Nästan två av tre finländska företagsledare i kritiska branscher säger att cyberattackerna mot deras organisationer har ökat under de senaste åren.
Det visar en ny rapport från säkerhetsföretaget DNV Cyber som publicerades på måndagen. Den bygger på svar från 200 ledare inom kritisk infrastruktur i Finland och 500 finländska medborgare.
Drygt hälften av finländarna i undersökningen väntar sig en samhällsstörande cyberattack inom de närmaste två åren. Det är den högsta andelen i Norden.
Det är inte bara antalet attacker som stigit. De blir också allt allvarligare.
– Det som är viktigt är att de har en större inverkan, säger Kim Westerlund, som leder specialprojekt på it-säkerhetsföretaget DNV Cyber.
AI gör angreppen blixtsnabba
År 2018 tog det i genomsnitt drygt två år från att en säkerhetslucka upptäcktes tills att den utnyttjades, men i dag är marginalerna minimala.
– Med automatisering och AI har den genomsnittliga tiden kommit ned till tio timmar. Det är två tusen gånger snabbare, säger Kim Westerlund.
Enligt honom har brottslingarna redan tagit tekniken i bruk i stor skala. Tack vare automatiseringen kan maskinerna söka efter svaga punkter dygnet runt utan att sikta in sig på ett specifikt mål.
I vissa fall kan nyupptäckta sårbarheter utnyttjas på bara några få minuter.
En del angripare kör också AI-angreppen lokalt, vilket innebär att de inte behöver betala särskilt mycket för det.
Geopolitiken ökar pressen
Anssi Kärkkäinen som är överdirektör på Cybersäkerhetscentret vid Transport- och kommunikationsverket Traficom, bekräftar att risken för cyberattacker är hög för tillfället.
Han säger att det bland annat beror på det geopolitiska läget i världen.
Antalet allvarliga fall som myndigheterna utredde i fjol var mer än dubbelt så många som året innan.
Mer än hälften av företagsledarna DNV Cyber talade med säger också att deras bransch utsätts för konstanta lågintensiva attacker.
Försvaret släpar efter
Problemet är att försvararna inte alltid klarar samma tempo som angriparna. I värsta fall kan det enligt Kim Westerlund ta upp till fem månader innan ett säkerhetshål täpps till i kritisk infrastruktur.
Det varierar också stort hur snabba olika organisationer är på att åtgärda sådana här risker.
Finland står ändå starkt
Samtidigt som hotaktiviteten är hög så betonar Cybersäkerhetscentret att AI också kan användas på försvarssidan. Leverantörer av säkerhetsteknik har redan börjat göra det i stor utsträckning i sina skyddslösningar.
När det gäller it-säkerhet bedömer Kim Westerlund att Finland klarar sig bra i internationell jämförelse.
– Jag kan säga att vi är mycket bättre än många andra länder. Vi har bra resiliens för vi känner varandra, och vi har bra nätverk, säger Westerlund.
”Tröskeln har blivit lägre”
Johan Boström, senior cybersäkerhetskonsult på DNV Cyber, arbetar som så kallad etisk hackare och testar kunders säkerhet genom att försöka ta sig in i deras system. Han bedömer att det har blivit lättare för illvilliga hackare att bryta sig in.
– Tröskeln har blivit lägre. Med den framfart vi ser just nu går det fortare, säger han.
Förutom att AI gör det lättare att bryta sig in i olika system så hjälper tekniken också angripare att översätta bluffmeddelanden och att förfalska röster och ansikten.
För privatpersoner gäller enkla regler, säger Boström:
– Exponera inte mer än vad du behöver. Ha stängda profiler om du inte är en offentlig person. Var försiktig med vad du lägger ut, och ha en eftertanke kring det.
Det som drabbar vanliga medborgare mest är fortfarande enkla bedrägerier och nätfiske, men AI gör det svårare att avslöja sådana här angrepp.
Ett sms eller Whatsapp-meddelande kan numera se övertygande äkta ut och till exempel verka komma från en myndighet.
Mythos ingen revolution
Den nya AI-modellen Mythos från Anthropic har på senare tid väckt oro efter att den enligt bolaget hittat allvarliga säkerhetsluckor i stora operativsystem. Men ingen av experterna ser modellen som ett genombrott. Svenska Yle har tidigare rapporterat om Mythos.
Kim Westerlund menar att Mythos inte ändrar bilden i grunden.
Också enligt en utvärdering av The AI Security Institute i Storbritannien så följer utvecklingen fortfarande en linjär kurva, inte en exponentiell.
Förmågan hos dagens AI-drivna attacker bygger enligt Westerlund mest på hur olika verktyg kopplas ihop, inte på en enskild modell.
Bland de företag som fått tillgång till Mythos är tonen en annan. Financial Times skriver att flera av dem nu uppmanar till gemensamma insatser från både offentlig och privat sektor för att skydda samhällskritisk infrastruktur såsom sjukhus, banker och energibolag.
Jeetu Patel, produktchef på teknikjätten Cisco, beskriver för tidningen det som att det finns en värld före Mythos och en annan efter.
Också cybersäkerhetsföretaget Palo Alto Networks har varnat för att tekniken snabbt kan sprida sig bortom de amerikanska bolagen och deras skyddsmekanismer.
Ansvaret är gemensamt
Kim Westerlund efterlyser både mer pengar till cybersäkerhet och ett nytt tankesätt hos företagsledarna. Företagsledare måste sluta tro att alla hot kommer utifrån.
Det räcker ofta med att en extern angripare har fått tag på en användares inloggningsuppgifter. Då är hotet internt, och skyddet mot det är ofta för svagt.
– Man måste börja tänka på ett annat sätt, säger han.
Anssi Kärkkäinen på Cybersäkerhetscentret betonar att ansvaret för it-säkerheten i vårt samhälle är gemensamt.
– Myndigheterna klarar det inte ensamma. Inte företagen heller, eller medborgarna. Det är lagsport. Alla behövs.