Chociaż można mówić, że cyberprzestrzeń jest bogata w wiedzę i rozrywkę, to jest także bardzo niebezpiecznym miejscem. W poniższym artykule przyjrzymy się zagrożeniom związanym z nieetycznym wykorzystaniem narzędzi cyfrowych, ale też praktycznym sposobom obrony przed nimi. Poruszone w artykule wątki będą odnosić się do codziennych wydarzeń i realnych zagrożeń, które mogą spotkać zwyczajnych użytkowników sieci. Jednym słowem – poniższe treści odnosić będą się do tej drobnej części Internetu i cyberprzestrzeni, z której korzystamy na co dzień, bez odnoszenia się do scenariuszy rodem z Dark Webu. W tym artykule przyjrzymy się kwestii tej niebezpiecznej strony Internetu, a w szczególności możliwościom jakie cyfrowa sfera daje przestępcom, czyhającym na nieświadomych zagrożenia internautów, w zaciszu własnego domu. Pomimo nowej formy przestępczości, cyberprzestępczość cechuje się szybkim rozwojem. Obecnie staje się jednym z najniebezpieczniejszych zagrożeń, znacznie większym niż kiedykolwiek wcześniej. Najczęściej ofiarami padają nieświadome problemu osoby starsze, którym brakuje doświadczenia i umiejętności posługiwania się narzędziami cyfrowymi. W poniższym artykule przybliżę także najbardziej popularne rodzaje cyberprzestępstw, głównie mające na celu kradzież danych, ale też metody obrony przed nimi, przyjrzymy się również systemom sztucznej inteligencji, między innymi kontrowersyjnej sprawie, kiedy ChatGPT zmanipulował człowieka udając osobę niewidomą aby obejść zabezpieczenia.
Cyberprzestępczość: przestępstwa większe i mniejsze przenoszą się do sieci
Pozornie problem cyberprzestępczości wydaje się być prosty i niezwykle oczywisty, ale czy każdy wie czym ta forma jest, czym się charakteryzuje i jak się przed nią bronić? Aby mówić o cyberprzestępczości należy najpierw uściślić jej definicję. Na potrzeby niniejszego artykułu cyberprzestępczość będziemy definiować jako wszelkie nielegalne działania, dokonywane za pomocą komputerów, Internetu lub też z wykorzystywaniem systemów lub sieci komputerowych (WEB1).
Wiele cyberataków odbywa się w oparciu o elementy socjotechniki, czyli takich działań, które wykorzystują ludzkie odruchy i skłonności, jak np. ciekawość czy obawa przed kompromitacją. W wykryciu potencjalnego zagrożenia i zwróceniu uwagi na podejrzaną aktywność pomocne będzie zachowanie zdrowego rozsądku, ale także znajomość bazowych zasad, którymi rządzi sfera cyfrowa, a w szczególności takie jej obszary jak bankowość online lub zakupy internetowe. Przykładem przestępczości cyfrowej i próby wyłudzenia danych osobowych jest zapewne znana przez nas wszystkich wiadomość od numeru podszywającego się pod firmę przewozową. Chodzi tu przede wszystkim o link otrzymany w wiadomości e-mail lub SMS-ie. Coraz częściej spotykamy się z smsami informującymi nas, o brakującej kwocie do dopłaty za przesyłkę. W treści takiej fałszywej wiadomości cyberprzestępcy starszą “wstrzymaniem” paczki do czasu, aż kupujący zapłaci kwotę kilku złotych, tak jak na przykładzie poniżej, mowa o drobnej kwocie 2.50 zł. W SMS-ie podany jest link, pod którym (teoretycznie) można opłacić zaległość. Niestety w rzeczywistości za pośrednictwem takiego linku oszuści chcą wyłudzić dane swojej potencjalnej ofiary. Należy pamiętać, by nie otwierać podejrzanych linków, szczególnie takich, które pochodzą z nieznanych nam źródeł (WEB2).
!http://architeles.eu/ethics/wp-content/uploads/2023/11/303aa512125316-720-577-0-792-720-577.png
Innym przykładem jest dosyć często pojawiający się problem wiadomości – wirusów krążących głównie w na platformie Facebook, a ściślej mówiąc w czacie tej platformy. Najczęściej mowa tu o wiadomościach, w których wysyłający (a więc osoba “zainfekowana”) informuje odbiorcę o kompromitujących treściach z jego udziałem krążących po Internecie. Oczywiście pierwszym odruchem jest kliknięcie w link, by zapobiec ich rozprzestrzenianiu się na większą skalę. Oczywiście, sztuczka ta nie działa już tak dobrze, jak oczekiwaliby tego jej twórcy. W tym przypadku najbardziej narażone są osoby starsze, które nie mają większego doświadczenia z takimi sytuacjami. Można też zauważyć, że większość z takich wiadomości napisana jest w podobny sposób, jakim osoby starsze posługują się w Internecie (proste zdania, specyficzny dobór emoji).
!http://architeles.eu/ethics/wp-content/uploads/2023/11/Untitled111.png
!http://architeles.eu/ethics/wp-content/uploads/2023/11/5de56ae8b3a5f_p.jpg
Najpopularniejsze rodzaje cyberprzestępstw
Po obrazowym przytoczeniu jednego z najczęściej spotykanego zabiegu stosowanego przez cyberprzestępców, przyjrzymy się innym, równie często stosowanym metodom wykorzystywanym w ramach przestępczości cyfrowej, skupimy się szczegółowo na tym obszarze cyfrowej przestępczości, na który jesteśmy najbardziej narażeni – mowa tu (głównie) o sposobach kradzieży naszych danych (WEB1). (Poza kradzieżą danych warto nadmienić, że przestępcy mogą podłożyć nam różne nielegalne pliki. W taki sposób ofiara może zostać wrobiona w przestępstwo, a nawet skazana, ale my zajmiemy się lżejszymi sprawami).
- Omówiony już Phishing jest metodą oszustwa, w której celem jest uzyskanie ważnych danych, takich jak dane logowania, numer karty kredytowej, czy numer pesel. W celu ich zdobycia przestępca podszywa się pod inną osobę lub instytucję np. banki, firmy kurierskie w celu wyłudzenia poufnych informacji. Za pomocą przygotowanych wcześniej wiadomości SMS lub e-mail próbuje nakłonić daną osobę do kliknięcia w umieszczony w wiadomości link. Przeważnie prowadzi on do strony internetowej stworzonej przez oszustów. Ta z kolei jest bardzo podobna do autentycznej witryny firmy czy instytucji, od której rzekomo pochodzi wiadomość, co nie wzbudza podejrzeń ofiary. Za pomocą takiej strony przestępcy uzyskują wszelkie informacje, które sami, można powiedzieć, dobrowolnie, udostępniamy, logując się np. na stronę swojego banku.
- Hacking to włamania, poprzez pokonywanie zabezpieczeń, umożliwiające zdalny, nielegalny dostęp do czyjegoś komputera lub jego części takich jak kamera lub klawiatura. Hakerzy bardzo łatwo mogą się dostać do naszego komputera z dostępem do internetu, ale również bez dostępu do sieci, w tak zwanym trybie offline. Aby wejść do systemu innego użytkownika, wcześniej należy zlokalizować jego słabe punkty. Słabymi punktami naszych komputerów są przede wszystkim zabezpieczenia (a często nawet brak takowych), które umożliwiają dostęp do naszych danych, a dotyczy to systemu oprogramowania i jego legalności, zastosowanych zabezpieczeń i ich aktualności, a także stron, na które się logujemy. W taki sposób przestępcy otrzymują potrzebne informacje na tak zwanej tacy.
- Malware to uciążliwy lub złośliwy typ oprogramowania, który ma na celu potajemnie skraść lub zniszczyć pliki, a nawet zablokować dostęp do urządzenia. Rodzaje złośliwego oprogramowanie obejmują między innymi: oprogramowanie szpiegujące (spyware), adware, phishing, wirusy, trojany, rootkity, zagrożenia typu ransomware oraz porywaczy przeglądarki.
- Cyberstalking to cyberprzemoc dokonywana przez stalkera, czyli nękanie drugiej osoby przez internet, poprzez wysyłanie niechcianych wiadomości np., przez media społecznościowe, komunikatory, poczta elektroniczna. Cyberstalking często może być związany z kasycznym stalkingiem, np. poprzez udostępnianie postów z lokalizacją. Jest to szczególnie niebezpieczne, gdy bywamy regularnie w jakimś konkretnym miejscu (WEB1).
Co ważne, cyberprzestępczością są także inne działania popełniane przez internet, np., nieuczciwość sprzedawców na portalach aukcyjnych, nielegalne kopiowanie filmów, muzyki oraz rozpowszechnianie ich, takie sytuacje mogą wydawać się rzadkością przy ilości serwisów streamingowych dostępnych na rynku oraz różnorakich systemach ochrony kupujących na patformach i w sklepach online (przykładem będzie Vinted.)
Jak zadbać o bezpieczeństwo w sieci?
Czy w ogóle można mówić o skutecznej ochronie przed zagrożeniami w sieci? Cyberprzestępcy stają się coraz bardziej pomysłowi, można stwierdzić, że ich kreatywność nie zna granic, a metody, którymi się posługują są coraz bardziej zaawansowane. Istnieją jednak ogólne zasady bezpieczeństwa w sieci, których warto przestrzegać, by korzystanie z sieci było nie tylko przyjemne, ale przede wszystkim bezpieczne (WEB3).
- Dbanie o instalację aktualnego oprogramowania antywirusowego. Złośliwe oprogramowanie można wykryć i zneutralizować, zanim zacznie działać na komputerze. Najczęściej jest to jakiś załącznik lub plik pobierany z Internetu. W takiej sytuacji przed atakiem chroni nas program antywirusowy. Należy pamięć, że takie narzędzia ochronne nie są w 100 procentach skuteczne, ale stanowią jedną z linii obrony przed atakiem. W przypadku braku posiadania oprogramowania antywirusowego należy włączyć wbudowaną ochronę, np. Windows Defender, dla urządzeń z oprogramowaniem Windows.
- Regularna aktualizacja oprogramowania. Błędy w zainstalowanym oprogramowaniu mogą zostać wykorzystane przez cyberprzestępcę i ułatwić przeprowadzenie ataku. Dlatego ważnym działaniem profilaktycznym jest regularna aktualizacja oprogramowania na naszych urządzeniach. Do dobrych praktyk należy okresowa weryfikacja systemu operacyjnego i innych używanych narzędzi pod kątem ich aktualizacji.
- Silne hasła i dwuskładnikowa weryfikacja. Kolejny krok to ustawianie silnego hasła i używanie w przeglądarkach filtrów, które pozwolą sprawdzić, czy dana witryna nie została zgłoszona jako szkodliwa. Każde konto powinno mieć przypisane długie, skomplikowane hasło, którego haker nie będzie w stanie złamać w ciągu kilku minut. Aby nie pogubić się w zarządzaniu takimi hasłami przydatnym narzędziem może okazać się manager haseł, czyli program, który pozwala bezpiecznie zapisać wszystkie hasła w jednym miejscu. Warto też zadbać o włączenie dwuskładnikowej weryfikacji, czyli wykorzystanie dodatkowego składnika, związanego z innym urządzeniem, dokumentem, kanałem komunikacji lub czytnikiem biometrycznym. Oprócz zwykłego hasła ten sposób logowania wykorzystuje osobną aplikację, w której generowane jest hasło tymczasowe. Dopiero po wpisaniu hasła uzyskuje się dostęp do programu lub strony. Takie wyjście stosowane są najczęściej w bankowości online.
- unikanie otwierania załączników i linków z nieznanych źródeł. W przypadku otrzymania podejrzanej wiadomości nie należy od razu klikać w linki czy otwierać załączników. Warto najpierw dokładnie sprawdzić wiadomość. Dobrą praktyką okazuje się też przeklejenie linku do notatnika i sprawdzenie, jak dany link rzeczywiście jest zbudowany. W ten sposób można zobaczyć do jakiej domeny tak naprawdę kieruje.
Powyższe zasady wydają się być trywialne i znane wszem i wobec, jednak jak wiadomo, nie wszyscy się do nich stosują. Nasuwa się tutaj pytanie – dlaczego wcale nie jest to tak powszechna wiedza jak mogłoby się wydawać? Myślę, że ciężko odpowiedzieć na to pytanie jednoznacznie, powody zapewne są różne, jednak fakt, że wymienione wcześniej metody przestępstw cyfrowych nadal odnoszą sukcesy w cyberprzestrzeni, oznacza że warto zastanowić się na ile, tak realnie, stosujemy się do tych najprostszych działań prewencyjnych.
Bezpieczeństwo systemów sztucznej inteligencji
Problematyka sztucznej inteligencji (SI) stanowi przedmiot zainteresowania nauki już od ponad 70 lat i znalazła się w głównym nurcie zainteresowania wielu dziedzin nauki – w tym nauk technicznych, społecznych, medycynie czy nauk prawnych. Sztuczna inteligencja jest także postrzegana jako ważne ogniwo rozpoczynającej się czwartej rewolucji przemysłowej (tzw. Przemysł 4.0), dzięki któremu możliwe stanie się wprowadzenie przełomowych zmian do większości dziedzin gospodarki. Oczekuje się, że systemy SI będą zdolne do rozwiązywania skomplikowanych problemów, których skala lub złożoność wykracza poza możliwości poznawcze człowieka (Rojszczak, 2019).
Jak zostało już wspomniane AI to jeden z najszybciej rozwijających się obszarów rozwoju technologicznego. Jednak dziś nawet najbardziej złożone modele sztucznej inteligencji wykorzystują tylko „sztuczną wąską inteligencję”, która jest najbardziej podstawowym z trzech typów AI. Pozostałe dwa są wciąż przedmiotem fikcji naukowej i na ten moment nie są wykorzystywane w żaden praktyczny sposób (WEB4).
!http://architeles.eu/ethics/wp-content/uploads/2023/11/Untitled22222-1024×345.png
Ciekawym problemem, jest obawa ludzi o utratę bezpieczeństwa przez systemy sztucznej inteligencji, którą pogłębił dosyć głośny incydent mający miejsce na początku tego roku. Otóż dla internautów zaniepokoił fakt, w jaki sposób GPT-4 faktycznie okłamał człowieka, aby nakłonić go do zdania testu CAPTCHA, podając się za osobę niewidomą mającą problem z pokonaniem zabezpieczenia (WEB5).
To stawia przed nami pytanie, nad którym ludzie zdają się coraz częściej pochylać – czy przy obecnym stanie rozwoju AI słynny bunt robotów jest realnie możliwy?
Do tej pory roboty w takiej sytuacji działały wykorzystując programy do rozpoznawania znaków w plikach graficznych. Dzięki takim rozwiązaniom skanowane są na przykład książki, których treść można potem na komputerze kopiować lub przeszukiwać, ponadto warto zauważyć, że botom celowo pomagają ludzie. Jak to działa? W bardzo prosty sposób(WEB6):
Boty transmitują w czasie rzeczywistym zdjęcia systemów CAPTCHA, na które napotykają w serwisie Ticketmaster i na innych stronach, armiom “wstukiwaczy”, czyli ludziom z krajów o gorszych warunkach pracy.
Zatrudniają ich firmy takie jak: Death by CAPTCHA, Image Typerz czy DeCaptcher. Ich zadaniem jest wpisywanie żądanych fraz w okienku rozmowy z botem. Dzięki temu boty mogą ominąć zabezpieczenia i skorzystać ze strony.
O sytuacjach tego typu głośno było podczas sprzedaży biletów między innymi na amerykańską część trasy koncertowej Taylor Swift. Zaprogramowane wcześniej boty z łatwością mijały zabezpieczania na stronie TicketMaster, co skutkowało szybkim brakiem miejsc i ich rozsprzedażą na lewo. Platforma wprowadziła później wieloetapową weryfikację, tak by sytuacja nie powtórzyła się na dalszych etapach sprzedaży (części zagranicznej). Weryfikacja ta polegała na wcześniejszej rejestracji za pomocą adresu e-mail i ustawienia limitu zakupu biletów przypisanego maila (w Polsce były to maksymalnie 4 bilety).
Etyka rozwoju i stosowania systemów AI
Mówiąc o bezpieczeństwie w sieci warto wspomnieć o istocie systemów sztucznej inteligencji, które są coraz głośniejszym tematem, a ich rozwiązania znajdują coraz szersze zastosowanie w urządzeniach codziennego użytku.
Systemy sztucznej inteligencji (ang. artificial intelligence; AI) odgrywają coraz większą rolę jako część systemów decyzyjnych i kontrolnych w różnych zastosowaniach, m.in. w aplikacjach krytycznych dla bezpieczeństwa i ochrony, w takich obszarach jak pojazdy autonomiczne, energetyka, biometria czy medycyna. Wykorzystanie zaawansowanych technologii AI, np. głębokich sieci neuronowych (DNN), stwarza nowe możliwości, takie jak większa wydajność i dokładność w porównaniu z tradycyjnymi technologiami informatycznymi. Jednocześnie systemy sztucznej inteligencji stawiają nowe wyzwania w odniesieniu do takich aspektów jak etyka stosowanych rozwiązań, w szczególności dotyczących ochrony zdrowia i życia, a także bezpieczeństwo stosowanych rozwiązań algorytmicznych, niezawodność działania, pewność, solidność i wiarygodność (WEB7).
Możemy wyróżnić 3 podstawowe zasady z zakresu etyki, którymi twórcy AI powinni kierować się, podczas projektowania, tak by systemy te można było dopuścić do użytku oraz by niosły realne korzyści dla użytkowników i społeczeństwa ustanowione przez Grupę Ekspertów wysokiego szczebla ds. SI powołaną w 2018 roku przez Komisję Europejską (WEB8):
Systemy AI należy opracowywać, wdrażać i wykorzystywać w sposób zgodny z następującymi zasadami etycznymi: poszanowanie autonomii człowieka, zapobieganie szkodom, sprawiedliwość i możliwość wyjaśnienia. Należy przy tym zdawać sobie sprawę z możliwości wystąpienia konfliktów między tymi zasadami i podejmować stosowne działania w tym zakresie.
Należy zwracać szczególną uwagę na sytuacje wywierające wpływ na grupy wyjątkowo wrażliwe, takie jak dzieci, osoby z niepełnosprawnością i inne osoby, które z racji uwarunkowań historycznych znajdują się w mniej korzystnym położeniu lub które są narażone na ryzyko wykluczenia, a także na sytuacje, w których można zaobserwować występowanie zjawiska asymetrii władzy lub dostępu do informacji, np. w relacji między pracodawcami a pracownikami lub między przedsiębiorstwami a konsumentami (wynika z art. 24–27 Karty praw podstawowych Unii Europejskiej).
Należy uświadomić sobie i mieć na uwadze, że pomimo iż systemy AI przynoszą poszczególnym osobom i społeczeństwu znaczne korzyści, korzystanie z tych systemów może również wiązać się z określonym ryzykiem i wywoływać negatywne skutki, w tym takie, które mogą okazać się trudne do przewidzenia, zidentyfikowania lub zmierzenia (np. wpływ na demokrację, praworządność i sprawiedliwość dystrybutywną lub wpływ na sam umysł ludzki). Dlatego też w stosownych przypadkach należy przyjąć odpowiednie środki ograniczające to ryzyko – takie, które będą proporcjonalne do jego skali.
Podsumowanie
Rozwój cyfrowy niesie za sobą wiele udogodnień, jednak jak wszystko, może zostać użyte przeciwko nam. Oczywiście przytoczone przeze mnie przykłady są tylko wierzchołkiem góry lodowej. Można śmiało stwierdzić, że razem z postępem technologii ogólnie, postępuje też rozwój cyberprzestępstw, które muszą dostosowywać się do coraz to nowszych zmian, tak by nie tylko obchodzić zabezpieczenia, ale też aby być mniej przewidywalnymi, czyli zagrażać większej ilości osób. To samo można powiedzieć o rozwoju systemów AI, ich idea jest dobra, jednak mogą one zostać wykorzystane w sposób niemoralny, a więc przyczyniający się do szkody innych osób.
Literatura
ROJSZCZAK, Marcin. Prawne aspekty systemów sztucznej inteligencji–zarys problemu. Sztuczna inteligencja, blockchain, cyberbezpieczeństwo oraz dane osobowe, 2019.
fundacja.togatus.pl
*https://fundacja.togatus.pl/cyberprzestepczosc-czym-jest-i-jak-sie-przed-tym-bronic/*
www.bankier.pl
*https://www.bankier.pl/wiadomosc/Oszustwo-Przestepcy-znowu-wyludzaja-na-doplate-do-paczki-8443067.html*
www.ey.com
*https://www.ey.com/pl_pl/cybersecurity/cyberbezpieczenstwo-jak-zadbac-o-bezpieczenstwo-w-sieci*
www.sap.com
*https://www.sap.com/poland/products/artificial-intelligence/what-is-artificial-intelligence.html*
www.iflscience.com
*https://www.iflscience.com/gpt-4-hires-and-manipulates-human-into-passing-captcha-test-68016*
ww.businessinsider.com.pl
*https://businessinsider.com.pl/technologie/nowe-technologie/jak-zlamac-captcha-roboty-wykorzystuja-rozpoznawanie-obrazu/jc22ef6*
www.traple.pl
*https://www.traple.pl/normalizacja-jakosci-i-bezpieczenstwa-systemow-sztucznej-inteligencji/*
www.europarl.europa.eu
*https://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/JURI/DV/2019/11-06/Ethics-guidelines-AI_PL.pdf*
zdjęcia:
www.sap.com
www.bankier.pl
google grafika
Świetny artykuł! Bardzo dokładnie opisuje zarówno szanse, jak i wyzwania związane z wprowadzeniem kryptowalut, NFT i technologii blockchain do współczesnej…