Daugelį metų verslo savininkams sakiau, kad didžiausia rizika, su kuria susiduria DI diegimas mažajame versle, nėra tai, kad jus pakeis robotas – tai rizika, kad jus aplenks konkurentas, kuris geriau naudoja DI. Tačiau pastaruoju metu išryškėjo tamsesnė realybė. Tie patys generatyviniai įrankiai, kuriuos naudojame el. laiškams rašyti ir kodui kurti, yra paverčiami ginklais piktavalių rankose, siekiant sukurti aukšto tikslumo sintetinį sukčiavimą. Jei dar neapsvarstėte „gynybinio DI“, jūs faktiškai paliekate savo saugyklos duris plačiai atvertas, kol fokusuojatės į biuro apšvietimo atnaujinimą.
Dauguma MVĮ veikia ten, ką aš vadinu „Auksinės vidurio zonos“ (Goldilocks Zone) sukčiavimui. Turite pakankamai pinigų srautų ir skaitmeninės veiklos apimčių, kad būtumėte pelningas taikinys, tačiau jums trūksta £50 000 per mėnesį kainuojančių saugumo operacijų centrų, kurie saugo „FTSE 100“ bendroves. Ši spraga yra būtent ta vieta, kur klesti DI pagrįstas fišingas (phishing) ir suklastotų sąskaitų faktūrų teikimas. Šiame vadove parodysiu, kaip užpildyti šią spragą neviršijant savo biudžeto.
Sintetinės apgaulės iškilimas
💡 Norite Penny analizuoti jūsų verslą? Ji nustato, kuriuos vaidmenis AI gali pakeisti, ir sudaro etapinį planą. Pradėkite nemokamą bandomąją versiją →
Mes paliekame „Nigerijos princo“ el. laiškų su netaisyklinga anglų kalba erą. Šiandienos grėsmių lauke dominuoja sintetinė apgaulė. Naudodamas didžiuosius kalbos modelius (LLM), sukčius gali surinkti duomenis iš jūsų „LinkedIn“ profilio, įmonės svetainės ir viešų interviu, kad sugeneruotų el. laišką, kuris skamba lygiai taip pat, kaip jūsų.
Dar baisiau yra garso ir vaizdo giliųjų klastočių (deepfakes) populiarėjimas. Per pastarąjį mėnesį kalbėjausi su dviem verslo savininkais, kurie gavo savo verslo partnerių „balso žinutes“ su prašymu skubiai pakeisti mokėjimo duomenis. Balsai buvo tobuli. Kadencija buvo teisinga. Vienintelė priežastis, kodėl jie nesumokėjo, buvo nuojauta, kad prašymas šiek tiek neatitiko asmens charakterio. Pasikliovimas „nuojauta“ nėra masiškai taikoma saugumo strategija.
Daugiakanalis įgaliojimas: nauja pasitikėjimo sistema
DI pirmumo pasaulyje turime priimti sunkią tiesą: skaitmeninę tapatybę dabar suklastoti yra itin paprasta. Jei užklausa gaunama per vieną skaitmeninį kanalą (el. paštą, „Slack“ arba „WhatsApp“), ji pagal nutylėjimą turi būti laikoma nepatvirtinta.
Aš pasisakau už tai, ką vadinu daugiakanaliu įgaliojimu. Tai procedūrinė sistema, pagal kurią bet kokiam didelio poveikio veiksmui – banko duomenų keitimui, didelio pavedimo tvirtinimui ar jautrių darbuotojų duomenų bendrinimui – reikalingas patvirtinimas per du nesusijusius komunikacijos kanalus.
Kaip įdiegti patvirtinimo darbo eigas
- Išorinio kanalo taisyklė (Out-of-Band): Jei pranešimas apie sąskaitos faktūros pakeitimą gaunamas el. paštu, jis turi būti patvirtintas žinomu telefono numeriu arba iš anksto sutartu fiziniu susitikimu.
- Bendros paslaptys: Atsisakykite viešai žinomų saugumo klausimų. Savo finansų komandai naudokite „vidines slaptafrazes“, kurios keičiamos kas ketvirtį.
- Visualiniai ženklai: Vykstant vaizdo skambučiui, paprašykite kito asmens pasukti galvą arba pamojuoti konkrečiu objektu. Dabartinės realaus laiko giliosios klastotės dažnai susiduria su sunkumais rodant profilį ar objektų užstojimą.
Šių darbo eigų kūrimas nereikalauja brangios programinės įrangos, tačiau tam reikia kultūrinio pokyčio. Sugriežtinę šiuos vidinius procesus prieš įvykstant pažeidimui, o ne mokėdami už pasekmių šalinimą, galite gerokai sutaupyti teisinėms paslaugoms ir atitikties užtikrinimui.
Gynybinio technologijų paketo kūrimas
Nors procesas yra jūsų pirmoji gynybos linija, jums taip pat reikia įrankių, galinčių pastebėti tai, ko nepastebi žmogaus akis. Vertindami IT palaikymo išlaidas, turėtume ieškoti teikėjų, siūlančių DI pagrįstą el. pašto saugumą. Tokie įrankiai kaip „Abnormal Security“ arba „Darktrace“ naudoja „gynybinį DI“, kad nustatytų, kaip atrodo „įprasta“ jūsų verslo komunikacija. Kai gaunamas el. laiškas, kuris atitinka jūsų vadovo toną, bet ateina iš neįprasto IP adreso arba turi subtilių lingvistinių nukrypimų, DI jį pažymi dar prieš jam patenkant į jūsų gautų laiškų dėžutę.
„Nulinio pasitikėjimo“ sąskaitų faktūrų darbo eiga
Dauguma sukčiavimų sąskaitomis faktūromis įvyksta todėl, kad pasitikime prieš mus esančiu dokumentu. DI sugeneruota sąskaita faktūra gali atrodyti identiškai jūsų tiekėjo šablonui. Tvirta DI diegimas mažajame versle strategija turėtų apimti automatinį sąskaitų faktūrų suderinimą. Įrankiai, naudojantys OCR (optinį simbolių atpažinimą), kad palygintų kiekvieną gautos sąskaitos lauką su ankstesnių operacijų „auksiniu įrašu“, gali pagauti subtilius IBAN numerių pakeitimus, kurių užsiėmęs žmogus gali nepastebėti.
Rizikos ekonomika: draudimas prieš prevenciją
Esu didelis radikalaus sąžiningumo šalininkas: niekada nebūsite 100 % saugūs. Štai kodėl rizikos perdavimas yra esminė strategijos dalis. Tačiau verslo draudimo rinka keičiasi. Draudikai dabar konkrečiai klausia apie jūsų DI gynybos priemones. Jei negalite įrodyti, kad taikote „daugiakanalį įgaliojimą“ arba „išorinio kanalo“ patvirtinimo procesą, galite pastebėti, kad jūsų įmokos kyla į viršų – arba, dar blogiau, jūsų prašymas atlyginti žalą bus atmestas dėl „didelio neatsargumo“, jei nukentėsite nuo giliosios klastotės.
Automatizavimo nerimo paradoksas
Matau pasikartojantį modelį: įmonės, kurios labiausiai dvejoja diegti DI augimui, dažnai yra labiausiai pažeidžiamos DI sukčiavimui. Kodėl? Nes jos vis dar pasitiki rankiniais, trapiais procesais, kuriuos DI itin lengva imituoti.
Savo operacijoms pritaikydami DI įrankius – pavyzdžiui, automatizuotą buhalteriją ir saugaus ryšio platformas – jūs iš tikrųjų sustiprinate savo verslą. Jūs pereinate nuo „pasitikėjimu pagrįsto“ modelio (kuris yra trapus) prie „patvirtinimu pagrįsto“ modelio (kuris yra atsparus).
Jūsų pirmadienio ryto veiksmų planas
Neleiskite DI sudėtingumui jūsų paralyžiuoti. Pradėkite nuo šių trijų konkrečių žingsnių:
- Auditą atlikite mokėjimų procese: Kas turi galią keisti banko rekvizitus? Užtikrinkite, kad „išorinio kanalo“ patvirtinimas būtų rašytinė politika, o ne tik pasiūlymas.
- Edukuokite savo komandą apie „sintetinį nukrypimą“: Parodykite jiems giliųjų klastočių garso įrašų pavyzdžių. Įsitikinkite, kad jie žino, jog tai, kad balsas „skamba kaip viršininko“, nebėra tapatybės įrodymas.
- Patikrinkite savo IT paketą: Pasikalbėkite su savo IT paslaugų teikėju apie „tapatybės grėsmių aptikimą ir reagavimą“ (ITDR). Jei jie nežino, kas tai yra, gali būti laikas paieškoti kito teikėjo.
Galimybių langas pereiti nuo „aklo pasitikėjimo“ prie „patvirtintų operacijų“ sparčiai veriasi. Piktavaliai jau įsidiegė DI. Atėjo laikas jums padaryti tą patį – gynybiniais tikslais.