ChatGPT может быть полезным средством обслуживания клиентов. К сожалению, он помогает не только клиентам, особенно сейчас, когда ChatGPT установлен на многих устройствах Интернета вещей и edge.
Интернет вещей (IoT) и пограничные вычисления уже много лет мешают усилиям по обеспечению безопасности предприятий. Учитывая дополнительные сложности работы на дому и гибридных механизмов организации работы, в последнее время ситуация значительно ухудшилась. Теперь ChatGPT устанавливается поверх большинства устройств Интернета Вещей и пограничных устройств, эффективно добавляя приветственный маяк – или даже руку помощи – субъектам угрозы повсюду.
“Существующие уязвимости, особенно в контексте искусственного интеллекта и атак с поддержкой ChatGPT или при содействии атак на пограничные устройства и пользователей, могут быть использованы против предприятий различными способами”, – говорит Джим Брум, президент и технический директор DirectDefense.
Несмотря на различия в уязвимостях и различные попытки их использования, угрозы из пограничных областей исходят из одной из двух областей Интернета вещей: домашнего интернета вещей и корпоративного интернета вещей.
Во многих случаях домашние сети сотрудников и содержащиеся в них данные являются предпочтительными целями для субъектов угроз.
“Попав в домашнюю сеть, злоумышленники могут затем вернуться в корпоративную сеть, потенциально подвергая риску конфиденциальную бизнес-информацию через ‘благословенного пользователя или домашнюю сеть’, ” говорит Брум.
Но это не значит, что корпоративные IoT и пограничные устройства надежно защищены от более прямых вторжений.
“Например, злоумышленники-вымогатели могут использовать уязвимости IoT в качестве отправной точки для проведения своих вредоносных кампаний, потенциально нанося значительный ущерб и нарушая бизнес-операции”, – добавляет Брум.
Развивающийся ландшафт угроз в корпоративном IoT
Использование Интернета вещей и периферийных вычислений растет как на домашнем, так и на корпоративном фронтах. Хотя рынок Интернета вещей сильно фрагментирован, обзор даже нескольких категорий подчеркивает непрерывный и неограниченный рост по всем направлениям. Gartner оценивает расходы на IoT в корпоративном пространстве и во всех ключевых отраслях в более чем 268 миллиардов долларов в 2022 году. “Делойт” прогнозирует, что в этом году мировые расходы на программное и аппаратное обеспечение, связанное с IoT, вырастут до 1,1 триллиона долларов.
Но проблемы связаны не только с растущим числом приобретаемых и развертываемых IoT и пограничных устройств. Растущее разнообразие типов IoT также вызывает проблемы.
“Разнообразие пограничных устройств и устройств Интернета вещей, начиная от коммутаторов, маршрутизаторов и датчиков и заканчивая системами торговых точек, промышленными роботами и оборудованием автоматизации, также повышает уровень сложности и уязвимости системы безопасности из-за различий в протоколах, функциях и возможностях обеспечения безопасности”, – объясняет Джеймс Джунхак Ли, старший менеджер американской практики “Делойта” по кибербезопасности и стратегическим рискам.
Если вы считаете, что поставщики и покупатели стали лучше обеспечивать безопасность этих устройств после стольких лет, подумайте еще раз. Армии ботнетов и DDoS-атаки часто происходят с незащищенных устройств Интернета вещей, которые кажутся такими безобидными, как аквариумные термостаты в лобби отеля, домашние умные холодильники и кофейники компании в комнатах отдыха.
“Устройства IoT в частности и пограничные устройства в целом являются наиболее уязвимыми в организации”, – говорит Джон Галлахер, вице-президент Viakoo Labs, исследовательского подразделения, специализирующегося на управлении безопасностью IoT и OT.
Где сталкиваются опасности дома и на работе
IoT и пограничные вычисления порождают уязвимости и в других местах. Например, постоянно расширяющееся пространство пограничных вычислений усугубляет проблемы безопасности для предприятий – особенно на границе между корпоративным и потребительским использованием.
“Современные системы архивирования изображений, называемые PACS, соединяют сканеры, такие как ультразвуковой или компьютерный томограф, с системами управления пациентами”, – объясняет Дирк Шрейдер, вице-президент по исследованиям в области безопасности Netwrix. “В настоящее время серверы PACS становятся все более подключенными к общедоступному Интернету, так что пациенты и врачи могут получить доступ к данным. Довольно часто для этих ИТ-инфраструктур не предусмотрены даже элементарные меры предосторожности. Они не защищены”.
Растущая взаимосвязь между корпоративным и потребительским IoT и сетями размывает границы и резко определяет возможности для злоумышленников.
Опасности и ущерб также возникают в обоих направлениях.
“На данный момент только в США насчитывается около 200 таких незащищенных архивов [серверов PACS], подключенных к общедоступному Интернету. Злоумышленники могут воспользоваться ими, отфильтровать или зашифровать данные для вымогательства у организации, использовать данные для мошенничества с медицинской страховкой против пациентов или изменить медицинские снимки, чтобы повредить сам процесс ”, – говорит Шрейдер.
Но этот перекресток между потребительскими и профессиональными связями – не единственная точка столкновения для предприятий. Сами устройства могут использоваться в разных целях и могут быть разрушены. Автономные транспортные средства, например, существуют как в коммерческой, так и в потребительской версиях. Атаки легко переносятся на предприятие и пользователя, независимо от того, являются ли транспортные средства коммерческим автопарком, арендуемым транспортным средством или принадлежат работнику, который с неохотой возвращается к работе в офисе.
Кроме того, наблюдается неуклонное распространение домашнего интернета вещей – от камер наблюдения за няней до интеллектуальных счетчиков и детских игрушек – на работодателя жильца.
“Дополнительная проблема связана с уязвимостями, присутствующими в домашних устройствах с поддержкой искусственного интеллекта, используемых удаленными сотрудниками”, – говорит Брум. “Например, когда сотрудники бухгалтерии в последний раз обновляли свои домашние маршрутизаторы или серверы хранения данных, подключенные к домашней сети, которые они используют для резервного копирования корпоративной работы во время удаленной работы. Эта проблема еще больше усугубляет проблемы, с которыми сталкиваются организации, поскольку увеличивает риск кражи интеллектуальной собственности ”, – говорит он.
Как ChatGPT и искусственный интеллект усугубляют уязвимости Интернета вещей
ChatGPT и подобные ему технологии быстро интегрируются или внедряются в коммерческий и потребительский IoT всех типов. Многие считают модели искусственного интеллекта самой сложной угрозой безопасности на сегодняшний день. Но большая часть того, что воображается, действительно воображаемая.
“Теперь, если появится реальный искусственный интеллект, будьте очень обеспокоены тем, что переключатель отключения находится очень далеко от людей”, – говорит Джайендра Патхак, главный научный сотрудник SecureIQLab. Он, как и другие специалисты в области безопасности и ИИ, согласен с тем, что шансы на разработку реального общего искусственного интеллекта в ближайшее время все еще очень низки.
Но что касается последней сенсации в области искусственного интеллекта, ChatGPT, ну, это другой вид паники.
“ChatGPT представляет [инсайдерскую] угрозу – аналогично тому, как мошенники или ‘всезнающие сотрудники’ представляют – IoT. Некоторые уязвимости потребительского Интернета вещей представляют тот же риск, что и микроконтроллер или микропроцессор ”, – говорит Патхак.
По сути, потенциальные угрозы ChatGPT проистекают из его подготовки к тому, чтобы быть полезным. Однако такая радужная директива prime может быть очень вредной. Даже когда подсказка натыкается на защитные ограждения, другая хорошо продуманная подсказка может обмануть ее и заставить сделать именно то, для предотвращения чего были разработаны защитные ограждения.
Этот тип атаки называется внедрением запроса, поскольку запрос используется для того, чтобы заставить модель игнорировать предыдущие инструкции или выполнять непреднамеренные действия. Внедрение подсказок может использоваться непосредственно в ChatGPT или в приложениях, построенных на ChatGPT или других моделях искусственного интеллекта на большом языке. Другими словами, этот тип атаки может быть внедрен в ChatGPT, расположенный поверх устройств Интернета вещей и пограничных устройств.
“Более того, новые технологии, такие как искусственный интеллект и ChatGPT в пограничных устройствах, создают новые уязвимости, о которых компаниям необходимо знать”, – говорит Харман Сингх, директор Cyphere. Например, алгоритмами искусственного интеллекта можно манипулировать для генерации ложных данных, что приводит к неправильным решениям и действиям. ChatGPT также можно использовать для проведения атак социальной инженерии, выдавая себя за доверенных лиц или организации ”.
Иногда запрос может быть использован для того, чтобы заставить ChatGPT и аналогичные чат-боты на базе LLM раскрыть служебную или служебную информацию, используемую для руководства его ответами и которая никогда не предназначалась для доступа к кому-либо за пределами компании.
“Когда конфиденциальные данные или исходный код становятся общедоступными с помощью таких инструментов, как ChatGPT, это создает проблемы для соблюдения обязательств и подвергает риску интеллектуальную собственность”, – говорит Натан Ханстад, заместитель CISO в Code42.
Хотя развивающиеся угрозы растут и распространяются подобно лесному пожару, не все потеряно.
“Любая новая технология сопряжена с рисками, но это не значит, что все риски совершенно новые. Фактически, компании могут обнаружить, что у них уже есть много людей, процессов и технологий для снижения рисков, связанных с такими инструментами, как ChatGPT ”, – говорит Ханстад.