiek išnaudojant skaitmenines silpnąsias vietas.

Pasaulinis „Fable“ išjungimas ir jo poveikis

Situacija tapo dar sudėtingesnė, kai „Anthropic“ išleido viešą „Mythos“ versiją, pavadintą „Fable“. Į šią versiją buvo įtrauktos specifinės kibernetinio saugumo apsaugos priemonės, skirtos bendram naudojimui. Tačiau Baltieji rūmai vėl įsikišo, reikalaudami, kad „Anthropic“ uždraustų visiems užsienio vartotojams prieigą prie modelio. Šis reikalavimas lėmė visišką pasaulinį „Fable“ išjungimą, kuris truko iki praėjusios savaitės. Vyriausybės logika yra tokia: įrankis, galintis ištaisyti klaidas, taip pat gali padėti užpuolikui jas rasti. Apribodama prieigą tik amerikiečiams, administracija tikisi išlaikyti šią „skaitmeninę naftą“ savo sienų ribose.

Žvelgiant iš vartotojo perspektyvos, ši kova pabrėžia centrinį šiuolaikinių technologijų paradoksą. Mes norime, kad DI būtų saugus ir ribojamas, tačiau mums taip pat reikia, kad jis būtų pakankamai galingas ginti mūsų jautriausias sistemas. Vyriausybė iš esmės bando pasiekti abu tikslus: savo gynybai naudoja privačią, neribojamą modelio versiją, o visuomenės prieigą prie tos pačios technologijos riboja. Taip sukuriama pakopinė sistema, kurioje patys tvirčiausi saugumo įrankiai yra rezervuoti federaliniam naudojimui, paliekant privatų sektorių pasikliauti labiau ribotomis versijomis.

Ką tai reiškia jūsų asmeninių duomenų saugumui

Vidutiniam vartotojui faktas, kad CISA naudoja „Mythos“, yra teigiamas dalykas privatumo atžvilgiu. Dauguma žmonių tiesiogiai nesąveikauja su vyriausybiniu kodu, tačiau jų duomenys – taip. Jūsų socialinio draudimo numeris, mokesčių istorija ir sveikatos priežiūros įrašai yra saugomi saugyklose, kurias šiuo metu skenuoja „Mythos“. Kai DI randa klaidą IRS ar Veteranų reikalų departamento sistemoje, ta sistema yra sutvarkoma anksčiau, nei piktavalis gali ja pasinaudoti. Tai praktinis DI pritaikymas, turintis apčiuopiamą poveikį jūsų asmeninės informacijos saugumui.

Praktiškai kalbant, šis pokytis rodo, kad rankinių saugumo auditų era baigiasi. Ateinančiais metais vis daugiau privataus sektoriaus įmonių greičiausiai įdiegs tokius įrankius kaip „Mythos“ ar „Fable“, kad apsaugotų savo tinklus. Tai padės sukurti atsparesnę skaitmeninę ekonomiką, kurioje programinė įranga bus iš esmės saugesnė nuo pat jos sukūrimo momento. Tačiau tai taip pat reiškia, kad patekimo barjeras hakeriams pakils. Kadangi gynyba tampa automatizuota, užpuolikai taip pat pasitelks DI, kad rastų dar subtilesnių būdų apeiti saugumo priemones. Rezultatas yra cikliškos ginklavimosi varžybos, kuriose nugalėtoją lemia DI greitis.

Požiūrio į vyriausybines technologijas kaita

Galiausiai, tai, kad CISA naudoja „Mythos“, yra ženklas, jog vyriausybė yra pasirengusi nekreipti dėmesio į korporacinę trintį, kad apsaugotų savo infrastruktūrą. Faktas, kad įmonė per kelis mėnesius gali pereiti iš juodojo sąrašo į pagrindinę saugumo partnerę, rodo, kiek daug vyriausybė pasikliauja privataus sektoriaus inovacijomis. Vartotojams tai priminimas, kad nematomą interneto mechaniką vis dažniau valdo algoritmai, o ne žmonės. Judame link decentralizuoto saugumo modelio, kuriame svarbiausias darbas vyksta fone, toli nuo mūsų įrenginių vartotojo sąsajos.

Naudodamiesi vyriausybinėmis paslaugomis ar skaitmeninės bankininkystės programėlėmis, pastebėkite, kaip retai susiduriate su dideliais sistemų sutrikimais, palyginti su tuo, kas buvo prieš penkerius metus. Šis stabilumas dažnai yra automatizuotų įrankių, tokių kaip tas, kurį dabar naudoja CISA, rezultatas. Kol Vašingtone tęsiasi politinė kova dėl DI saugumo, techninė realybė yra tokia, kad šie įrankiai jau sunkiai dirba. Esmė ta, kad jūsų skaitmeninis gyvenimas tampa saugesnis, nes vyriausybė nusprendė, jog kažkada uždraustas DI yra per daug vertingas, kad jį ignoruotų. Šis pragmatiškas požiūris į technologijas yra esminis pokytis tame, kaip šalis gina savo skaitmenines sienas.

Šaltiniai:

  • Kibernetinio saugumo ir infrastruktūros saugumo agentūros vidaus vertinimai
  • „Anthropic“ įmonės dokumentai ir vieši pareiškimai
  • Nacionalinio saugumo agentūros techninės peržiūros ataskaitos
  • Gynybos departamento tiekimo grandinės rizikos nustatymo įrašai
  • Federalinių teismų sprendimai dėl Anthropic vs. Department of Defense
bg
bg
bg

Iki pasimatymo kitoje pusėje.

Pašto ir debesies saugojimo sprendimas suteikia galingiausias saugaus keitimosi duomenimis priemones, užtikrinančias jūsų duomenų saugumą ir privatumą.

/ Sukurti nemokamą paskyrą