Der Den europeiske sentralbanken (ECB) har bedt om morgendagen, Tirsdag 26. maien ekstraordinært møte dedikert til cybersikkerhet. Målet er å presse kredittinstitusjoner til å styrke sine IT-systemer i møte med en konkret trussel, representert ved de mest avanserte kunstig intelligens-modellene.
Kjernen i debatten er Claude Mythoset generativt system utviklet av det amerikanske selskapet Anthropic som har demonstrert hittil enestående evner: identifisere feil i programvarebeskyttelsessystemene til kredittinstitusjoner på global skala med en hastighet og presisjon som aldri er sett før. Den aktuelle teknologien er i stand til å analysere programvareoppdateringer (kodefragmentene utgitt av produsenter for å rette opp sårbarheter) og spore det opprinnelige problemet på mindre enn en halvtime. En tidsperiode som er for kort til at teknikere kan sikre bankinfrastruktur før noen angriper dem.
Tilgang til Mythos er i dag reservert for noen få enheter, for det meste nordamerikanske, involvert i testprogrammet kalt Prosjekt Glasswing. ECB kan bruke morgendagens møte til å overbevise de europeiske datterselskapene til store utenlandske finanskonsern om å dele informasjonen samlet under disse testene med sine motparter på det gamle kontinentet. Logikken er enkel: bygg et felles forsvar før lignende verktøy havner i feil hender.
La oss være klare, det som er skummelt er ikke en kritisk feil i IT-rammeverket til bankene våre, men hastigheten som endringer skjer i AI-sektoren brukt på bank. Under kontrollerte simuleringer fant utviklerne at Mythos klarte å finne tusenvis av kritiske sårbarheter innenfor de digitale plattformene og nettleserne vi bruker hver dag, og dette på svært kort tid.
Inntil i går administrerte bankenes tekniske team oppdateringer metodisk, om enn sakte. I dag lar datakraften til modeller som Mythos potensielle angripere gjøre det reverse engineering – det vil si reverse-engineer en nylig publisert rettelse til den opprinnelige feilen – på bare noen få minutter. Resultatet? Banker som ennå ikke er oppdatert, blir potensielt enkle mål å treffe.
Frank Eldersonvisepresident for ECBs tilsynsråd, taler på Financial Times brukte en musikalsk metafor for å beskrive situasjonen: hvis til dato det moderate tempoet – definert av Elderson «går» – for prosedyrene som ble vedtatt var det tilstrekkelig, utviklingen av AI krever at vi går over til et desidert mer orkestralt tempo «Snart». Ord som høres ut som en vekker for de 111 viktigste institusjonene i eurosonen under tilsyn av ECBinkludert de europeiske grenene av giganter som f.eks JPMorgan Chasesom allerede har hatt tilgang til Mythos som en del av Project Glasswing og derfor har verdifulle data til rådighet. Angående viktigheten av at banker er raske til å implementere programvarefikser, forklarte Elderson rett ut:
Det ser ut til at hvis en av de store programvareleverandørene slipper en patch, er det mulig å reversere sårbarheten som patchen skal fikse, ikke på uker, men kanskje på 30 minutter. (…) Dette betyr at når oppdateringen først er publisert, må en bank ha prosesser på plass for å sikre at den tar i bruk disse oppdateringene mye raskere enn det som er tilfelle i dag i henhold til markedspraksis.
Det er en klar asymmetri i tilgangen til disse teknologiene. Anthropic har så langt kun delt analyser og generelle rapporter med svært få overnasjonale organer, inkludert EU-kommisjonen og Financial Stability Board, unntatt store rent europeiske bankkonsern. Men denne midlertidige ekskluderingen kan ikke bli et alibi for å forbli stille.
Tilsynslederne minner oss kraftig om: Å ikke bruke et verktøy direkte eliminerer ikke risikoen for at andre – inkludert kriminelle grupper – vil gjøre det om kort tid. Møtet i morgen, en historisk uvanlig begivenhet utenfor den vanlige institusjonskalenderen, er et sterkt og tydelig signal. Beskyttelse av din økonomiske dataarkitektur har blitt en strategisk prioritet for europeiske banker.
