Doradzał brytyjskiej armii i ma 25 lat doświadczenia w cyberbezpieczeństwie. „AI znacznie ułatwi przeprowadzanie ataków” [WYWIAD]

Stephen Bailey, globalny dyrektor ds. prywatności w NCC Group, kieruje zespołem ekspertów, którzy zapewniają doradztwo i wskazówki na poziomie zarządu w zakresie cyberbezpieczeństwa i prywatności. Jest jednym z autorów strategii obrony cybernetycznej państwa Zatoki Perskiej, a także autorem wytycznych Centrum Ochrony Infrastruktury Narodowej Wielkiej Brytanii dotyczących zarządzania ryzykiem pracowniczym. Obecnie odpowiada za nadzór nad wszystkimi zewnętrznymi działaniami związanymi z danymi osobowymi, w tym incydentami klientów, które wymagają zgłoszenia do organów regulacyjnych. W rozmowie z Business Insiderem tłumaczy, jak zmienia się krajobraz cyberbezpieczeństwa. — Sztuczna inteligencja znacznie obniży barierę wejścia dla złośliwych aktorów, umożliwiając nawet tym z minimalną wiedzą cybernetyczną przeprowadzanie ataków — mówi.

2f8605227229c1f7d6ba827ff4a5d77e, Biznes Fakty
AI zacznie być wykorzystywana do cyberataków na szeroką skalę. Na zdjęciu: Stephen Bailey z NCC Group | Foto: ImageFlow/Mat. prasowe / Shutterstock
  • Do 2030 r. cyberbezpieczeństwo skupi się na odporności, umożliwiając organizacjom lepsze dostosowanie się do zmieniających się zagrożeń
  • Rozwój sztucznej inteligencji ułatwi zarówno przeprowadzanie cyberataków, jak i bardziej precyzyjną obronę przed nimi
  • Współpraca publiczno-prywatna oraz bardziej elastyczne regulacje będą niezbędne dla skutecznej ochrony danych — twierdzi ekspert
  • Jednocześnie technologie zwiększające prywatność staną się popularniejsze, pomagając organizacjom równoważyć bezpieczeństwo z ochroną prywatności
  • Więcej informacji o biznesie znajdziesz na stronie Businessinsider.com.pl

Grzegorz Kubera, Business Insider Polska: Zacznijmy od przyszłości. Jakie zmiany w ochronie danych i cyberbezpieczeństwie przewiduje Pan do 2030 r. na świecie — szczególnie w Europie?

Stephen Bailey, globalny dyrektor ds. prywatności w NCC Group: Już teraz zaczynamy obserwować przesunięcie z „obrony cybernetycznej” na „odporność cybernetyczną”, a do 2030 r. ten nacisk stanie się jeszcze bardziej wyraźny.

Chodzi o bardziej proaktywne podejście w kwestii bezpieczeństwa? Tak, aby nie musieć się bronić, lecz być po prostu odpornym na ataki?

Tak. Będzie to wymagało przyjęcia bardziej elastycznego podejścia do środków cyberbezpieczeństwa, jak i szybkiego dostosowywania się do coraz bardziej dynamicznego krajobrazu zagrożeń.

Sztuczna inteligencja znacznie obniży barierę wejścia dla złośliwych aktorów, umożliwiając nawet tym z minimalną wiedzą cybernetyczną przeprowadzanie ataków.

Z drugiej strony AI wzmocni również obrońców, umożliwiając bardziej zaawansowane i ukierunkowane reakcje na zagrożenia cybernetyczne, a także zwiększając szybkość i dokładność wykrywania i łagodzenia zagrożeń.

Co jeszcze czeka nas w najbliższych latach?

Współpraca między sektorem publicznym a prywatnym stanie się bardziej skoncentrowana i solidna. Podmioty w tych sektorach będą ściślej współpracować, aby zwiększyć ochronę przed zagrożeniami cybernetycznymi i ułatwić szybkie dzielenie się informacjami, gdy wykryte zostaną ataki.

Ustawodawstwo i ramy regulacyjne związane z ochroną danych i cyberbezpieczeństwem staną się bardziej rygorystyczne, szczególnie w celu uwzględnienia technologii takich jak AI i Internet rzeczy (IoT). Te ramy, wraz z kodeksami postępowania i wytycznymi od regulatorów, będą musiały być bardziej elastyczne, aby nadążać za szybkim postępem technologicznym.

Również wykorzystanie technologii zwiększających prywatność (z ang. privacy-enhancing technologies — PET) stanie się bardziej powszechne, ponieważ stanowią one doskonały sposób na zrównoważenie bezpieczeństwa i prywatności danych z ich użytecznością podczas udostępniania. Elastyczność PET pozwala organizacjom dostosować swoje środki kontrolne do konkretnych wymagań, zapewniając zarówno skuteczną ochronę danych, jak i praktyczną użyteczność.

Uważa Pan, że obecne regulacje, takie jak RODO, będą wystarczające w obliczu nadchodzących wyzwań technologicznych, czy też będą potrzebne nowe, bardziej zaawansowane regulacje?

Ogólne rozporządzenie o ochronie danych ustanowiło solidne ramy dla ochrony danych i wpłynęło na podobne regulacje na całym świecie. Jednak, jak większość przepisów, ma trudności z nadążaniem za szybkim postępem technologicznym, zwłaszcza w związku z rozwojem technologii takich jak AI.

Aktualizacja RODO, aby nadążać za zmianami technologicznymi, jest oczywistym rozwiązaniem, ale nie zawsze jest praktyczna ze względu na długi proces zmiany podstawowego ustawodawstwa — szczególnie w środowisku regulacyjnym obejmującym wiele krajów, takim jak Unia Europejska.

Bardziej realistycznym podejściem byłoby uczynienie podstawowego ustawodawstwa bardziej opartego na zasadach lub skoncentrowanego na wynikach, delegując szczegółowe, specyficzne dla technologii regulacje na poszczególnych regulatorów. Ci regulatorzy mogliby wtedy wydawać kodeksy postępowania, wytyczne lub ramy, które są bardziej elastyczne i responsywne na zmiany technologiczne. Takie podejście pozwoliłoby na szybsze dostosowanie i dostarczenie ukierunkowanych wytycznych dla konkretnych sektorów.

Dodatkowo ta metoda wzmocniłaby globalną i międzysektorową współpracę, czyniąc ją bardziej efektywną i terminową w rozwiązywaniu pojawiających się wyzwań związanych z ochroną danych i cyberbezpieczeństwem.

Jak BigTech troszczy się o ochronę danych klientów

A jak rządy krajowe mogą skutecznie współpracować z BigTech w zakresie ochrony danych, jednocześnie zapewniając suwerenność cyfrową?

Należy angażować firmy BigTech w opracowywanie ustawodawstwa, ram, wytycznych i kodeksów postępowania. Ważne jest oczywiście zapewnienie zrównoważonej reprezentacji uczestników branży, aby rozwiązać wszelkie rzeczywiste lub postrzegane konflikty interesów.

Powinniśmy też ustanawiać silne partnerstwa publiczno-prywatne, aby wspierać bliższą współpracę między sektorami. Takie podejście zapewnia, że wyniki regulacyjne są zgodne z rozwojem i innowacjami w branży. Ponadto zachęcajmy do większej przejrzystości ze strony BigTech w zakresie ich praktyk dotyczących wykorzystania danych. Buduje to zaufanie nie tylko między regulatorami a branżą, ale także z osobami, których dane są przetwarzane. Przejrzystość promuje dobre praktyki, odstrasza od niewłaściwego wykorzystania danych i potencjalnie zmniejsza potrzebę działań egzekucyjnych regulacyjnych.

Czy uważa Pan, że inicjatywy takie jak Projekt Clover TikToka mogą stać się standardem dla innych platform technologicznych w kontekście ochrony danych w Europie?

Niektóre elementy Projektu Clover pomogą zdefiniować, jak będą wyglądać dobre praktyki w przyszłości. W szczególności odnosi się do wcześniej wspomnianych punktów, takich jak wykorzystanie technologii zwiększających prywatność (PET) i znaczenie większej przejrzystości w wykorzystaniu danych osobowych.

Poziom nadzoru przez NCC Group i jego dostęp do kluczowych systemów krytycznych dla Projektu Clover, np. przeglądanie kodu źródłowego bram bezpieczeństwa, może być krokiem w kierunku bardziej przejrzystego przetwarzania danych przez inne platformy technologiczne.

Sprawdź też: Polacy i AI. „Korzystam z ChatGPT w pracy, mimo że mój pracodawca na to nie zezwala” [BADANIE]

Ryzyka i zagrożenia. Jakie są największe wyzwania?

Jakie są natomiast największe ryzyka związane z koncentracją danych w rękach niewielkiej liczby dużych firm technologicznych? I czy można je złagodzić?

Główne ryzyko związane z koncentracją danych w rękach kilku dużych firm technologicznych polega na tym, że ich ogromne bazy użytkowników i wrażliwość przetwarzanych danych czynią je głównymi celami ataków cybernetycznych. Naruszenie danych może ujawnić znaczne ilości informacji osobistych — nie tylko wpływając na tych, których dane zostały naruszone, ale także podważając zaufanie publiczne do ochrony danych. Aby temu zaradzić, można zastosować pewne środki zaradcze.

Jakie?

Regulatorzy muszą jasno określić zachowania i praktyki oczekiwane od dużych firm technologicznych w zakresie przetwarzania danych i bezpieczeństwa. Obejmuje to ustalanie realistycznych standardów ochrony danych i prywatności. Po drugie potrzebny jest silny nadzór regulacyjny — jest niezbędny, aby zapewnić, że organizacje przestrzegają tych standardów. Regularne audyty, kontrole zgodności i egzekwowanie kar za nieprzestrzeganie mogą pomóc w utrzymaniu wysokiego poziomu bezpieczeństwa danych.

Na koniec zostaje jeszcze edukacja i świadomość publiczna. Zapewnienie znaczącego szkolenia i podnoszenie świadomości wśród społeczeństwa jest konieczne. Wykształceni konsumenci mogą podejmować świadome decyzje dotyczące usług, z których korzystają, i rozumieć konsekwencje udostępniania swoich danych.

A jakie są największe wyzwania w utrzymaniu równowagi między bezpieczeństwem danych a prawem obywateli do prywatności? Z jednej strony chcemy mieć zapewnioną prywatność, ale nie lubimy też, gdy ktoś przegląda i przetwarza nasze dane.

Jednym z największych wyzwań, przed którymi stoją organizacje, jest określenie konkretnych danych osobowych niezbędnych do ich działalności i zapewnienie, że zbierają tylko to, co jest niezbędne. Wymaga to dokładnej oceny, aby uniknąć nadmiernego gromadzenia danych. Dodatkowo ważne jest wdrożenie solidnych polityk dotyczących przechowywania danych, aby zapewnić, że dane osobowe są usuwane lub niszczone, gdy nie są już potrzebne do uzasadnionych celów biznesowych.

Częstym problemem jest sytuacja, gdy podczas naruszeń bezpieczeństwa atakujący uzyskują dostęp do dużych ilości danych użytkowników, które powinny zostać usunięte lub nigdy nie były potrzebne do zebrania. Podkreśla to znaczenie minimalizacji zbierania danych i utrzymania ścisłych protokołów usuwania danych w celu ochrony zarówno bezpieczeństwa danych, jak i praw obywateli do prywatności.

Czy przewiduje Pan wzrost presji rządowej na dostęp do prywatnych danych użytkowników w kontekście bezpieczeństwa narodowego?

Ustawodawstwo w wielu krajach już teraz obejmuje solidne ramy prawne, które jasno określają warunki, na jakich rządy, w tym organy ścigania, mogą uzyskiwać dostęp do danych osobowych jednostek. Te ramy zazwyczaj równoważą potrzeby bezpieczeństwa narodowego z prawami do prywatności jednostek.

Chociaż prawdopodobne jest, że będą aktualizacje ustawodawstwa, aby objąć nowe kanały danych i technologie, ogólny poziom żądań dostępu niekoniecznie musi wzrosnąć. Jednak istotne jest, aby istniejące mechanizmy nadzoru pozostały solidne — aby zapewnić, że rządy i agencje ścigania są odpowiedzialne za wszelkie nadużycia danych. Utrzymanie przejrzystości i odpowiedzialności poprzez regularne audyty i niezależny nadzór jest niezbędne do ochrony prywatności jednostek przy jednoczesnym uwzględnieniu kwestii bezpieczeństwa narodowego.

Jakie technologie będą przydatne dla ochrony danych w przyszłości i jak firmy powinny się do nich przygotować?

Kilka nowych technologii ma potencjał znacząco poprawić ochronę danych w przyszłości. Dwie technologie, które warto podkreślić, to sztuczna inteligencja i technologie zwiększające prywatność, wspomniane PET.

Sztuczna inteligencja odegra rolę w identyfikacji zagrożeń w czasie rzeczywistym, umożliwiając organizacjom szybsze reagowanie na incydenty bezpieczeństwa. Aby skutecznie wykorzystać AI, firmy powinny inwestować w rozwiązania bezpieczeństwa oparte na AI i zapewnić, że ich pracownicy są dobrze przeszkoleni w korzystaniu z tych narzędzi.

Technologie zwiększające prywatność pozwalają zaś organizacjom na udostępnianie danych osobowych bez kompromisów w zakresie prywatności jednostek. Chociaż wymaga to starannego zrównoważenia użyteczności danych i prywatności, firmy powinny zidentyfikować działania przetwarzania, które skorzystałyby z PET, i zintegrować te technologie w swoich procesach. Sposób, w jaki Projekt Clover wdraża PET — jako uzupełnienie już silnych środków ochrony danych — zapewnia dodatkową warstwę pewności, że dostęp do danych użytkowników jest ograniczony do osób z rzeczywistą potrzebą biznesową.

Czytaj też: Oto tajemnicza firma z wyceną na 5,5 miliarda dolarów. „Poufne umowy z korporacjami”

Unia Europejska a cyberbezpieczeństwo

Spytam jeszcze o działania, jakie dotyczą UE. Jakie znaczenie mają inicjatywy takie jak „Kompas Cyfrowy” w kształtowaniu przyszłości ochrony danych w Europie?

Kompas Cyfrowy Unii Europejskiej na 2030 r. wyznacza ambitną wizję cyfrowej przyszłości Europy, ale jak w przypadku wszystkich takich ambicji, jego sukces będzie zależał od skutecznej realizacji. Jednym z wielu obszarów, które będą wymagały znacznego skupienia, jest intencja, aby nadążać za postępem technologicznym i wymaganiami regulacyjnymi.

Wielu ludzi zwróciło uwagę, że jednym z głównych przeszkód dla sukcesu Kompasu Cyfrowego 2030 jest potrzeba bliskiej współpracy i inwestycji wśród państw członkowskich UE.

Jakie zatem działania, zarówno ze strony rządów, jak i sektora prywatnego, powinniśmy szczególnie obserwować? Co zapewni odpowiednią ochronę danych?

Najważniejszą rzeczą, jaką mogą zrobić rządy i sektor prywatny, jest współpraca w celu stworzenia otwartego i przejrzystego środowiska regulacyjnego. Powinni również współpracować, aby zwiększyć świadomość publiczną i zrozumienie wartości ich danych osobowych oraz praw, które mają zapisane w przepisach dotyczących ochrony danych.

Co powinny robić rządy?

Proaktywnie angażować się w międzynarodową współpracę, aby ułatwiać dzielenie się danymi, co priorytetowo traktuje prywatność jednostek. Obejmuje to harmonizację przepisów dotyczących ochrony danych i standardów na całym świecie. Potrzebne są też jasne wytyczne i wsparcie — łatwo zrozumiałe kodeksy postępowania i wytyczne, zwłaszcza dla mniejszych organizacji. Obejmuje to praktyczne przykłady, które pomogą firmom określić ich obowiązki, takie jak to, czy potrzebują inspektora ochrony danych.

A co zostaje po stronie sektora prywatnego?

Wdrażanie technologii zwiększających prywatność tam, gdzie mogą one dodać wartość do działań przetwarzania danych. Poza tym kultywowanie pozytywnej kultury bezpieczeństwa — czyli ustanów i utrzymuj kulturę bezpieczeństwa, w której pracownicy rozumieją oczekiwane od nich zachowania i są doceniani za przestrzeganie praktyk bezpieczeństwa. Na koniec dodałbym jeszcze regularne przeglądy danych, aby upewnić się, że są one niezbędne do działalności biznesowej. Powinno się wdrażać ścisłe polityki dotyczące przechowywania danych, aby usuwać lub pozbywać się danych, które nie są już potrzebne.

Dziękujemy, że przeczytałaś/eś nasz artykuł do końca. Bądź na bieżąco! Obserwuj nas w Wiadomościach Google.

Źródło

No votes yet.
Please wait...

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *