Od lat powtarzam właścicielom firm, że największym ryzykiem związanym z wdrożeniem AI w małych firmach nie jest zastąpienie przez roboty — lecz wyprzedzenie przez konkurenta, który lepiej wykorzystuje sztuczną inteligencję. Jednak ostatnio wyłoniła się mroczniejsza rzeczywistość. Te same narzędzia generatywne, których używamy do pisania e-maili i kodu, są wykorzystywane przez cyberprzestępców do tworzenia niezwykle wiarygodnych, syntetycznych oszustw. Jeśli jeszcze nie rozważyli Państwo koncepcji „defensywnej AI”, w rzeczywistości zostawiają Państwo drzwi do skarbca szeroko otwarte, koncentrując się na modernizacji oświetlenia biurowego.
Większość małych i średnich przedsiębiorstw działa w obszarze, który nazywam „strefą Złotowłosej” dla oszustw. Dysponują Państwo wystarczającymi przepływami pieniężnymi i wolumenem cyfrowym, aby być lukratywnym celem, ale brakuje Państwu centrów operacji bezpieczeństwa kosztujących £50k miesięcznie, które chronią firmy z indeksu FTSE 100. Ta luka to idealne miejsce dla phishingu opartego na AI i deepfake'owych faktur. W tym przewodniku pokażę Państwu, jak zamknąć tę lukę bez nadwyrężania budżetu.
Wzrost znaczenia syntetycznej decepcji
💡 Chcesz, żeby Penny przeanalizowała Twój biznes? Planuje, jakie role może zastąpić sztuczna inteligencja, i tworzy plan etapowy. Rozpocznij bezpłatny okres próbny →
Wychodzimy z ery e-maili od „nigeryjskiego księcia” pisanych łamaną angielszczyzną. Dzisiejszy krajobraz zagrożeń jest zdominowany przez syntetyczną decepcję. Korzystając z dużych modeli językowych (LLM), oszust może przeszukać Państwa profil na LinkedIn, stronę internetową firmy oraz publiczne wywiady, aby wygenerować wiadomość e-mail, która brzmi dokładnie tak, jak Państwo.
Jeszcze bardziej przerażający jest wzrost liczby deepfake'ów audio i wideo. W ostatnim miesiącu rozmawiałem z dwoma właścicielami firm, którzy otrzymali „wiadomości głosowe” od swoich partnerów biznesowych z prośbą o pilną zmianę danych do płatności. Głosy były idealne. Kadencja była właściwa. Jedynym powodem, dla którego nie dokonali płatności, była intuicja podpowiadająca, że prośba była nieco niecharakterystyczna. Poleganie na „intuicji” nie jest jednak skalowalną strategią bezpieczeństwa.
Zasada weryfikacji wielokanałowej: nowe ramy zaufania
W świecie zdominowanym przez AI musimy zaakceptować twardą prawdę: tożsamość cyfrowa jest obecnie trywialna do podrobienia. Jeśli prośba przychodzi za pośrednictwem jednego kanału cyfrowego (e-mail, Slack lub WhatsApp), domyślnie musi być traktowana jako niezweryfikowana.
Opowiadam się za tym, co nazywam zasadą weryfikacji wielokanałowej. Są to ramy proceduralne, w których każde działanie o wysokim znaczeniu — zmiana danych bankowych, zatwierdzenie dużego przelewu lub udostępnienie wrażliwych danych pracowników — wymaga weryfikacji w dwóch niepowiązanych ze sobą kanałach komunikacji.
Jak wdrożyć procesy weryfikacji
- Zasada pozapasmowa (Out-of-Band): Jeśli prośba o zmianę faktury przychodzi e-mailem, musi zostać potwierdzona pod znanym numerem telefonu lub podczas wcześniej umówionego spotkania osobistego.
- Wspólne hasła: Należy odejść od pytań bezpieczeństwa opartych na wiedzy publicznej. Warto wprowadzić „wewnętrzne hasła” dla zespołu finansowego, zmieniane co kwartał.
- Tokeny wizualne: Podczas rozmowy wideo poproś drugą osobę o obrócenie głowy lub pomachanie konkretnym przedmiotem. Obecne deepfake'i działające w czasie rzeczywistym często mają problemy z widokiem profilu i okluzją (przesłanianiem obiektów).
Budowa tych procesów nie wymaga drogiego oprogramowania, ale wymaga zmiany kulturowej. Często można odnotować znaczne oszczędności na usługach prawnych i zgodności, wzmacniając te procesy wewnętrzne przed wystąpieniem naruszenia, zamiast płacić za usuwanie jego skutków.
Budowa defensywnego stosu technologicznego
Podczas gdy proces jest pierwszą linią obrony, potrzebują Państwo również narzędzi, które dostrzegą to, co umyka ludzkiemu oku. Analizując koszty wsparcia IT, należy szukać dostawców oferujących bezpieczeństwo poczty e-mail oparte na AI. Narzędzia takie jak Abnormal Security czy Darktrace wykorzystują „defensywną AI” do budowania wzorca tego, jak wygląda „normalna” komunikacja w Państwa firmie. Gdy przychodzi e-mail, który pasuje do tonu prezesa, ale pochodzi z nietypowego adresu IP lub zawiera subtelną zmianę językową, AI flaguje go, zanim trafi do skrzynki odbiorczej.
Przepływ faktur „Zero-Trust”
Większość oszustw związanych z fakturami zdarza się, ponieważ ufamy dokumentowi, który mamy przed sobą. Faktura wygenerowana przez AI może wyglądać identycznie jak szablon Państwa dostawcy. Solidna strategia wdrożenia AI w małych firmach powinna obejmować zautomatyzowane uzgadnianie faktur. Narzędzia wykorzystujące OCR (optyczne rozpoznawanie znaków) do porównywania każdego pola na przychodzącej fakturze z „głównym rekordem” poprzednich transakcji mogą wychwycić subtelne zmiany w numerach IBAN, które zabiegany człowiek mógłby przeoczyć.
Ekonomia ryzyka: ubezpieczenie a prewencja
Jestem zwolennikiem radykalnej szczerości: nigdy nie będą Państwo w 100% bezpieczni. Dlatego transfer ryzyka jest kluczowym elementem strategii. Jednak rynek ubezpieczeń biznesowych się zmienia. Ubezpieczyciele pytają teraz konkretnie o Państwa środki obronne przed AI. Jeśli nie potrafią Państwo wykazać wdrożenia „zasady weryfikacji wielokanałowej” lub procesu weryfikacji „pozapasmowej”, składki mogą gwałtownie wzrosnąć — lub, co gorsza, roszczenie może zostać odrzucone z powodu „rażącego niedbalstwa”, jeśli padną Państwo ofiarą deepfake'a.
Paradoks lęku przed automatyzacją
Zauważam powtarzający się wzorzec: firmy, które najbardziej wahają się przed wdrożeniem AI w celu rozwoju, są często tymi najbardziej podatnymi na oszustwa z wykorzystaniem AI. Dlaczego? Ponieważ nadal polegają na ręcznych, powierzchownych procesach, które sztucznej inteligencji niezwykle łatwo jest naśladować.
Przyjmując narzędzia AI do własnych operacji — takie jak zautomatyzowana księgowość i bezpieczne platformy komunikacyjne — w rzeczywistości wzmacniają Państwo swoją firmę. Przechodzą Państwo z modelu opartego na zaufaniu (który jest kruchy) do modelu opartego na weryfikacji (który jest odporny).
Państwa plan działania na poniedziałek rano
Nie pozwólcie, aby złożoność AI Państwa sparaliżowała. Zacznijcie od tych trzech konkretnych kroków:
- Audyt procesu płatności: Kto ma uprawnienia do zmiany danych bankowych? Upewnijcie się, że weryfikacja „pozapasmowa” jest spisaną polityką, a nie tylko sugestią.
- Edukacja zespołu w zakresie „dryfu syntetycznego”: Pokażcie im przykłady deepfake'ów audio. Upewnijcie się, że wiedzą, iż „głos brzmiący jak szef” nie jest już dowodem tożsamości.
- Sprawdzenie stosu IT: Porozmawiajcie z dostawcą IT o „Wykrywaniu i reagowaniu na zagrożenia tożsamości” (ITDR). Jeśli nie wiedzą, co to jest, być może nadszedł czas, aby rozejrzeć się za nowym partnerem.
Okno na przejście od „ślepego zaufania” do „zweryfikowanych operacji” szybko się zamyka. Przestępcy już wdrożyli AI. Czas, aby Państwo zrobili to samo — w celach defensywnych.
