Ο αρχιτέκτονας Κυβερνοασφάλειας της Microsoft, Γιώργος Μπαλαφούτης, μιλά στο newmoney.gr για τις ηλεκτρονικές απάτες, την εξέλιξη της τεχνητής νοημοσύνης και την ανάγκη εξοικείωσης με την τεχνολογία.
Phishing, smishing, quishing, deepfakes φωνής και εικόνας. Οι κυβερνοεπιθέσεις εξελίσσονται, γίνονται πιο πειστικές και θέτουν σε κίνδυνο όχι μόνο τους «απρόσεκτους» πολίτες, αλλά ακόμα και όσους είναι εξοικειωμένοι με την τεχνολογία. Η βιασύνη, ο φόβος, αλλά και η ραγδαία ανάπτυξη των μεθόδων εξαπάτησης και η τελειοποίηση των τεχνολογικών εργαλείων στα χέρια των εγκληματιών, καθιστούν την ψηφιακή παιδεία όχι απλώς χρήσιμη δεξιότητα, αλλά επιτακτική ανάγκη και πολύτιμο όπλο απέναντι στην απειλή.
Ο Γιώργος Μπαλαφούτης, director, Security CSU Technical Strategy Excellence της Microsoft, μιλάει στο Newmoney.gr για τα συχνά λάθη των θυμάτων ηλεκτρονικής απάτης, την τεχνητή νοημοσύνη, την κακόβουλη αξιοποίησή της, αλλά και την ανάγκη για κατανόηση της λειτουργίας της και όχι αποφυγή της, καθώς και το Project Glasswing για τη βελτίωση της κυβερνοασφάλειας και τον περιορισμό των κινδύνων.
–Τα περιστατικά ηλεκτρονικής απάτης αυξάνονται σημαντικά. Πώς επιτυγχάνεται στην πράξη η πρόσβαση στα προσωπικά μας στοιχεία; Ποιες είναι οι πιο συνήθεις μέθοδοι που χρησιμοποιούν οι κυβερνοεγκληματίες και ποια τα βασικά βήματα για μεγαλύτερη ψηφιακή ασφάλεια; Η πρόσβαση στα προσωπικά μας στοιχεία συνήθως δεν γίνεται επειδή ο πολίτης είναι «απρόσεκτος», αλλά επειδή οι επιθέσεις έχουν γίνει πολύ πιο πειστικές, μαζικές και στοχευμένες. Ο πιο συνηθισμένος δρόμος είναι η εξαπάτηση: ένα μήνυμα, ένα email ή ένα τηλεφώνημα που φαίνεται απολύτως νόμιμο και μας οδηγεί να δώσουμε μόνοι μας στοιχεία, κωδικούς ή πρόσβαση. Οι πιο διαδεδομένες μέθοδοι είναι το phishing και το smishing, δηλαδή παραπλανητικά emails και SMS, οι ψεύτικες ιστοσελίδες τραπεζών ή άλλων υπηρεσιών, οι τηλεφωνικές απάτες με προσποίηση πως προέρχονται από κάποια αρχή ή εταιρεία, αλλά και η εκμετάλλευση κωδικών που έχουν διαρρεύσει από παραβιάσεις δεδομένων. Τώρα τελευταία είναι πολύ δημοφιλές το quishing (QR phishing), με επικόλληση κακόβουλου αυτοκόλλητου QR πάνω από το αρχικό QR μιας αφίσας, μενού εστιατορίου, κτλ. Ό,τι μπορείτε να φανταστείτε, ίσως ακούσατε προσφάτως και για κάποιον που άλλαξε ολόκληρη την πινακίδα στάθμευσης για να σκανάρεται ο δικός του QR κωδικός. Πολύ συχνά, οι κυβερνοεγκληματίες δεν χρειάζεται να «σπάσουν» κάποια τεχνολογία· αρκεί να εκμεταλλευτούν την εμπιστοσύνη μας, την πίεση της στιγμής και τη βιασύνη μας. Να μιλήσω μια στιγμή για την ανάγκη ενσυναίσθησης: Είναι σχεδόν βέβαιο πως κάποια στιγμή οι περισσότεροι θα πέσουμε θύματα κάποιου είδους απάτης, και είναι σημαντικό να δείχνουμε κατανόηση όταν αυτό συμβαίνει σε κάποιον δικό μας άνθρωπο. Στα περισσότερα εγκλήματα κατηγορούμε τον εγκληματία κι όχι το θύμα. Στις ηλεκτρονικές απάτες, πολύ συχνά ρίχνουμε άδικα το βάρος στο θύμα που «δεν ήξερε», «δεν πρόσεχε», κι αυτό φαίνεται κάπως άδικο. Τα βασικά βήματα προστασίας είναι απλά αλλά κρίσιμα: ισχυροί και διαφορετικοί κωδικοί εισόδου για κάθε υπηρεσία (κατά προτίμηση με τη βοήθεια ενός password manager), ενεργοποίηση πολυπαραγοντικού ελέγχου ταυτότητας, μεγάλη προσοχή πριν πατήσουμε οποιοδήποτε link, τακτικές ενημερώσεις στις συσκευές μας και, κυρίως, επιβεβαίωση από δεύτερο κανάλι επικοινωνίας όταν κάτι φαίνεται επείγον. Αν, για παράδειγμα, λάβουμε ένα μήνυμα ότι κάποιος δικός μας άνθρωπος χρειάζεται επειγόντως χρήματα, πρέπει πρώτα να το επιβεβαιώσουμε τηλεφωνικά ή μέσω κάποιου άλλου έμπιστου προσώπου. Στην ψηφιακή ασφάλεια, πολλές φορές η καλύτερη άμυνα είναι να καθυστερήσουμε λίγα δευτερόλεπτα πριν αντιδράσουμε. Τα ανωτέρω αναφέρονται στο μερίδιο που μπορεί να επηρεάσει ο πολίτης. Ταυτόχρονα, οι εταιρείες έχουν πολύ μεγαλύτερες ευθύνες: να προστατεύουν τα δεδομένα των χρηστών τους, να επενδύουν σε ασφαλείς υποδομές και να συμμορφώνονται με διεθνή και ευρωπαϊκά πλαίσια και πρωτόκολλα συμμόρφωσης. Η ψηφιακή ασφάλεια είναι πλέον κοινή ευθύνη: του χρήστη, της επιχείρησης και του κράτους.
–Στο TEDx είχατε πει ότι «τα password είναι σαν τα εσώρουχα: τα αλλάζεις συχνά, δεν τα μοιράζεσαι και τα κρατάς για σένα». Πόσο μακριά είμαστε από έναν κόσμο χωρίς κωδικούς; Μπορούν οι βιομετρικές λύσεις ή η τεχνητή νοημοσύνη να προσφέρουν πραγματική ασφάλεια; Πρώτα απ’ όλα, δεν είχαμε τρομερές ενδυματολογικές εξελίξεις τα τελευταία χρόνια, οπότε η γενική συμβουλή για τα εσώρουχα παραμένει η ίδια. Σε ό,τι αφορά τους κωδικούς, ευτυχώς βλέπουμε σημαντικές βελτιώσεις. Πλησιάζουμε σταδιακά σε έναν κόσμο με πολύ λιγότερα passwords, αλλά δεν έχουμε φτάσει ακόμη σε μια πλήρως passwordless πραγματικότητα. Η μεγάλη αλλαγή έρχεται από νέες μεθόδους ταυτοποίησης, όπως τα passkeys, που είναι πολύ πιο ανθεκτικά σε επιθέσεις phishing από τους παραδοσιακούς κωδικούς. Μέχρι να φτάσουμε εκεί, η ενεργοποίηση πολυπαραγοντικού ελέγχου ταυτότητας παραμένει απολύτως απαραίτητη. Οι βιομετρικές λύσεις, όπως το δακτυλικό αποτύπωμα ή η αναγνώριση προσώπου, μπορούν να προσφέρουν πολύ καλύτερη εμπειρία χρήσης και υψηλό επίπεδο ασφάλειας στο χρήστη. Το κρίσιμο δεν είναι μόνο το βιομετρικό στοιχείο καθαυτό, αλλά και το να εμπιστευόμαστε πως η εταιρεία που τα ζητά ακολουθεί τις κατάλληλες προδιαγραφές και πρότυπα αποθήκευσης και προστασίας τους.
–Μιλώντας για τεχνητή νοημοσύνη, το ChatGPT κυκλοφόρησε από την OpenAI το 2022. Σήμερα παραμένει ένα δημιούργημα σε νηπιακή ηλικία. Μπορείτε να προβλέψετε ποια θα είναι η εξέλιξη του, αλλά και άλλων chatbot τα ερχόμενα χρόνια; Το ChatGPT άνοιξε έναν νέο κύκλο στην επαφή του ευρύ κοινού με την τεχνητή νοημοσύνη, αλλά ασφαλώς δεν είναι το μόνο. Σήμερα βλέπουμε έναν εξαιρετικά δυναμικό ανταγωνισμό και μια παράλληλη πρόοδο από μεγάλες εταιρείες όπως η OpenAI, η Microsoft, η Google, η Meta, η Anthropic, η xAI και άλλες, που επενδύουν σε όλο και ισχυρότερα μοντέλα και σε νέες πρακτικές εφαρμογές. Τα συστήματα όπως το ChatGPT και γενικότερα τα LLM είναι πράγματι εντυπωσιακά. Όμως, κατά τη γνώμη μου, ακόμη πιο εντυπωσιακό είναι αυτό που συμβαίνει πέρα από το καθαρό chatbot interface: στην παραγωγή λογισμικού, στη γραφή και κατανόηση κώδικα, στην επιστημονική έρευνα, στην ανάλυση δεδομένων, στην αυτοματοποίηση επιχειρησιακών εργασιών και γενικά στη συνεργασία ανθρώπου και μηχανής σε πραγματικά περιβάλλοντα παραγωγής. Η επόμενη φάση δεν θα είναι απλώς «καλύτερες απαντήσεις». Θα είναι πιο χρήσιμα, πολυτροπικά και πιο αυτόνομα συστήματα, που θα συνδυάζουν κείμενο, εικόνα, ήχο, δεδομένα και εργαλεία, και θα λειτουργούν όλο και περισσότερο ως ψηφιακοί συνεργάτες. Θα θυμούνται περισσότερο πλαίσιο (context), θα κατανοούν καλύτερα τον χρήστη και θα μπορούν να εκτελούν πιο σύνθετες εργασίες με μεγαλύτερη συνέπεια. Το μεγάλο ζητούμενο, πάντως, δεν θα είναι μόνο η ισχύς αυτών των συστημάτων. Θα είναι η αξιοπιστία, η διαφάνεια, η ασφάλεια και η σωστή διακυβέρνησή τους. Με άλλα λόγια: πότε τα εμπιστευόμαστε, πότε τα ελέγχουμε και πώς διασφαλίζουμε ότι λειτουργούν πραγματικά προς όφελος του ανθρώπου.
–Ο Τζέφρι Χίντον, ο λεγόμενος «νονός της τεχνητής νοημοσύνης», αναφέρει πως δεν υπάρχει εγγυημένη πορεία προς την ασφάλεια όσο η τεχνολογία αυτή εξελίσσεται. Σας προβληματίζει η ταχεία ανάπτυξή της; Ναι, με προβληματίζει, αλλά όχι με καταστροφολογικούς όρους. Με προβληματίζει κυρίως επειδή η τεχνολογία εξελίσσεται πολύ ταχύτερα από την ωρίμανση των θεσμών, των κανόνων και, πολλές φορές, της κοινωνικής μας ετοιμότητας. Ο πυρήνας του προβληματισμού δεν είναι αν η τεχνητή νοημοσύνη είναι «καλή» ή «κακή». Είναι ότι πρόκειται για μια τεχνολογία γενικού σκοπού, ικανή να παράξει τεράστιο όφελος, αλλά και να ενισχύσει λάθη, ανισότητες, παραπληροφόρηση και επιθέσεις, αν δεν υπάρξουν όρια, πρότυπα και υπευθυνότητα. Ευχής έργον είναι βοηθήσει η τεχνητή νοημοσύνη να βρεθούν λύσεις για ως τώρα ανίατες ασθένειες, νέες επιστημονικές θεωρίες, και να βελτιωθεί η ποιότητα ζωής για όλους. Για τον απλό πολίτη, το σωστό μήνυμα δεν είναι «μείνε μακριά». Είναι ακριβώς το αντίθετο: να αφιερώσει όσο περισσότερη ενέργεια μπορεί στο να κατανοήσει και να υιοθετήσει τη νέα τεχνολογία, αντί να την αποφεύγει. Όσοι την αγνοήσουν, κινδυνεύουν να μείνουν πίσω, όχι μόνο επαγγελματικά, αλλά και ως προς την ικανότητά τους να ξεχωρίζουν τις πραγματικές ευκαιρίες από τους πραγματικούς κινδύνους. Άρα ναι, η ταχεία ανάπτυξη της τεχνητής νοημοσύνης με προβληματίζει. Αλλά η απάντηση δεν είναι ο φόβος ούτε η ακινησία. Είναι η υπεύθυνη καινοτομία, η εκπαίδευση, η προσαρμογή και η ενεργή συμμετοχή.
–Ποια θεωρείτε ότι θα είναι η μεγαλύτερη απειλή κυβερνοασφάλειας της επόμενης πενταετίας; Μπορεί να είναι το κακόβουλο λογισμικό ΑΙ; Η μεγαλύτερη απειλή της επόμενης πενταετίας είναι ήδη εδώ και, κατά γενική εκτίμηση, θα συνεχίσει να εντείνεται: η κακόβουλη αξιοποίηση της τεχνητής νοημοσύνης απέναντι σε οργανισμούς και χρήστες που δεν είναι επαρκώς προετοιμασμένοι. Και δεν μιλάμε μόνο για «AI malware» με τη στενή έννοια, αλλά για ένα πολύ ευρύτερο κύμα επιθέσεων που θα χρησιμοποιούν την ΑΙ για να γίνουν πιο πειστικές, πιο αυτοματοποιημένες, πιο φθηνές και πιο στοχευμένες. Αυτό σημαίνει καλύτερο phishing, πιο αποτελεσματική κοινωνική μηχανική, deepfakes φωνής και εικόνας, ταχύτερο εντοπισμό αδυναμιών, αυτοματοποίηση επιθέσεων και συνολικά μια σημαντική ενίσχυση των δυνατοτήτων του επιτιθέμενου. Το μεγάλο ρίσκο, επομένως, δεν είναι μόνο η ισχύς της τεχνολογίας στα χέρια του δράστη, αλλά και η ανωριμότητα της άμυνας από την πλευρά των οργανισμών και των χρηστών. Αξίζει εδώ να γίνει και μια ειδική αναφορά στις τελευταίες εξελίξεις γύρω από τα νέα μοντέλα τεχνητής νοημοσύνης, τα οποία φαίνεται ότι μπορούν να εντοπίζουν άγνωστα έως σήμερα τρωτά σημεία σε λογισμικό που χρησιμοποιείται ευρέως εδώ και χρόνια (τα λεγόμενα 0-day vulnerabilities). Αυτό ακριβώς δείχνει πόσο ραγδαία αλλάζει το τοπίο της κυβερνοασφάλειας. Πρωτοβουλίες όπως το Project Glasswing είναι ενδεικτικές της αυξανόμενης ευθύνης που αναγνωρίζουν πλέον οι μεγάλες τεχνολογικές εταιρείες για την προστασία πολιτών, οργανισμών και επιχειρήσεων. Μακροπρόθεσμα, αλλά απολύτως μέσα στον ορίζοντα της επόμενης δεκαπενταετίας, υπάρχει και ένας ακόμη πολύ σοβαρός κίνδυνος: η ανεπαρκής προετοιμασία για την εποχή της post-quantum cryptography. Όταν η μετάβαση αυτή γίνει επιτακτική, όσοι οργανισμοί δεν έχουν ήδη χαρτογραφήσει τις εξαρτήσεις τους, τα κρυπτογραφικά τους συστήματα και το σχέδιο μετάβασής τους, θα βρεθούν εκτεθειμένοι. Με άλλα λόγια, η μεγαλύτερη απειλή δεν θα είναι μόνο το τι μπορεί να κάνει ο επιτιθέμενος, αλλά και το πόσο αργά θα κινηθεί ο αμυνόμενος.
–Πέρα από τον ρόλο σας στη Microsoft, είστε ένας άνθρωπος με ενεργή παρουσία στην ομογένεια της Νέας Υόρκης και έντονη αγάπη για τον πολιτισμό. Πώς συνδυάζονται αυτές οι δύο πλευρές, η τεχνολογία και η τέχνη; Για μένα δεν πρόκειται για δύο αντίθετους κόσμους. Η τεχνολογία και η τέχνη ξεκινούν από την ίδια βαθιά ανθρώπινη ανάγκη: να κατανοήσουμε τον κόσμο, να εκφραστούμε και να δημιουργήσουμε κάτι που έχει αξία για τους άλλους. Η τεχνολογία απαιτεί λογική, πειθαρχία και ικανότητα επίλυσης προβλημάτων. Η τέχνη απαιτεί ευαισθησία, φαντασία και βαθύτερη κατανόηση της ανθρώπινης εμπειρίας. Όταν αυτά τα δύο συνδυάζονται, σε κάνουν όχι μόνο καλύτερο επαγγελματία, αλλά και πιο ολοκληρωμένο άνθρωπο. Μέσα από το Hellenic Film Society USA, για παράδειγμα, έχουμε τη δυνατότητα να φέρνουμε τους Έλληνες δημιουργούς πιο κοντά στο κοινό τους στην Αμερική -σε ανθρώπους που αναζητούν μια πιο ουσιαστική επαφή με τη σύγχρονη Ελλάδα. Και αυτό είναι πολύ σημαντικό, ιδιαίτερα για τον απόδημο ελληνισμό και ακόμη περισσότερο για τους νεότερους: να γνωρίσουν τη σημερινή, πραγματική Ελλάδα, όχι μόνο ως έναν όμορφο τόπο διακοπών, αλλά ως μια ζωντανή κοινωνία με σύγχρονη καλλιτεχνική φωνή, προβληματισμούς και δημιουργικότητα. Για όσους ζούμε και εργαζόμαστε σε διεθνή περιβάλλοντα, ο πολιτισμός είναι και μια μορφή σύνδεσης. Σε κρατά δεμένο με τη γλώσσα, την ιστορία, τη συλλογική μνήμη και, τελικά, με το ποιος είσαι.