Зв'язатися з нами

Як AI покращує цифрову криміналістику

Кібербезпека

Як AI покращує цифрову криміналістику

mm
опублікований

Професіонали цифрової криміналістики можуть використовувати штучний інтелект для прискорення та вдосконалення своїх поточних процесів, скорочуючи час розслідування та підвищуючи ефективність. Однак, хоча його вплив переважно позитивний, деякі проблеми все ж існують. Чи може ШІ замінити аналітиків-криміналістів? Що ще важливіше, чи витримають висновки, керовані штучним інтелектом, у суді?

Що таке цифрова криміналістика?

Цифрова криміналістика — раніше відома як комп’ютерна криміналістика — це галузь криміналістики, яка займається виключно електронними пристроями. Робота судового аналітика полягає в розслідуванні кіберзлочинів і відновленні даних для отримання доказів.

Фахівці галузі використовують інформатику та методи дослідження, щоб виявити дані на комп’ютерах, телефонах, флеш-накопичувачах і планшетах. Вони прагнуть знайти, зберегти, вивчити та проаналізувати дані, що стосуються їх справи.

Як працює цифрова криміналістика?

Цифрова криміналістика зазвичай складається з кількох етапів.

1. Судомний припадок

Команди повинні спершу вилучити відповідний носій інформації у підозрюваного. У цей момент вони запускають ланцюжок контролю — хронологічний електронний слід — щоб відстежити, де знаходяться докази та як вони їх використовують. Цей крок є критичним, якщо вони постануть перед судом.

2. Збереження

Слідчі повинні зберегти цілісність вихідних даних, тому вони починають перевірку з виготовлення копій. Вони прагнуть розшифрувати або відновити якомога більше прихованої чи видаленої інформації. Вони необхідно також убезпечити його від несанкціонованого доступу, відключивши підключення до Інтернету та помістивши його в безпечне сховище.

3. Аналіз

Судово-медичні експерти аналізують дані різними методами та інструментами. Оскільки пристрої зберігають інформацію кожного разу, коли їх користувач щось завантажує, відвідує веб-сайт або створює допис, своєрідний електронний паперовий слід виходить. Експерти можуть перевіряти жорсткі диски, метадані, пакети даних, журнали доступу до мережі або обмін електронною поштою, щоб знаходити, збирати та обробляти інформацію.

4 Звітність

Аналітики повинні документувати кожну дію, яку вони вживають, щоб переконатися, що їхні докази згодом витримають у кримінальному чи цивільному суді. Коли вони завершують своє розслідування, вони повідомляють про свої висновки — або правоохоронним органам, або суду, або компанії, яка їх найняла.

Хто використовує цифрову криміналістику? 

Цифрова криміналістика розслідує незаконну діяльність, пов’язану з електронними пристроями, тому правоохоронні органи часто її використовують. Досить цікаво, що вони займаються не лише кіберзлочинністю. Будь-яка неправомірна поведінка — будь то насильницький злочин, цивільне правопорушення чи службовий злочин — яка може бути пов’язана з телефоном, комп’ютером чи флеш-накопичувачем, є чесною грою.

Компанії часто наймають судових аналітиків після того, як зазнали витоку даних або стали жертвами кіберзлочинців. Розгляд атак програм-вимагачів може коштувати більше 30% операційного доходу організації, нерідко керівники наймають експертів-розслідувачів, щоб спробувати відшкодувати частину своїх втрат.

Роль ШІ в цифровій криміналістиці 

Розслідування цифрової криміналістики зазвичай є складним і тривалим процесом. Залежно від типу та тяжкості злочину — а також кількості слідчих Megabtyes, які повинні прослідкувати — одна справа може зайняти тижні, місяці чи навіть роки. Неперевершена швидкість і універсальність ШІ роблять його одним із найкращих рішень.

Судово-медичні аналітики можуть використовувати ШІ кількома способами. Вони можуть використовувати машинне навчання (ML), обробку природної мови (NLP) і генеративні моделі для розпізнавання образів, прогнозного аналізу, пошуку інформації або спільного мозкового штурму. Він може виконувати їхні повсякденні повсякденні обов’язки або розширений аналіз.

Як ШІ може покращити цифрову криміналістику

ШІ міг би суттєво покращити численні аспекти цифрової криміналістики, назавжди змінивши те, як слідчі виконують свою роботу.

Автоматизація процесів

Автоматизація є однією з найбільших можливостей ШІ. Оскільки він може працювати автономно — без втручання людини — аналітики можуть дозволити йому виконувати повторювану, трудомістку роботу, водночас визначаючи пріоритети критичних, високопріоритетних обов’язків.

Експерти, найняті брендами, також отримують вигоду 51% тих, хто приймає рішення щодо безпеки погоджуються, що кількість сповіщень на їхніх робочих місцях є надзвичайною, причому 55% ​​визнали, що їм бракує впевненості у здатності їхньої команди розставляти пріоритети та вчасно реагувати. Вони можуть використовувати автоматизацію штучного інтелекту для перегляду минулих журналів, що робить ідентифікацію кіберзлочинів, мережевих зломів і витоків даних легшими.

Надайте важливу інформацію

Модель ML може безперервно реєструвати кіберзлочинні події в реальному світі та переглядати темну мережу, дозволяючи їй виявляти нові кіберзагрози до того, як про них дізнаються дослідники. Крім того, він може навчитися сканувати код на наявність прихованого шкідливого програмного забезпечення, щоб команди могли швидше знаходити джерело кібератак або зламу.

Прискорення процесів

Слідчі можуть використовувати штучний інтелект для значного прискорення дослідження, аналізу та звітування, оскільки ці алгоритми можуть швидко аналізувати великі обсяги даних. Наприклад, вони можуть використати його для підбору пароля на заблокованому телефоні, набрати чернетку звіту або підсумувати тижневий обмін електронними листами.

Швидкість штучного інтелекту буде особливо корисною для експертів, яких наймають компанії, оскільки багато ІТ-відділів працюють надто повільно. Наприклад, у 2023 році компанії в середньому займало 277 днів реагувати на порушення даних. Модель ML може обробляти, аналізувати та виводити швидше, ніж будь-яка людина, тому вона ідеальна для чутливих до часу програм.

Знайдіть важливі докази

Модель, обладнана NLP, може сканувати комунікації, щоб ідентифікувати та позначати підозрілу активність. Слідчі можуть навчити або запропонувати йому шукати інформацію по конкретній справі. Наприклад, якщо вони попросять його знайти слова, пов’язані з розкраданням, це може скерувати їх до текстів, у яких підозрюваний зізнається у незаконному привласненні корпоративних коштів.

Виклики, які доводиться подолати ШІ

Незважаючи на те, що штучний інтелект може бути потужним інструментом криміналістики, потенційно прискорюючи розгляд справ на тижні, його використання не позбавлене мінусів. Як і більшість технологічних рішень, воно має численні проблеми конфіденційності, безпеки та етики.

Проблема «чорної скриньки» — коли алгоритми не можуть пояснити процес прийняття рішень — є найактуальнішою. Прозорість життєво важлива в залі суду, де аналітики надають свідчення експертів у кримінальних і цивільних справах.

Якщо вони не можуть описати, як їхній ШІ аналізував дані, вони не можуть використовувати його висновки в суді. Згідно з Федеральними правилами доказів — стандартами, які визначають, які докази є прийнятними в судах США — цифровий криміналістичний інструмент на базі ШІ є прийнятним лише якщо свідок продемонструє особисту обізнаність своїх функцій, експертно пояснює, як він дійшов висновків, і доводить, що його висновки точні.

Якби алгоритми завжди були точними, проблема чорного ящика не була б проблемою. На жаль, у них часто виникають галюцинації, особливо коли задіяна ненавмисна оперативна техніка. Слідчий, який просить модель НЛП показати їм випадки, коли підозрюваний викрав корпоративні дані, може здатися нешкідливим, але може призвести до фальшивої відповіді, щоб задовольнити запит.

Помилки не є рідкістю, оскільки алгоритми не можуть міркувати, розуміти контекст або вичерпно інтерпретувати ситуації. Зрештою, неправильно навчений інструмент штучного інтелекту може дати слідчим більше роботи, оскільки їм доведеться сортувати помилкові негативи та позитивні результати.

Упередження та вади можуть зробити ці проблеми більш виразними. Наприклад, ШІ, якому наказано знайти докази кіберзлочинності, може не помітити деякі типи кібератак на основі упередженості, виробленої під час навчання. Крім того, він може ігнорувати ознаки пов’язаних злочинів, вважаючи, що він повинен надавати пріоритет певному виду доказів.

Чи замінить ШІ експертів-слідчих?

Функції автоматизації та швидкої обробки штучного інтелекту можуть стискати багатомісячні справи до кількох тижнів, допомагаючи командам посадити кіберзлочинців за грати. На жаль, ця технологія все ще є відносно новою, і американські суди не люблять неперевірені технології, що розширюють межі.

Наразі — і, ймовірно, через десятиліття — ШІ не замінить аналітиків цифрової криміналістики. Натомість це допоможе їм виконувати повсякденні обов’язки, допоможе керувати процесами прийняття рішень і автоматизувати повторювані обов’язки. Людський нагляд залишатиметься необхідним, поки вони остаточно не вирішать проблему чорної скриньки, а правова система не знайде постійне місце для ШІ.

Схожі теми:
mm

Зак Еймос — технічний письменник, який зосереджується на штучному інтелекті. Він також є редактором функцій у ReHack, де можна прочитати більше його творчості.