Finans Norge gir råd for å møte ny KI-utvikling

Den 7. april publiserte det amerikanske KI-selskapet Anthropic nyheten om Mythos, en ny KI modell utviklet for å identifisere sårbarheter i programvare. Modellen er kun tilgjengelig for et begrenset utvalgte aktører gjennom initiativet Project Glasswing. Her deltar de største bankene i USA. 

Ifølge selskapet kan Mythos raskt kan avdekke og sammenkoble alvorlige, tidligere ukjente sårbarheter i operativsystemer, nettlesere og annen kritisk programvare.

Kan redusere tiden mellom patch og angrep

Den største sikkerhetsutfordringen knyttet til Mythos er ikke bare evnen til å finne nye sårbarheter, men hvor raskt modellen kan analysere sikkerhetsoppdateringer.  

Dette kan føre til et betydelig redusert tidsvindu mellom publisering av en sikkerhetsoppdatering og aktiv utnyttelse i stor skala. Utviklingen utfordrer etablerte rutiner for patch og sårbarhetshåndtering, og stiller strengere krav til tempo og gjennomføringsevne. 

Usikkerhet, men tydelig utvikling

Siden Mythos ikke er offentlig tilgjengelig, er det krevende å trekke konklusjoner om hvordan modellen representerer en ny trussel. Anthropic har en egeninteresse i å fremsnakke egen KI-modell, og den har allerede fått bred oppmerksomhet. Samtidig har utviklingen av sterke KI-modeller skutt fart den siste tiden, så det er viktig å ha fokus på de sikkerhetsmessige utfordringene som kan oppstå fremover.

Modellene er svært ressurskrevende å drifte, noe som i praksis begrenser tilgangen til noen få, ressurssterke aktører, hovedsakelig store teknologileverandører og nasjonalstater.

Risikoen knyttet til slike modeller er ikke begrenset til finansnæringen, men en tverrsektoriell risiko som også berører annen samfunnskritisk infrastruktur som kraft- og telekomsektoren. Derfor er det viktig at også andre deler av kritisk infrastruktur har fokus på utviklingen.

Hva bør finansnæringen fokusere på nå?

På kort sikt peker utviklingen særlig på behovet for å styrke grunnleggende digital og operasjonell motstandskraft. Medlemmer anbefales særlig å ha oppmerksomhet på følgende:

• Fremskynde patch og oppdateringssykluser
  Tiden mellom tilgjengelig sikkerhetsoppdatering og potensiell utnyttelse forventes å bli kortere. Rask testing og utrulling blir derfor enda viktigere.
• Gjennomgå prosesser for sårbarhetshåndtering
  Rutiner for prioritering, verifikasjon og lukking av kjente sårbarheter bør vurderes i lys av et mer aggressivt og automatisert trusselbilde.
• Styrke dialogen med kritiske tredjepartsleverandører
  Virksomhetene bør sikre god oversikt over leverandørenes patch regimer, responstider og beredskap, særlig hos leverandører av kjerneinfrastruktur, skyløsninger og sikkerhetsverktøy.
• Teste og oppdatere beredskaps og kontinuitetsplaner
  Kortere varslingstid og raskere eskalering stiller økte krav til samspill mellom IKT drift, sikkerhet og virksomhetsledelse.
• Følge utviklingen på tvers av sektorer og myndigheter
  Ettersom risikoen er tverrsektoriell, vil informasjonsdeling og koordinering, både nasjonalt og internasjonalt, være avgjørende for felles situasjonsforståelse og tiltak.

Samlet sett viser utviklingen rundt Mythos at grunnleggende disiplin innenfor cybersikkerhet og digital operasjonell motstandskraft fortsatt er det viktigste forsvaret. Samtidig blir tempo, modenhet og samarbeid enda viktigere fremover. 

Finans Norge vil støtte medlemmene i arbeidet med å tilpasse rutiner og styrke situasjonsforståelsen, og bidra med innsikt på tvers av sektorer.

– KI-utviklingen innebærer med andre ord et taktskifte, også innenfor sikkerhet. Finans Norge vil følge utviklingen og bidra til at medlemmene kan opprettholde trygg og robust digital drift, sier Pål Christian Waag, fagdirektør cybersikkerhet i Finans Norge.