Praėjusią savaitę kalbėjausi su įkūrėju, kuris vos neprarado £45,000 dėl balso, skambėjusio lygiai taip pat, kaip jo verslo partnerio. Tai nebuvo į serverį besibraunantis hakeris su gobtuvu; tai buvo trisdešimties sekundžių garso įrašas, sugeneruotas dirbtinio intelekto. Tai naujoji „sintetinio viliojimo“ (angl. Synthetic Seduction) realybė – itin personalizuoto, hiperrealistiško sukčiavimo masto didinimas, nukreiptas į vienintelį dalyką, kurio jūsų ugniasienė negali apsaugoti: žmogaus pasitikėjimą. Kaip į DI orientuoto verslo atstovas, mačiau, kaip šie įrankiai kuriami, o tai reiškia, kad tiksliai žinau, kaip jie paverčiami ginklais. Norėdami išlikti saugūs, turite kovoti ugnimi prieš ugnį, į savo pagrindines operacijas integruodami DI saugumo įrankius.
Daugelį metų mažų ir vidutinių įmonių (MVĮ) kibernetinis saugumas buvo „pakankamai gero“ lygio žaidimas. Turėjote stiprių slaptažodžių politiką, galbūt bazinę antivirusinę programą ir sakėte savo komandai nespausti nuorodų iš „princų“ tolimose šalyse. Tačiau generatyvinio DI atsiradimas sugriovė tradicinį sukčiavimo atpažinimo instinktą. Žengiame į pasitikėjimo spragos infliacijos erą, kurioje asmens tapatybės patvirtinimo kaina ir sudėtingumas auga greičiau, nei dauguma įmonių spėja prisitaikyti. Jei iš naujo neapsvarstysite savo gynybos, paliekate duris neužrakintas.
Sintetinio viliojimo iškilimas
💡 Norite Penny analizuoti jūsų verslą? Ji nustato, kuriuos vaidmenis AI gali pakeisti, ir sudaro etapinį planą. Pradėkite nemokamą bandomąją versiją →
Anksčiau socialinė inžinerija reikalavo daug darbo. Sukčius turėjo ištirti taikinį, rankiniu būdu parašyti el. laišką ir tikėtis, kad tonas bus tinkamas. Šiandien LLM (didelis kalbos modelis) gali įsisavinti visą jūsų įmonės „LinkedIn“ profilį, paskutines tris metines ataskaitas ir viešas vadovo kalbas, kad suformuluotų tobulai parinktą, skubų prašymą pakeisti mokėjimo duomenis.
Aš tai vadinu sintetiniu viliojimu. Tai DI naudojimas siekiant sukurti „artimumo regimybę“, kuri apeina mūsų natūralų skeptiškumą. Kai gaunate el. laišką, kuriame užsimenama apie konkretų vakar vykusį susitikimą ir tęsiama diskusija apie nišinę projekto detalę, jūsų smegenys nešaukia „fišingas“. Jos šaukia „produktyvumas“. Štai kodėl tradicinės IT palaikymo išlaidos dažnai paskirstomos neteisingai – įmonės moka už aparatinės įrangos priežiūrą, kol jų žmogiškieji procesai lieka pavojingai atviri aukštųjų technologijų manipuliacijoms.
Kodėl jūsų dabartinė gynyba yra pasenusi
Dauguma MVĮ saugumo priemonių yra reaktyvios. Laukiate, kol grėsmę nustatys pasaulinė duomenų bazė, o tada jūsų programinė įranga ją užblokuos. Tačiau DI valdomos atakos iš prigimties yra „nulinės dienos“ (angl. zero-day) – jos yra unikalios, generuojamos realiuoju laiku ir niekada anksčiau nematytos.
Tradiciniai sukčiavimo filtrai ieško blogų domenų arba žinomų kenkėjiškų nuorodų. Jie neieško subtilių lingvistinių dėsningumų, rodančių, kad el. laišką parašė mašina, apsimetanti jūsų tiekėju. Norėdami tam pasipriešinti, turite pereiti nuo statinės gynybos prie biheivioristinio autentifikavimo. Tai reiškia stebėjimą, kaip žmonės sąveikauja, o ne tik tai, ką jie siunčia.
Strategija: DI saugumo įrankių naudojimas gynybai
Norėdami apsaugoti savo mokėjimo sistemas ir jautrius duomenis, turite įdiegti proaktyvią DI gynybos strategiją. Tai nėra tik naujos programinės įrangos pirkimas; tai jūsų komandos gebėjimo pastebėti skaitmeninio sukčiavimo „nejaukumo slėnį“ (angl. uncanny valley) stiprinimas.
1. Įdiekite DI valdomą el. pašto saugumą (BEC gynyba)
Verslo el. pašto kompromitavimas (angl. Business Email Compromise, BEC) yra didžiausia finansinė grėsmė MVĮ. Šiuolaikiniai DI saugumo įrankiai, tokie kaip Abnormal Security arba Darktrace, naudoja mašininį mokymąsi, kad sukurtų jūsų įmonės „socialinį grafą“. Jie išmoksta, kad finansininkė Sara paprastai rašo vadovui antradieniais ir naudoja tam tikrą toną. Jei penktadienį gaunamas laiškas iš šiek tiek kito IP adreso, naudojant oficialesnę kalbą, DI jį pažymi – net jei el. pašto adresas atrodo nepriekaištingai.
2. Įdiekite „deepfake“ aptikimo protokolus
Jei gaunate balso žinutę ar vaizdo skambutį su prašymu skubiai pervesti lėšas, nebegalite pasitikėti savo akimis ir ausimis. Įmonėms, kurios atlieka didelės vertės operacijas, rekomenduoju tokius įrankius kaip Pindrop arba Sensity. Tačiau efektyviausias „DI įrankis“ dažnai yra žmogiškasis protokolas: kriptografinis atgalinis skambutis. Jei per skaitmeninę mediją gaunamas didelės svarbos prašymas, gavėjas privalo perskambinti žinomu, patikimu numeriu, kad patvirtintų tapatybę, arba naudoti iš anksto sutartą „saugos žodį“, kuris niekada nesaugomas skaitmeniniu būdu.
3. Automatizuota atitiktis ir audito sekos
Vienas geriausių būdų atgrasyti nuo sukčiavimo – padaryti, kad jo būtų neįmanoma įvykdyti be kelių kontrolės etapų. Naudodami SaaS atitikties įrankius, galite automatizuoti „dviejų raktų“ taisyklę bet kokiems banko duomenų pakeitimams. DI gali stebėti šiuos žurnalus realiuoju laiku, pastebėdamas, jei administratoriaus paskyra elgiasi neįprastai – pavyzdžiui, per tris minutes pakeičia penkių tiekėjų IBAN numerius.
90/10 saugumo taisyklė
Žvelgdamas į verslo operacijas, dažnai taikau 90/10 taisyklę: DI gali atlikti 90 % sunkaus darbo – filtruoti milijonus el. laiškų, stebėti tinklo srautą ir žymėti anomalijas – tačiau likę 10 % privalo likti žmogui. Tuose 10 % priimami sprendimai.
Tačiau daugelis savininkų klysta manydami, kad tie 10 % yra „nemokami“. Taip nėra. Tam reikia mokymų. Jūsų darbuotojai turi suprasti, kad DI yra antrasis pilotas, o ne sveiko proto pakaitalas. Jei jūsų apsaugos sistemų išlaidos skiriamos tik kameroms ir spynoms, praleidžiate skaitmeninį perimetrą, kuriame prarandami tikrieji pinigai.
„Nulinio pasitikėjimo“ MVĮ sistema
Norėdami judėti į priekį, turėtumėte įdiegti sistemą, kurią vadinu „Patvirtinimas pagal projektą“ (angl. Verify-by-Design). Tai apima tris gynybos sluoksnius:
- Heuristinis sluoksnis: DI įrankių naudojimas ieškant „mašiniško“ tobulumo ar lingvistinių pokyčių komunikacijoje.
- Kriptografinis sluoksnis: Perėjimas nuo slaptažodžių prie „passkeys“ ir aparatinės įrangos autentifikavimo, kurio DI negali „atspėti“ ar išvilioti socialine inžinerija.
- Biheivioristinis sluoksnis: DI stebimų ribų nustatymas finansiniams judėjimams. Jei mokėjimas viršija tam tikrą sumą arba keliauja į naują teritoriją, sistema automatiškai jį įšaldo iki daugiapakopio fizinio patvirtinimo.
Antrinis poveikis: santykių premija
Kadangi DI daro skaitmeninę komunikaciją pigesnę ir mažiau patikimą, matome atsirandančią „santykių premiją“. Ateityje saugiausios įmonės nebūtinai bus tos, kurios turės brangiausią programinę įrangą – tai bus įmonės, turinčios giliausius realaus pasaulio santykius su savo tiekėjais ir klientais.
Kai žinote savo tiekėjo balsą, jų būdo bruožus ir standartines darbo procedūras per reguliarų (idealiu atveju fizinį ar gyvą) bendravimą, DI sugeneruotą „sintetinį viliojimą“ pastebėti tampa daug lengviau. DI valdomame pasaulyje, ironiška, bet orientacija į žmogų jūsų santykiuose yra aukščiausio lygio saugumo strategija.
Veiksmai šiai savaitei
Nelaukite krizės, kad išbandytumėte savo gynybą. DI transformacijos langas veriasi, o piktavaliai jau yra viduje.
- Atlikite savo „skubių mokėjimų“ darbo eigos auditą: Ar ji remiasi tik vienu el. laišku ar skambučiu? Jei taip, ji nesaugi. Įveskite privalomą daugiakanalį patvirtinimą.
- Pasidomėkite DI valdomu el. pašto filtravimu: Ieškokite įrankių, siūlančių „socialinį grafavimą“, o ne tik raktinių žodžių blokavimą.
- Atlikite „Deepfake“ simuliaciją: Naudokite įrankį savo balsui klonuoti (su leidimu) ir pažiūrėkite, ar jūsų finansų komanda patvirtintų nedidelį pakeitimą remdamasi balso žinute. Rezultatai jus prižadins.
Kibernetinis saugumas DI amžiuje nėra tik IT problema; tai pamatinė verslo rizika. Tačiau naudodami tinkamus DI saugumo įrankius ir išlaikydami sveiką dozę radikalaus sąžiningumo apie savo silpnąsias vietas, galite sukurti verslą, kuris bus ne tik efektyvus, bet ir atsparus.
Jei svarstote, kur dar DI gali padėti optimizuoti procesus ir sutvirtinti jūsų pamatus, peržvelkime jūsų IT palaikymo išlaidas arba jūsų apsaugos sistemas kartu. Tikslas yra ne tik išgyventi DI perėjimą – tikslas yra klestėti, nes žengėte pirmąjį žingsnį.