Cyber Security Today, Week in Review voor de week eindigend op vrijdag 31 maart 2023

Welkom bij Cyber Security Today. Dit is de Week in Review voor de week die eindigt op vrijdag 31 maart 2023. Vanuit Toronto ben ik Howard Solomon, verslaggever over cyberbeveiliging voor ITWorldCanada.com en TechNewsday.com in de VS.

Over een paar minuten is David Shipley van Beauceron Security hier om te praten over recente gebeurtenissen. Maar eerst een terugblik op enkele krantenkoppen van de afgelopen zeven dagen:

Er waren oproepen van prominente namen in de technologie, waaronder Elon Musk en Steve Wozniak, voor een pauze van zes maanden in de ontwikkeling van geavanceerde kunstmatige intelligentiesystemen. Is dit nodig, of is het een kreet van concurrenten die het niet kunnen bijbenen? David en ik zullen dit onderzoeken.

We praten ook over de toekomst van TikTok in de Verenigde Staten na de getuigenis van de CEO voor het Congres vorige week.

En omdat het vandaag Wereld Back-up Dag is, wanneer IT leiders zouden moeten nadenken over de effectiviteit van hun data back-up strategie, hebben we enkele gedachten.

Ook in het nieuws, waarschuwen onderzoekers van Rapid7 dat IT-afdelingen niet snel genoeg zijn met het patchen van een kwetsbaarheid in IBM’s Apsera Faspex file transfer applicatie. Wacht niet op uw reguliere patchcyclus, adviseren zij, want een werkende proof of concept exploit is al sinds februari in het wild.

Microsoft zei dat een pas ontdekt lek in Outlook voor Windows al bijna een jaar wordt misbruikt. De onthulling kwam toen het bedrijf deze week gedetailleerde richtlijnen publiceerde voor IT-verdedigers die op zoek zijn naar tekenen dat hun servers zijn gecompromitteerd. Verdedigers moeten een diepgaande en alomvattende strategie voor het opsporen van bedreigingen gebruiken om mogelijke inbreuken op de geloofsbrieven te identificeren. Microsoft heeft hiervoor op 14 maart een patch uitgebracht.

De grootste farmaceutische maker in India, Sun Pharmaceuticals, zei dat het is getroffen door ransomware. In een beursbericht zei het bedrijf dat de aanval de diefstal van enkele persoonlijke en bedrijfsgegevens inhield.

In een podcast van 8 maart vertelde ik u dat de LockBit ransomware bende een county sheriff’s kantoor in Florida als een van zijn laatste slachtoffers noemde. Deze week publiceerde de bende gestolen data.

Nieuwe regelgeving zijn deze week van kracht geworden in de VS, waardoor de Food and Drug Administration nieuwe medische hulpmiddelen die niet voldoen aan de cyberbeveiligingsnormen kan afkeuren. Fabrikanten zijn verplicht beveiligingsupdates en patches uit te brengen en een stuklijst van de software te verstrekken.

Een incassobureau brengt bijna 500.000 Amerikaanse inwoners op de hoogte van de diefstal van hun gegevens. Volgens NCB Management Services omvatte de informatie details van de voormalige Bank of America creditcardrekeningen van de slachtoffers, zoals hun naam, adres, geboortedatum en sofinummer.

En twee nieuwe varianten van de IcedID-malware zijn ontdekt. Onderzoekers van Proofpoint zeggen dat het doel is om de malware te gebruiken voor het leveren van meer payloads. De oorspronkelijke IcedID bestaat nog steeds voor het stelen van inloggegevens van banken.

(Het volgende is een bewerkt transcript van een van de discussieonderwerpen. Speel de podcast af om de volledige bespreking te horen)

Howard: Laten we beginnen met de brief van enkele technologieleiders die oproepen tot een pauze van zes maanden voor het trainen van AI-systemen die krachtiger zijn dan versie vier van ChatGPT. Dit is de chatbot die zoekopdrachten op internet in zinnen of paragrafen kan teruggeven en een stroomschema kan maken. Toeval of niet, de brief kwam een dag nadat Microsoft een aankomende tool onthulde die ChatGPT-4 gebruikt om beveiligingsteams te helpen bij het opsporen van IT-netwerkcompromissen. U kunt de tool, die Microsoft Security Copilot heet, vragen naar een mogelijke aanval en het doorzoekt uw IT-systemen om bewijs van compromittering te vinden en een rapport op te stellen. Experts maken zich al enige tijd zorgen dat geautomatiseerde en kunstmatige intelligentiesystemen bevooroordeeld kunnen zijn ten opzichte van vrouwen en gekleurde mensen wanneer ze worden gebruikt voor screening, sollicitaties en verzekeringen of bij gezichtsherkenning. David, toen je deze brief las die opriep tot een pauze. Wat dacht je?

David Shipley: Er worden terechte zorgen geuit. Uit peer-reviewed studies is gebleken dat AI zowel impliciet als expliciet bevooroordeeld is ten opzichte van verschillende groepen en dat de besluitvorming gebrekkig is. Er is dus reden tot bezorgdheid. Maar er zijn ook overdreven zorgen. Ik denk dat het heel belangrijk is dat de luisteraars erkennen dat we nog lang geen algemene AI hebben. Wat we nu hebben is een hypernauwkeurige gokker, een digitale papegaai die hele slimme dingen kan zeggen, maar geen idee heeft waar hij het over heeft. En de pauze die wordt bepleit als die nodig is, is lang niet lang genoeg. Bijvoorbeeld, hier in Canada zijn de voorgestelde wetten om de potentiële schade van ai. AI is nog niet eens door de [federal] wetgevingsproces, laat staan de bijkomende substantiële discussies over hoe het te implementeren in regelgeving. We zijn waarschijnlijk twee tot tweeëneenhalf jaar verwijderd van de praktische goedkeuring van verordeningen en de beschikbare middelen voor het toezicht daarop …

Deze discussie komt ook op een moment dat de Council of Canadian Academics net een rapport heeft gepubliceerd van een panel van deskundigen in opdracht van Public Safety Canada, waarin een rode vlag wordt gehesen dat de digitale risico’s het huidige vermogen van de maatschappij om ermee om te gaan hebben overtroffen – en dat is alleen nog maar met deze generatie AI. We moeten nu handelen om die schade te beperken.

Howard: Terwijl de ondertekenaars van de brief universitaire professoren waren, waren er ook hoofden van technologiebedrijven die kunnen worden beschouwd als concurrenten van AI-leiders. Dus gaat het hier om jaloezie of afgunst dat een concurrent een betere oplossing heeft dan mijn bedrijf?

David: Ik kan die zorg niet helemaal wegwuiven, maar omdat er zoveel andere ondertekenaars van deze brief zijn, waaronder gerespecteerde academici van Berkeley en MIT, denk ik eerlijk gezegd niet dat dat de primaire motivatie voor deze brief is. Ik denk dat de ondertekenaars echt bang zijn dat deze op winst gerichte, waanzinnige race – bijna zoals John Hammond in Jurassic Park, een waanzinnige race om iets cools te doen zonder na te denken over de gevolgen van het doen van dat ding. Dit is de drijvende kracht achter de kracht van deze brief en en de oproep tot actie.

Howard: De mensen die deze brief ondertekenden waren het eens met de stelling “Geavanceerde AI vertegenwoordigen een ingrijpende verandering in de geschiedenis van het leven op Aarde. Dat is echt dramatisch. Als je dat wilt uitbreiden, is het bangmakerij.

David: Dat zou een terechte kritiek kunnen zijn. Ik denk dat we het risico lopen het vermogen van AI te overschatten. Aan de andere kant zijn er enkele legitieme zorgen dat deze technologie één op de vier banen zou kunnen beïnvloeden, wat een diepgaande invloed zou kunnen hebben op onze moderne economie. Dus hoewel de bangmakerij misschien te ver gaat, is er misschien meer aan de hand dan we ons kunnen voorstellen. Ik denk dat de uiteindelijke waarheid is dat ik denk dat de mensen die deze technologie maken het niet volledig begrijpen, en dat is waar dit risico vandaan komt. Het is wat [former U.S. Secretary of Defence] Donald Rumsfeld ooit de ‘onbekende onbekenden’ noemde. En het gevaar is dat we steeds dezelfde patronen blijven herhalen. Als we overmoedig zijn in technologie en risico’s negeren. We kunnen misschien zelfs anticiperen, en dat deden we met de Titanic: Ze wisten dat april een gevaarlijke maand was [to sail] toen dat schip op zijn eerste reis vertrok. Ze wisten wat ze hadden kunnen doen, maar ze waren zo overmoedig in de technologie – ze hadden draadloze communicatie zodat ze om hulp konden bellen en de waterdichte compartimenten – dat ze met volle kracht op een ijsberg liepen zonder zelfs maar voldoende reddingsboten.

Howard: Maar het ging er niet om dat april een gevaarlijke maand was om te varen. Het was een kwestie van april was een gevaarlijke maand om te varen op de koers die ze gepland, dat was waarschijnlijk de kortste koers tussen Engeland en New York. Het was niet gevaarlijk als je je koers honderd mijl zuidelijker zette, wat langzamer zou zijn, maar aan de andere kant het risico op een ijsberg vermindert.

David: Je raakt precies het punt: als ze gewoon langzamer waren gegaan, hadden ze nog steeds met succes hun bestemming kunnen bereiken. Maar het was de snelheid waarmee ze wilden gaan om tijd te winnen, om hun reis te optimaliseren, om zich te concentreren op het verminderen van hun kosten, om meer geld te verdienen dat hen in de problemen bracht waarin ze nu zitten.

Howard: Als AI gaat over het maken van computers die menselijk denken en gedrag simuleren, is ChatGPT dan een AI systeem? Het kijkt alleen waar het op gericht is. Als het op het internet is gericht en een mogelijke oplossing voor een vraag staat niet op het internet, dan wordt die niet gevonden.

David: Op dit punt heb je helemaal gelijk. We kijken godzijdank niet aan tegen een echte kunstmatige intelligentie. Daarmee bedoel ik iets met een echt bewustzijn. Dat ligt verderop. Dat is een heel nieuw probleem. We kijken naar [at ChatGPT] naar een gokmachine. Het is een zeer nauwkeurige gokmachine die woorden en beelden aan elkaar weet te rijgen in patronen die we kunnen herkennen. Soms kloppen die patronen en soms zitten ze er helemaal naast. Toen hij bijvoorbeeld probeerde een lokaal restaurant aan te bevelen aan een verslaggever die hem testte, verzon hij gewoon een neprestaurant en een neplocatie. En toen het werd uitgedaagd probeerde het de journalist te belazeren. Dat is ongelooflijk verontrustend. Maar het begrijpt niet echt de betekenis van wat het zegt en het mist menselijk inzicht.

Howard: Dat brengt ons bij de voorgestelde AI-wetgeving die de Canadese regering negen maanden geleden aan het parlement heeft voorgelegd als onderdeel van de hervorming van de privacywetgeving. Deze voorgestelde wetgeving heet de Artificial Intelligence and Data Act. De wet zou bedrijven die gebruik maken van AI-technologieën met een grote impact verplichten om deze op verantwoorde wijze te gebruiken, inclusief het identificeren en beperken van risico’s. Een AI-commissaris voor gegevens zou toezien op de naleving van de voorschriften – die nog moeten worden uitgewerkt. Er is dus veel dat we niet weten over deze wetgeving. Twee vragen: Is deze voorgestelde wetgeving redelijk en praktisch? En waarom heeft de regering van deze wetgeving en de privacywetgeving geen prioriteit gemaakt?

David: Ik heb de wetgeving doorgelezen en ik denk dat er een grote strijd gevoerd gaat worden over de definitie van ‘AI met grote impact’. En de kern van die discussie wordt doorgeschoven naar de regelgeving. Het wordt heel interessant om te zien hoe dat uitpakt. Mijn zorg over deze verordening gaat ook terug naar de ‘onbekende onbekenden’. Als je niet weet dat de gevolgen daadwerkelijk grote gevolgen zullen hebben, hoe kun je dit dan van tevoren controleren? Het is een groot probleem. Begrijp me niet verkeerd: We hebben regelgeving nodig voor AI, net zoals we autofabrikanten moesten dwingen veiligheidsgordels in te bouwen. Maar zelfs als we de enorme hindernis van regelgeving nemen, eindigen we met een AI-commissaris die machteloos is op de manier waarop onze… [federal] Privacy commissaris is geweest.

Wat uw tweede vraag betreft, waarom het geen prioriteit is geweest, kan worden gesteld dat de pandemie de regering en haar ambitieuze agenda voor het digitale handvest volledig op zijn gat heeft gelegd. De pandemie vertraagde de regering en dwong haar aandacht te verleggen naar de noodsituatie op het gebied van de volksgezondheid.