Spojte se s námi

Myšlenkové vůdce

Jsou Deepfakes nové spamové hovory? Zde je návod, jak se před nimi chránit

mm
Zveřejněno

Kdybyste viděli deepfake generálního ředitele vaší společnosti, dokázali byste říct, že to nebylo skutečné? Jedná se o znepokojivý problém, se kterým se organizace po celém světě často potýkají. Vlastně jen nedávno, reklamní gigant byl terčem deepfakeu svého generálního ředitele. Veřejně dostupný obrázek vedoucího pracovníka byl použit k uspořádání schůzky Microsoft Teams, na které byl nasazen hlasový klon uvedeného vedoucího pracovníka – pocházející z videa YouTube. I když byl tento konkrétní útok neúspěšný, pomocí veřejně dostupných informací vykresluje větší obrázek o vznikajících taktikách, které kyberzločinci používají – a to je jen špička ledovce.

Technologie se stala tak sofistikovanou, že jen asi polovina dnešních IT lídrů mají vysokou důvěru ve svou schopnost odhalit hluboce podvržený jejich generální ředitel. Aby toho nebylo málo, kyberzločinci se nevydávají pouze za generální ředitele, ale za celý vedoucí tým Finanční ředitelé se stávají oblíbenými cíli, také. Deepfakes je stále snadnější vytvořit. Ve skutečnosti rychlé vyhledávání Google „jak vytvořit deepfake“ vytváří různé články a návody na YouTube, jak přesně takový vytvořit. Náklady se stávají zanedbatelnými, což znamená, že deepfakes jsou v podstatě nové spamové hovory.

Spamové hovory jsou dnes až příliš běžné. Ve skutečnosti Federální komise pro komunikace (FCC) tvrdí, že američtí spotřebitelé dostávají přibližně 4 miliardy robotických hovorů měsíčněa pokrok v technologii je činí extrémně levnými a vysoce lukrativními, a to i s nízkou úspěšností. Deepfakes následují příklad. Kyberzločinci využijí technologii deepfake k oklamání nic netušících zaměstnanců ještě více než dnes. deepfakes se nakonec stanou pro běžného spotřebitele každodenní záležitostí. Pojďme prozkoumat strategie, které mohou lídři implementovat, aby co nejlépe ochránili svou organizaci, zaměstnance a zákazníky před těmito hrozbami.

Stanovte si přísná pravidla

Za prvé, lídři musí v rámci své organizace stanovit přísná pravidla. Tyto pokyny musí přijít úplně shora, počínaje generálním ředitelem, a musí být často sdělovány. Například generální ředitel musí celé společnosti důrazně vysvětlit, že nikdy nepodají zaměstnanci zvláštní nebo náhodný požadavek, jako je nákup několika dárkových karet v hodnotě 100 USD – častá taktika phishingu. Tyto útoky jsou často úspěšné, protože přicházejí z místa vedení a nejsou zpochybňovány. Jak se však deepfakes generálních ředitelů stávají běžnějšími, stále více si uvědomujeme, že ve skutečnosti nejsou skutečné. V důsledku toho očekávám, že se propracují dolů v organizaci a budou zahrnovat viceprezidenty, ředitele, přední manažery a dokonce i kolegy.

Jen si pomyslete: to, že vás o něco požádá partner nebo váš přímý manažer, je docela běžné. Proč byste měli mít důvod to zpochybňovat? Pokyny mohou také souviset s používáním těchto deepfake nástrojů ve vaší organizaci, včetně zákazu jejich použití na technologii vlastněné společností. Nastavení těchto vodítek a mantinelů je jen prvním krokem.

Potvrďte požadavky prostřednictvím více kanálů

Zadruhé, když je třeba vznést požadavky, měla by existovat strategie, která je potvrdí prostřednictvím více způsobů komunikace. Příkladem může být, že pokud požadavek přijde od generálního ředitele, bude tento požadavek sdílen e-mailem a bude zahrnovat i následnou kontrolu prostřednictvím platformy pro rychlé zasílání zpráv používané na pracovišti. Pokud nedojde k žádným následným krokům, zaměstnanec by měl požadavek buď ignorovat, nebo jej sám proaktivně potvrdit přes Slack a poté informovat interní bezpečnostní týmy podle jejich bezpečnostní politiky. Podobně je možná žádost podána prostřednictvím schůzky Teams, podobně jako u reklamní společnosti deepfake. Tento požadavek pak musí mít potvrzení e-mailem a/nebo potvrzení Slack. Ještě lépe, potvrzení prostřednictvím rychlého telefonního hovoru, pokud není možné jít k jejich fyzickému stolu. Tyto procesy by měly být často sdělovány celé organizaci, aby se o nich mluvilo. Poté, když je znám pokus, zaveďte proces sdílení příkladu široce v celé organizaci, abyste vytvořili rozpoznávání typů hrozeb, kterých by si měl být každý vědom.

Pořádejte časté tréninky

Zatřetí, organizace by měly provádět častá celopodniková školení, aby udržely v popředí mysli zaměstnanců deepfakes a další typy útoků na podvody s identitou. Ty jsou užitečné z několika důvodů. Zaměstnanec nemusí ani vědět, co je deepfake, nebo vědět, že hlasy a videa mohou být falešné. Zaměstnanci se navíc mohou odklánět od myšlení „sejde z očí, sejde z mysli“ – pokud nebudou mít hluboké faleš na mysli, mohou se snadno stát obětí útoku. Výzkum ukazuje že zaměstnanci, kteří absolvovali školení v oblasti kybernetické bezpečnosti, prokázali výrazně zlepšenou schopnost rozpoznat potenciální kybernetické hrozby.

Deepfakes nikam nevedou a jsou stále častější a obtížněji odhalitelné. Stanovením pokynů, ověřováním požadavků více cestami a implementací konzistentního školení napříč vaší organizací však můžeme být lépe připraveni a chránit se před těmito hrozbami. V rostoucím digitálním světě bude naše snaha méně důvěřovat a více ověřovat zásadní pro zachování bezpečnosti a integrity naší digitální identity.

Související témata:
mm

Jason Oeltjen je viceprezidentem produktového managementu ve společnosti Ping identita. Za posledních 20 let Jason vedl inženýrské, podpůrné a produktové organizace ve společnostech od raných startupů až po Fortune 500. V poslední době pracoval na řešeních cloudové identity se zaměřením na vytváření jednoduchých cloudových řešení pro řešení složitých bezpečnostních problémů podnikové identity.