Dathlu Rhagoriaeth ym maes Seiberddiogelwch Dynol Ganolog
8 Rhagfyr 2022
Mae Canolfan Airbus ar gyfer Rhagoriaeth Seiberddiogelwch Dynol Ganolog, ym Mhrifysgol Caerdydd yn gydweithrediad aml-haen dan arweiniad Airbus a Phrifysgol Caerdydd. Wedi’i sefydlu ar ffurf cynghrair strategol i ddatrys bygythiadau sy’n gysylltiedig â bodau dynol ym maes seiberddiogelwch, mae’r cytundeb yn tynnu’r partneriaid yn agosach, er mwyn iddynt allu cyd-weithio ar brosiectau, ac yn adeiladu ar waith Canolfan Rhagoriaeth Dadansoddeg Seiberddiogelwch presennol Prifysgol Caerdydd. Yn yr ail o ddau flog, rydym yn canolbwyntio ar ddyfyniadau o’r areithiau lansio, ac yn dathlu twf y bartneriaeth, ei chyflawniadau a’i dyfodol.
Matilda Rhode, Pennaeth Arloesedd Seiber a Sgowtio, Airbus
“Rwy’n arwain y tîm arloesedd a sgowtio yn Airbus. Dechreuodd fy nhaith gydag Airbus gryn amser yn ôl: mae’n gynnyrch y cydweithio rhwng Prifysgol Caerdydd ac Airbus. Dechreuais yn 2015 gyda fy PhD, dan oruchwyliaeth yr Athro Pete Burnap, felly rydw i wedi bod yn gwylio’r stori yn esblygu.
Rydym yn gweithio ar draws ystod o dueddiadau sy’n dod i’r amlwg: dysgu peiriannol, gwyddor data a ‘Deallusrwydd Artiffisial.’ Yn ôl yn 2014, fe wnaeth fy rhagflaenydd, Dr Kevin Jones, ragweld hyn, a dechreuodd weithio gydag academyddion a oedd yn arwain yn y maes hwn.
Arweiniodd secondiad Pete Burnap yn Airbus at sefydlu Canolfan Airbus ar gyfer Rhagoriaeth Dadansoddeg Seiberddiogelwch. Mae’r gwaith sydd wedi’i wneud yn y ganolfan dros y chwe blynedd ddiwethaf yn cynnwys, pedwar PhD wedi’u hariannu, un prosiect cydymaith ymchwil wedi’i ariannu gan Endeavr a bellach Partneriaeth Trosglwyddo Gwybodaeth estynedig, sy’n golygu bod gennym gyllid ychwanegol gan InnovateUK a Llywodraeth Cymru i alluogi i’r partner trosglwyddo gwybodaeth, deithio’n rhyngwladol.
Dechreuodd y bartneriaeth ei gwaith trwy edrych ar ffyrdd o ganfod ymosodiadau awtomataidd, sef cymhwysiad mwyaf poblogaidd dysgu peiriannol yn y maes hwn; canfu fod rhai o’r offer a gafodd gryn gyhoeddusrwydd yn y farchnad yn adrodd canlyniadau gwych.
Ac fe feddylion ni, iawn, gadewch i ni edrych i mewn i’r hyn maen nhw’n ei ddweud, ac yna cyplysu hynny’n fewnol â’n data ein hunain; dim ond drwy harneisio’r sgiliau o’r byd academaidd ac yna cyfuno hynny â’r hyn oedd gennym yn fewnol eisoes, y bu hyn yn bosib. Ac fe welsom wahaniaeth eithaf sylweddol a chyhoeddi hynny rhag ofn y byddai unrhyw un arall am wybod, felly byddwch yn wyliadwrus beth rydych chi’n ei brynu!
Fe ganiataodd hyn oll i ni feithrin y sgiliau i werthuso’n feirniadol unrhyw gynhyrchion yr ydym yn ystyried eu prynu, sy’n honni eu bod yn defnyddio dysgu peiriannol, deallusrwydd artiffisial. Mae gwir angen craffu arnynt. Mewn gwirionedd, mae’r dysgu peiriannol sy’n cael ei ddefnyddio fwyfwy o hyd – o systemau personol i argymell yr hyn rydych chi’n ei wylio nesaf ar Netflix, yn creu pryderon i bobl oherwydd y posibilrwydd bod gwendidau cudd ynghlwm ag o.
Mae’r Bartneriaeth Trosglwyddo Gwybodaeth estynedig sydd gennym ar waith nawr yn mynd i’r afael yn uniongyrchol â’r cwestiwn hwn: pa wendidau sy’n dod i’r amlwg wrth i ni ddefnyddio dysgu peiriannol fwyfwy? Ac rydym yn edrych ar sut y gellir mynd ati i ardystio AI sy’n cael ei osod ar systemau diogelwch-hanfodol (safety critical system).
Mae wir yn her enfawr, nid yn unig oherwydd bod AI yn anodd, ond oherwydd nad oes system ardystio yn bodoli eto. Felly bydd yn rhaid i ni wneud rhywfaint o ragfynegiad o ran beth alla’i ddigwydd nesaf. Ond dyna’r unig ffordd i fod un cam ar y blaen. Mae angen i ni fod yn rhagfynegol ynghylch yr hyn sy’n dod nesaf.
Mae agwedd ddynol ganolog diogelwch yn duedd arall yr ydym wedi sylwi arni dros yr ychydig flynyddoedd diwethaf, gyda’r ffocws, fel y dywedodd Kevin, ar ‘cliciodd y defnyddiwr hwn ar ddolen.’ Sut allwn ni ddefnyddio technoleg i amddiffyn y defnyddiwr hwn a cheisio cyfyngu ar hyn maen nhw wedi’i neud?
Wel, mae’n parhau i ddigwydd drosodd a throsodd. Mae oddeutu 80 i 90% o ymosodiadau yn cychwyn trwy fanteisio ar lithriadau gan fodau dynol. Ac rydyn ni wedi gweld ymosodiadau proffil uchel diweddar, er enghraifft, yn Uber, lle’r oedd ganddyn nhw seilwaith diogelwch gwych ar waith.
Aethom at Gaerdydd a dewis y Brifysgol ar sail eu hanes rhagorol ym maes ymchwil i ffactorau dynol, dan arweiniad yr Athro Phil Morgan. Fe geision ni gyllid gan Endeavr dros bedair blynedd, gan gynnwys ar gyfer dau PhD, ac roedden ni hefyd yn cynnal y rhaglen Cyber Lab ar yr un pryd, a oedd yn caniatáu i ni ehangu ein gweithlu yng Nghasnewydd.
Roedd y rhan fwyaf o’r gwaith a wnaed gan Phil a’i dîm yn edrych ar pam fod pobl yn ymddwyn mewn modd sy’n seiber-beryglus iddynt, pam mae’r pethau hyn yn digwydd? A gallwch ddychmygu, o fod dan bwysau amser nad ydych chi’n mynd drwy’ch rhestr wirio gyfan, ac efallai y byddwch yn fwy tebygol o gymryd risg. Ond fe wnaethon ni hefyd edrych ar bynciau megis cynhwysiant ac amrywiaeth, a’r ffordd y mae gweithwyr diogelwch proffesiynol yn rhyngweithio â gweithwyr eraill yn y busnes.
Efallai eich bod wedi profi hyn yn eich bywyd bob dydd wrth siarad â’r adran TG, er enghraifft. A oes datgysylltiad yno? A ellid gwella’r berthynas honno? Mae llawer mwy i’w wneud. Rydym wedi nodi pam mae llawer o risgiau’n digwydd, ond y cam nesaf yw lliniaru risg, gan edrych tuag at ddull cymdeithasol-dechnegol o ymdrin â seiberddiogelwch.
Ac rydym yn gobeithio, trwy sefydlu’r Ganolfan Rhagoriaeth Seiberddiogelwch Dynol Ganolog, y byddwn yn rhan o’r ymdrech o sicrhau cenhedlaeth newydd o ymchwilwyr a myfyrwyr hybrid sy’n arbenigwyr o ran diogelwch technegol, cynhwysol.
Rydym wedi dysgu trwy’n cydweithrediad blaenorol bod llawer o ymchwil gwerthfawr i’w wneud. Mae angen i ni ganolbwyntio nesaf ar sut rydym yn mabwysiadu ymchwil i faes busnes, sut rydym yn adeiladu systemau i wthio’r ymchwil allan o’n labordy, o bosibl i fusnesau newydd o fewn yr ecosystem leol, a’u prynu’n ôl. Mae’n swnio’n uchelgeisiol, ond rydyn ni’n credu y bydd yn gweithio, ac rydyn ni’n edrych ymlaen at ddilyn y llwybr hwn.”
Yr Athro Pete Burnap, Gwyddor Data a Seiberddiogelwch, Prifysgol Caerdydd
“Fe wnaeth fy secondiad yn Airbus gychwyn yr holl beth. Roeddwn yn gweithio yn adeilad Airbus dri diwrnod yr wythnos. Roedd gweithio ochr yn ochr ag ymchwilwyr seiberddiogelwch yn ffordd wahanol iawn o wneud pethau o gymharu â’r Brifysgol. Rhoddodd gyfle i mi eistedd gyda’r tîm, ond hefyd, a minnau’n arweinydd, i ddatblygu mapiau a chynlluniau ar gyfer y camau nesaf.
Felly, yn gynnar iawn mae cais yn cael ei wneud am filiynau o bunnoedd o gronfeydd sy’n rhai mewnol i bob pwrpas, er mwyn darparu rhywbeth ar gyfer busnes, ac mae nhw eisiau gwybod ar unwaith, os ydw i’n mynd i roi hyn i chi, beth yw’r gwerth a ddaw o hynny? Beth ydw i’n ei gael yn ôl ar gyfer y busnes?
Mae hyn wedi bod yn fuddiol iawn – y cyfle i gyflwyno i eraill er mwyn cael arian ychwanegol i drosoli’r gwerth gwell hwnnw ar gyfer y buddsoddiad: felly mae’n golygu bod gan dîm y diwydiant fynediad at fy arbenigedd academaidd mewn ffordd na fyddai’n bosib trwy gyfarfod yn unig.
Rydym wedi datblygu astudiaethau PhD, a secondiadau yn Airbus. Trwy’r Ganolfan Arloesedd Seiber, sydd newydd ei sefydlu, rydym yn bwriadu defnyddio arbenigedd i greu cynhyrchion a thyfu’r sector masnachol hwnnw o fusnesau newydd sydd wedi’u hangori yng Nghymru ac i uwchsgilio 1,500 o bobl yn unol ag anghenion y diwydiant.
Mae’n hagenda sgiliau yn rhywbeth a ddaeth yn sgîl bwrdd ymgynghorol i ddechrau, a gadeiriwyd gan Dr Kevin Jones. Fe wnaethon ni ddad-gymalu ein rhaglen a’i rhoi yn ôl at ei gilydd i allu ffurfio gradd newydd sydd ag achrediad NCSC, diolch i waith gan Dr Yulia Cherdantseva.
Y cwestiwn i ni nawr yw ble ydyn ni’n mynd nesaf? Rydym yn gwneud gwaith yn ymwneud â Deallusrwydd Artiffisial a Seiberamddiffyn. Rydyn ni’r gymdeithas yn creu seilwaith digidol nawr lle mae popeth yn rhyng-gysylltiedig, gan, gellir dadlau, haenu AI ar ben hynny: rydyn ni byth a hefyd yn ceisio trwsio’r problemau technoleg wedi iddynt ddigwydd, a byth a hefyd yn ceisio rhoi plaster dros wendidau seiberddiogelwch: sut mae sicrhau bod popeth yn cael ei fabwysiadu mewn ffordd ddiogel? Mae angen i ni newid meddyliau pobl er mwyn ddatblygu diogelwch yn y systemau o’r cychwyn cyntaf – yr elfen ddynol ganolog.”
Phil Morgan, Athro Ffactorau Dynol a Gwyddoniaeth Wybyddol, Yr Ysgol Seicoleg
“Optimeiddio o ran pobl yw’r elfen allweddol ym maes seiberddiogelwch. Mae gennym y caledwedd, meddalwedd a phrosesau gorau. Rydym yn parhau i’w datblygu, ond mae angen rhagor o waith o ran yr elfen dynol ganolog. Cydnabu Kevin Jones, Pete Burnap a minnau bum mlynedd yn ôl fod angen i ni wneud rhywbeth am faterion dynol ganolog seiberddiogelwch, diwydiant a gweithleoedd. Yn dilyn trafodaethau gyda NCSC, fe wnaethon ni sylweddoli bod seiberddiogelwch di-dor yn amhosibl heb gael yr elfen sy’n ymwneud â phobl, yn iawn.
Fe wnaethom roi cyflwyniad gerbron bwrdd Airbus ar gyfer datblygu tîm seiberddiogelwch dynol ganolog yn Airbus. Cefais fy newis i arwain y tîm. Roedd cam un fy nghenhadaeth yn glir: sicrhau dadansoddi o’r radd flaenaf ar gyfer parthau technoleg gwybodaeth, a hynny er mwyn sefydlu’r hyn yr oeddem ei angen yn y maes hwn. Fe wnaethon ni sylweddoli’n fuan y byddai’r rhestr yn un hir! Roedden ni angen tîm mwy. Cefnogodd Prifysgol Caerdydd a Chronfa Cyflymu Effaith ESRC gyllid ar gyfer dau berson i ymgymryd â gweithgareddau ymchwil.
Fe wnaethom ddatblygu rhaglen ymchwil uchelgeisiol iawn a oedd yn edrych ar bethau megis datblygu adnoddau gorau ar gyfer y dosbarth i geisio canfod gwendidau a chryfderau seiber sy’n gysylltiedig â bodau dynol, ac i geisio lliniaru risgiau. Cyfathrebu seiberddiogelwch dealladwy ac esboniadwy oedd yr hyn roddem yn meddwl amdano; gan edrych ar ffactorau dynol fel cabanau llywio mewn awyrennau, er enghraifft, gan leihau gwallau a chamgymeriadau a sicrhau mai hedfan yw’r ffordd fwyaf diogel o deithio yn y byd.
Ymunodd Endeavr Wales â ni a buddsoddi mewn cydymaith ymchwil llawn amser a chefnogi dau fyfyriwr PhD. Fe dynnon ni amrywiol feysydd gan gynnwys niwrowyddoniaeth, canfyddiad gweledol, dal sylw, a roboteg gymdeithasol i’r gwaith — meysydd nad ydynt fel arfer yn gysylltiedig â seiber.
Felly fe wnaethom sefydlu tîm Seiberseicoleg a Ffactorau Dynol Airbus ym mis Mawrth 2019, a lansio cyflymydd ym maes Seiberddiogelwch Dynol Ganolog er mwyn canfod pobl a sefydliadau o’r un anian â ni, i weithio gyda ni.
Fe wnaethon ni ddatblygu ffyrdd cwbl newydd o edrych ar seiberddiogelwch dynol ganolog – dulliau newydd, paradeimau newydd ac adnoddau newydd – gan edrych ar ymddygiadau seiber-beryglus. Er enghraifft, fe wnaethom ddatblygu adnodd a all ragweld 65 y cant o’r rhesymau pam mae pobl mewn sefydliadau yn ymddwyn mewn modd sy’n seiber-beryglus.
Fe wnaethom hefyd ddatblygu dealltwriaeth gref o ffactorau rhagfynegol eraill gan gynnwys llwyth gwybyddol, pwysau amser, amldasgio ac ati… mae rhywun yn rhoi ei hunan yn llwyr i’r gwaith yn y gweithle ond mae cymaint o bethau eraill yn cael eu taflu at rywun, a dyna pryd y gall camgymeriadau ddigwydd.
Fe wnaeth gweithio gydag Airbus ein hymestyn y tu hwnt i’r hyn roedden ni wedi arfer ag o mewn rhai meysydd, gan gynnwys edrych ar weithgareddau rhaglenni, cyflwyno, rhwydweithio ar gyfer cyflenwi – does dim cyfleoedd fel hyn yn bodoli fel arfer. Wnaeth Covid-19 mo’n harafu: fe addasom ni’n rhaglen ymchwil a chynhaliwyd dros 12 o arbrofion ar raddfa fawr gyda thros 4,000 o gyfranogwyr. Rydym nôl yn y labordy nawr ac yn cynnal rhai o’r arbrofion hyn wyneb yn wyneb er mwyn dilysu ein canlyniadau.
Fe wnaethon ni wahodd pobl eraill i mewn i’n tîm hefyd. Buddsoddodd UKRI, EPSRC ac ESRC mewn cymrodyr ymchwil, gan greu hwb gwirioneddol o ran gyrfa i rai o’r aelodau tîm.
Mae ystadegau’n awgrymu y gall bodau dynol fod yn gyfrifol am hyd at 90 y cant o ymosodiadau seiber: dyw hynny’n ddim yn swnio’n wych, ydy e? Dros y pum mlynedd diwethaf, rydym wedi gwirioneddol ddarganfod ‘pam’ mae’r pethau hyn yn digwydd. Felly beth sydd nesaf? Mae Canolfan Airbus ar gyfer Rhagoriaeth Seiberddiogelwch Dynol Ganolog, yn fuddsoddiad trawiadol arall gan Airbus sy’n gweithio gyda Phrifysgol Caerdydd. Bydd y tîm nawr yn canolbwyntio ar ymyriadau ac iddynt effaith a fydd hefyd yn newid yr ymchwil: pethau megis datblygu’r gwendidau a’r cryfderau sy’n ymwneud â bodau dynol ym maes seiber, gweithio gyda thimau Airbus i optimeiddio hyfforddiant, datblygu systemau cefnogi penderfyniadau sy’n addasol, meddwl mewn modd ‘blwch du’ (‘black box’ thinking) – ceisio rhagweld pryd y bydd pethau’n mynd o chwith – fel y gallwn gyda gobaith ostwng nifer yr achosion a welwn o’r pethau dan sylw, a gwella amrywiaeth, cydraddoldeb a chynhwysiant o fewn seiberddiogelwch, oherwydd rydyn ni’n gwybod bod problem yno. Rydym yn wynebu’r her hon yn uniongyrchol ac rydym yn gyffrous iawn am hyn.
Rwy’n credu’n gryf, ac mae Airbus yn credu hyn hefyd, y gall bodau dynol fod y cyswllt cryfaf ym maes seiberddiogelwch. Rydyn ni’n edrych ymlaen at ddangos i chi sut.”