من علیرضا طباطبایی وکیل پایه یک با همکاری جمعی از وکلا، مهندسان کامپیوتر و کارشناسان جرائم رایانه ای در سال ۹۳ گروه حقوقی تخصصی وکیل سایبری را تاسیس کردم. اینجا مطالب روز دانش حقوقی جهان را دنبال کنید
خبرنامه وکیل سایبری (8 مرداد)
بسمه تعالی
خبرنامه وکیل سایبری
آخرین اخبار روز حقوق سایبری و جرایم سایبری جهان را با وکیل سایبری دنبال کنید.
این خبرنامه زیرنظر مستقیم علیرضا طباطبایی وکیل متخصص حوزه جرایم سایبری آماده می شود.
08 مرداد 1402
خبر اول:
نوآوری در ایمنی و مقررات هوش مصنوعی
در حوزه هوش مصنوعی (AI)، این سوال مطرح می شود که آیا می توان به شرکت های فناوری جهت خودتنظیمی اعتماد کرد؟ اخیراً هفت شرکت بزرگ هوش مصنوعی در ملاقات با رئیس جمهور جو بایدن تعهدات عمومی خود را نسبت به ایمنی و شفافیت اعلام کردند. علاوه بر این، گوگل، آنتروپیک، مایکروسافت و OpenAI گروهی را تشکیل دادهاند که به بررسی قابلیتهای قویتر هوش مصنوعی و ایجاد بهترین شیوهها برای کنترل آن اختصاص دارد.
با این که این تعهدات بیانگر گامی در جهت درست و مناسب می باشد اما سابقه صنعت در پرداختن به اثرات منفی رسانه های اجتماعی، نگرانی هایی را در مورد اثربخشی آنها بدون مداخله نظارتی ایجاد می کند. وقتی در مورد هوش مصنوعی صحبت میکنیم، چالش اصلی این است که چگونه یک چارچوب نظارتی و قوانینی ایجاد کنیم که بتواند تعهدات و مسئولیتها را از شرکتها و توسعهدهندگان هوش مصنوعی اجرا کند، بدون این که نوآوریها و پیشرفتها در زمینه هوش مصنوعی را مختل کند. همچنین این چارچوب باید قابلیت تطبیق با پیشرفتهای هوش مصنوعی را داشته باشد و بهروزرسانیهای لازم را در این زمینه انجام دهد. به این ترتیب، میتوان با اطمینان از رشد هوش مصنوعی بهره برد و در عین حال مسائل امنیتی و اخلاقی را نیز به حداقل رساند.
در طی یک جلسه در کاخ سفید، شرکتهای فناوری متعهد شدند که از ایمنی محصولات خود از طریق آزمایشهای امنیتی دقیق قبل از انتشار چه در داخل و چه در خارج اطمینان حاصل کنند. آنها همچنین متعهد شدند که اطلاعات مربوط به مدیریت ریسک را در سراسر صنعت و دولت به اشتراک بگذارند. علاوه بر این، آنها اعلام کردند که قصد تسهیل شناسایی آسیبپذیریها توسط شخص ثالث در سیستمهای هوش مصنوعی خود دارند و از "نشانگذاری" دیجیتالی استفاده کنند تا کاربران را از محتوای تولیدشده توسط هوش مصنوعی آگاه کنند.
با این که این مراحل نشان دهنده اهداف مثبت می باشد، اما تا حد زیادی با رویه های موجود یا برنامه ریزی شده توسط شرکت ها هماهنگ می باشند. لازم به توضیح می باشد که هیچ وعده صریحی برای افشای دادههایی که مدلهای هوش مصنوعی بر اساس آنها آموزش داده میشوند وجود ندارد. البته این موضوع در قوانین آتی مربوط به هوش مصنوعی در اتحادیه اروپا مورد بررسی قرار گرفته است. مایکروسافت پیشنهاد ایجاد یک ثبتنام اختیاری برای سیستمهای هوش مصنوعی با ریسک بالا را اعلام کرده است که میتواند به عنوان ارزش افزوده در نظر گرفته شود.
کمیسیون تجارت فدرال با اشاره به نقض احتمالی قوانین مصرف کننده، اعلام کرده است که در صورت عدم انجام تعهدات خود، ممکن است علیه شرکت های فناوری اقدام قانونی کند. با این حال، مبهم بودن این تعهدات ممکن است مراحل قانونی را پیچیده کند. بر اساس پیشبینی ها یک فرمان اجرایی از سوی کاخ سفید میتواند با تمرکز بر محدود کردن دستیابی به برنامهها و مؤلفههای هوش مصنوعی توسط چین و سایر رقبا، اهمیت بیشتری به این تعهدات بدهد.
در نهایت، قانونگذاری ضروری می باشد، اما باید با چالش های مربوط به ماهیت به سرعت در حال تکامل هوش مصنوعی مقابله کند. اتحادیه اروپا با پیشنهاد قانون هوش مصنوعی رویکرد مستقیم تری اتخاذ کرده است، اما نگرانی هایی در مورد تأثیر آن بر رقابت پذیری اتحادیه اروپا و عدم رسیدگی به مسائل مهم مطرح شده است. در مقابل، کنگره آمریکا به توافق دوحزبی و تخصص کافی برای قانونگذاری در حوزه هوش مصنوعی نیاز دارد که این امر اعتمادسازی را دشوارتر می کند. رهبر اکثریت سنا یعنی Chuck Schumer قصد دارد در ماههای آینده جلسات آموزشی برای سناتورها برگزار کند تا بتوانند مفاهیم هوش مصنوعی را بهبود ببخشند.
مقررات موثر هوش مصنوعی مستلزم همکاری نزدیک با بخش فناوری می باشد. بسیاری از باهوشترین ذهنهای هوش مصنوعی، که در پیشبینی ریسکها مهارت دارند، توسط این شرکتها استخدام میشوند. با این حال، مشارکت کارشناسان خارجی برای اطمینان از اینکه قانونگذاران توسط خودی های صنعت فریب نخواهند خورد، بسیار مهم تلقی می شود.
بخش فناوری باید تمایل به تعامل سازنده داشته باشد. پس از واکنش شدید علیه شرکت هایی مانند فیس بوک متا به دلیل جنبه های منفی رسانه های اجتماعی، آنها اکنون برای همکاری با مقامات انگیزه دارند. در واقع، موفق ترین شرکت ها در صنعت هوش مصنوعی شرکت هایی هستند که مسئولیت را در اولویت قرار می دهند.
با توجه به ماهیت دگرگونکننده این فناوری، رویکردهای نوآورانه برای تنظیم مقررات به منظور حفظ کنترل بر هوش مصنوعی مورد نیاز می باشد.
منبع خبر : fagenwasanni
خبر دوم:
روش هایی برای دور زدن، قوانین ایمنی چت بات هوش مصنوعی
بر اساس تحقیقات جدید دانشگاه کارنگی ملون (ایالت متحده)، جلوگیری از تولید محتوای مضر چت رباتهای هوش مصنوعی (AI) چالشبرانگیزتر از آن چیزی می باشد که قبلا تصور میشد. سرویسهای مشهور هوش مصنوعی مانند ChatGPT و Bard دارای پروتکلهای ایمنی هستند تا از ایجاد محتوای تعصبآمیز، افتراآمیز یا مجرمانه توسط رباتها جلوگیری کنند. ولی، محققان روشهای جدیدی را برای دور زدن این پروتکلهای ایمنی کشف کردهاند که به نام «jailbreak» شناخته میشوند.
تاکنون کاربران به صورت سنتی با انجام حرکات خلاقانه و درخواست پاسخ به سوالات ممنوعه، به روشهایی میپرداختند که میتوانست به نقض امنیت باتهای هوش مصنوعی منجر شود. اکنون، محققان یک نوع جدید از نقض امنیتی را کشف کردهاند که با استفاده از کامپیوتر ایجاد میشود و الگوهای بینهایتی از نقض را ایجاد میکند. این موضوع باعث نگرانیهایی در مورد ایمنی استفاده از مدلهای باتهای هوش مصنوعی میشود، به ویژه زمانی که باتها بیشتر به صورت خودکار و بدون دخالت انسانی عمل میکنند.
در این جیلبریک جدید، محققان با اضافه کردن کاراکترهای بیمعنی به انتهای سوالات که معمولاً شامل سوالات ممنوعه مانند نحوه ساخت بمب هستند، بات هوش مصنوعی را به حذف محدودیتهای ایمنی خود فریب میدهند. این کار باعث میشود که بات به طور کامل به این سوالات پاسخ دهد. در شرایط عادی این نوع سوالات ممنوعه، حذف میشوند تا از ارائه اطلاعات خطرناک به کاربران جلوگیری شود. این نوع جیلبریک نگرانیهایی را در مورد امنیت و استفاده از باتهای هوش مصنوعی ایجاد میکند.
تیم تحقیقاتی نمونه هایی را با استفاده از ChatGPT، یک چت ربات پیشرو در هوش مصنوعی ارائه کرد، از جمله اینکه از ربات پرسید که چگونه هویت یک فرد را سرقت کند، از یک موسسه خیریه دزدی کند و یک پست رسانه اجتماعی ایجاد کند که رفتار خطرناک را ترویج دهد. این نتایج نشان میدهند که این جیلبریک جدید تقریباً تمامی باتهای هوش مصنوعی را در بازار به خطر میاندازد و باعث میشود که این باتها توانایی دسترسی به محتویات خطرناک یا ممنوعه را به کاربران ارائه دهند، امری که بسیار نگرانکننده می باشد و نیازمند اقدامات جدی از سوی توسعهدهندگان و سازندگان باتهای هوش مصنوعی است تا از امنیت و اخلاقیات استفاده از این سیستمها اطمینان حاصل شود.
OpenAI، توسعهدهنده ChatGPT، در حال حاضر بر روی پیادهسازی و بهبود تدابیر امنیتی جهت جلوگیری از چنین حملاتی کار میکند. آنها در حال بررسی روش هایی برای تقویت تدابیر امنیتی و افزودن لایه های دفاعی بیشتر می باشند.
چت رباتهای هوش مصنوعی مانند ChatGPT محبوبیت پیدا کردهاند، اما چالشهایی مانند استفاده از آنها برای تقلب در مدارس و نگرانی در مورد تواناییشان در دروغگویی هم وجود دارد.
در نهایت، باید مکانیسمهای دفاعی قویتری برای محافظت در برابر دور زدن قوانین ایمنی چت بات هوش مصنوعی در نظر گرفته شود.
منبع خبر : fagenwasanni
خبر سوم:
فناوری ها و استراتژی های نوظهور برای امنیت رسانه های اجتماعی جهانی
آینده امنیت آنلاین موضوعی بسیار مهم در عصر دیجیتال امروزی محسوب می شود. همچنان که جهان به طور فزاینده ای از طریق پلتفرم های رسانه های اجتماعی به هم متصل می شود، نیاز به اقدامات امنیتی قوی هم بیشتر از گذشته احساس می شود.
ظهور رسانه های اجتماعی در نحوه برقراری ارتباط، اشتراک گذاری اطلاعات و تعامل ما با جهان تحول ایجاد کرده است. ولی، این انقلاب دیجیتال روش های جدیدی را هم برای تهدیدات سایبری، مانند نقض داده ها و آزار و اذیت آنلاین و ...، ارائه کرده است. برای مبارزه با این چالش ها، شرکت های فناوری، کارشناسان امنیت سایبری و سیاست گذاران به طور مداوم در حال توسعه راه حل های نوآورانه هستند.
هوش مصنوعی (AI) یکی از این فناوریها می باشد که نقشی اساسی در افزایش ایمنی آنلاین ایفا میکند. الگوریتمهای هوش مصنوعی میتوانند حجم وسیعی از دادهها را برای شناسایی فعالیتهای مشکوک، شناسایی تهدیدات بالقوه و حتی پیشبینی حملات سایبری آتی تجزیه و تحلیل کنند. به عنوان مثال، یادگیری ماشین، می تواند برای شناسایی الگوهایی در رفتار کاربر استفاده شود که ممکن است نشان دهنده نقض امنیتی باشد. این رویکرد پیشگیرانه امکان اقدام فوری را فراهم می کند و آسیب احتمالی ناشی از تهدیدات سایبری را به حداقل می رساند.
فناوری بلاک چین یکی دیگر از راهکار های مناسب برای افزایش امنیت رسانه های اجتماعی می باشد. بلاک چین که بخاطر ماهیت غیرمتمرکز خود مورد توجه می باشد، می تواند یک پلت فرم امن و شفاف برای ذخیره سازی داده ها و تراکنش ها فراهم کند. این فناوری می تواند به جلوگیری از دستکاری داده ها کمک کند و از یکپارچگی اطلاعات کاربر اطمینان حاصل کند. علاوه بر این، استفاده از قراردادهای هوشمند در بلاک چین میتواند اجرای سیاستهای ایمنی آنلاین را خودکار نماید و امنیت را بیشتر افزایش دهد.
علاوه بر این فناوریها، استراتژیهای جدیدی نیز برای بهبود ایمنی آنلاین در حال توسعه هستند. یکی از این استراتژی ها، مفهوم «حریم خصوصی از طریق طراحی» می باشد. این رویکرد شامل ادغام اقدامات حریم خصوصی و امنیتی در طراحی پلتفرمهای رسانههای اجتماعی می باشد. بدین ترتیب، فرهنگ حفظ حریم خصوصی و امنیت در بین کاربران ترویج می یابد.
یکی دیگر از استراتژی های نوظهور استفاده از احراز هویت چند عاملی (MFA) است. MFA کاربران را ملزم میکند تا قبل از دسترسی به حسابهای خود، از چندین مرحله شناسایی عبور کنند که دسترسی غیرمجاز را برای مجرمان سایبری دشوارتر میکند.
آموزش و آگاهی کاربران در این زمینه بسیار مهم تلقی می شود. بسیاری از افراد معتقدند که موثرترین روش برای افزایش ایمنی آنلاین، توانمندسازی کاربران با دانش و ابزارهایی برای محافظت از خودشان می باشد.
منبع خبر : fagenwasanni
خبر چهارم:
نقش قابل توجه هوش تهدید جهانی در مبارزه با حملات سایبری
در عصر دیجیتال، جرایم سایبری به عنوان یک تهدید مهم برای افراد، مشاغل و دولت ها در سراسر جهان محسوب می شود. افشای نقاب از مجرمان سایبری و مبارزه با حملات سایبری یک فرایند پیچیده می باشد که نیازمند یک رویکرد جامع می باشد. یکی از موثرترین استراتژی ها در این مبارزه، استفاده از هوش تهدید جهانی ست.
هوش تهدید جهانی یک جزء حیاتی در نبرد با جرایم سایبری محسوب می شود. این فرایند شامل جمع آوری و تجزیه و تحلیل اطلاعات در مورد تهدیدهای بالقوه یا فعلی می باشد که می تواند به سیستم های دیجیتال آسیب برساند.
این اطلاعات از منابع مختلفی از جمله اطلاعات منبع باز، اطلاعات رسانه های اجتماعی، اطلاعات انسانی و اطلاعات فنی جمع آوری می شود. سپس این داده ها، تجزیه و تحلیل شده و برای توسعه استراتژی هایی برای جلوگیری یا کاهش حملات سایبری استفاده می شود.
نقش هوش تهدید جهانی در مبارزه با حملات سایبری چند جانبه می باشد. در مرحله اول، به شناسایی تهدیدهای بالقوه و مجرمان سایبری در پشت پرده آنها کمک می کند. با تجزیه و تحلیل داده ها، کارشناسان می توانند روش های استفاده شده توسط مجرمان سایبری، مکان آنها و حتی انگیزه های احتمالی آنها را تعیین کنند. این اطلاعات برای توسعه اقدامات متقابل موثر و کمک به سازمان های مجری قانون در تحقیقاتشان بسیار مهم تلقی می شود.
هوش تهدید جهانی به پیش بینی حملات سایبری آتی کمک می کند. مجرمان سایبری به طور مداوم تاکتیکها، تکنیکها و رویههای خود (TTP) را برای دور زدن تدابیر امنیتی توسعه میدهند. از طریق تجزیه و تحلیل تهدیدات سایبری گذشته و کنونی، هوش تهدید جهانی میتواند حملات احتمالی آینده و تکامل احتمالی TTPهای مجرمان سایبری را پیشبینی کند. این قابلیت پیشبینی به سازمانها اجازه میدهد تا در تلاشهای امنیت سایبری خود فعال باشند.
هوش تهدید جهانی نقش حیاتی در پاسخ و بازیابی حملات سایبری ایفا می کند. در صورت حمله سایبری، اطلاعات به موقع و دقیق تهدید می تواند به محدود کردن آسیب و سرعت بخشیدن به روند بازیابی کمک کند. این فرایند میتواند بینشهایی درباره ماهیت حمله ارائه دهد که برای اصلاح آسیبپذیریها، بازیابی سیستمها و جلوگیری از حملات مشابه در آینده استفاده می شود.
اثربخشی هوش تهدید جهانی در مبارزه با حملات سایبری، به اشتراک گذاری اطلاعات بستگی دارد. تهدیدات سایبری یک مشکل جهانی می باشد و هیچ سازمانی منابع یا توانایی لازم برای مقابله با آنها را ندارد. بنابراین، همکاری و به اشتراک گذاری اطلاعات بین مشاغل، دولت ها و شرکت های امنیت سایبری ضروری می باشد. این همکاری نه تنها کیفیت و کمیت اطلاعات تهدید را افزایش میدهد، بلکه سرعت انتشار آن را هم بهبود میبخشد و امکان پاسخ سریعتر به تهدیدات سایبری را فراهم میکند.
در نتیجه، هوش تهدید جهانی نقشی اساسی در افشای نقاب از مجرمان سایبری و مبارزه با حملات سایبری ایفا می کند. اطلاعات لازم برای شناسایی، پیشبینی و پاسخگویی مؤثر به تهدیدات سایبری را فراهم میکند. ولی، برای اینکه واقعاً مؤثر باشد، یک رویکرد مشترک برای به اشتراک گذاری اطلاعات مورد نیاز می باشد. همانطور که مجرمان سایبری به تکامل تاکتیک های خود ادامه می دهند، استراتژی های ما برای مبارزه با آنها نیز باید انجام شود. هوش تهدید جهانی، همراه با همکاری و به اشتراک گذاری اطلاعات، دفاعی قوی در برابر تهدید همیشگی جرایم سایبری ارائه می دهد.
منبع خبر : fagenwasanni
خبر پنجم:
فناوری فریب در برابر سرقت هویت
سازمانها، امنیت هویت کاربر، ماشین و همچنین زیرساختهای هویتی مانند Microsoft Active Directory را در اولویت قرار میدهند، زیرا دشمنان به طور فزایندهای از تکنیکهای مبتنی بر هویت در حملات خود استفاده میکنند.
تیمهای امنیتی امروزی، برای همگام شدن با این تغییرات، به طیف وسیعی از ابزارهای مختلف متکی می باشند و برخی از استراتژیهای آنها موثرتر از بقیه هستند.
فناوری فریب، مانند هانیپاتها (honeypots)، روشی مؤثر برای سازمانها جهت فریب دادن دشمنان، محافظت از دادهها و کسب اطلاعات در مورد فعالیتهای بالقوه مخرب به نظر میرسد.
اما نقطه ضعفهای شدیدی وجود دارد که تیمهای امنیتی ممکن است در هنگام تکیه بر فناوری فریب قدیمی برای دفاع، به آنها توجه نکنند.
نقطه ضعف فناوری فریب
فناوری فریب (Deception Technology) بستگی به محدودیت دانش نهاد حریف از محیط هدف دارد. این ابزارها بر اساس این ایده توسعه مییابند که دشمنان از توپولوژی کامل شبکه بیاطلاع هستند و با شناخت کمی تصمیم میگیرند به کجا بروند و به چه چیزی حمله کنند. متأسفانه در مورد تیم های امنیتی، دشمنان باهوش می توانند از این فناوری علیه آنها استفاده کنند.
بر اساس «گزارش تهدید جهانی 2023»، یک مهاجم میتواند در عرض 84 دقیقه از مرحله تخریب اولیه به یک میزبان دیگر در محیط قربانی منتقل شود. این فرایند نشان می دهد که دشمنان پیچیده هستند و ممکن است اطلاعات بیشتری از یک شبکه نسبت به آنچه که اکثر متخصصان امنیتی فکر می کنند داشته باشند. یک دشمن به راحتی می تواند دارایی های فریبنده را شناسایی کند و از آنها برای ایجاد هشدارهای جعلی و منحرف کردن تمرکز تیم های امنیتی استفاده کند در حالی که یک نفوذ واقعی در جاهای دیگر اتفاق می افتد.
به طور معمول، مخالفان (هکرها یا حملهکنندگان) با ورود به یک سیستم میتوانند درون شبکه شرکت دسترسی به دیگر سیستمها را پیدا کنند و از این طریق دسترسی به اطلاعات حساس یا سیستمهای دیگر را کسب کنند. اگر سیستمها به درستی طراحی و ایمنسازی نشده باشند، مخالفان میتوانند از یک سیستم مورد نظر به سیستمهای دیگر حرکت کنند و آسیبرسانی نمایند.
در واقع، یکی از محدودیتها در برابر حملات ناشی از حرکت جانبی، وجود سیستمهای ضعیف طراحی شده می باشد. بنابراین، شرکتها باید سیستمها را به صورت محکم ایمنسازی کنند. این کار نیاز به زمان، تلاش و توجه به پیچیدگیهای طراحی دارد تا اطمینان حاصل شود که حملهکنندگان نمیتوانند از این سیستمها به عنوان نقطه شروعی برای دسترسی به سایر سیستمها استفاده کنند.
هزینه های ناشی از هانی پات می تواند افزایش یابد. ساخت و نگهداری یک شبکه مجزا با کامپیوترها و منابع جعلی گران می باشد. هزینه های پشتیبانی هم می تواند افزایش یابد، زیرا فناوری فریب به کارکنان ماهر برای نظارت و نگهداری آن نیاز دارد.
شناسایی، منحرف سازی و خلع سلاح
شرکتها میتوانند دشمنان را با honey-token ها که به سازمانها را در مورد حملات احتمالی هشدار میدهد، فریب دهند. در صورت شناسایی فعالیتهای غیرمعمول، یک هشدار ایجاد می شود. این هشدارها به تیمهای امنیتی اجازه میدهد تا به سرعت مسیر حمله دشمن را شناسایی کنند و همچنین سیاستهای حفاظتی می توانند فعالیتهای حساب honey-token را بصورت آنی مسدود کنند.
توکنهای honey (honey-token ها) مشروعیت، امنیت و سهولت اجرا را بر روی هانی پات ها ارائه می دهند. هکرها احتمالا بدون اینکه از تشخیص تیمهای امنیتی خبرداشته باشند، هشدارهای جعلی صادر نمیکنند. همچنین، با استفاده از honey-token، تیم ها مجبور به راه اندازی کل سیستم ها نمی باشند که این امر در زمان و منابع آنها صرفه جویی می کند.
سازمانها میتوانند کنترلهای امنیتی شدیدی را بر روی حسابهای Honey Token اعمال کنند و خطر حرکت جانبی دشمنان در شبکه را از بین ببرند.
تهدیدات مبتنی بر هویت
شناسایی تهدید هویت و پاسخ (ITDR) یک بخش ضروری برای دفاع در برابر سطوح تهدید نسل فعلی محسوب می شود و تیمهای امنیتی میتوانند با افزودن honey-token ها به عنوان بخشی از استراتژی جامع حفاظت از هویت، آن را مؤثرتر نمایند. از آنجایی که تشخیص استفاده از اعتبارنامه های به خطر افتاده دشوار می باشد و دشمنان می توانند اقدامات امنیتی سنتی را بدون توجه دور بزنند، این امر بسیار مهم می باشد.
فناوری فریب خود را به عنوان یک راه حل امنیتی موثر برای سازمان ها ثابت نکرده است. آنها باید حفاظت جامع هویت را برای قابلیتهای تشخیص، پیشگیری بصورت لحظه ای برای دفاع در برابر حملات مبتنی بر هویت در نظر بگیرند.
با ارائه پوشش مداوم و ادغام با فهرست فعال و محصولات مدیریت هویت و دسترسی (IAM) متعدد، یک راهحل مبتنی بر شناسایی بر پایه ریسک میتواند سطح جامعی از نظارت و شناسایی تهدیدها را برای سازمانها فراهم کند.
منبع خبر : gulfnews
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (22 شهریور)
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (27 اردیبهشت)
مطلبی دیگر از این انتشارات
خبرنامه وکیل سایبری (18 اردیبهشت)