Полностью автоматизированных расследований не бывает

Генеративные модели и нейросети активно приходят в сферу расследований и кибербезопасности, но на переднем крае по-прежнему остается человек. Основатель «Интернет-Розыска» и руководитель департамента расследований T.Hunter Игорь Бедеров рассказал IT-World, почему ИИ не решит проблему кадров, как меняется технология фишинга, зачем даркнет нужно читать на сленге и что на самом деле стоит за лозунгами о «полностью автоматизированных расследованиях».

Игорь, вы один из немногих, кто работал с реальными угрозами еще до эпохи LLM и модных ИИ-продуктов. А когда, на ваш взгляд, ИИ в ИБ стал по-настоящему полезным инструментом?

Мы напрасно полагаем, что достигли в области ИИ определенного пика. Наивно думать, будто сам ИИ является конечной точкой в развитии человечества. Идеальной системы не существует. Как и не существует человека, способного ее изобрести. Она вынуждена постоянно развиваться. Полагаю, что ИИ, предназначенный для нужд ИБ, находится сегодня только в начале своего становления. Он представляет собой «второго пилота», дополняя и расширяя возможности существующих ИБ-решений и автоматизируя некоторые действия специалиста по кибербезопасности. По-настоящему полезным ИИ станет только после своего внедрения в массовые ИБ-решения, опыт пользователей которых подтвердит его неоспоримые преимущества. По прогнозам, к 2030 году системы кибербезопасности на базе ИИ станут полностью автономными, самообновляющимися и адаптивными к новым угрозам. Вероятно, он сможет обеспечить снижение нагрузки на специалистов, обнаружение неизвестных ранее угроз и их точное прогнозирование. Посмотрим.

Вы верите в ИИ как в помощника расследователя или все это пока «псевдоинтеллект» с красивыми обложками?

В настоящий момент ИИ-детективы представляют собой лишь следующий этап в развитии информационно-аналитических систем. Они способны обрабатывать большие массивы информации, использовать нечеткую логику, распознавать лица и предметы, определять сходства, строить сетевые графы расследования и немного предсказывать риски. Проблем, как всегда, две. И нет. Одна из них не ремонтирует вечно вторую. Для обеспечения эффективного ИИ-расследователя нужны точные данные, а также новые типы данных, которые еще не собираются. Ну и обучение. Модель должна понимать, о чем ее просят. Кто ее будет учить? На основании каких практик? Понятно одно: с текущим уровнем преступности, «учителей» для подобной ИИ будет трудно сыскать.

Тем не менее даже публичные модели показывают интересные результаты в части расследований, когда они снабжены качественной информацией и четким промтом (описанием задачи). Еще в конце 2023 года я, при помощи ИИ, демонстрировал наши наработки в области сбора данных об администраторах Telegram-каналов, о физических и юридических лицах. Это прекрасный ассистент в тех случаях, когда вы не хотите копаться в огромном числе данных.

Какие конкретные ИИ-инструменты уже применяются в расследованиях, мониторинге или борьбе с киберпреступлениями?

Некоторые ИИ-инструменты уже применяются в расследованиях, мониторинге и борьбе с киберпреступлениями. В качестве отечественных примеров стоит упомянуть сервисы «Яндекс.Защита» от DDoS, Kaspersky Anti-APT, InfoWatch Attack Killer, PT Sandbox и даже наш ThreatHunter DRP. Другой вопрос в том, что те задачи, которые выполняет сегодня ИИ — утилитарны. А мы ждем от него функциональности Джарвиса из фильма «Железный Человек».

Где ИИ действительно помогает, а где, наоборот, создает ложные срабатывания, «галлюцинации» или перегрузку информацией?

ИИ — это инструмент, чья польза зависит от контекста и ответственности разработчиков и пользователей. Он уже реально помогает в медицине, науке, при автоматизации рутинных задач различными специалистами, в образовании, безопасности, исследовании больших данных. Однако его эмоциональная и этическая некомпетентность, умноженная на угрозы приватности, дискриминацию, информационный перегруз и ложные срабатывания, вызывает серьезные опасения. Так, юристы могут получить некорректные ссылки на законы или прецеденты в автоматически сгенерированных документах. Соцсети и рекомендательные системы формируют «пузыри фильтров», заваливая пользователей однотипным контентом. Кредитные системы или системы предупреждения преступлений на основе ИИ могут несправедливо оценивать определенные группы населения.

Важно понимать, что ИИ должен дополнять, а не заменять экспертов. Он должен обладать понятными и прозрачными алгоритмами, а в отдельных отраслях жестко регулироваться. Как, например, в правоохранительной деятельности.

Как ИИ влияет на анализ цифровых следов? Например, ускоряет ли он обработку массива утекших баз, изображений, сетевых связей?

ИИ автоматизирует обработку утекших баз данных, сетевого трафика и метаданных. Нейросети распознают лица, объекты и паттерны в материалах с камер наблюдения, что помогает идентифицировать подозреваемых или восстанавливать ход событий. Это безусловно ускоряет работу по предупреждению и расследованию преступлений.

Кроме этого, ИИ выявляет отклонения в действиях пользователей или систем, которые могут сигнализировать о мошенничестве или атаках. На основе исторических данных ИИ предсказывает возможные векторы атак или риски преступлений, что позволяет принимать превентивные меры. Из актуального: ИИ обнаруживает поддельные аудио- и видеоматериалы, которые используются для мошенничества или дезинформации. И это крайне важно в условиях роста преступлений, связанных с распространением генеративного контента.

ИИ не только ускоряет анализ цифровых следов, но и расширяет возможности криминалистики, позволяя работать с данными, которые ранее были недоступны для ручной обработки. Однако его внедрение требует баланса между технологическими инновациями, качеством данных и мерами безопасности. Для минимизации рисков необходимы регулярный аудит алгоритмов, обучение специалистов и разработка нормативной базы.

Читать статью в полной версии «IT World»