Atacatorii cibernetici utilizează AI pentru a descoperi vulnerabilități în câteva minute, acolo unde anterior aveau nevoie de săptămâni, iar, pentru a se apăra eficient, organizațiile trebuie să construiască sisteme de apărare folosind aceleași tehnologii. Alin Dăgădiță și Robert Girdoc, directori în echipa de Risk Assurance Services a PwC România, au discutat în cel mai recent podcast PwC Talks, moderat de Mircea Bozga, Partener, de ce, într-un context marcat de bugete limitate, deficit de specialiști și presiuni de reglementare, o apărare cibernetică lipsită de AI nu mai este nici realistă, nici ușor de justificat în fața unui auditor sau a unui reglementator.
Urmăriți podcastul aici:
„Bariera de intrare pentru atacuri sofisticate a scăzut, din păcate, foarte mult”, spune Robert Gîrdoc, care dă exemplul unui program de cercetare care a identificat, în doar câteva minute, sute de vulnerabilități, capabilități care „până nu demult cereau resurse extraordinare, dar care acum sunt la îndemâna unui atacator obișnuit”. Cu alte cuvinte, avantajul de viteză a trecut, cel puțin pentru moment, de partea agresorului.
„Oricâte ziduri am construi, oricât de puternic am face un fort, nu o să-i putem ține afară. (…) Atenția ar trebui să se mute către ceea ce numim reziliență: să detectăm atacul și să ne recuperăm cât mai repede posibil”, arată Alin Dăgădiță. În opinia sa, chiar și reperele pe care s-au construit ani la rând planurile de securitate nu mai sunt de actualitate: „Indicatori de genul «am 30 de zile ca să aplic un patch» nu mai sunt de actualitate”, atâta vreme cât fereastra dintre identificarea unei vulnerabilități și exploatarea ei s-a redus la mai puțin de o zi.
Astfel, AI nu mai este o opțiune, ci o obligație operațională, însă presiunea vine și dinspre lipsa acută de oameni, pe o piață locală unde analiștii seniori sunt aproape imposibil de găsit, iar automatizarea a rămas singura cale de a ține pasul. „Putem spune că AI nu mai este un lux în SOC (Security Operation Center), este de fapt o necesitate. Este modul prin care o echipă de 6-8 oameni, ajutată de tehnologie și de AI, poate să acopere ceea ce acum 5 ani se făcea cu o echipă de 20 de oameni. Analistul uman ar trebui mai degrabă să își mute rolul la un nivel mai înalt: în zona de threat hunting, în antrenarea modelelor și în adresarea cazurilor mai ambigue.”
La presiunea operațională se adaugă una de reglementare, care ridică miza. Directiva NIS 2 cere o notificare în 24 de ore de la incident și un raport complet în 72 de ore, termene imposibil de respectat manual în fața atacurilor de astăzi. Mai mult, neutilizarea instrumentelor disponibile începe să capete o dimensiune juridică: „Dacă vom fi întrebați de auditori, de reglementatori, poate chiar în instanță, ce am făcut ca să prevenim sau cel puțin să izolăm atacul, iar răspunsul este că nu ne-am bazat pe aceste tehnologii, lucrul acesta poate fi considerat neglijență.”, explică Alin Dăgădiță, arătând că acesta poate deveni un factor tot mai important în discuțiile privind bugetul pentru securitatea cibernetică.
Următorul salt îl reprezintă agenții AI, sisteme care nu doar răspund, ci investighează, decid și acționează singure, comprimând timpul de răspuns de la ore la secunde. Robert Girdoc le vede utile pe trei fronturi: răspunsul la incidente, descoperirea autonomă a vulnerabilităților și zona de guvernanță și conformitate, unde pot aduna în timp real dovezile cerute la audit. Dar aceeași autonomie deschide o suprafață nouă de atac: „Dacă avem agenți care acționează în numele organizației, înseamnă că avem noi identități privilegiate. Aceste identități non-umane au ajuns de zece ori mai numeroase decât angajații unei companii”, spune Dăgădiță.
Ar trebui astfel acționat în mai multe direcții: identitate proprie și privilegii minime pentru fiecare agent, acțiuni predefinite, protejarea instrucțiunilor împotriva manipulării, trasabilitate completă și un mecanism de tip „break the glass” care să oprească instant un agent scăpat de sub control. Ștergerea datelor sau modificările critice în producție nu ar trebui niciodată autorizate direct către agenți, astfel de decizii rămân în mâna unei persoane calificate.
Nici măcar apărarea clasică nu mai rezistă fără AI. „Vedem din ce în ce mai multe campanii de phishing perfect executate, cu mailuri scrise impecabil gramatical în mai multe limbi. Filtrele vechi nu mai funcționează, avem nevoie de AI ca să combatem, la rândul nostru, atacatorii care folosesc, la rândul lor, AI.”, spune Robert Gîrdoc.
Alin Dăgădiță propune un plan pragmatic de 90 de zile: inventarierea activelor care trebuie apărate, segmentarea rețelei pentru a limita propagarea unui atac, autentificare rezistentă la phishing, un agent AI care să accelereze dezvoltarea internă și, în final, un răspuns automatizat în SOC. Peste toate, însă, există o singură condiție: „AI cere guvernanță, nu doar tehnologie.”
În concluzie, o apărare cibernetică fără AI nu mai este nici realistă, nici sustenabilă în fața atacurilor de astăzi, însă problema este dacă organizațiile care vor integra această tehnologie vor reuși să guverneze și să controleze agenții care vor acționa în numele lor.
Vă invităm să urmăriți și alte episoade ale podcastului nostru pe blogul PwC România aici și aflați mai multe informații despre echipa PwC de risk assurance aici.




