Leta sem lastnikom podjetij govoril, da največje tveganje pri uvajanju UI v mala podjetja, s katerim se soočajo, ni to, da bi jih nadomestil robot – temveč to, da jih bo prehitel konkurent, ki UI uporablja bolje. Toda v zadnjem času se je pojavila temačnejša realnost. Isti generativni orodji, ki ju uporabljamo za pisanje e-pošte in kode, zlonamerni akterji spreminjajo v orožje za ustvarjanje visokokakovostnih sintetičnih prevar. Če še niste razmišljali o »defenzivni UI«, dejansko puščate vrata svojega trezorja na stežaj odprta, medtem ko se osredotočate na posodobitev pisarniške razsvetljave.
Večina malih in srednjih podjetij (MSP) deluje v tem, kar imenujem »območje Zlatolaske« za prevare. Imate dovolj denarnega toka in digitalnega obsega, da ste donosna tarča, vendar nimate centrov za varnostne operacije s proračunom £50.000 na mesec, ki ščitijo podjetja s seznama FTSE 100. Ta vrzel je točno tam, kjer uspevajo s UI podprto ribarjenje (phishing) in fakturiranje z globokimi ponaredki (deepfakes). V tem vodniku vam bom pokazal, kako to vrzel zapreti, ne da bi obremenili svoj proračun.
Vzpon sintetične prevare
💡 Želite, da Penny analizira vaše podjetje? Načrtuje, katere vloge lahko umetna inteligenca nadomesti, in sestavi načrt po fazah. Začnite z brezplačnim preizkusom →
Zapuščamo obdobje e-poštnih sporočil »nigerijskih princev« v polomljeni angleščini. Danes na področju groženj prevladuje sintetična prevara. Z uporabo velikih jezikovnih modelov (LLM) lahko goljuf pridobi podatke z vašega profila LinkedIn, spletne strani vašega podjetja in vaših javnih intervjujev, da ustvari e-poštno sporočilo, ki zveni natanko tako kot vi.
Še bolj srhljiv je vzpon zvočnih in video globokih ponaredkov. V zadnjem mesecu sem govoril z dvema lastnikoma podjetij, ki sta prejela »glasovna sporočila« svojih poslovnih partnerjev z zahtevo po nujnih spremembah plačilnih podatkov. Glasova sta bila popolna. Kadenca je bila pravilna. Edini razlog, da nista izvedla plačila, je bil slab občutek, da je bila zahteva rahlo nenavadna za tisto osebo. Zanašanje na »dober občutek« ni razširljiva varnostna strategija.
Večkanalni mandat: Nov okvir za zaupanje
V svetu, kjer je UI na prvem mestu, moramo sprejeti kruto resnico: Digitalno identiteto je zdaj trivialno ponarediti. Če zahteva pride prek enega samega digitalnega kanala (e-pošta, Slack ali WhatsApp), jo je treba privzeto obravnavati kot nepreverjeno.
Zavzemam se za to, kar imenujem Večkanalni mandat. Gre za procesni okvir, kjer vsako dejanje z velikim vplivom – spreminjanje bančnih podatkov, odobritev velikega nakazila ali deljenje občutljivih podatkov o zaposlenih – zahteva preverjanje prek dveh nepovezanih komunikacijskih kanalov.
Kako implementirati delovne procese za preverjanje
- Pravilo izvenpasovne komunikacije (Out-of-Band): Če sprememba računa pride po e-pošti, jo je treba potrditi prek znane telefonske številke ali vnaprej dogovorjenega fizičnega srečanja.
- Skupne skrivnosti: Opustite varnostna vprašanja, ki temeljijo na javno dostopnih informacijah. Za svojo finančno ekipo uporabite »notranja gesla«, ki se spreminjajo četrtletno.
- Vizualni žetoni: Ko ste na video klicu, prosite drugo osebo, naj obrne glavo ali zamahne s specifičnim predmetom. Trenutni globoki ponaredki v realnem času imajo pogosto težave s profilnimi pogledi in prekrivanjem predmetov.
Gradnja teh delovnih procesov ne zahteva drage programske opreme, zahteva pa kulturni premik. Pogosto lahko dosežete znatne prihranke pri pravnih storitvah in skladnosti, če te notranje procese utrdite pred nastankom kršitve, namesto da bi plačevali za sanacijo škode kasneje.
Izgradnja vašega defenzivnega tehnološkega sklada
Čeprav so procesi vaša prva obrambna linija, potrebujete tudi orodja, ki opazijo tisto, kar človeško oko spregleda. Ko ocenjujemo stroške IT podpore, bi morali iskati ponudnike, ki ponujajo varnost e-pošte na podlagi UI. Orodja, kot sta Abnormal Security ali Darktrace, uporabljajo »defenzivno UI« za vzpostavitev izhodišča, kako izgleda »običajna« komunikacija v vašem podjetju. Ko prispe e-pošta, ki ustreza tonu vašega izvršnega direktorja, vendar prihaja z nenavadnega IP naslova ali vsebuje subtilno jezikovno spremembo, jo UI označi, še preden pride v vaš poštni predal.
Delovni proces »ničelnega zaupanja« pri računih
Večina prevar z računi se zgodi zato, ker zaupamo dokumentu pred nami. Račun, ki ga ustvari UI, je lahko videti identičen obliki vašega dobavitelja. Robustna strategija uvajanja UI v mala podjetja bi morala vključevati avtomatizirano usklajevanje računov. Orodja, ki uporabljajo OCR (optično prepoznavanje znakov) za primerjavo vsakega polja na prejetem računu z »zlatim zapisom« prejšnjih transakcij, lahko ulovijo subtilne spremembe v številkah IBAN, ki bi jih zaposlen človek lahko spregledal.
Ekonomika tveganja: Zavarovanje proti preventivi
Sem velik zagovornik popolne iskrenosti: nikoli ne boste 100-odstotno varni. Zato je prenos tveganja ključni del strategije. Vendar se trg za poslovno zavarovanje spreminja. Zavarovalnice zdaj specifično sprašujejo o vaših obrambnih ukrepih proti UI. Če ne morete dokazati »večkanalnega mandata« ali procesa preverjanja prek drugega kanala, se lahko zgodi, da bodo vaše premije poletele v nebo – ali še huje, da bo vaš zahtevek zavrnjen zaradi »hude malomarnosti«, če nasedete globokemu ponaredku.
Paradoks tesnobe pred avtomatizacijo
Opazujem ponavljajoč se vzorec: podjetja, ki najbolj oklevajo pri uporabi UI za rast, so pogosto tista, ki so najbolj ranljiva za prevare s pomočjo UI. Zakaj? Ker se še vedno zanašajo na ročne, pomanjkljive procese, ki jih UI zlahka posnema.
S sprejetjem orodij UI za lastne operacije – kot so avtomatizirano knjigovodstvo in varne komunikacijske platforme – dejansko utrdite svoje podjetje. Premaknete se z modela, ki temelji na »zaupanju« (ki je krhek), na model, ki temelji na »preverjanju« (ki je odporen).
Vaš akcijski načrt za ponedeljkovo jutro
Naj vas kompleksnost UI ne paralizira. Začnite s temi tremi specifičnimi koraki:
- Revidirajte svoj plačilni proces: Kdo ima pooblastilo za spreminjanje bančnih podatkov? Zagotovite, da je »izvenpasovno« preverjanje zapisano kot pravilo podjetja, ne le kot predlog.
- Izobražujte svojo ekipo o »sintetičnem odklonu«: Pokažite jim primere zvočnih globokih ponaredkov. Poskrbite, da vedo, da to, da nekdo »zveni kot šef«, ni več dokaz identitete.
- Preverite svoj IT sklad: Pogovorite se s svojim ponudnikom IT o »zaznavanju in odzivanju na grožnje identiteti« (ITDR). Če ne vedo, kaj je to, je morda čas, da poiščete novega ponudnika.
Okno za prehod z »slepega zaupanja« na »preverjeno poslovanje« se hitro zapira. Zlonamerni akterji so UI že posvojili. Čas je, da storite enako – defenzivno.
