Совсем недавно в Москве прошла конференция «Комплексная безопасность бизнеса и противодействие хищениям» (уже 19-я!) от Национального объединения специалистов по безопасности бизнеса. Это, конечно, не совсем для юристов, но весьма для тех, кто вместе с юристами защищает компании от разного рода угроз. Причем, в основном, внутренних.
И мы вам ответственно заявляем, люди эти весьма хорошо себе представляют, как эффективно использовать новинки ИТ-прогресса в своей работе. Ну вот сами посмотрите, какие темы обсуждались: «Как собирать цифровые доказательства при внутреннем расследовании», «Социальная инженерия и искусственный интеллект (ИИ) как инструменты мошенничества», «Инфицирование обучающей базы данных для ИИ как способ сокрытия мошеннических действий от комплаенс-процедур».
Ну а мы что? А мы тоже да! Анатолий Земцов, управляющий партнер DFCenter, рассказал коллегам как ИИ уже сегодня применяется (и влияет) на форензику и компьютерно-техническую экспертизу.
Поскольку хотелось не просто кого-то (что-то) обвинять или превозносить, а диалога – было решено прям-таки и спросить у этого самого ИИ (хотя с технической стороны более верно пока называть это все Большими языковыми моделями, LLM) – а что ты сам-то думаешь, в чем от тебя польза для компьютерных криминалистов? А потом уже поспорить с ответами, если будет о чем.
По обобщенному мнению ChatGPT, основные точки приложения усилий ИИ такие:
• Анализ больших объемов данных. ИИ помогает быстро сортировать и анализировать большие массивы данных;
• Обнаружение вредоносных программ. ИИ способен выявлять подозрительное поведение в сетевом трафике или файлах;
• Предиктивная аналитика. ИИ анализирует исторические данные и может предсказывать киберугрозы и мошеннические действия;
• Анализ изображений и видео. ИИ используется для распознавания лиц, объектов и анализа видеоматериалов.
В целом звучит хорошо. Пока не погрузишься детали. Насчет анализа больших объемов – на рынке аналитики и внутренних расследований еще с 90х есть весьма серьезные аналитические инструменты для этих задач (которые когда-то разрабатывались для FBI, CIA & Co, а потом их «упрощенные» версии ушли в коммерческое использование). Закрытые, проприетарные, сертифицированные и апрувленные вдоль и поперек. Нужно ли тут что-то новое? Чтобы обрабатывало ЕЩЕ БОЛЬШЕ данных? Можно, но зачем? В скольких кейсах будет реально настолько много данных и какая от анализа их всех будет польза? Мы пока не знаем.
И да, критерий «быстрее»… Когда у вас стоит задача защититься – да, время критично. А вот когда у вас задача «собрать, легализовать, в суд отнести и там доказать», то узкое горлышко времени тут не работа ИТ, а работа совсем других систем и органов. Кто ходит в суды, тот понимает. Так что… пока пользы «в разы больше» не видно.
Окей, что с предиктивной аналитикой и ловлей вирусов. Ну это тоже защита. А когда приходят эксперты-криминалисты – уже все произошло, все риски «реализовались». Конечно, в рамках расследований будут задачи по доставанию и разбору вирусов, если они были причиной ИБ-инцидента, но тут тоже масса серьезных узко-заточенных инструментов. Которые вдобавок должны быть локально на экспертных системах установлены, без доступа извне, и так далее.
А вот поиски чего-то мелкого, малозаметного. В картинках, видео, текстах. Как инструмент экспресс-аналитики, например. Вот тут что-то реально интересное и полезное есть.
Но это все интервьюируемый нами ChatGPT имел в виду «профессиональные» (то есть дорогущие и крайне сложно доступные в России, особенно для малого и среднего бизнеса) продукты: Magnet AXIOM, X1 Social Discovery и аж целый IBM Watson (который вообще инструмент для всего). А вот если поговорить с реальными людьми, которые уже сегодня не боятся экспериментировать в этой теме, то выясняется, что самый главный инструмент народного применения ИИ – это, собственно, сам ChatGPT и его собраться.
Именно этими инструментами и решается большинство базовых (и самых востребованных) задач:
• анализ текста на разных языках, поиск по ключевым словам и т.п.;
• анализ программного кода на наличие целевых блоков, элементов, OSS и т.п.;
• экспресс-сравнение нескольких программ/версий программы между собой;
• анализ фото, видео, в том числе выявление корректировок.
Но и тут есть кое-какие нюансы. Во-первых, качество данных при обучении. А как показывает практика и IT-новости – с качеством обучения не все хорошо. Некачественные или предвзятые данные приводят к ошибочным выводам. Даже хуже – LLM системы склонны отвечать с уверенностью, даже если этот ответ фактически неверен. Просто потому что их научили верить в полученные ими на вход данные.
Дальше. Что с прозрачностью и повторяемостью результата? С методологической чистотой и легализацией? Кто объяснит суду, как ИИ пришел к каким-либо выводам? Пока не ясно.
А еще – локальное использование и безопасность данных. У нас же в политике конфиденциальности и правилах использования ChatGPT прямо написано, что ваши загруженные туда данные уже больше не только ваши. Ну и далее по списку.
Так что пока мы все еще при своем мнении: инструменты на базе ИИ/LLM – это, скорее всего, действительно будущее форензики. Но до этого нужно решить еще массу проблем, как технического, так и юридического, а возможно и системного, характера. И что бы инноваторы не говорили, делать эти инструменты базой для доказывания, да и вообще какой-либо юридической работы, пока еще рановато. Так что пока ждем.