– Et tidsspørsmål før vi blir rammet

– Det er et tidsspørsmål før vi blir rammet hvis ikke vi finner bedre måter å autentifisereÅ bekrefte identiteten din, vanligvis for å få tilgang til nettbank, offentlige tjenester eller apper. oss på. BankID kan ryke. Matforsyning, fengsler, politi, militæret og storting kan bli rammet, sier Anders Storbråten, leder i selskapet Idex Biometrics, som selger en innloggingsløsning ved hjelp av fingeravtrykk.

Det siste året har utviklingen av disse kraftige AI-modellene gått veldig fort, mener han.

– Om to-tre år tror jeg disse modellene er selvgående og kan ta ned hva som helst av sikkerhet så lenge det er software, sier han.

Les også

Tegnene på at du har valgt feil fond

Nylig gikk Nasjonal sikkerhetsmyndighet (NSM) ut og advarte om at Anthropics nyeste språkmodell Claude Mythos kan oppdage og utnytte nulldagssårbarheterSikkerhetshull i programvare som er så alvorlige at bedriften har null dager til å fikse det. på egen hånd.

Funnet hull i alle nettlesere

Selskapet Anthropic har nylig utviklet en ny type AI-modell kalt Claude Mythos. Modellen omtales som det kraftigste AI-systemet som er utviklet. Mythos er ikke allment tilgjengelig så langt. Det er en avansert språkmodell, som er utviklet nettopp for også å oppdage sikkerhetshull.

VENTET: Anders Storbråten på sikkerhetskonferanse med en T-skjorte med påskriften «Mythos – We`ve been expecting you». Foto: Privat

Dagens sikkerhetsløsning er gjerne to-faktor innlogging. I fremtiden kan vi bli bedt om å logge inn langt oftere.

– Vi kommer ikke til å greie å bytte passord og pinkode raskt nok. Måten vi logger inn på har ikke endret seg siden jeg gikk på universitetet på slutten av 90-tallet. Det eneste nye som er kommet til, er at vi har fått en mobiltelefon med autentifiseringsapper som BankID, Buypass og Microsoft Authenticator, sier Storbråten.

Gjennom Project Glasswing, som ble lansert i april i år, har AI-modellen Claude Mythos Preview, en prototyp, identifisert flere tusen kritiske sårbarheter og hull i samtlige store operativsystemer og nettlesere.

Prosjektet er et samarbeid mellom blant andre Anthropic, Amazon Web Services, Apple, Cisco, Google, Microsoft og Nvidia. Målet er å redusere de potensielle skadefølgene av Mythos og andre AI-modeller.

Les også

Den kommende motvinden

– Må sikres offline

– For å være trygg online, må du autentifisere deg offline. I dag har vi software som verifiserer at du er deg med ulike software-løsninger som er koblet i skyen. Hvis du hele tiden skal ha AI-overflater som identifiserer at du er deg, så er det bare et tidsspørsmål før vi faller, sier Storbråten.

Selskapet han leder, har utviklet en innloggingsløsning der du identifiserer deg ved hjelp av fingeravtrykk i et kort, hvorpå kortet tappes på mobilen eller PC-en.

Innlogging ved hjelp av ansiktsbiometri eller stemme har samme problem som pinkode, mener Storbråten: det ligger i skyen og er dermed mulig å hacke.

– Alle disse systemene er dyre og lite brukervennlige når vi kan forvente at vi må autentisere oss oftere fremover. Nøkkelen må ligge lokalt og ikke i skyen, sier han.

Les også

Kryptobørs hacket for over 1,5 milliarder dollar

Kan angripe på egen hånd

Nye, store AI-språkmodeller kan «medføre et taktskifte i angripernes evne» til å oppdage sikkerhetshull i programvaren, skriver NSM.

– Det nye med Mythos i forhold til andre språkmodeller, er at den ifølge Anthropic har klart å identifisere nulldagssårbarheter og autonomt klart å skrive en kode som utnytter den sårbarheten, sier Hilde Håland, fagansvarlig KI, NSM.

Nulldagssårbarheter er en svakhet i et dataprogram som de som har laget programmet ikke vet om. Når feilen oppdages, har du null dager på å beskytte deg.

NSM advarer om at digitale angrep nå vil skje raskere og i større skala fordi hackerne får tilgang til agentisk AI.AI-systemer som går fra å være passive skrivebordsassistenter til proaktive, autonome aktører. Du setter et overordnet mål, og AI-en planlegger, tar egne valg, henter data og utfører handlinger selv.

Les også

AI-boomens nye børsvinnere: – Det er enorme tall

Slike dataangrep er ikke avhengig av å gå via en lenke i et «phishing»-angrepDigital svindel der kriminelle utgir seg for å være en pålitelig aktør (f.eks. bank, offentlig etat eller strømmetjeneste). Målet er å manipulere deg til å oppgi sensitive opplysninger som passord, kredittkortnummer eller BankID.. Systemet kan da angripes via for eksempel en tjeneste bedriften har tilgjengelig på nett.

En slik angrepsmetode har også mennesker tidligere kunnet utføre. Det nye er at AI-modeller kan gjøre det samme.

– Øker sannsynligheten

– Du må forberede deg på at dataangrepene kan komme oftere. Språkmodellen gjør at de får større kapasitet til å finne sårbarheter og da kan de øke volumet av sårbarheter som potensielt blir utnyttet, sier Håland i NSM.

– Er dette skummelt, i feil hender?

– Det er det definitivt. Hvis du ikke har god IKT-sikkerhet i din bedrift, så vil en økning i volum i cyberangrep øke sannsynligheten for at du blir kompromittert, sier hun.

NSM anbefaler nå overgang til såkalt phishingresistent autentisering. Dette er innlogging med passnøkkel som fingeravtrykk, ansiktsgjenkjenning eller PIN-kode, et smartkort eller andre fysiske enheter, som en USB-nøkkel (se egen boks).

Slike innloggingsløsninger vil ikke virke om du er lurt videre til en falsk nettside via en phishing-lenke.

En AI-modell fra Anthropics som allerede er på markedet, Claude Opus 4.6, er ifølge NSM også i stand til å finne slike hittil ukjente sårbarheter. Forskning fra blant annet NTNU har vist at eksisterende, åpent tilgjengelige modeller kan reprodusere funksjonaliteten til Mythos.

Les også

Ukens Investtech: Fem aksjer med stor oppside