„W pewnym sensie ransomware było błogosławieństwem, ponieważ wymusiło ulepszenia w zakresie cyberbezpieczeństwa”: analiza dyrektora Amazon

Nowe badanie ostrzegało w tym tygodniu, że sektor finansowy Ameryki Łacińskiej nadal cierpi z powodu pewnego rodzaju cyberataku: ransomware . Jest to rodzaj złośliwego programu ( malware ), który szyfruje informacje, tak że stają się one niedostępne dla ich właścicieli, a następnie żąda w zamian okupu. Od pięciu lat jest to ból głowy dla firm, państw i podmiotów na całym świecie.

Ransomware ma swoją historię. Choć jego początki sięgają końca lat 80., stał się cyberprzestępczym biznesem dopiero w ostatniej dekadzie. Jest tak płodny, że te grupy ransomware mają członków poświęconych szyfrowaniu informacji, finansów, a nawet tego, co nazywają „pomocą techniczną”: czatem, na którym otwierane są negocjacje, aby w najlepszym przypadku dla ofiary obniżyć żądaną kwotę. Zbudowali nawet marki o znanych nazwach w branży.

Chociaż w 2024 r. doszło do kilku poważnych zakłóceń operacyjnych, takich jak grupy LockBit i BlackCat (ALPHV) , nadal stanowi ona aktywne zagrożenie . Chociaż zniknęła z medialnego światła reflektorów, w 2025 r. odnotowano już kilka przypadków, niektóre krążące w mediach społecznościowych, a inne trafiające na pierwsze strony gazet.

Jednak, jak każdy kryzys, ransomware było również szansą: „W pewnym sensie ransomware było błogosławieństwem , ponieważ zmuszało użytkowników do przestrzegania lepszej cyberhigieny ”.

To Mark Ryland , lider zespołu ekspertów ds. bezpieczeństwa w chmurze w Amazon Web Services (AWS), dziale przetwarzania w chmurze Amazon . Pełni funkcję zastępcy „CISO”, stanowiska, które duże firmy i rządy zaczynają rozważać w swoich operacjach: Chief Information Security Officer, czyli osoba, która reaguje na incydenty związane z cyberbezpieczeństwem, ale jest również odpowiedzialna za projektowanie polityki dostępu, zarządzanie kontami i praktyki, które ostatecznie przyczyniają się do bezpieczeństwa firmy.

I to właśnie ta mapa robi różnicę, gdy trzeba stawić czoła atakowi lub zareagować: zrozumienie, jakie środki należy podjąć, aby zapobiec atakowi oprogramowania ransomware, świadomość, że trzeba być przygotowanym na jego wystąpienie oraz stosowanie polityki „bezpieczeństwa w fazie projektowania”, np. upewnienie się, że system nie zezwala na wybranie hasła „1234”.

Ryland opowiedział o tym wszystkim Clarín na re:Inforce , wydarzeniu AWS poświęconym cyberbezpieczeństwu w Filadelfii w USA, aby wyjaśnić, na czym polegają obecne trendy w cyberatakach.

─Jak nadążasz za postępem technologicznym i szybkością, z jaką następuje?

─Myślę, że jeśli masz naturalną ciekawość, to ona motywuje cię do próby lepszego zrozumienia tego, co się dzieje. Dużą część mojej pracy stanowi rozmowa z publicznością nietechniczną na temat technologii, więc muszę być na bieżąco z nowymi narzędziami, których się używa, abym czuł się komfortowo, podsumowując lub upraszczając idee. I mówię to, ponieważ są uproszczenia, które są mylące, i inne, które są dobre. To także trochę sztuka.

─ Czy trendy takie jak dzisiejsza sztuczna inteligencja nie są również przesadzone?

─Cykl szumu informacyjnego Gartnera jest zawsze czynnikiem, który należy wziąć pod uwagę, gdy pojawia się nowa technologia. Zwykle jestem dość sceptyczny wobec każdej technologii, która jest sprzedawana jako rozwiązanie wszystkich naszych problemów. Właściwie trochę zboczyłem z tematu, ale byłem sceptyczny co do blockchain . Nigdy nie sądziłem, że rozwiąże wszystko, co mówili, że rozwiąże, na przykład śledzenie przesyłki towarów z jednego końca kraju na drugi.

─Właściwie tak, ponieważ mieliśmy już bazy danych, które bardzo dobrze się do tego nadawały. Blockchain nie był wcale taki, jak zapowiadano . Jest dobry dla kryptowalut, waluty cyfrowej, ale niewiele więcej. Prawie wszystkie zastosowania poza tym były bezsensowne i pamiętam IBM, Accenture, Gartner, wszyscy mówili o blockchain i sprzedawali projekty konsultingowe firmom, aby używały blockchain do robienia rzeczy, które mogłyby zrobić ze zwykłą bazą danych.

─Od kilku lat ransomware jest tematem numer jeden w branży cyberbezpieczeństwa. Jaki jest obecny status?

─Raporty wskazują, że przestał rosnąć jako trend, ale w żadnym wypadku nie jest to kwestia skończona . Ogólne odczucie — i liczby — są takie, że przynajmniej nie rośnie.

─ Czego Twoim zdaniem nauczyła branżę działalność ransomware?

─Powiem coś nieco kontrowersyjnego. W pewnym sensie ransomware było błogosławieństwem, ponieważ zmuszało użytkowników do praktykowania lepszej cyberhigieny . Podstawowym problemem jest to, że w rzeczywistości przez wiele lat pracowaliśmy z systemami, które były łatwe do zhakowania; różnica polega na tym, że wcześniej nie było branży cyberprzestępczości, która mogłaby to spieniężyć. Atakujący mógł się dostać, ale dlaczego miałby to zrobić, jeśli nie było sposobu, aby to spieniężyć?

─Ale czy uważasz, że coś się zmieniło od czasu ataku ransomware?

─Cóż, myślę, że to był okropny rytuał przejścia, opłata, którą branża musiała zapłacić . Było to bolesne, ale myślę, że — ogólnie rzecz biorąc — firmy stały się silniejsze w ulepszaniu podstaw, od pracy nad edukacją z wewnętrznymi testami phishingu, wzmacnianiem swoich obwodów i zapór sieciowych oraz tworzeniem lepszych kopii zapasowych. Więcej firm i agencji rządowych zdało sobie sprawę z problemu i na przykład zaczęło ograniczać dostęp użytkowników, aby nie mieli uprawnień do usuwania kopii zapasowych, nawet najbardziej uprzywilejowani administratorzy.

─Paradoksalnie więc miało to pozytywny wpływ na przemysł.

─I myślę, że świadomość jest większa. Kadra kierownicza firm również zaczęła rozumieć, że cyberbezpieczeństwo nie jest opcją. Prezesi i kierownicy wyższego szczebla zaczęli zadawać sobie pytanie: „Co zrobić z ransomware?” Firmy nigdy nie były dobre w łataniu systemów (aktualizowaniu ich) i szkoleniu użytkowników. A po przypadkach ransomware sprawy zaczęły się poprawiać. Przyznaję, że w dziwny sposób, ale kryzysy generowane przez ransomware stworzyły również okazje do ulepszenia praktyk i systemów.

─ Dwa lata temu omawialiśmy, jak atakujący wykorzystują infrastrukturę AWS do hostowania kampanii phishingowych. Jak rozwinął się ten problem i czy udało się go rozwiązać?

─Cóż, to nadal problem, ale staliśmy się lepsi w wykrywaniu i blokowaniu takich kont. Tutaj wkraczają AI i uczenie maszynowe , pomagając nam lepiej odróżniać legalne kampanie od złośliwych. Niebezpieczeństwo zawsze istnieje: mogę mieć sklep rowerowy i chcieć wysyłać e-maile do klientów z najnowszymi wiadomościami, ale zawsze istnieje możliwość, że moje konto zostanie naruszone, a moja platforma wykorzystana do wysyłania spamu.

─Branża promuje filozofię „bezpiecznego projektowania”. Co to oznacza?

─W obecnym środowisku korzystanie z technologii, która już ma wbudowane standardy bezpieczeństwa, jest, w idealnym przypadku, najlepszą opcją. Pomyśl o tym w ten sposób: jeśli jestem startupem produkującym, powiedzmy, inteligentny toster, najprawdopodobniej nie chcę — lub nie mogę — inwestować w cyberbezpieczeństwo. Ale jeśli dostawca da mi rozwiązanie, które jest już bezpieczne z założenia, skorzystam z niego. Mogę je nawet reklamować: „automatyczne aktualizacje”, „silne hasła” itd. To zwiększa ogólne bezpieczeństwo; to właśnie odnosi się do bezpiecznego z założenia. Przyjęcie takiego nastawienia zawsze pozwoli Ci być o krok do przodu w ekosystemie, który zmienia się z dnia na dzień.

─Powiedziałeś wcześniej, że jesteś sceptyczny co do zastosowań i zakresu blockchain. Czy coś podobnego przydarzyło ci się w przypadku AI?

─Na początku tak, wydaje mi się, że było dużo „rebrandingu” czegoś, co już znaliśmy. To zdecydowanie technologia, która wnosi coś nowego i dopiero teraz widzimy jej zastosowania; to nie jest ten sam przypadek, co blockchain, o którym ci mówiłem. Ale muszę rozróżnić, co jest przydatne, a co nie. W tym tygodniu spotkałem się z regulatorami rządowymi w Waszyngtonie i zawsze mówię im, aby trochę obniżyli swoje oczekiwania co do tego, czego oczekują od AI. Zdecydowanie będzie to miało duży wpływ na naszą pracę , ale myślę, że ludzie nadal muszą kierować się zdrowym rozsądkiem, decydując, czy wynik jest przydatny, czy nie.

─Cóż, weźmy przykład. Jeśli poproszę AI o napisanie oferty marketingowej, ale nigdy w życiu nie pracowałem w tej dziedzinie, mało prawdopodobne jest, że znajdę zastosowanie dla tego, co AI może mi dać. Jeśli nie potrafię ocenić, do czego się to przydaje, może nam zabraknąć ekspertów , którzy potrafią zdecydować, czy coś jest przydatne, czy nie. Jest ryzyko w korzystaniu z tego.

─Stephen Schmidt, dyrektor ds. bezpieczeństwa Amazon, powiedział w zeszłym tygodniu na innej konferencji, że cyberprzestępcy wykorzystują sztuczną inteligencję do ulepszania swoich ataków. „Nie ma żadnych botów atakujących się nawzajem” — powiedział . Czy to prawda?

─To dobre podsumowanie sytuacji, tak. Dodałbym, że ci, którzy bronią systemów, również z tego korzystają, aby programować, przeglądać swój kod, uruchamiać testy penetracyjne systemów i poprawiać czasy reakcji. AI jest również bardzo przydatna do sortowania informacji, które już masz, więc pomaga wykrywać wzorce lub formy ataków, których mogłeś nie wykryć. AI jest dobra w wychwytywaniu semantyki , dlatego jest bardzo dobra w pomaganiu nie tylko atakującym, ale także tym, którzy bronią systemów. Jeśli jest dobrze używana, jest bardzo potężnym narzędziem.

─Czy sztuczna inteligencja nadaje się do analizy złośliwego oprogramowania (wirusów)?

─Dopóki używa go ekspert , tak . To jest odpowiedź. Nasze zespoły używają go do analizowania podobnych rodzin malware; pomaga to zrozumieć podobieństwa i różnice. I szczerze mówiąc, uzyskują dobre wyniki.

─Obecnie w branży panuje trend mówienia o „ agentach ”, czyli sztucznej inteligencji, która oprócz analizowania „podejmuje decyzje”. Gdzie w tej dyskusji mieści się cyberbezpieczeństwo?

─To jest kolejny krok w używaniu AI w analizie zagrożeń: podejmowanie działań. Jeśli zaprogramuję AI do analizy, mogę poprosić ją o naprawienie błędu (błędu w systemie),

─To już trwa. Konkretnym przykładem jest konkurs organizowany przez DARPA, Agencję Zaawansowanych Projektów Badawczych Obrony Stanów Zjednoczonych. Promują konkurs, który zostanie oficjalnie ogłoszony na Black Hat , z dużymi nagrodami (na przykład za pierwsze miejsce można wygrać pół miliona dolarów). Celem jest opracowanie systemu zdolnego do analizowania projektów open source, wykrywania luk i automatycznego ich korygowania. Ciekawostką jest to, że gdy zespoły prześlą swój system, DARPA testuje go z projektami innymi niż te używane podczas szkolenia, aby ocenić jego możliwości.

─To dobre rozwiązanie do dużych obciążeń.

─Zdecydowanie tak, na przykład do planowania żmudnych zadań, automatycznej aktualizacji itp. To oszczędza czas.

─Jakie negatywne lub problematyczne strony dostrzegasz w rozwoju sztucznej inteligencji?

─Istnieje ciemna strona, bez wątpienia. Na przykład oszustwa phishingowe stają się coraz bardziej wyrafinowane . Jednym ze zjawisk, które najbardziej przykuwa moją uwagę, jest to, co nazywa się „ rzeźnią świń ”: długotrwałe oszustwa, w których atakujący podszywają się pod kogoś godnego zaufania, aby uzyskać dostęp do pieniędzy lub informacji. Ten rodzaj oszustwa rośnie w zastraszającym tempie i oczywiście jest napędzany narzędziami AI. Wielu z tych aktorów działa z miejsc takich jak Malezja lub Filipiny, w warunkach niemal niewolniczych, a dzięki AI mogą doskonale komunikować się po angielsku, nawet symulując fałszywe głosy i odtwarzając je.

─Klonowanie głosu i deepfake’i to problemy, które najwyraźniej nie mają rozwiązania.

─Tak, bez wątpienia, dziś już jest możliwe otrzymanie wiadomości głosowej, która brzmi dokładnie jak Twój szef, prosząc Cię o przekazanie pieniędzy lub dostęp do niektórych systemów. A jeśli nie jesteś przeszkolony, aby podejrzewać to wszystko , możesz łatwo wpaść w to oszustwo. Dlatego tak ważne jest, aby użytkownicy otrzymali znacznie bardziej zaawansowane szkolenie.

─Myślę, że samo powiedzenie „nie klikaj podejrzanych linków” nie wystarczy. Potrzebujemy szkolenia symulacyjnego , nawet w wirtualnej rzeczywistości, jeśli to konieczne, aby ludzie wiedzieli, że zawsze muszą potwierdzić za pomocą innego kanału każde żądanie, które wiąże się ze zmianą statusu systemu lub przelewem pieniędzy.

─Jakich rad udzieliłbyś przeciętnemu użytkownikowi w kwestii zachowania podstawowych zasad bezpieczeństwa cybernetycznego?

─Nawet jeśli otrzymasz wiadomość od kogoś, kto brzmi dokładnie jak ktoś, kogo znasz — czy to kolega, szef czy mama — zawsze zastanów się dwa razy i sprawdź gdzie indziej, zanim coś zrobisz: zanim klikniesz „akceptuj”, zanim otworzysz link, a nawet zanim dodasz nowego odbiorcę do książki adresowej i klikniesz „przekaż”. Zawsze się wahaj.