ЕЦБ собирает банки по вопросам кибербезопасности ИИ от Mythos

      TL;DRЕЦБ собирает банки во вторник, чтобы обсудить риски кибербезопасности от моделей ИИ, таких как Mythos от Anthropic, которая обнаружила тысячи уязвимостей нулевого дня. Член исполнительного совета Франк Эльдерсон говорит, что банки должны быстрее устранять уязвимости, потому что ИИ может использовать недостатки в течение нескольких минут после выпуска исправления.

      Европейский центральный банк созывает банки на встречу во вторник, чтобы обсудить риски кибербезопасности, созданные новым поколением моделей ИИ, которые могут находить и эксплуатировать уязвимости программного обеспечения быстрее, чем любая человеческая команда. Встреча проходит на фоне растущей тревоги в европейской финансовой сфере по поводу предварительного просмотра Claude Mythos от Anthropic, передовой модели ИИ, которая выявила тысячи уязвимостей нулевого дня в основных операционных системах и браузерах.

      Член исполнительного совета ЕЦБ Франк Эльдерсон сообщил Financial Times, что банки должны ускорить работу, которая ведется уже много лет. «Существует целый ряд вопросов по кибербезопасности, которыми мы занимаемся с банками на протяжении многих лет, и все они по-прежнему актуальны, но с учетом прогресса в области ИИ, их необходимо решать быстрее», - сказал он.

      Центральный банк планирует предупредить кредиторов о конкретных угрозах, исходящих от Mythos и подобных систем ИИ. Он также попросит американские банки, имеющие доступ к технологии через контролируемую программу распределения Anthropic под названием Project Glasswing, поделиться тем, что они узнали, с европейскими коллегами, которые остаются без доступа.

      Этот разрыв в доступе является основной проблемой. На данный момент доступ к Mythos получили только около 40-50 организаций, включая Amazon, Microsoft, Google, Nvidia, CrowdStrike, Palo Alto Networks и JPMorgan Chase. В списке нет ни одного европейского банка. В контролируемом тестировании модель создала рабочие эксплойты с первой попытки более чем в 83 процентах случаев, часто превосходя специалистов по кибербезопасности. Anthropic предупредила, что противники могут воспроизвести эту способность в течение шести-двенадцати месяцев.

      Сообщение Эльдерсона для банков прямо: устраняйте уязвимости быстрее. Модели ИИ теперь могут обратным образом анализировать исправления программного обеспечения в течение нескольких минут после их выпуска, что означает, что окно между исправлением уязвимости и ее эксплуатацией сократилось. Банки и их ИТ-подрядчики больше не могут позволить себе оставлять даже незначительные уязвимости на более длительные циклы обновлений. Европейские банки не могут использовать отсутствие доступа к Mythos в качестве оправдания для бездействия, сказал Эльдерсон, потому что злонамеренные лица могут вскоре получить доступ к эквивалентной технологии.

      Интервенция ЕЦБ происходит на фоне более широкого регуляторного хаоса по всей Европе. Министры финансов стран еврозоны потребовали доступ к Mythos, а европейский комиссар Валдис Домбровскис подтвердил 4 мая, что ЕС ведет переговоры с Anthropic о тестировании компаний и банков на уязвимости, которые выявляет модель. Эти переговоры продвигаются медленно. Сообщения от испанских чиновников в середине мая указывали на то, что переговоры фактически зашли в тупик.

      Это безвыходное положение создало возможность для конкурентов. Французский стартап в области ИИ Mistral AI ведет переговоры с европейскими банками о развертывании своей собственной модели кибербезопасности, предназначенной для выявления уязвимостей так же, как это делает Mythos. Генеральный директор Артур Менш обозначил эту инициативу как вопрос технологического суверенитета, используя существующих банковских клиентов, включая HSBC и BNP Paribas. Модель все еще находится в разработке и не имеет подтвержденной даты выпуска.

      Anthropic выбрала другой путь, нежели публичный релиз. Вместо того чтобы сделать Mythos общедоступной, она запустила Project Glasswing, отраслевой консорциум, в котором партнерские организации используют модель для поиска и устранения недостатков в своих системах. Партнеры Glasswing теперь могут делиться своими находками за пределами программы, что может помочь решить информационный разрыв, о котором беспокоятся европейские регуляторы.

      Ставки не являются теоретическими. Anthropic проинформировала Совет по финансовой стабильности о том, что обнаруживает Mythos, по просьбе губернатора Банка Англии Эндрю Бейли, который председательствует в совете. Федеральная резервная система и Министерство финансов США отдельно собрали генеральных директоров банков для обсуждения киберрисков. Данные из реального мира от Palo Alto Networks показывают, что продвинутые модели ИИ обнаруживают уязвимости в семь раз быстрее, чем обычно, и компания предупредила, что у отрасли осталось всего три-пять месяцев защитного буфера.

      Встреча ЕЦБ во вторник побудит банки действовать в рамках Закона о цифровой операционной устойчивости, закона ЕС о кибербезопасности для финансовых услуг. DORA требует от банков управления ИТ-рисками, тестирования устойчивости и сообщения о инцидентах. Вопрос в том, сможет ли рамка регулирования идти в ногу с моделями ИИ, которые находят уязвимости десятилетней давности быстрее, чем учреждения, ответственные за их исправление.

      Для европейских банков ситуация неудобна. Самый мощный инструмент для поиска недостатков в их системах существует, им не разрешено его использовать, и регулятор говорит им исправить проблемы, которые он выявляет. Политическое давление для решения вопроса доступа нарастает, но до тех пор, пока оно не будет решено, европейским кредиторам предлагается защищаться от угроз, которые они не могут полностью увидеть.