人工智能使网络安全风险加大,新加坡政府召集各方同步应对,除了与金融机构高层共商对策,也发函要求关键信息基础设施业者检视防御能力。
由美国人工智能(AI)公司Anthropic开发的Claude Mythos前沿AI模型,近期引起业界关注。据报道,Mythos已证实可轻易识破许多常见应用的大量漏洞,一旦这个工具落入黑客之手,恐怕沦为窃取数据或破坏关键基础设施的新武器。
数码发展及新闻部兼保健卫生部高级政务部长陈杰豪星期二(5月5日)在国会答复议员询问时,说明了政府对有关风险的评估与应对措施。
他说,政府已加快运用AI强化网安能力,并与业界合作引入先进工具,同时发展内部能力。当局正在测试这些能力,日后将推广至更多机构和关键基础设施业者。
关键信息基础设施(Critical Information Infrastructure,简称CII)涵盖能源、水供、医疗、银行、媒体等11个重要领域。
陈杰豪指出,AI带来的网安风险是现有系统风险的延伸,而并非全新的类别,因此加强组织、机构的网安能力比以往任何时候都更重要。
他说,新加坡金融管理局已召集主要金融机构的首席执行官,讨论最新的威胁形势,并推动业界在提升科技和网络韧性方面采取集体行动。
新加坡网络安全局在4月中就前沿AI模型风险发出示警后,局长许智贤星期二致函所有CII业者的董事会和高层,要求他们全面检视网安状况。
他指出,前沿AI模型已改变网络的攻防格局,CII董事会和高层须正视其中的风险,不能只交由公司的资讯科技部门处理。
“前沿AI模型正以惊人的速度发展,原本用于制定防护措施和应急方案的网络安全假设,可能已经不再适用。”
陈杰豪:企业须从五方面强化网安防线
陈杰豪也在国会上提醒,企业在检视网安状况时,应重点关注五个方面:更新网安风险评估,将AI带来的威胁纳入考量;全面掌握现有系统,确保不存在“看不见”的漏洞;加快修补漏洞,并持续加大监测力度;妥善管理个人使用的AI工具,避免引入新风险;善用AI强化防御威胁的能力。
他说:“没有一劳永逸的办法,风险在变,我们也得跟着调整。这需要所有相关方一起认真把关、各尽其责。”
安信资讯安全公司企业与政府业务部执行副总裁陈鸿达受访时说,前沿人工智能是一把双刃剑,既能帮助防御者更快地识别并修复系统弱点,但同样能让攻击者更快发现软肋并扩大攻击规模。
对于关键领域而言,后果可能远不止于数据流失。只要一次攻击成功,就可能扰乱基本服务、影响运营的连续性、侵蚀公众信任,并削弱整体韧性。
他强调,前沿人工智能的真正威胁并不是它会一夜之间创造出全新类别的网络攻击,而是它会减少识别漏洞、评估这些漏洞是否可以被利用,以及是否支持攻击流程所需的时间、专业知识和精力。
“简单来说,它不只是让攻击变得更复杂,而是让攻击变得更快、更便宜、更可重复。这无疑缩短了机构的反应窗口,使它们更没有时间进行修补、遏制和恢复。”
陈鸿达认为,政府积极采取行动以制定规范至关重要,各业者也须认真对待,并付诸实际行动。“业者不应等到发生了重大事件才采取行动。如今,机构的防御速度须跟得上威胁的速度。”
星展银行发言人指出,星展已设立治理框架、平台与流程,确保网络风险得到积极管理,并获得董事会层级的监督。
华侨银行集团营运与科技部总裁雷法明说,华侨会在管理高层和董事会的严密监督下,持续审视并强化网络安全防线,以因应不断变化的大环境与监管要求。
