Aastaid olen ma ettevõtjatele rääkinud, et suurim risk, millega tehisintellekti evimine väikeettevõtetes silmitsi seisab, ei ole asendamine robotiga – vaid konkurendist mahajäämine, kes kasutab tehisintellekti paremini. Kuid viimasel ajal on esile kerkinud süngem reaalsus. Neid samu generatiivseid tööriistu, mida me kasutame e-kirjade ja koodi kirjutamiseks, rakendavad pahatahtlikud isikud relvana, et luua ülitäpseid sünteetilisi kelmusi. Kui te ei ole veel kaalunud "defensiivset tehisintellekti" (Defensive AI), jätate te sisuliselt oma seifiukse pärani, keskendudes samal ajal kontorivalgustuse uuendamisele.
Enamik VKÜ-sid tegutseb selles, mida ma nimetan kelmuste "parajustsooniks". Teil on piisavalt rahavoogu ja digitaalset mahtu, et olla tulus sihtmärk, kuid teil puuduvad £50k kuus maksvad turvakeskused, mis kaitsevad FTSE 100 ettevõtteid. See tühimik on just see koht, kus tehisintellektil põhinev õngitsemine ja süvavõltsitud arved õitsevad. Selles juhendis näitan teile, kuidas seda tühimikku täita ilma eelarvet lõhki ajamata.
Sünteetilise pettuse voog
💡 Kas soovite, et Penny teie ettevõtet analüüsiks? Ta kaardistab, millised rollid AI võib asendada, ja koostab etapiviisilise plaani. Alustage tasuta prooviperioodi →
Me liigume eemale vigase inglise keelega "Nigeeria printsi" e-kirjade ajastust. Tänapäeva ohupilti valitseb sünteetiline pettus. Kasutades suuri keelemudeleid (LLM), saab pettur koondada andmeid teie LinkedIni profiililt, ettevõtte veebisaidilt ja avalikest intervjuudest, et genereerida e-kiri, mis kõlab täpselt nagu teie.
Veelgi hirmuäratavam on audio- ja video-süvavõltsingute levik. Olen viimase kuu jooksul rääkinud kahe ettevõtjaga, kes said oma äripartneritelt "häälsõnumeid", milles paluti kiireid maksemuudatusi. Hääled olid tõesed. Kõnerütm oli õige. Nad ei maksnud vaid seetõttu, et neil tekkis sisetunne, et palve oli veidi iseloomutu. Sisetundele tuginemine ei ole skaleeritav turvastrateegia.
Mitmekanaliline mandaat: uus usaldusraamistik
Tehisintellekti keskses maailmas peame leppima karmi tõega: digitaalset identiteeti on nüüd tühine võltsida. Kui taotlus saabub ühe digitaalse kanali kaudu (e-post, Slack või WhatsApp), tuleb seda vaikimisi käsitleda kontrollimata teabena.
Pooldan seda, mida nimetan mitmekanaliliseks mandaadiks. See on protseduuriline raamistik, kus mis tahes suure mõjuga tegevus – pangarekvisiitide muutmine, suure pangaülekande kinnitamine või tundlike töötajaandmete jagamine – nõuab kinnitust kahe mitteseotud suhtluskanali kaudu.
Kuidas juurutada kontrolli töövooge
- Kanaliväline reegel: Kui arve muudatus saabub e-posti teel, tuleb see kinnitada tuntud telefoninumbri kaudu või eelnevalt kokkulepitud füüsilisel kohtumisel.
- Jagatud saladused: Loobuge avalikult teadaolevatest turvaküsimustest. Kasutage oma finantsmeeskonna jaoks "siseseid paroole", mis muutuvad kord kvartalis.
- Visuaalsed märgid: Videokõne ajal paluge teisel inimesel pead pöörata või vehkida konkreetse esemega. Praegused reaalajas süvavõltsingud jäävad sageli hätta profiilivaadete ja takistustega.
Nende töövoogude loomine ei nõua kalli tarkvara ostmist, küll aga kultuurilist muutust. Sageli on võimalik saavutada märkimisväärne sääst õigusteenustelt ja vastavuskontrollilt, tugevdades neid siseportsesse enne rikkumise toimumist, selle asemel et maksta hiljem kahjude kõrvaldamise eest.
Defensiivse tehnoloogiapargi loomine
Kuigi protsess on teie esimene kaitseliin, vajate ka tööriistu, mis märkavad seda, mida inimsilm ei näe. Kui vaatame IT-toe kulusid, peaksime otsima pakkujaid, kes pakuvad tehisintellektil põhinevat e-posti turvet. Sellised tööriistad nagu Abnormal Security või Darktrace kasutavad defensiivset AI-d, et luua baastase sellest, milline "tavapärane" suhtlus teie ettevõtte jaoks välja näeb. Kui saabub e-kiri, mis ühtib teie tegevjuhi tooniga, kuid pärineb ebatavaliselt IP-aadressilt või sisaldab peent keelelist nihet, märgib AI selle ära juba enne, kui see teie postkasti jõuab.
"Nullusaldusel" põhinev arvete töövoog
Enamik arvepettusi toimub seetõttu, et usaldame meie ees olevat dokumenti. AI-ga genereeritud arve võib näha välja identne teie tarnija omaga. Tugev tehisintellekti evimine väikeettevõtetes strateegia peaks sisaldama automaatset arvete kooskõlastamist. Tööriistad, mis kasutavad OCR-i (optiline märgituvastus), et võrrelda saabuva arve iga välja varasemate tehingute "kuldse kirje" andmetega, suudavad tuvastada väikesi muudatusi IBAN-numbrites, mis kiirel töötajal märkamatuks võivad jääda.
Riskiökonoomika: kindlustus vs ennetamine
Usun täielikku aususesse: te ei ole kunagi 100% kaitstud. Seetõttu on riski ülekandmine tegevuskava oluline osa. Siiski on ettevõtte kindlustuse turg muutumas. Kindlustusandjad küsivad nüüd konkreetselt teie AI-vastaste kaitsemeetmete kohta. Kui te ei suuda tõendada "mitmekanalilist mandaati" või "kanalivälist" kontrolliprotsessi, võite avastada, et teie kindlustusmaksed tõusevad hüppeliselt – või mis veel hullem, teie nõue lükatakse süvavõltsingu ohvriks langemise korral tagasi "raske hooletuse" tõttu.
Automatiseerimisärevuse paradoks
Ma näen korduvat mustrit: ettevõtted, kes on kõige kõhklevamad tehisintellekti kasutuselevõtul majanduskasvu eesmärgil, on sageli kõige haavatavamad tehisintellektil põhinevate pettuste suhtes. Miks? Sest nad toetuvad endiselt manuaalsetele ja nõrkadele protsessidele, mida AI-l on uskumatult lihtne imiteerida.
Võttes oma tegevuses kasutusele AI-tööriistad – nagu automatiseeritud raamatupidamine ja turvalised suhtlusplatvormid –, muudate oma ettevõtte tegelikult vastupidavamaks. Te liigute "usalduspõhiselt" mudelilt (mis on habras) "kontrollipõhisele" mudelile (mis on vastupidav).
Teie tegevuskava esmaspäeva hommikuks
Ärge laske tehisintellekti keerukusel end halvata. Alustage nendest kolmest sammust:
- Auditeerige oma makseprotsessi: Kellel on õigus muuta pangarekvisiite? Veenduge, et "kanaliväline" kontroll on kirjalik poliitika, mitte lihtsalt soovitus.
- Harige oma meeskonda "sünteetilise triivi" osas: Näidake neile süvavõltsitud audio näidiseid. Veenduge, et nad teaksid, et "ülemuse moodi kõlamine" ei ole enam isikutuvastuse tõend.
- Kontrollige oma IT-taristut: Rääkige oma IT-teenuse pakkujaga identiteediohtude tuvastamisest ja reageerimisest (ITDR). Kui nad ei tea, mis see on, võib olla aeg ringi vaadata.
Aken "pimeusalduselt" üleminemiseks "kontrollitud tegevusele" sulgub kiiresti. Pahatahtlikud isikud on tehisintellekti juba omaks võtnud. On aeg, et ka teie teeksite sama – defensiivselt.
