הודו החלה לבצע מבחני עמידות (stress tests) למערכות התוכנה הממשלתיות והבנקאיות שלה מול מודל הבינה המלאכותית Mythos של Anthropic, תרגיל סייבר שנועד לאתר נקודות תורפה לפני שתוקפים ינצלו אותן. הבדיקות, הנמצאות כעת בעיצומן, מסמנות את הפעם הראשונה הידועה שבה מדינה משתמשת במודל בינה מלאכותית מתקדם של יריבה כדי לבחון את התשתיות הקריטיות שלה.
בחינת עמידות מול יריב מבוסס בינה מלאכותית
בחינת עמידות אינה חדשה. ארגונים מדמים באופן שגרתי התקפות כדי לבדוק את יעילות ההגנות שלהם. אך הכנסת מודל בינה מלאכותית כמו Mythos לתמונה משנה את מאזן הכוחות. Mythos, שפותח על ידי Anthropic, נועד להיות מסוגל יותר מדגמים קודמים בהבנה ויצירת קוד. משמעות הדבר היא שהוא מהווה כלי עוצמתי לדימוי התקפות סייבר מתוחכמות – ולאיתור פרצות שמתכנתים אנושיים עלולים לפספס.
הגישה ההודית כוללת הזנת פרטים על ארכיטקטורות התוכנה הממשלתיות והבנקאיות לתוך המודל. לאחר מכן, Mythos מנסה לנצל מערכות אלה, תוך חיפוש חולשות בהצפנה, בקרות גישה וטיפול בנתונים. התוצאות מסייעות לפקידים לקבוע באילו תיקוני אבטחה (patches) לטפל קודם, ובאילו תחומים להשקיע בחיזוק ההגנה.
מדוע ההתמקדות היא במערכות בנקאיות וממשלתיות
תוכנות בנקאיות וממשלתיות מטפלות בכמה מהנתונים הרגישים ביותר במדינה – רשומות פיננסיות, זיהוי אישי ומידע על ביטחון לאומי. פרצה באחד המגזרים הללו עלולה לגרום להשפעות מדורגות (cascading effects). לכן הודו ממקדת את מבחני העמידות שלה תחילה בשני תחומים אלה. הבדיקות אינן מעידות על איום ספציפי שהתגלה, אלא הן צעד יזום כדי להישאר צעד אחד לפני התקפות פוטנציאליות.
הבחירה במודל של Anthropic על פני אחרים ראויה לציון. Anthropic הציבה עצמה כחברת בינה מלאכותית המתמקדת בבטיחות, ומודל Mythos נבנה עם מעקות בטיחות למניעת שימוש לרעה. השימוש של הודו ב-Mythos למטרות הגנתיות תואם את היישומים המיועדים של החברה. Anthropic לא הגיבה על הבדיקות, ואף גורם רשמי בממשל ההודי לא סיפק פרטים על היקפן או לוח הזמנים שלהן.
מה עומד על הפרק
אם מבחני העמידות יחשפו פרצות קריטיות, ההשלכות עלולות להיות מרחיקות לכת. סוכנויות ממשלתיות עשויות להצטרך להשהות יוזמות דיגיטליות כדי לתקן מערכות. בנקים עלולים לחוות שיבושים זמניים בשירותים אם יידרשו עדכונים. מנגד, דוח נקי מפרצות יחזק את האמון בתשתיות הדיגיטליות של הודו, שהתרחבו במהירות באמצעות תוכניות כמו Aadhaar ו-UPI.
הבדיקות מעלות גם שאלות לגבי תפקידה של בינה מלאכותית באבטחת סייבר לאומית. שימוש במודל של חברה אחת כדי לבחון מערכות של חברה אחרת מטשטש את הגבול בין תחרות לשיתוף פעולה. עדיין לא התקבלה החלטה אם לפרסם את תוצאות הבדיקות ברבים, ולא ברור אם מדינות אחרות ילכו בעקבות הודו.
שאלות פתוחות
השאלה הגדולה ביותר היא כמה זמן יימשכו מבחני העמידות, והאם יתרחבו מעבר לתוכנות ממשלתיות ובנקאיות. בכירים לא חשפו מועד סיום, ולא אמרו באילו מערכות ספציפיות נבדקות. מה שברור הוא שהודו מהמרת על כך שיריב מבוסס בינה מלאכותית הוא הדרך הטובה ביותר למצוא את חולשותיה – לפני שמישהו אחר יעשה זאת.
