Tag: Kibernetinis saugumas

  • „Valve“ šokiruoja: fizinės „Steam“ dovanų kortelės dingsta iš parduotuvių – štai kodėl

    „Valve“ šokiruoja: fizinės „Steam“ dovanų kortelės dingsta iš parduotuvių – štai kodėl

    „Valve“ nusprendė nutraukti fizinių „Steam“ dovanų kortelių tiekimą į tradicines parduotuves. Šios kortelės daugelį metų buvo vienas paprasčiausių būdų papildyti „Steam“ piniginę ar padovanoti kreditą žaidimams ir jų priedams.

    Bendrovė pabrėžia, kad sprendimą lėmė saugumo priežastys. Pasak „Valve“, įvairiose šalyse sukčiai sistemingai išnaudoja dovanų korteles apgaulėms, todėl fizinis formatas parduotuvių lentynose tapo pažeidžiamiausia grandimi.

    „Kadangi įvedėme vis daugiau apribojimų, sukčiai prisitaikė. Jie ir toliau daro poveikį „Steam“ klientams bei kitoms nieko neįtariančioms aukoms, todėl priėmėme sunkų sprendimą užbaigti „Steam“ dovanų kortelių programą mažmeninėje prekyboje“, – teigiama „Valve“ pranešime.

    Praktikoje tai reiškia, kad fizinės „Steam“ dovanų kortelės dar kurį laiką bus randamos prekybos vietose, kol baigsis likučiai. Naujų papildymų nebus, tad lentynos tuštės palaipsniui, priklausomai nuo konkrečių parduotuvių atsargų ir pirkėjų aktyvumo.

    Skaitmeninės „Steam“ dovanų kortelės išlieka ir toliau bus siūlomos internetu. „Valve“ taip pat užsimena, kad skaitmeninių dovanų kortelių naudojimo patirtis artimiausiu metu turėtų keistis, siekiant didesnio patogumo ir saugumo.

    Kibernetinio saugumo ekspertai ne kartą akcentavo, kad dovanų kortelės yra dažnas sukčių taikinys, nes jas lengva greitai realizuoti, o nukentėjusiesiems sudėtinga susigrąžinti lėšas. Dėl to vis dažniau matoma tendencija, kai įmonės griežtina pirkimo limitus, stiprina patvirtinimus arba perkelia dovanų kortelių platinimą į skaitmeninius kanalus.

    Vartotojams „Valve“ rekomenduoja išlikti budriems, ypač jei kas nors ragina atsiskaityti dovanų kortelėmis už tariamas skolas, baudas ar paslaugas. Tokie prašymai dažniausiai yra sukčiavimo schema, o saugiausia praktika yra dovanų korteles pirkti tik patikimuose kanaluose ir niekam neatskleisti jų kodų.

  • Europos Komisija ruošiasi paduoti Prancūziją ir Ispaniją į teismą: vėluoja NIS2 kibernetinio saugumo įstatymai

    Europos Komisija ruošiasi paduoti Prancūziją ir Ispaniją į teismą: vėluoja NIS2 kibernetinio saugumo įstatymai

    Europos Komisija rengiasi kreiptis į Europos Sąjungos Teisingumo Teismą dėl Prancūzijos ir Ispanijos vėlavimo perkelti į nacionalinę teisę pagrindines ES kibernetinio saugumo taisykles. Kalbama apie NIS2 direktyvą, kuri turėjo būti įgyvendinta iki 2024 metų spalio, tačiau abi šalys termino neįvykdė.

    ES institucijų vertinimu, delsimas reiškia, kad dalis kritinės infrastruktūros operatorių šiose valstybėse vis dar neturi vienodai privalomų reikalavimų, kaip valdyti kibernetines rizikas. NIS2 sugriežtina atsakomybę vadovybei, numato incidentų pranešimo terminus ir reikalauja diegti sistemines saugumo priemones.

    Komisija nurodo, kad dėl vėlavimo buvo imtasi įprastų pažeidimo procedūros žingsnių ir šalims priminta daugiau nei kartą. Dabar planuojamas kreipimasis į Teisingumo Teismą yra eskalacija, kuri tam tikrais atvejais gali baigtis finansinėmis sankcijomis, nors teismas taip pat gali suteikti papildomo laiko įsipareigojimams įvykdyti.

    Kas yra NIS2 ir kodėl ji svarbi

    NIS2 direktyva priimta 2022 metais, o jos tikslas yra suvienodinti kibernetinio saugumo standartus visoje ES ir išplėsti sektorių bei organizacijų, kurioms taikomi reikalavimai, apimtį. Ji apima tokias sritis kaip energetika, transportas, vandens tiekimas, sveikatos apsauga, skaitmeninė infrastruktūra ir kitos gyvybiškai svarbios paslaugos.

    Direktyva numato, kad organizacijos turi taikyti rizikos valdymo priemones, stiprinti tiekimo grandinės saugumą ir aiškiai apibrėžti atsakomybę už saugumą. Praktikoje tai reiškia didesnį dėmesį incidentų prevencijai, reagavimui ir ataskaitų teikimui, kai kibernetinės atakos tampa vis dažnesnės ir sudėtingesnės.

    Kodėl Prancūzija vėluoja

    Viešai skelbta, kad Prancūzija sieja NIS2 perkėlimą su kitu ES kritinės infrastruktūros atsparumo reguliavimu ir planuoja tai įgyvendinti vienu nacionaliniu teisės aktu. Tačiau projektas susidūrė su vėlavimais, todėl realus priėmimo grafikas nusikėlė.

    „Nekomentuojame vykstančių pažeidimo procedūrų. Kadangi NIS2 perkėlimo terminas baigėsi 2024 metais spalį, Komisija gali perduoti kai kurias valstybes nares Teisingumo Teismui“, – sakė Europos Komisijos atstovas spaudai Thomas Regnier.

    Ką tai gali reikšti kitoms šalims

    Komisija leidžia suprasti, kad kartu gali būti keliamos bylos ir kitoms valstybėms, kurios iki šiol neperkėlė NIS2 į nacionalinę teisę. Tai signalas, kad Briuselis siekia greitesnio vienodų kibernetinio saugumo taisyklių įsigaliojimo, ypač kritinių paslaugų sektoriuose.

    NIS2 įgyvendinimas yra svarbus ne tik dėl atitikties ES teisės reikalavimams, bet ir dėl praktinės rizikos: atakos prieš infrastruktūrą, tiekimo grandines ir viešąsias paslaugas gali turėti tiesioginių pasekmių ekonomikai ir gyventojams. Dėl to kibernetinio atsparumo stiprinimas vis dažniau laikomas ne vien IT, bet ir nacionalinio saugumo klausimu.

  • Europos akiratyje išmanieji akiniai: ar „Meta“ ir kiti gamintojai peržengia privatumo ribas?

    Europos akiratyje išmanieji akiniai: ar „Meta“ ir kiti gamintojai peržengia privatumo ribas?

    Europos politikai ir privatumo priežiūros institucijos vis garsiau kalba apie išmaniųjų akinių keliamas stebėjimo rizikas. Į akinių rėmelius integruotos kameros ir mikrofonai, jų ryšys su telefonais bei DI funkcijos kelia klausimą, ar viešoje erdvėje žmonės iš tiesų supranta, kada yra filmuojami.

    Diskusijų aštrumą sustiprino pranešimai, kad su „Meta“ susiję rangovai Kenijoje esą peržiūrinėjo itin jautrią medžiagą, užfiksuotą išmaniaisiais akiniais, siekiant ją anotacijomis paruošti DI modelių mokymui. Tokie atvejai, apie kuriuos skelbė žiniasklaida, privertė politikus reikalauti aiškesnių atsakymų, kaip tvarkomi įrašai ir kas prie jų turi prieigą.

    Europos Parlamento narė Veronika Cifrová Ostrihoňová teigia, kad technologijų plėtra vyksta greičiau nei visuomenės susitarimas, kas yra priimtina viešojoje erdvėje.

    „Būtent dabar turime veikti, kad būtų aišku, ar tokie sprendimai neprasilenkia su privatumo principais ir ar jie netampa nepageidaujamo filmavimo įrankiu“, – sakė Veronika Cifrová Ostrihoňová.

    Europos duomenų apsaugos valdyba (EDPB), koordinuojanti nacionalinių priežiūros institucijų darbą, yra užsakiusi ataskaitą apie išmaniųjų akinių socialinį priimtinumą ir rizikas. EDPB pirmininkė Anu Talus yra nurodžiusi, kad išvados turėtų būti parengtos vasarą, o tuomet būtų sprendžiama dėl tolesnių veiksmų ir gairių.

    Privatumo klausimų epicentre atsiduria sutikimo principas, įtvirtintas Bendrajame duomenų apsaugos reglamente (BDAR). Kritikai pabrėžia, kad žmogus, patekęs į akinių kamerą, dažnai neturi realios galimybės nei atpažinti filmavimą, nei pareikšti nesutikimą, o tai skiriasi net ir nuo telefono naudojimo, kai filmavimo veiksmas paprastai akivaizdesnis.

    Švedijos duomenų apsaugos institucijos vadovas Ericas Leijonramas sako, kad visuomenėje būtina diskusija apie tai, kaip užtikrinti aiškų supratimą, kada įrašinėjama, ir kaip tokie įrenginiai turėtų būti naudojami viešumoje. Reguliuotojai pabrėžia, kad vien technologinės naujovės nereiškia automatinio socialinio priimtinumo.

    „Turime užtikrinti, kad žmonės iš tikrųjų suprastų, kada jie filmuojami ar įrašinėjami, ir kad tai būtų priimtina mūsų visuomenei“, – sakė Ericas Leijonramas.

    „Meta“ tikina, kad jos išmanieji akiniai turi integruotų saugiklių, skirtų pranešti apie filmavimą. Bendrovė pabrėžia, kad įrenginiuose naudojama švieselė, kuri įsijungia darant nuotrauką ar filmuojant, taip pat numatytos priemonės, trukdančios ją uždengti, o medžiaga, kol vartotojas jos nenusiunčia, esą lieka įrenginyje.

    Tuo pat metu Europoje svarstoma, ar vien indikatoriai išsprendžia problemą, kai filmavimas tampa beveik nepastebimas ir gali būti naudojamas piktnaudžiaujant. Ypač dažnai minimos situacijos, kai žmonės filmuojami be jų žinios, o įrašai vėliau plinta internete, sukeldami rizikų nuo reputacinės žalos iki priekabiavimo.

    Technologijų lenktynės tik įsibėgėja. Be „Meta“, į išmaniųjų akinių rinką aktyviau taikosi ir kiti žaidėjai, o „Samsung“ ir „Google“ yra paskelbę apie bendradarbiavimą kuriant išmaniuosius akinius, kurių pristatymas numatomas artimiausiu metu. Tuo tarpu rinkoje nuolat sklando pranešimai, kad „Apple“ taip pat siekia savo sprendimo, o tai didina tikimybę, jog įrenginiai taps masiniu produktu.

    Skaičiai rodo, kad paklausa auga bent jau už Europos ribų. Akinių gamintoja „EssilorLuxottica“, valdanti „Ray-Ban“ prekės ženklą, yra skelbusi, kad „Meta“ išmaniųjų akinių pardavimai Jungtinėse Valstijose didėja sparčiai, o 2025 metais pasaulyje parduota daugiau nei 7 000 000 porų. Europoje plėtrą lėtina tiek reguliaciniai klausimai, tiek atsargesnis vartotojų požiūris.

    Prie iššūkių prisideda ir kiti Europos teisės aktai, pavyzdžiui, Baterijų reglamentas, numatantis, kad iki 2027 metų daugelyje mobiliųjų įrenginių baterijos turės būti lengvai pakeičiamos. Kai kurių išmaniųjų akinių konstrukcija gali neatitikti šių reikalavimų, todėl gamintojams tektų keisti dizainą arba riboti prekybą.

    Kol institucijos rengia išvadas, dalis visuomenės bando sprendimų ieškoti pati. Viešojoje erdvėje populiarėja programėlės, bandančios perspėti apie šalia esančius išmaniuosius akinius, tačiau tai tik laikinas atsakas į platesnį klausimą, kaip ateityje turėtų atrodyti privatumo apsauga, kai kamera gali būti beveik bet kuriame kasdieniam dėvėjimui skirtame daikte.

    Artimiausi mėnesiai bus svarbūs: EDPB ataskaita ir nacionalinių priežiūros institucijų vertinimai gali nulemti, ar Europoje bus griežtinamos taisyklės, kuriamos naujos gairės arba imtasi aktyvesnio BDAR vykdymo. Esminis klausimas išlieka tas pats: kaip suderinti inovacijas su teise viešumoje nebūti nepastebimai stebimam.

  • PlayStation vartotojai sukrėsti: po garsaus įsilaužimo „Sony“ imasi griežtų pokyčių

    PlayStation vartotojai sukrėsti: po garsaus įsilaužimo „Sony“ imasi griežtų pokyčių

    Pastaruoju metu „PlayStation“ bendruomenėje netyla nerimas dėl paskyrų saugumo, o keli viešai nuskambėję atvejai priminė, kad net ir įjungtas dviejų veiksnių autentifikavimas ne visada apsaugo, jei spragos slypi klientų aptarnavimo procesuose.

    Didžiausią rezonansą sukėlė žurnalisto ir turinio kūrėjo Colino Moriarty istorija: jo teigimu, sukčiai pasinaudojo ribota informacija apie PSN paskyrą ir senais mokėjimų duomenų fragmentais, kad per pagalbos kanalus perimtų prieigą.

    Tokio tipo atakos dažniausiai remiasi socialine inžinerija, kai taikomasi ne į technines sistemos spragas, o į tapatybės patvirtinimo procedūras. Užpuolikams pakanka įtikinamai pateikti dalį žinomų duomenų, o rizika išauga, jei galima pakeisti el. paštą ar išjungti 2FA vien per kontaktą su pagalba.

    Šiame kontekste dėmesį patraukė „Sony“ žingsniai stiprinti anti-sukčiavimo kryptį. Viešai skelbtuose darbo pasiūlymuose minima atsakomybė už sukčiavimo prevencijos strategijos formavimą, rizikų identifikavimą ir sprendimų diegimą kartu su produktų, inžinerijos, analitikos ir operacijų komandomis.

    Nors darbo skelbimai savaime dar nereiškia, kad pokyčiai bus įgyvendinti nedelsiant, tokia kryptis rodo, jog įmonė problemą vertina sisteminiu lygiu. Praktikoje tai gali reikšti griežtesnį tapatybės patvirtinimą, aiškesnes taisykles, kada leidžiama keisti kritinius paskyros duomenis, ir papildomas apsaugas nuo „paskyros atgavimo“ piktnaudžiavimo.

    Ekspertai paprastai pataria vartotojams naudoti unikalius slaptažodžius ir slaptažodžių tvarkykles, įjungti 2FA, saugoti prisijungimo el. pašto dėžutę ir vengti viešinti informaciją, kuri vėliau gali būti panaudota tapatybei „įrodyti“. Taip pat verta reguliariai peržiūrėti aktyvius prisijungimus ir mokėjimų nustatymus, ypač jei paskyra susieta su kortele.

    Kol kas žaidėjai laukia konkrečių „Sony“ sprendimų ir aiškesnės komunikacijos, kaip bus mažinama rizika, kad paskyra gali būti perimta ne nulaužus slaptažodį, o tiesiog „apeinant“ pagalbos centro patikras.

  • iOS 27 – DI proveržis ir daugiau apsaugos: atnaujinimą gaus visi šie „iPhone“ modeliai

    iOS 27 – DI proveržis ir daugiau apsaugos: atnaujinimą gaus visi šie „iPhone“ modeliai

    „Apple“ per WWDC26 pristatė iOS 27 – naują „iPhone“ operacinės sistemos versiją, kuri rudenį pasieks vartotojus kaip nemokamas atnaujinimas. Šiemet bendrovė daug dėmesio skyrė DI funkcijoms, saugumui ir kasdienio naudojimo patogumui.

    Pirmoji iOS 27 kūrėjams skirta beta versija pasirodo iškart po renginio, o viešoji beta programa turėtų startuoti liepą. Galutinės versijos išleidimas tradiciškai prognozuojamas rudenį, dažniausiai rugsėjo laikotarpiu, kartu su naujos kartos „iPhone“ pristatymu.

    Dizainas ir daugiau personalizacijos

    Po ankstesnių metų vizualinių pokyčių iOS 27 iš esmės išlaiko tą pačią dizaino kryptį, tačiau prideda daugiau pritaikymo galimybių. Vartotojams žadama lankstesnė sąsajos kontrolė ir daugiau smulkių nustatymų, kurie leidžia sistemą prisiderinti prie savo įpročių.

    Tokie pokyčiai dažnai būna mažiau pastebimi pristatymo metu, bet kasdienėje rutinoje turi didžiausią efektą: greitesnis priėjimas prie reikalingų funkcijų, aiškesnės parinktys ir mažiau nereikalingų veiksmų.

    Nauja „Siri“ ir DI funkcijų plėtra

    Viena ryškiausių naujovių – atnaujinta „Siri“, kuri, kaip skelbia „Apple“, tampa pajėgesnė atlikti sudėtingesnes užduotis ir geriau suprasti kontekstą. Taip pat akcentuojamas glaudesnis veikimas su programėlėmis, kad balso komandos virstų realiais veiksmais, o ne vien paieška ar priminimais.

    „Apple“ pabrėžia, kad DI funkcijos turėtų padėti spręsti praktines užduotis: nuo greitesnių veiksmų programėlėse iki išmanesnio turinio apdorojimo. Kartu tai rodo bendrą rinkos kryptį, kai išmanieji telefonai vis dažniau tampa įrankiu automatizuoti kasdienius darbus, o ne tik vartoti turinį.

    Programėlių atnaujinimai ir saugumo akcentai

    iOS 27 atneša ir atnaujinimus „Apple“ programėlėms, įskaitant Kamerą, kurioje numatytos papildomos personalizavimo galimybės ir patogesni greitieji veiksmai. Taip pat žadami patobulinimai vaizdo generavimo įrankiams, kad rezultatai būtų kokybiškesni ir labiau kontroliuojami.

    Ne mažiau svarbi kryptis – vaikų sauga ir tėvų kontrolė: iOS 27 turėtų suteikti daugiau valdymo bei apsaugos priemonių šeimoms. „Apple“ taip pat mini sistemos optimizacijas, kurios turėtų pagerinti užduočių atlikimo greitį ir bendrą stabilumą, įskaitant dalį senesnių įrenginių.

    Galiausiai, iOS 27 suderinamumo sąrašas šiemet netrumpėja: atnaujinimas turėtų pasiekti visus „iPhone“ modelius, kurie gavo ir ankstesnę iOS versiją. Tai reiškia, kad daliai vartotojų nereikės keisti įrenginio vien tam, kad gautų svarbiausias naujoves ir saugumo pataisas.

  • GTA 6 karštinė išnaudojama kenkėjams: plinta netikri diegikliai ir sukčiavimo svetainės

    GTA 6 karštinė išnaudojama kenkėjams: plinta netikri diegikliai ir sukčiavimo svetainės

    GTA 6 laukimas tapo masalu

    „NordVPN“ grėsmių tyrėjai fiksuoja staigų kenkėjiškų kampanijų augimą, kurios išnaudoja triukšmą apie „GTA VI“ pasirodymą ir tariamą išankstinę prekybą. Nusikaltėliai platina netikrus diegiklius, apgaulingas Android programėles ir suklastotas svetaines, taikydamiesi į kompiuterių bei telefonų naudotojus.

    Svarbi detalė ta, kad pirmosiomis dienomis žaidimas išvis nebus skirtas daliai platformų, į kurias nukreipiami „beta“ pažadai. Būtent šis neatitikimas, anot ekspertų, tampa patogia priedanga apgauti žmones, kurie nori gauti prieigą anksčiau už kitus.

    Kaip atrodo atakos schema

    Vienas dažniausių scenarijų – suklastoti „repack“ tipo įdiegimo paketai, kuriuose paslepiami kenkėjiški moduliai, galintys įrašyti papildomas programas ar vogti duomenis. Tyrėjai aprašo atvejus, kai kenkėjiškas failas po paleidimo aktyvuojamas fone ir apsimeta teisėtu sistemos komponentu, kad nekeltų įtarimų.

    Tokios programos vėliau gali keisti įrenginio atmintį, atsisiųsti naujų kenkėjų ir jungtis prie išorinių serverių tolimesnėms komandoms gauti. Ekspertų vertinimu, trumpai prieš atakas registruotos domenų vardų zonos dažnai rodo specialiai trumpalaikėms kampanijoms sukurtą infrastruktūrą.

    Netikra „GTA 6 Beta“ Android’e

    Kitas plintantis masalas – tariama Android programėlė „GTA 6 Beta“, kuri vizualiai imituoja oficialų produktą: naudoja atpažįstamus grafinius elementus, rodo įžanginį vaizdo įrašą, o vėliau prašo atsisiųsti papildomų duomenų. Realiai žaidimo joje nėra, o vartotojas nukreipiamas į reklaminius ar apgaulingus puslapius.

    Tokios programėlės gali rodyti viso ekrano reklamas, stumti į mokamas prenumeratas ar raginti diegti dar vieną programą, kuri jau gali būti kenkėjiška. Pasak tyrėjų, tam naudojami ir įvairūs maskavimo metodai, kad būtų sunkiau suprasti, kur iš tiesų nukreipiamas srautas.

    Phishingas per Social Club ir klonuotos svetainės

    Lygiagrečiai aptikta daug sukčiavimo svetainių, kurios bando išvilioti prisijungimus prie „Rockstar Social Club“ per netikras prisijungimo formas. Tokie puslapiai kartais talpinami ir teisėtose platformose, kad pasinaudotų jų reputacija bei apeitų bazinius filtrus.

    Užvaldytos paskyros gali būti perparduodamos pogrindinėse rinkose arba naudojamos neteisėtai veiklai. Be to, tie patys puslapiai neretai tampa ir kenkėjų platinimo taškais, kai vietoje „atsisiųsti“ mygtuko pateikiamas failas su adware, duomenų vagimis ar kitais trojanais.

    Ką daryti, kad nepakliūtumėte

    Ekspertai pataria nepasitikėti pažadais apie ankstyvą „beta“ prieigą, „išskirtinius raktus“ ar „nemokamus aktyvavimo kodus“, ypač jei prašoma atlikti papildomas „verifikacijas“ ar įdiegti neaiškias programėles. Taip pat verta atsiminti, kad kibernetiniai sukčiai dažnai spaudžia emocijas, kurdami baimę praleisti progą.

    Praktiškai saugiausia laikytis oficialių kanalų, vengti neaiškių diegimo failų, netikrinti „nutekintų“ versijų ir nespausti atsisiuntimų iš abejotinų puslapių. Jei jau suvedėte prisijungimo duomenis į įtartiną formą, rekomenduojama nedelsiant pasikeisti slaptažodį ir įjungti dviejų žingsnių autentifikavimą.

    „Jei kažkas žada prieigą prie „GTA VI“ ten, kur ji dar net nenumatyta, tai dažniausiai yra ne pasiūlymas, o spąstai“, – sakė Marijus Briedis.

  • Dirbtinio intelekto kibernetinių atakų banga artėja: JAV ekspertai perspėja, laiko liko nedaug

    JAV institucijos ir technologijų bendrovės skuba stiprinti apsaugos priemones, nes nauja dirbtinio intelekto (DI) modelių karta vis geriau randa programinės įrangos spragas ir gali būti panaudota kibernetinėms atakoms. Kibernetinio saugumo ekspertai įspėja, kad reguliavimas ir praktiniai „saugikliai“ gali vėluoti, o tai keičia visą rizikos skaičiavimą.

    Vertinimai, kuriais remiasi JAV politikos formuotojai ir saugumo bendruomenė, rodo, kad artimiausi 6–12 mėnesių gali būti kritinis laikotarpis, per kurį Kinija priartės prie panašaus pajėgumo pažangių DI modelių. Tokia dinamika reiškia, kad laiko tarpas pasirengti galimai DI sustiprintų atakų bangai yra ribotas.

    Modeliai greitina atakas ir gynybą

    Naujausi pažangūs modeliai jau demonstruoja gebėjimus, kurie anksčiau reikalavo daug laiko ir žmonių darbo: nuo kodo analizės iki pažeidžiamumų identifikavimo. Saugumo įmonės pabrėžia, kad DI gali sumažinti operacijų trukmę nuo dienų ar savaičių iki sekundžių, todėl auga atakų mastas ir dažnis.

    Tuo pat metu DI tampa ir esminiu gynybos įrankiu: organizacijos siekia pasinaudoti modeliais tam, kad greičiau aptiktų spragas, automatizuotų prioritetizavimą ir spartintų pataisų diegimą. Tačiau čia kyla dilema: kuo plačiau tokie modeliai prieinami, tuo didesnė tikimybė, kad jų galimybėmis pasinaudos ir nusikaltėliai.

    „Tai uragano perspėjimas, o ne bangolaužis“, – sakė SANS Institute atstovas Robas T. Lee, kalbėdamas apie laiką, kurį JAV turi pasirengti iki tol, kol DI pakoreguos kibernetinio saugumo taisykles.

    Prieiga prie modelių ir „distiliavimo“ rizika

    Technologijų bendrovės DI modelių testavimą ir prieigą dažnai riboja iki patikimų partnerių, ypač kai kalbama apie galimybes, susijusias su pažeidžiamumų paieška ar kenkėjiškų veiksmų automatizavimu. Vis dėlto spaudimas atverti prieigą auga, nes įmonės, valdžios institucijos ir sąjungininkų vyriausybės siekia stiprinti tinklų atsparumą.

    Vienas iš papildomų JAV nerimo veiksnių siejamas su vadinamaisiais distiliavimo metodais, kai iš „mokytojo“ modelio išvesties apmokomas „mokinio“ modelis. Tokia praktika gali padėti greičiau sukurti konkurencingus modelius, net neturint prieigos prie visos infrastruktūros ar mokymo duomenų, todėl modelių „nutekėjimo“ ir netiesioginio kopijavimo rizikos tampa geopolitinės.

    Reguliavimas vejasi realybę

    JAV administracija laikosi nuostatos, kad pernelyg griežtas reguliavimas gali slopinti inovacijas ir mažinti konkurencingumą, ypač konkurencijoje su Kinija. Vis dėlto spaudimas įvesti daugiau saugumo reikalavimų auga, kai viešumoje daugėja signalų, kad pažangūs DI modeliai gali būti pritaikomi ne tik gynybai, bet ir puolimui.

    JAV prezidentas Donaldas Trumpas šią savaitę pasirašė vykdomąjį įsaką, kuriuo DI bendrovės skatinamos savanoriškai pateikti galingus naujus modelius valdžios peržiūrai bent 30 dienų prieš jų viešą išleidimą. Kongrese taip pat pristatytas didelės apimties įstatymo projekto juodraštis, numatantis DI saugos ir saugumo reguliavimo kryptis, nors jo priėmimo perspektyvos kol kas neaiškios.

    Kinija tuo pat metu DI integraciją į ekonomiką yra įtraukusi į strateginius planus, o Pekinas siekia spartinti technologinį savarankiškumą. Tokios konkurencinės aplinkos sąlygomis JAV saugumo ekspertai pabrėžia, kad realistiškiausias atsakas yra ne vien teisėkūra, bet ir greitas praktinis pasirengimas: spragų paieška, pataisų diegimo disciplina, atsarginių scenarijų pratybos ir griežtesnė tiekimo grandinės kontrolė.

    „Jūs dar turite laiko užkalti langus ir perkelti tai, kas svarbiausia. Tačiau audra ateis, ir reikia užtikrinti, kad jos nesitiksite stovėdami kieme“, – sakė Robas T. Lee.

  • Ar Europa bejėgė kosmose? Ekspertas įspėja: rusų palydovai gali klausytis ir trikdyti ryšį

    Ar Europa bejėgė kosmose? Ekspertas įspėja: rusų palydovai gali klausytis ir trikdyti ryšį

    Rusijos manevrai orbitoje

    Vakarų žiniasklaidoje vis dažniau aptariami Rusijos palydovų manevrai, kai šie priartėja prie Europos ryšių infrastruktūrai svarbių aparatų. Toks elgesys kelia įtarimų dėl galimo signalų perėmimo, trikdymo ar bandymų rinkti jautrią informaciją.

    Kosmoso saugumas šiandien nebėra vien techninis klausimas. Ryšių palydovai aptarnauja kritines sritis, pradedant aviacijos ir jūrų navigacija, baigiant valstybinių institucijų ryšiu bei dalimi gynybos poreikių.

    Interviu apie šias rizikas kalbėjęs kibernetinio saugumo ekspertas, „EY“ partneris Piotras Ciepiela atkreipė dėmesį, kad dalis sistemų vis dar pažeidžiamos dėl istorinių sprendimų. Palydovai kuriami ilgam, o galimybės juos modernizuoti orbitoje yra labai ribotos.

    Kodėl šifravimas ne visur

    Viena iš labiausiai nerimą keliančių temų yra tai, kad ne visi palydoviniai sprendimai ar jų ekosistemos elementai turi vienodą duomenų apsaugos lygį. Net jei pats palydovas suprojektuotas patikimai, silpnoji grandis gali būti antžeminė infrastruktūra arba duomenų perdavimo grandinė.

    Ekspertai pabrėžia, kad dalis palydovinių sprendimų buvo kuriami, kai grėsmių modelis buvo kitoks, o šiuolaikinės kibernetinės atakos sparčiai evoliucionuoja. Dėl ilgo palydovų gyvavimo ciklo atsiranda situacijų, kai naudojami sprendimai, kuriuos šiandien būtų sunku laikyti pakankamais.

    „Palydovas yra tarsi kompiuteris kosmose, kuris turi veikti ir išlikti saugus daugelį metų, o saugumo aplinka per tą laiką pasikeičia iš esmės“, – sakė Piotras Ciepiela.

    Kaip atakuojami palydovai

    Grėsmės palydovams apima ne tik pasiklausymą. Vienas dažnų scenarijų yra signalų trikdymas arba signalų klastojimas, kai užpuolikas bando priversti sistemą priimti netikrus duomenis ir taip sutrikdyti paslaugą.

    Kitas kelias yra bandymai paveikti valdymo kanalus, per kuriuos palydovui siunčiamos komandos. Dar platesniame vaizde rizika apima antžemines stotis, tinklus, telemetriją ir su palydovų paleidimu bei eksploatacija susijusią tiekimo grandinę.

    Tokiose sistemose labai svarbus principas yra saugumas nuo pat projektavimo pradžios. Vėliau bandyti „užlopyti“ nesaugiai suprojektuotą sprendimą dažnai yra brangiau ir techniškai sudėtingiau, ypač kai dalis įrangos jau veikia orbitoje.

    Europa ieško bendrų taisyklių

    Augant komercinių technologijų vaidmeniui gynyboje, ryšių ir duomenų infrastruktūra vis dažniau įgauna dvejopos paskirties statusą. Tai reiškia, kad civiliniai sprendimai gali tapti karinių operacijų dalimi, o kartu išauga ir reikalavimai jų kibernetiniam atsparumui.

    Europos Sąjungoje vis aktyviau kalbama apie bendrų standartų ir vieningesnio požiūrio poreikį, nes skirtingų valstybių narių saugumo lygis gali būti nevienodas. Bendras standartas mažintų riziką, kad silpniausia grandis nulems visos sistemos pažeidžiamumą.

    „Jei viena šalis turi aukštą saugumo lygį, o kita neturi, bendram ryšiui tai tampa problema visai Bendrijai“, – sakė Piotras Ciepiela.

    Lietuvos kontekste diskusija dažnai siejasi su tuo, kokią nišą šalis gali užimti kosmoso ekonomikoje: kurti komponentus, programinę įrangą ar specializuotis kibernetinio saugumo sprendimuose. Ekspertai pažymi, kad kylančių grėsmių akivaizdoje būtent saugumo kompetencijos tampa vienu svarbiausių konkurencinių pranašumų.

  • DI tampa per pavojingas viešai: „Anthropic“, „OpenAI“ ir „Google“ riboja modelius kaip ginklą

    DI tampa per pavojingas viešai: „Anthropic“, „OpenAI“ ir „Google“ riboja modelius kaip ginklą

    Dirbtinio intelekto rinkoje ryškėja lūžis: dalis pažangiausių modelių pradedami platinti ne viešai, o tik griežtai atrinktiems partneriams. Technologijų kūrėjai tai aiškina vadinamuoju dvigubos paskirties rizikos veiksniu, kai tie patys įrankiai tinka ir gynybai, ir nusikaltimams.

    Pastaruoju metu vis dažniau kalbama apie modelius, kurie gali padėti automatizuoti pažeidžiamumų paiešką, spartinti kenkėjiško kodo kūrimą ar didinti sukčiavimo kampanijų mastą. Tokios galimybės ypač aktualios kibernetinio saugumo srityje, kur puolėjai naujas priemones gali pritaikyti greičiau nei gynėjai spėja užlopyti spragas.

    Ribojama prieiga ir patikra

    Kai kurios bendrovės jau renkasi ribotą leidimą ir prieigą tik patikrintoms organizacijoms, o ne masinį išleidimą vartotojams. Praktikoje tai reiškia tapatybės patikrą, naudojimo sąlygų sugriežtinimą, veiklos žurnalų kaupimą ir aiškesnę atsakomybę už tai, kam ir kokiomis sąlygomis suteikiamos galimybės.

    Tokie sprendimai keičia iki šiol vyravusį požiūrį, kai inovacijos siejamos su kuo platesniu prieinamumu. Kritikai perspėja, kad uždarumas gali pristabdyti tyrimus ir mažinti skaidrumą, tačiau šalininkai pabrėžia, kad kai kurių DI gebėjimų pasekmės gali būti per didelės, kad juos būtų galima paleisti be kontrolės.

    Dvigubos paskirties dilema

    Dvigubos paskirties tema jau seniai pažįstama gynybos pramonei, tačiau dabar ji vis labiau persikelia į programinę įrangą. DI gali vienu metu stiprinti saugumą, pavyzdžiui, padėti aptikti pažeidžiamumus, ir kartu sudaryti sąlygas efektyvesnėms atakoms, socialinei inžinerijai ar dezinformacijos gamybai.

    Rizikos diskusija plečiasi ir už kibernetinio saugumo ribų, apimdama biologijos bei chemijos sritis, kur žinių generavimas ir eksperimentų planavimas taip pat gali turėti nepageidaujamų pritaikymų. Dėl to vis dažniau keliami klausimai, ar dalis pažangiausių sistemų neturėtų būti vertinamos panašiai kaip jautrios technologijos.

    Reguliavimas ir privatumo kaina

    JAV ir Europos Sąjungoje stiprėja spaudimas nustatyti aiškesnes taisykles, kaip testuojami ir prieš pateikiant rinkai vertinami galingi modeliai. Europos Sąjungoje papildomą foną suteikia DI aktas, kuris įtvirtina rizikos valdymo logiką ir skatina griežtesnius reikalavimus jautriausioms taikymo sritims.

    Vis dėlto praktinis įgyvendinimas gali kainuoti privatumą: siekiant užkirsti kelią piktnaudžiavimui, didėja tikimybė, kad prieiga bus suteikiama tik identifikuotiems naudotojams, o veikla bus labiau stebima. Ši įtampa tarp inovacijų, nacionalinio saugumo ir asmens duomenų apsaugos, tikėtina, bus viena svarbiausių artimiausių metų DI politikos temų.

    Rinkos kryptis vis labiau primena gynybos sektoriaus praktiką: mažiau viešų leidimų ir daugiau licencijavimo, patikrų bei kontrolės. Tai gali pakeisti ir pačią konkurenciją, nes prie pažangiausių galimybių pirmiausia prieis valstybės institucijos ir didelės organizacijos, o platesnei visuomenei liks ribotos, saugesnės versijos.

  • JK duomenų priežiūros vadovas nedirba nuo vasario, bet toliau gauna apie 235 000 eurų algą

    JK duomenų priežiūros vadovas nedirba nuo vasario, bet toliau gauna apie 235 000 eurų algą

    Jungtinės Karalystės duomenų apsaugos priežiūros institucijos vadovas Johnas Edwardsas nuo vasario pabaigos faktiškai nevykdo pareigų, tačiau toliau gauna maždaug 235 000 eurų metinį atlyginimą. Jis laikinai pasitraukė iš pareigų, kai pradėtas nepriklausomas darbo aplinkos tyrimas.

    Institucija nurodo, kad tyrimas susijęs su darbovietės aplinkybėmis, tačiau detalių viešai neatskleidžia, o pažeidimų ar kaltės kol kas nenustatyta. Pats Johnas Edwardsas yra teigęs, kad su tyrimu bendradarbiauja, tačiau į žiniasklaidos užklausas neatsakė.

    Tyrimas, kaip rodo viešumo teisės pagrindu gauta korespondencija, išryškino sisteminę problemą: pagal dabartinę teisinę sandarą institucijos vadovas turi tokį statusą, kad jį atleisti gali tik parlamentas. Tai reiškia, kad nei institucijos valdyba, nei Vyriausybė negali jo nušalinti net laikinai.

    Vidiniuose laiškuose laikinai pareigas einantis vadovas patvirtino, kad Johnui Edwardsui ir toliau bus mokamas visas atlyginimas bei kaupiamos su darbu susijusios garantijos, kol vyksta procesas. Tuo pat metu jis įsipareigojo nedalyvauti kasdienėje veikloje, nebendrauti su darbuotojais ir viešai neatstovauti institucijai, išskyrus ribotą kontaktą su laikinuoju vadovu ir savo biuru.

    Iki balandžio pabaigos darbuotojams buvo komunikuojama, kad vadovas yra ilgesnėse atostogose, o parlamentui išsamesnė informacija pateikta tik vėliau. Tai sukėlė klausimų dėl skaidrumo, nes institucija viešai deklaruoja skaidrumą kaip vieną pagrindinių strateginių principų.

    Situacija taip pat atsiliepė planuojamai priežiūros institucijos pertvarkai. Pagal naujesnį teisinį reguliavimą numatoma pereiti prie modelio, kuriame veiktų kolegialus valdymas su valdyba ir vadovu, o tai, valdžios argumentu, turėtų sustiprinti atskaitomybę ir sumažinti priklausomybę nuo vieno pareigūno sprendimų.

    Kol vyksta tyrimas, kasdienę veiklą koordinuoja laikinasis vadovas ir vadovų komanda pagal delegavimo tvarką. Institucija tikina, kad toliau nagrinėja gyventojų skundus, vertina duomenų saugumo pažeidimus, teikia gaires ir įgyvendina suplanuotus darbus, susijusius su vaikų privatumu, automatizuotu sprendimų priėmimu ir viešojo sektoriaus skaidrumu.

    Nepriklausomo tyrimo išvados bus pateiktos atsakingai ministerijai, kuri spręs dėl tolimesnių veiksmų ir dėl to, kiek informacijos gali būti atskleista viešai. Kol kas pagrindinis klausimas išlieka tas pats: kaip užtikrinti skaidrumą ir atskaitomybę, kai aukščiausio lygmens pareigūno statusas praktiškai neleidžia greitai pritaikyti įprastų laikino nušalinimo mechanizmų.