Tag: ENISA

  • Po kibernetinės atakos lemia minutės: ENISA ekspertas įvardijo tris pirmuosius žingsnius verslui

    Laikais, kai sukčiavimo laiškai ir netikros svetainės vis dažniau kuriamos pasitelkiant DI, o naujos pažeidžiamumo spragos išnaudojamos per valandas ar net minutes, įmonių reakcija į kibernetinį incidentą tampa esminiu išlikimo veiksniu. Europos Sąjungos kibernetinio saugumo agentūros ENISA atstovai pabrėžia, kad pirmosios valandos po įsilaužimo neretai nulemia galutinių nuostolių mastą.

    ENISA kibernetinio saugumo ir operacijų direktorius Hansas de Vriesas akcentuoja, kad kibernetinė ataka šiandien nėra vien IT skyriaus problema. Tai visos organizacijos atsparumo testas, apimantis technologijas, žmones ir procesus, o klaidos pradžioje gali pakenkti ne tik sistemoms, bet ir reputacijai bei klientų pasitikėjimui.

    DI keičia atakų greitį

    Pastaraisiais metais saugumo ekspertai vis dažniau kalba apie trumpėjantį laiką nuo spragos aptikimo iki jos išnaudojimo. DI padeda nusikaltėliams greičiau parengti įtikinamas apgaules, automatizuoti žvalgybą ir pritaikyti atakų scenarijus konkrečioms įmonėms, todėl vėluojanti reakcija tampa brangia klaida.

    Ši situacija didina poreikį iš anksto turėti incidentų valdymo planą, apmokytus atsakingus žmones ir aiškius sprendimų priėmimo kelius. Praktikoje daugelis organizacijų deklaruoja pasirengimą, tačiau realaus įvykio metu paaiškėja, kad trūksta aiškios komunikacijos, atsarginių veikimo scenarijų ir išbandytų procedūrų.

    Trys žingsniai pirmosioms minutėms

    ENISA ekspertas išskiria tris prioritetus, kuriuos įmonei svarbu atlikti vos pastebėjus galimą įsilaužimą ar duomenų nutekėjimą. Tikslas yra sustabdyti žalą, užfiksuoti informaciją tyrimui ir kuo greičiau įjungti pagalbos mechanizmus, kad incidentas neplistų.

    „Greitas pranešimas apie ataką padeda specialistams greičiau spręsti problemą ir užkirsti kelią tolesnei žalai, taip pat leidžia gauti patarimų ir paramą, reikalingą efektyviam atsigavimui“, – sakė Hansas de Vriesas.

    Pirmasis žingsnis yra nedelsiant stabilizuoti situaciją ir rinkti įrodymus: išsaugoti klaidų pranešimus, sistemos įspėjimus, ekrano nuotraukas, užfiksuoti įtartiną veiklą ir neardyti galimų įkalčių. Tai svarbu ir vidiniam tyrimui, ir tuo atveju, jei prireiktų teisėsaugos ar reguliuotojų įsitraukimo.

    Antrasis žingsnis yra kreiptis į kompetentingas institucijas ir naudotis oficialiais pranešimo kanalais. ES šalyse veikia nacionaliniai kibernetinio saugumo centrai ir incidentų registravimo mechanizmai, o didesniais atvejais gali būti reikalingas ir platesnis koordinavimas su sektoriaus ar valstybinėmis struktūromis.

    Trečiasis žingsnis yra greitas ir tikslus informavimas tų, kuriuos incidentas galėjo paveikti. Tai apima darbuotojus, klientus, partnerius ir tiekimo grandinės dalyvius, nes šiuolaikinėse atakose dažnai siekiama plisti per kontaktus, perimtas paskyras ar kompromituotus tiekėjų kanalus.

    Technologijos, žmonės ir procesai

    ENISA pabrėžia, kad kibernetinė sauga nėra vieno įrankio ar vienos platformos klausimas. Net pažangiausios apsaugos priemonės nebus veiksmingos, jei darbuotojai neatpažins apgaulių arba jei organizacijoje nebus aiškių taisyklių, kas ką daro incidento metu.

    „Sistemos ir paslaugos, kuriomis remiamės kasdieniame gyvenime, yra tarpusavyje susietos, todėl sutrikimas vienoje grandinės vietoje gali sukelti domino efektą visoje tiekimo grandinėje“, – sakė Hansas de Vriesas.

    Dėl to vis daugiau dėmesio skiriama nuolatiniams mokymams, pratyboms ir pareigybių aiškumui, kad incidento metu sprendimai būtų priimami greitai. ENISA taip pat yra parengusi Europos kibernetinio saugumo gebėjimų sistemą, kuri padeda įmonėms apibrėžti roles ir kompetencijas bei planuoti, kokių specialistų reikia realiam atsparumui užtikrinti.

    Artėjant griežtesniems reikalavimams daliai sektorių, įmonėms aktualu ne tik investuoti į technologijas, bet ir reguliariai testuoti veiklos tęstinumo planus, atnaujinti incidentų valdymo procedūras ir įvertinti tiekėjų rizikas. Kuo aiškesnis pasirengimas, tuo didesnė tikimybė, kad kibernetinė ataka netaps verslo sustojimu.

  • „Anthropic“ plečia prieigą prie kibernetinių spragų išnaudojančio modelio Mythos: durys atsiveria ir Europai

    „Anthropic“ plečia prieigą prie kibernetinių spragų išnaudojančio modelio Mythos: durys atsiveria ir Europai

    JAV dirbtinio intelekto bendrovė „Anthropic“ plečia prieigą prie savo galingo modelio Mythos, kuris gali padėti aptikti ir išnaudoti programinės įrangos pažeidžiamumus. Bendrovė skelbia, kad nauja prieiga bus suteikta maždaug 150 organizacijų daugiau nei 15 šalių, tarp jų ir kelioms Europos valstybėms.

    Šis plėtros žingsnis siejamas su „Anthropic“ iniciatyva Glasswing, sukurta kaip patikimų technologijų ir kibernetinio saugumo partnerių koalicija. Pagrindinis tikslas – modelio galimybes nukreipti gynybiniams tikslams, stiprinant pažeidžiamumų paiešką, analizę ir apsaugos priemonių kūrimą.

    „Plečiame partnerystę iki maždaug 150 naujų organizacijų“, – teigė „Anthropic“.

    Pasak bendrovės, kiekviena organizacija prieš gaudama prieigą privalės atitikti nustatytus saugumo reikalavimus. Tokia atranka yra esminė, nes modeliai, galintys efektyviai dirbti su pažeidžiamumais, kelia dvigubos paskirties riziką: jie gali pagreitinti tiek apsaugos priemonių kūrimą, tiek ir kenkėjiškų atakų planavimą, jei patektų į netinkamas rankas.

    Prieigos plėtra Europoje sutampa su didėjančiu reguliuotojų dėmesiu kritinių technologijų kontrolei ir tiekimo grandinių priklausomybei. Europos institucijos pastaraisiais metais vis aktyviau ieško būdų stiprinti strateginę autonomiją, ypač srityse, susijusiose su debesija, pažangiais lustais ir kibernetiniu saugumu.

    Ekspertai pabrėžia, kad tokio tipo DI sprendimai gali reikšmingai padėti gynybai, jei naudojami atsakingai: automatizuoti pažeidžiamumų paiešką, greitinti pataisų parengimą ir tiksliau modeliuoti atakų scenarijus. Tačiau kartu tai reikalauja griežtų prieigos kontrolės, audito ir atskaitomybės mechanizmų, kad technologija nepaskatintų incidentų skaičiaus augimo.

    „Anthropic“ nurodo, kad Glasswing plėtra bus tęsiama ir toliau, apimant tiek JAV, tiek užsienio partnerius. Tai reiškia, kad kibernetinių pajėgumų turinčių DI modelių valdymas ir tarptautinės saugos taisyklės taps vis aktualesniu klausimu tiek bendrovėms, tiek viešajam sektoriui.

  • „Anthropic“ atveria duris ES: ENISA turėtų gauti prieigą prie DI įsilaužimų įrankio „Mythos“

    „Anthropic“ atveria duris ES: ENISA turėtų gauti prieigą prie DI įsilaužimų įrankio „Mythos“

    Kas keičiasi po susitikimo

    JAV dirbtinio intelekto bendrovė „Anthropic“ pakvietė Europos Komisiją sudaryti sąlygas, kad ES kibernetinio saugumo agentūra ENISA gautų prieigą prie jos sukurto DI įsilaužimų įrankio „Mythos“. Apie procesą informavo Europos Komisijos pareigūnas, susipažinęs su derybomis.

    Formalus kvietimas, anot pareigūno, pateiktas po praėjusį ketvirtadienį San Franciske įvykusio „Anthropic“ ir Europos Komisijos atstovų susitikimo. Tolimesnis žingsnis dabar tenka ES institucijoms, kurios turi sukurti prieigos mechanizmą ir įdiegti tinkamas saugumo priemones.

    Kodėl „Mythos“ kelia įtampą

    „Anthropic“ „Mythos“ pristatė balandžio pradžioje, pabrėždama, kad modelis gali būti ypač pajėgus aptikti ir išnaudoti kibernetinio saugumo spragas. Tokia galimybė sustiprino nuogąstavimus, jog įrankis, patekęs į priešiškų veikėjų rankas, galėtų tapti masinių atakų prieš kritines ir jautrias sistemas katalizatoriumi.

    Pastarosiomis savaitėmis Europos institucijos viešai signalizavo apie ribotą priėjimą prie pažangių kibernetinio saugumo DI sprendimų. Dalis politikų ir pareigūnų ragino užtikrinti skaidrias sąlygas, kad ES galėtų realiai įvertinti tokių modelių rizikas ir pasirengti jų poveikiui.

    Europos Komisijos pozicija ir tolesni planai

    Europos Komisijos atstovas spaudai Thomas Regnier pareiškime nurodė, kad Komisija turėjo „keletą produktyvių susitikimų su „Anthropic“ ir palankiai įvertino naujausius pokyčius dėl galimos prieigos ateityje. Pasak jo, galimybė susipažinti su įrankiu yra svarbi, siekiant geriau suprasti galimas rizikas.

    „Ši naujausia raida yra itin svarbi, kad aiškiai suprastume galimą riziką. Nepamirškime, kad „Mythos“ nėra vienintelis atvejis, į rinką ateina nauja galingų modelių banga“, – sakė Thomas Regnier.

    ENISA atstovas nurodė, kad agentūra šiuo metu dar neturi aktyvios prieigos, tačiau dirba, kad ji būtų įgyvendinta. Tai reiškia, kad praktinė prieiga priklausys nuo techninių ir procedūrinių apsaugos sluoksnių, kurie turėtų sumažinti neteisėto naudojimo riziką.

    Tuo pat metu Europos Komisija rengia formalesnį veiksmų planą, skirtą reaguoti į itin galingus DI įsilaužimų įrankius. Pramonės atstovų teigimu, Komisija signalizuoja norą šį planą paskelbti iki vasaros pertraukos.

    Diskusijos Briuselyje vyksta platesniame kontekste, kuriame vis dažniau akcentuojama priklausomybė nuo užsienio technologijų ir būtinybė stiprinti ES kibernetinį atsparumą. Kartu teisėsaugos pareigūnai pabrėžia, kad generatyviniai įrankiai jau dabar mažina įėjimo barjerą nusikaltimams internete, o tai didina spaudimą kuo greičiau įtvirtinti veikiančias taisykles ir praktinius saugiklius.

  • ES spaudimas „Anthropic“ dėl Mythos: Europos institucijos nori prieigos įvertinti kibernetines rizikas

    ES spaudimas „Anthropic“ dėl Mythos: Europos institucijos nori prieigos įvertinti kibernetines rizikas

    JAV dirbtinio intelekto bendrovė „Anthropic“ sulaukia vis griežtesnės kritikos Europoje dėl sprendimo riboti prieigą prie naujo modelio Mythos, kuris, pasak pačios įmonės, pasižymi itin pažangiais programinės įrangos pažeidžiamumų paieškos ir išnaudojimo gebėjimais. Europos institucijos argumentuoja, kad be realios prieigos sudėtinga įvertinti grėsmes kritinei infrastruktūrai ir pasirengti galimam piktnaudžiavimui.

    Klausimas trečiadienį aptariamas Europos Parlamente, kur temą nagrinės Europos Komisijos ir ES kibernetinio saugumo agentūros ENISA atstovai. „Anthropic“ posėdyje nedalyvaus, nurodydama, kad kvietimo negalėjo priimti per trumpą laiką, o tai daliai europarlamentarų tapo papildomu signalu, kad dialogas su reguliuotojais stringa.

    Reguliuotojai prašo prieigos testams

    Europos sostinėse vis dažniau akcentuojama, kad modeliai, galintys reikšmingai sustiprinti įsilaužėlių pajėgumus, turi būti vertinami ne vien gamintojo pateiktais aprašais. Jei rizikos susijusios su pažeidžiamumų aptikimu ir automatizuotu išnaudojimu, praktiniai bandymai, raudonosios komandos testai ir nepriklausoma ekspertinė peržiūra laikomi būtinais.

    Europos Komisijos atstovai viešai pabrėžė, kad įsigaliojus platesnėms DI priežiūros galioms, institucijos sieks užsitikrinti prieigą prie pažangių modelių, jei to prireiks vykdant priežiūrą. Toks tonas rodo, kad Briuselis vis labiau linksta prie principo: didesnė rizika reiškia didesnį skaidrumo ir bendradarbiavimo lygį.

    ENISA ir bankų sektoriaus nerimas

    ENISA vaidmuo šioje istorijoje tampa centriniu, nes agentūra ES mastu koordinuoja kibernetinio saugumo rizikų vertinimą ir rekomendacijų teikimą. Europos Parlamentui ir kai kurioms valstybėms narėms svarbu, kad agentūra galėtų bent ribotai susipažinti su tokio tipo modelių galimybėmis, kad būtų galima parengti praktines rizikų mažinimo gaires.

    Didesnį susirūpinimą rodo ir finansų sektorius, nes bankai laikomi vienu svarbiausių kritinės infrastruktūros taikinių. Jei pažangūs DI įrankiai gali palengvinti pažeidžiamumų paiešką, atakų automatizavimą ar socialinės inžinerijos kampanijų mastelio didinimą, finansų rinkoms kyla sisteminės rizikos klausimas, ypač kai kalbama apie tarptautines, grandininį poveikį sukeliančias atakas.

    Skirtingos praktikos ES ir JAV

    Ši situacija ryškina ir skirtumus tarp JAV ir Europos prieigos prie nacionalinio saugumo vertinimų. JAV pastaraisiais metais stiprėja praktika, kai didžiosios technologijų bendrovės derina modelių patikrą su valdžios institucijomis, ypač kai kalbama apie pažangias kibernetines galimybes.

    Europos pusėje tuo pat metu juntama įtampa dėl to, kad pažangiausi modeliai dažnai kuriami už ES ribų, o prieiga prie jų suteikiama ribotam partnerių ratui. Dalis politikų tai vertina kaip strateginį pažeidžiamumą, nes be prieigos sunku laiku parengti prevencines priemones, atnaujinti sektorių atsparumo reikalavimus ir suderinti incidentų valdymo scenarijus.

    Kol kas „Anthropic“ viešai laikosi nuostatos, kad plačios prieigos ribojimas yra saugumo priemonė, skirta sumažinti technologijos patekimo į netinkamas rankas riziką. Tačiau Europos institucijos signalizuoja, kad vien geros valios ir pažadų nepakanka, kai kalbama apie modelius, galinčius pakeisti kibernetinių atakų mastą ir sudėtingumą.

  • Europos Parlamentas įspėja: DI įsilaužimų įrankiai lenkia teisę, ENISA prašo prieigos prie „Mythos“

    Europos Parlamentas įspėja: DI įsilaužimų įrankiai lenkia teisę, ENISA prašo prieigos prie „Mythos“

    Europos Sąjungos kibernetinio saugumo taisyklės šiandien nebėra pakankamai pritaikytos naujai DI pagrįstų įsilaužimų įrankių kartai, įspėja Europos Parlamento nariai. Pasak jų, tokie modeliai kaip „Anthropic“ sukurtas „Mythos“ gali radikaliai pagreitinti pažeidžiamumų paiešką ir išnaudojimą.

    Pirmadienį kelių politinių grupių europarlamentarai laiške Europos Komisijai ragino peržiūrėti esamą teisinį reguliavimą ir parengti europinį rizikų mažinimo planą. Pagrindinis argumentas paprastas: kai įsilaužimai tampa automatizuojami DI, reakcijos greitis ir koordinavimas turi būti kitokio lygio.

    Ko prašo europarlamentarai?

    Laiško autoriai akcentuoja dvi kryptis: kaip ES tvarko kibernetinių spragų atskleidimą ir taisymą, ir kaip apsaugo kritinės reikšmės sektorius. Jų teigimu, šiandienos tvarka ne visada sukuria pakankamai aiškius ir greitus mechanizmus, kai spragų paiešką ir atakas gali stipriai sustiprinti DI.

    Taip pat keliamas klausimas, ar ES institucijos turi realias galimybes vertinti pažangiausių modelių keliamą riziką, jei pačių modelių prieiga ribojama. Dėl to europarlamentarai siūlo, kad ES kibernetinio saugumo agentūra ENISA gautų prieigą prie „Mythos“ ir panašių sprendimų, kad galėtų juos testuoti ir vertinti.

    Prieiga prie modelių tampa geopolitika

    Diskusija išryškina seną ES problemą: pažangiausi DI modeliai dažniausiai kuriami už Europos ribų, o jų veikimas ir galimybės ne visada skaidriai prieinami reguliuotojams. Praktikoje tai reiškia, kad rizikų vertinimas gali atsilikti nuo technologijų, o sprendimai priimami turint ne visą informaciją.

    Vienas iš laiško signatarų, Nyderlandų europarlamentaras Bartas Groothuisas, pabrėžė, kad Europa neturi likti stebėtoja.

    „Europa nėra prie stalo. Manau, turime gerokai stipriau judinti šią temą“, – sakė Bartas Groothuisas.

    Europarlamentarai taip pat nurodo, kad prioritetas turi būti vadinamųjų svarbiausių sistemų apsauga, pirmiausia kritinės infrastruktūros operatorių ir kitų jautrių sektorių. DI įrankiai gali sumažinti barjerą atakoms, todėl taikinių ratas, jų nuomone, tik plėsis.

    Ką sako Europos Komisija?

    Europos Komisija savo komentare nurodė, kad su „Anthropic“ jau vyko ne vienas techninis susitikimas dėl DI taisyklių įgyvendinimo ir atskirai dėl „Mythos“. Komisijos atstovas pabrėžė, kad kai DI biuro įgaliojimai pradės veikti visa apimtimi, prireikus bus užtikrinta galimybė gauti modelių prieigą rizikų vertinimui.

    Kartu Komisija akcentuoja, kad veiksmų reikia imtis dabar, ypač vertinant kritinės infrastruktūros trikdymo riziką. Tai signalizuoja, kad kibernetinis saugumas ES darbotvarkėje vis labiau siejamas ne tik su nusikaltėliais, bet ir su užsienio veikėjais bei nacionalinio saugumo scenarijais.

    Artimiausiu metu tikėtina, kad diskusija persikels į konkrečius teisėkūros procesus, įskaitant Kibernetinio saugumo akto reformą. Pagrindinė dilema išlieka ta pati: kaip sukurti taisykles, kurios būtų pakankamai griežtos saugumui, bet pakankamai lanksčios, kad neatsiliktų nuo DI raidos.