Vi har brug for at tale om robotter i hackernes skudlinje
I takt med at vores infrastruktur bliver mere afhængig af AI-baserede it-systemer, er hacking af robotter en trussel, som vi bør værne os mod sammen.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
I sensommeren åbnede den amerikanske Deputy Secretary of Homeland Security, den øverst ansvarlige for indenrigssikkerhed, Alejandro Mayorkas, verdens største hackerkonference, DEFCON, med at takke de flere tusinde tilmeldte hackere for at udfordre landets kritiske infrastruktur.
I USA er det nemlig ikke ualmindeligt, at politikere, offentlige myndigheder og virksomheder inviterer hackere og forskere til at gøre det onde ved deres it-systemer. Disse både uformelle og formelle samarbejde sker ofte i fuld offentlighed, hvilket har den fordel, at de amerikanske myndigheder kan høste viden om it-systemers svagheder; ikke kun fra de hackere, som har prøvet at kompromittere systemerne, men fra hele det internationale hacker- og datalogimiljø, som kan analysere og kommentere hackernes erfaringer.
Sådan er det ikke i Danmark. F.eks. blev forskere fra IT-Universitetet inviteret til at hacke lidt på pilotmodellen af den nyeste version af MitID i tiden op til lanceringen, men de var bundet af en tavshedsklausul, som betød, at de kun kunne dele deres sikkerhedsanalyser med de relevante danske myndigheder. Det betyder, at eventuelle svagheder forbliver et anliggende mellem myndighederne og nogle få it-sikkerhedseksperter.
Set i lyset af den voksende sikkerhedstrussel, som AI repræsenterer, er det måske på tide at tænke i alternative baner i Danmark også.Carsten Schürmann og Jari Kickbusch
Valget mellem en åben eller lukket tilgang til it-sikkerhed vil få kontinuerligt større betydning, eftersom vi bliver mere og mere afhængige af, at vores it-systemer virker efter hensigten, ikke mindst i forhold til de AI-baserede it-systemer, som det forventes at komme til at spille en større rolle i flere offentlige sektor, f.eks. sundheds-, trafik- og energisektoren.
Til en workshop på førnævnte konference havde seks af verdens største AI-virksomheder stillet deres chatbots til rådighed og udfordret de mange tusinde hackere til at forsøge at manipulere deres AI-services. Det lykkes i skræmmende grad at få robotterne til at give forkerte oplysninger på simple spørgsmål, at narre dem til at tage mærkelige beslutninger, og givetvis vil man også kunne få dem til at destruere sig selv, f.eks. at begå selvmord.
Perspektiverne er skræmmende. Tag f.eks. sundhedssektoren, hvor kunstig intelligens allerede bliver brugt som beslutningsstøttende værktøj. Her må vi sikre os, at en AI-løsning eller robot ikke bliver manipuleret til et monster, som træffer katastrofale valg; altså et digitalt sidestykke til en stangstiv læge med selvmordstanker.
Amerikanerne har ret gode erfaringer med at gøre it-sikkerhed til et fælles anliggende, bl.a. ved at udskrive konkurrencer, som alle verdens hackere og forskere kan deltage i. Set i lyset af den voksende sikkerhedstrussel, som AI repræsenterer, er det måske på tide at tænke i alternative baner i Danmark også.
Den amerikanske form for åbenhed er ikke nødvendigvis den rigtige her, men hvis vi skal sikre reel gennemsigtighed i den offentlige administration, og hvis vi skal have tillid til, at de it-systemer, hvis funktionalitet kan betyde forskellen mellem liv og død, rent faktisk virker efter hensigten, er der behov for, at it-sikkerhed bliver et anliggende for en større skare af it-sikkerhedseksperter og hackere.
