Cyber sigurnost i utjecaj AI na izbore u Bosni i Hercegovini i regionu: ključni problemi i potrebne promjene

• Nedostatak svijesti o cyber sigurnosti kod građana i donosioca odluka glavni je problem u Bosni i Hercegovini i regionu, što rezultira neopreznim ponašanjem online i nedovoljnim ulaganjem u sigurnosne mjere.
• Zastarjela IT infrastruktura i tehnologija čine institucije ranjivima na cyber napade, dok nedostatak koordinacije i saradnje među sektorima otežava efikasno suočavanje s prijetnjama.
•  Nedovoljna zakonska regulativa, osim u Republici Srpskoj, i nedostatak kvalificiranih stručnjaka za cyber sigurnost dodatno pogoršavaju situaciju, što zahtijeva hitne promjene i ulaganja u edukaciju i tehnologiju. 
• Umjetna inteligencija može utjecati na ishode izbornih procesa a BiH, ali i region, još nisu spremni na ovaj izazov.

Nauka govori je razgovarala s Predragom Puharićem, stručnjakom iz Cyber Security Excellence centra (CSEC) u Sarajevu. Puharić je studirao krivične istrage i kombinuje to sa skoro dvadeset godina iskustva u IT industriji sa fokusom na infosigurnost i cyber bezbjednost.

NG: Koji su osnovni problemi u pogledu cyber sigurnosti u BiH i regionu?

Predrag Puharić: Bosna i Hercegovina, ali i region Zapadnog Balkana u cjelini susreće se sa sličnim setom problema kada je u pitanju cyber sigurnost. Kao jedan od možda osnovnih problema i uzrok ostalih problema možemo reći da je to nedostatak svijesti o oblasti cyber sigurnosti.

Ovo je jednako vidljivo i kod građana, ali nažalost, i kod donosioca odluka na svim nivoima. Kod građana, nedostatak svijesti o cyber sigurnosti može rezultirati neopreznim ponašanjem na internetu, kao što su klikanje na sumnjive linkove ili dijeljenje ličnih podataka na nesigurnim platformama.

To ih može učiniti ranjivim na cyber napade poput phishinga ili krađe identiteta. S druge strane, nedostatak svijesti kod donosioca odluka na svim nivoima može rezultirati nedovoljnim ulaganjem u cyber sigurnost, nedostatkom adekvatnih zakonskih okvira i politika te nedovoljnom podrškom edukaciji i obuci stručnjaka za cyber sigurnost.

Kao probleme, Puharić ističe sljedeće:

• Zastarjela infrastruktura i tehnologija: Mnoge institucije i organizacije u BiH i regionu koriste zastarjele IT infrastrukture i tehnologije koje su podložne ranjivostima i teško ih je ažurirati ili zaštititi od novih prijetnji. Nažalost, zvanični izvještaj Agencije za reviziju BiH pokazao je da ogroman broj državnih institucija uopšte nema IT odjel.
• Nedovoljna suradnja i koordinacija: Nedostatak suradnje i koordinacije između različitih sektora, institucija i država u regionu otežava efikasno suočavanje s cyber prijetnjama i dijeljenje informacija o sigurnosnim incidentima. Ovo je usko povezano i sa nedostatkom zakonskog okvira za kibernetičku sigurnost u Bosni i Hercegovini, osim Republike srpske koja je prije par godina usvojila Zakon o informacionoj bezbjednosti i Zakon o kritičnoj infrastrukturi RS.
• Nedostatak kvalificirane radne snage: Bosni i Hercegovini i regionu nedostaje stručnjaka za kibernetičku sigurnost koji mogu implementirati i održavati efikasne mjere zaštite. Samim tim i borba protiv cyber kriminala je daleko neefikasnija nego što bi to trebao biti slučaj.

NG: Postoji li neki okvirni dokument ili zakon kojim se reguliše ova sfera?

Predrag Puharić: Kao što sam već rekao u Bosni i Hercegovini ne postoji zakonski okvir u ovoj oblasti osim u Republici Srpskoj, a koji bi trebalo ažurirati i harmonizovati sa novim tehnologijama i prijetnjama kao i direktivama EU. Na nivou FBiH i BiH postoje zakonska rješenja koja su trenutno u fazi nacrta. Također postoji i neformalni dokument pod pokroviteljstvom OSCE Misije u BiH, Smjernice za strateški okvir cyber sigurnosti u Bosni i Hercegovini, koji je usvojen u oktobru 2019. godine.

NG: Kako generativne AI tehnologije, poput deep fake-a, utiču na integritet izbornih procesa stvaranjem lažnih izjava političara?

Predrag Puharić: Generativne AI tehnologije, poput deep fake-a, imaju značajan uticaj na integritet izbornih procesa stvaranjem lažnih izjava političara. Ove tehnologije omogućavaju kreiranje realističnih video i audio zapisa koje je teško razlikovati od stvarnih snimaka. Upotrebom deep fake tehnologije, moguće je manipulisati izjavama političara kako bi izgledale autentično, iako to možda nije slučaj.

Ova vrsta manipulacije može dovesti do širenja dezinformacija i stvaranja netačnih percepcija o političarima i njihovim stavovima. To može uzrokovati nepovjerenje među biračima i narušiti integritet izbornih procesa, budući da se informacije koje se čine vjerodostojnim mogu pokazati kao lažne. Nadalje, deep fake tehnologija može biti korištena za diskreditaciju političkih protivnika ili manipulaciju javnim mnijenjem kako bi se postigli određeni politički ciljevi.

Zaštita integriteta izbornih procesa zahtijeva razvoj mehanizama za otkrivanje i suzbijanje deep fake sadržaja. To obuhvata edukaciju javnosti o ovim tehnologijama, jačanje medijske pismenosti te razvoj tehnoloških alata i politika za identifikaciju i označavanje lažnih sadržaja. Također je bitno osigurati transparentnost u političkim kampanjama i ojačati institucije zadužene za nadzor i regulaciju medijskih sadržaja.

NG: Možete li navesti par primjera hipotetičkih situacija u kojima se narušava cyber sigurnost pojedinaca, institucija, kompanija i izbornih procesa?

Predrag Puharić: Moram naglasiti da ove kategorije imaju bezbroj primjera iz stvarnog života te da zaista možemo očekivati da se svima nama zaista i dese. Upravo podizanjem svijesti, o čemu smo već govorili, ovi napadi će ostati u pokušaju ili izazvati posljedice koje neće biti katastrofalne.

Phishing napadi na pojedince: Pojedinac dobija lažnu email poruku koja izgleda autentično i traži od njih da unesu svoje korisničko ime i lozinku na lažnoj web stranici. Ovo može rezultirati krađom identiteta i pristupom osjetljivim podacima.

DDoS napad na instituciju: Napadači izvode DDoS (Distributed Denial of Service) napad na web stranicu institucije, što rezultira nedostupnošću web stranice za legitimne korisnike i uzrokuje gubitak poslovanja ili povjerenja korisnika.

Ransomware napad na kompaniju ili instituciju: Kompanija postaje žrtva ransomware napada u kojem su im podaci šifrirani, a napadači traže otkupninu za dešifriranje. Ovo može uzrokovati ozbiljne financijske gubitke i narušiti reputaciju kompanije.

Manipulacija izbornih procesa: Napadači koriste deep fake tehnologiju za stvaranje lažnih video snimaka političara izjašnjavajući se o kontroverznim pitanjima kako bi diskreditirali kandidata ili utjecali na javno mnijenje.

Krađa intelektualnog vlasništva: Napadači prodiru u mrežu kompanije i kradu povjerljive informacije, poput poslovnih strategija, inovacija ili klijentskih podataka, što može dovesti do finansijskih gubitaka i gubitka konkurentske prednosti. Često je povezano sa industrijskom špijunažom.

Širenje lažnih vijesti: Napadači koriste društvene mreže i lažne web stranice za širenje lažnih vijesti i dezinformacija, što može dovesti do polarizacije društva, narušavanja povjerenja i destabilizacije političke situacije o čemu smo već i pričali.

NG: Koje su konkretne posljedice upotrebe deep fake tehnologije u političkim kampanjama po povjerenje javnosti u političke institucije i procese?

Predrag Puharić: Upotreba deep fake tehnologije u političkim kampanjama može imati niz konkretnih posljedica po povjerenje javnosti u političke institucije i procese kao što su: stvaranje netačnih percepcija i narativa, povećanje nepovjerenja, širenje dezinformacija, gubitak povjerenja u izborni proces. Sve ovo ukazuje na ozbiljnost problema koji proizlazi iz upotrebe deep fake tehnologije i ističu važnost razvoja mehanizama za otkrivanje i suzbijanje ovakvih manipulacija kako bi se očuvalo povjerenje javnosti u političke institucije i procese.

NG: Nedavno je u Slovačkoj na izborima u toku izborne tišine došlo do dijeljenja AI fake sadržaja, koji je bio audio, ali su glasovi mogli biti prepoznati. Ovaj slučaj je bio test EU AI Act jer se pokazalo da se regulacija na social media odnosi na videozapise, ali ne i na samo audio zapise, što pokazuje rupe u regulaciji. Da li mislite da će ovo biti izolovan slučaj i da će se na idućem „testu“ bolje djelovati ili i dalje ostajemo nemoćni pred ovim dezinformacijama i manipulacijama?

Predrag Puharić: Sigurno da ovo neće biti izolovan slučaj, ali sigurno i da će svaki ovakav slučaj pomoći da naš odgovor i zakonska rješenja budu bolja, preciznija i efikasnija. Jasno je i da kompanije koje nude sadržaj, prije svega društvene mreže, uspostave mehanizme za efikasnu i odgovornu kontrolu sadržaja, a koji istovremeno neće dovesti do cenzure ili smanjenja mogućnosti demokratskog izražavanja i sučeljavanja.

NG: Koje strategije i alati su na raspolaganju političkim strankama, vlastima, IT stručnjacima i fektčekerima kako bi se suprotstavili širenju dezinformacija putem generativnog AI-a tokom izbornih kampanja? Da li su dovoljno dobri?

Predrag Puharić: Postoje različite strategije, alati i pristupi koji se mogu koristiti kako bi se suprotstavili širenju dezinformacija putem generativnog AI-a tokom izbornih kampanja. Neke od njih smo već i pomenuli kao što je obrazovanje javnosti, razvoj tehnoloških alata za detekciju takvih sadržaja, saradnja s društvenim mrežama te zakonska regulativa. Iako su ove strategije i alati korisni, važno je napomenuti da nijedan od njih nije savršen i da se dezinformacije mogu i dalje širiti. Stoga je kontinuirani rad na unapređenju postojećih metoda i razvoju novih tehnoloških rješenja ključan kako bi se očuvao integritet izbornih kampanja i javnog prostora od manipulacija i dezinformacija.

NG: Kako se javnost može edukovati o prepoznavanju deep fake-a i drugih oblika AI-generisane dezinformacije kako bi se očuvalo povjerenje u politički proces?

Predrag Puharić: Prije svega, to su edukativne kampanje putem medija, obrazovnih institucija, društvenih mreža i javnih događaja uz prikazivanje primjera AI generisanih dezinformacija i sadržaja, kreiranje vodiča, savjeta i materijala za prepoznavanje takvih sadržaja, uvođenje obuke o cyber sigurnosti, medijskoj pismenosti i prepoznavanju deep fake-a u obrazovni sistem. Kombinacija ovih metoda može očuvati povjerenje građana u politički proces i integritet informacija koje konzumiraju.

NG: Šta bi, po vašem mišljenju trebalo učiniti da se poboljša situacija u sferi opšte cybersigurnosti u BiH te pismenosti građana vezanoj za cybersigurnost? Šta CSEC sa svoje strane radi na tome?

Predrag Puharić: Većinu neophodnih koraka smo već pomenuli u prethodnim odgovorima, ali evo da probamo sumirati:

Edukacija i povećanje svjesnosti: Sprovoditi edukativne kampanje o cyber sigurnosti na različitim nivoima – od škola i univerziteta do javnih kampanja za građane. Fokus treba biti na prepoznavanju cyber prijetnji, sigurnom korištenju interneta i zaštiti privatnosti.

Saradnja i partnerstva: Uspostavljanje saradnje između vlasti, privatnog sektora, akademske zajednice i civilnog društva radi dijeljenja informacija, razmjene najboljih praksi i zajedničkih inicijativa za jačanje cyber sigurnosti.

Jačanje zakonskih okvira: Unapređenje zakonskih i regulatornih okvira koji se odnose na cyber sigurnost, uključujući zaštitu podataka, kaznene mjere za cyber kriminal i obaveze organizacija u vezi sa cyber sigurnošću.

Podrška IT sektoru: Pružanje podrške i resursa IT sektoru za razvoj inovativnih rješenja za cyber sigurnost, prije svega za obuku stručnjaka u ovoj oblasti.

CSEC se trudi poboljšati stanje u sferi cyber sigurnosti kroz različite aktivnosti kao što su edukativni programi, savjetovanje organizacija i institucija, podrška u razvoju sigurnosnih politika i procedura te aktivnosti istraživanja i razvoja te je prilično aktivan u svim ovim navedenim oblastima.

Kreirali smo i trening centar te online „akademiju“ sa besplatnim kursevima za građane. Također, u finalnoj smo fazi izrade sveobuhvatnog kurikuluma iz oblasti digitalne bezbjednosti i „digitalnog građanstva“ za djecu uzrasta od 9 do 12 godina, ali i, što je posebno važno, i za njihove roditelje i nastavnike. Svakako vas pozivamo da posjetite našu stranicu i pronađete i savjete i vodiče o sigurnoj upotrebi tehnologije i odgovorima na incidente.

NG: Koja je uloga regulatornih tijela, tehnoloških kompanija i civilnog društva u suzbijanju širenja deep fake-a i drugih oblika manipulacije putem generativnog AI-a tokom izbornih procesa?

Predrag Puharić: Svi oni imaju ključnu ulogu u suzbijanju širenja deep fake-a i drugih oblika manipulacije putem generativnog AI-a tokom izbornih procesa. Regulatorna tijela igraju važnu ulogu u stvaranju zakonskih okvira koji regulišu upotrebu deep fake tehnologije i drugih manipulativnih alata tokom izbornih procesa uključujući propise o transparentnosti političkih kampanja, zabrani širenja lažnih informacija, kazne za zloupotrebu tehnologije i saradnju s društvenim mrežama i drugim platformama za brisanje lažnih sadržaja.

Tehnološke kompanije, posebno društvene mreže i platforme za razmjenu sadržaja, mogu razviti alate za detekciju deep fake-a i drugih manipulativnih sadržaja.

Također, trebaju uspostaviti politike koje ograničavaju širenje lažnih informacija i saradnju s faktčekerskim organizacijama radi provjere autentičnosti sadržaja. Civilno društvo ima ključnu ulogu u edukaciji javnosti o prepoznavanju takvih sadržaja te zagovaranju jačih mjera zaštite integriteta izbornih procesa.

Kroz saradnju ovih aktera i uspostavljanje efikasnih mehanizama za detekciju, sankcionisanje i obrazovanje, može se značajno smanjiti širenje deep fake-a i drugih oblika manipulacije tokom izbornih procesa, čime se osigurava integritet demokratskih procesa i povjerenje građana u političke institucije. To je posebno važno u zemljama krhke i nerazvijene demokratije kao što je Bosna i Hercegovina.

Napomena: naslovna ilustracija je urađena uz pomoć generativne tehnologije umjetne inteligencije

The post Cyber sigurnost i utjecaj AI na izbore u Bosni i Hercegovini i regionu: ključni problemi i potrebne promjene appeared first on Nauka govori.