【運勢預測】網絡罪犯濫用AI已成定局 認清弱點催吉避凶
踏入 2025 年,主導科技發展的技術估計仍是人工智能(AI),雖然 AI 有助提升網絡安全的格局,但亦為網絡罪犯帶來更強大及方便的力量,對企業和機構造成莫大威脅。而在 AI 帶來的網絡安全威脅中,專家認為主要表現在以下幾個方面,管理者必須及早認清弱點,防患於未然。
首先在勒索軟件方面,專家指在 2025 年,這種攻擊手法不再局限於加密數據或勒索金錢,而是逐漸演變為一種系統性破壞的工具。未來的攻擊還可能會專注於刪除或篡改機密數據,破壞數據的完整性,例如黑客有可能篡改醫療記錄,或者跨國銀行的財務數據等,比起單純導致金錢上或營運中斷所帶來的損失,新的攻擊方法還會危害生命,又或令公眾對金融機構失去信任,造成更大的威脅。
而在攻擊方面,去年勒索軟件出現了許多新技術,大大提升攻擊的複雜與多樣化,例如新的攻擊已顯示黑客會濫用合法工具,並在最後階段才引入惡意軟件,而這些攻擊都可以透過 AI 和自動化技術,實現更快及精準的攻擊。
另一個 AI 帶來的影響,在於黑客可用來設計高針對性的網絡釣魚攻擊、開發先進的惡意軟件,以生成式 AI 為例,早前香港一間跨國企業的員工便遭受深偽技術(deepfake)所騙,令公司損失兩億港元,專家警告這種技術將會發展得愈來愈成熟,讓網絡罪犯可以輕易繞過身分驗證系統,或散播錯誤訊息。
第三個 AI 帶來的影響,在於黑客能夠以前所未有的速度,找出過時的系統漏洞,特別是關鍵基礎設施有關的企業或機構,如能源網絡到水利系統等,專家指,這些機構往往仍在使用過時的作業系統,雖然核心的營運系統在昔日往往會在離線環境運作,但隨著科技發展的需要,現時 OT 與 IT 系統已逐漸互通,過時系統和分散的安全協議,令關鍵基礎設施面臨更大的風險,黑客只須撰寫 AI 程式進行搜索,便可快速找到存在漏洞的系統發動攻擊。
專家又提醒,專門提供應用服務的供應商,也是黑客優先攻擊的目標,因為黑客可通過入侵單一目標便可滲透多個組織,SolarWinds 事件便是一個經典例子。
最後,專家又提到網絡安全行業面臨的人才短缺問題。根據報告,全球未能填補的網絡安全職位空缺在 2024 年超過 340 萬,而這一數字預計在今年將進一步增長。專家解釋,與傳統的網絡安全工具有異,營運新世代 AI 網絡安全工具需要的技能非常專門,不僅要有編寫程式的能力,還要具備數據科學、機器學習等技能,導致不少企業難以找到合適的專才加入團隊,龐大的工作量及壓力亦進一步增加流失率。
面對這些挑戰,專家呼籲企業或機構管理者,必須採取創新的解決方案,同時加強內部培訓和提升現有員工的技能,更多地利用 AI 來處理重複性任務,才有機會阻止網絡罪犯的入侵。
