Gadiem ilgi esmu teicis uzņēmumu īpašniekiem, ka lielākais risks, ko rada MI ieviešana mazajā biznesā, nav aizstāšana ar robotu, bet gan atpalikšana no konkurenta, kurš mākslīgo intelektu izmanto labāk. Taču pēdējā laikā ir parādījusies tumšāka realitāte. Tos pašus ģeneratīvos rīkus, kurus mēs izmantojam e-pastu rakstīšanai un programmēšanai, ļaundari izmanto kā ieroci, lai radītu augstas precizitātes sintētisko krāpniecību. Ja vēl neesat apsvēruši "aizsardzības MI" (Defensive AI) ieviešanu, jūs faktiski atstājat sava seifa durvis plaši atvērtas, kamēr koncentrējaties uz biroja apgaismojuma uzlabošanu.
Lielākā daļa MVU darbojas tajā, ko es saucu par krāpniecības "Zeltmatītes zonu" (Goldilocks Zone). Jums ir pietiekama naudas plūsma un digitālais apjoms, lai būtu ienesīgs mērķis, taču jums trūkst £50k mēnesī vērto drošības operāciju centru, kas aizsargā FTSE 100 uzņēmumus. Šī plaisa ir tieši tā vieta, kur uzplaukst ar MI darbināma pikšķerēšana un deepfake rēķinu viltošana. Šajā ceļvedī es jums parādīšu, kā novērst šo plaisu, nepārsniedzot savu budžetu.
Sintētiskās maldināšanas pieaugums
💡 Vai vēlaties, lai Penijs analizē jūsu biznesu? Viņa kartē, kuras lomas AI var aizstāt, un izveido pakāpenisku plānu. Sāciet savu bezmaksas izmēģinājuma versiju →
Mēs aizejam no "Nigērijas prinča" e-pastu ēras ar kļūdainu angļu valodu. Mūsdienu draudu vidē dominē sintētiskā maldināšana. Izmantojot lielos valodas modeļus (LLM), krāpnieks var iegūt datus no jūsu LinkedIn profila, uzņēmuma tīmekļa vietnes un publiskajām intervijām, lai izveidotu e-pastu, kas izklausās tieši pēc jums.
Vēl biedējošāks ir audio un video deepfake pieaugums. Pēdējā mēneša laikā esmu runājis ar diviem uzņēmumu īpašniekiem, kuri saņēma "balss ziņas" no saviem biznesa partneriem, pieprasot steidzamas izmaiņas maksājumu detaļās. Balsis bija nevainojamas. Ritms bija pareizs. Vienīgais iemesls, kāpēc viņi neveica maksājumu, bija intuīcija, ka pieprasījums nedaudz neatbilst personas raksturam. Paļaušanās uz "intuīciju" nav mērogojama drošības stratēģija.
Daudzkanālu mandāts: jauns uzticības ietvars
MI laikmetā mums ir jāpieņem skarba patiesība: digitālo identitāti tagad ir pavisam vienkārši viltot. Ja pieprasījums pienāk pa vienu digitālo kanālu (e-pasts, Slack vai WhatsApp), tas pēc noklusējuma ir jāuzskata par neapstiprinātu.
Es iestājos par to, ko saucu par Daudzkanālu mandātu. Tas ir procesuāls ietvars, kurā jebkurai augstas ietekmes darbībai — bankas rekvizītu maiņai, liela naudas pārskaitījuma apstiprināšanai vai sensitīvu darbinieku datu kopīgošanai — nepieciešama verifikācija divos savstarpēji nesaistītos saziņas kanālos.
Kā ieviest verifikācijas darbplūsmas
- "Ārpuskanāla" noteikums (Out-of-Band Rule): ja rēķina izmaiņas pienāk pa e-pastu, tās jāapstiprina, izmantojot zināmu tālruņa numuru vai iepriekš norunātu klātienes tikšanos.
- Kopīgie noslēpumi: atsakieties no vispārzināmiem drošības jautājumiem. Izmantojiet finanšu komandai paredzētas "iekšējās paroles", kas mainās reizi ceturksnī.
- Vizuālie marķieri: atrodoties videozvanā, lūdziet otrai personai pagriezt galvu vai pamāt ar konkrētu priekšmetu. Pašreizējie reāllaika deepfake bieži vien nespēj tikt galā ar profila skatiem un objektu pārklāšanos.
Šo darbplūsmu izveidei nav nepieciešama dārga programmatūra, taču ir nepieciešama kultūras maiņa. Jūs bieži varat redzēt ievērojamus ietaupījumus juridiskajos pakalpojumos un atbilstības nodrošināšanā, nostiprinot šos iekšējos procesus pirms pārkāpuma rašanās, nevis maksājot par seku novēršanu pēc tam.
Aizsardzības tehnoloģiju kopuma izveide
Lai gan process ir jūsu pirmā aizsardzības līnija, jums ir nepieciešami arī rīki, kas spēj pamanīt to, ko cilvēka acs palaiž garām. Vērtējot IT atbalsta izmaksas, mums vajadzētu meklēt pakalpojumu sniedzējus, kuri piedāvā ar MI darbināmu e-pasta drošību. Tādi rīki kā Abnormal Security vai Darktrace izmanto "aizsardzības MI", lai izveidotu bāzes līniju tam, kā izskatās jūsu uzņēmuma "normālā" saziņa. Kad pienāk e-pasts, kas atbilst jūsu izpilddirektora tonim, bet nāk no neparastas IP adreses vai satur neizteiksmīgas lingvistiskas izmaiņas, MI to atzīmē vēl pirms tas nonāk jūsu iesūtnē.
"Nultās uzticēšanās" rēķinu darbplūsma
Lielākā daļa krāpniecisko rēķinu gadījumu notiek tāpēc, ka mēs uzticamies dokumentam, kas atrodas mūsu priekšā. MI ģenerēts rēķins var izskatīties identisks jūsu piegādātāja izkārtojumam. Robustai MI ieviešanas mazajā biznesā stratēģijai būtu jāietver automatizēta rēķinu saskaņošana. Rīki, kas izmanto OCR (optisko rakstzīmju atpazīšanu), lai salīdzinātu katru ienākošā rēķina lauku ar iepriekšējo darījumu "zelta ierakstu", var pamanīt nemanāmas izmaiņas IBAN numuros, kuras aizņemts cilvēks varētu nepamanīt.
Riska ekonomika: apdrošināšana pret prevenciju
Es ticu pilnīgai godīgumam: jūs nekad nebūsiet 100% drošībā. Tāpēc riska nodošana ir būtiska stratēģijas daļa. Tomēr uzņēmējdarbības apdrošināšanas tirgus mainās. Apdrošinātāji tagad īpaši jautā par jūsu MI aizsardzības pasākumiem. Ja nevarat uzrādīt "Daudzkanālu mandātu" vai "ārpuskanāla" verifikācijas procesu, jūs varat saskarties ar strauju prēmiju pieaugumu — vai vēl ļaunāk, jūsu prasība var tikt noraidīta "rupjas neuzmanības" dēļ, ja kļūsiet par deepfake upuri.
Automatizācijas trauksmes paradokss
Es redzu atkārtotu modeli: uzņēmumi, kuri visvairāk vilcinās ieviest MI izaugsmei, bieži vien ir visneaizsargātākie pret MI krāpniecību. Kāpēc? Tāpēc, ka tie joprojām paļaujas uz manuāliem, vājiem procesiem, kurus MI ir neticami viegli atdarināt.
Ieviešot MI rīkus savā darbībā — piemēram, automatizētu grāmatvedību un drošas saziņas platformas —, jūs faktiski padarāt savu uzņēmumu izturīgāku. Jūs pārejat no "uzticībā balstīta" modeļa (kas ir trausls) uz "verifikācijā balstītu" modeli (kas ir noturīgs).
Jūsu rīcības plāns pirmdienas rītam
Neļaujiet MI sarežģītībai sevi paralizēt. Sāciet ar šiem trim konkrētiem soļiem:
- Auditējiet savu maksājumu procesu: kuram ir tiesības mainīt bankas rekvizītus? Nodrošiniet, lai "ārpuskanāla" verifikācija būtu rakstiska politika, nevis tikai ieteikums.
- Izglītojiet savu komandu par "sintētisko novirzi": parādiet viņiem deepfake audio piemērus. Pārliecinieties, ka viņi zina — tas, ka balss "izklausās pēc priekšnieka", vairs nav identitātes pierādījums.
- Pārbaudiet savu IT rīku kopumu: runājiet ar savu IT pakalpojumu sniedzēju par "identitātes draudu noteikšanu un reaģēšanu" (ITDR). Ja viņi nezina, kas tas ir, iespējams, ir pienācis laiks meklēt citu partneri.
Laiks, lai pārietu no "aklas uzticēšanās" uz "verificētām darbībām", strauji beidzas. Ļaundari jau ir ieviesuši MI. Ir pienācis laiks arī jums darīt to pašu — aizsardzības nolūkos.
