Aarti Samani, Shreem Growth Partnersin perustaja ja toimitusjohtaja – Haastattelusarja

Aarti Samani, Shreem Growth Partnersin perustaja ja toimitusjohtaja, on teknologiajohtaja ja AI-strategi, jolla on yli kaksi vuosikymmentä kokemusta kasvun edistämisestä AI:n, digitaalisen identiteetin ja biometrisen turvallisuuden parissa. Hän on toiminut johtavissa rooleissa iProovissa ja Digital Surgeryssä (jonka Medtronic hankki), johtaen globaaleja tuote- ja markkinointistrategioita ja turvaten merkittäviä rahoituskierroksia. Hän on usein BBC:n kommentaattori ja puhuja globaaleilla tapahtumilla, kuten Money 20/20 ja CogX Festival, ja neuvoo hallituksia ja johtajia AI-eetiikasta, hallinnosta ja riskeistä, auttaen organisaatioita rakentamaan luottamusta ja kestävyyttä tekoälyajan aikana.

Shreem Growth Partners auttaa organisaatioita suojaamaan itsensä syväväärennyspetoksilta ja tekoälyohjatuilta henkilöllisyyden väärinkäytöiltä keskittymällä puolustuksen inhimilliseen kerrokseen. Räätäloidulla koulutuksella, johtajan esittelyillä, haavoittuvuusanalyysillä ja strategisilla konsultoinneilla yritys varustaa tiimejä ja johtajia tunnistamaan, reagoimaan ja estämään manipulaatioryhmiä. Lisäämällä tietoisuutta, valmiutta ja kulttuurista kestävyyttä, Shreem antaa organisaatioille mahdollisuuden suojella identiteettiään, mainettaan ja työvoimaansa kehittyviltä tekoälyuhilta.

Perustit Shreem Growth Partnersin sen jälkeen, kun olet toiminut johtavissa rooleissa iProovissa, Medtronic Digital Surgeryssä ja muissa tekoälyohjatuissa yrityksissä. Mikä innoitti sinua perustamaan yrityksen, joka on omistautunut erityisesti syväväärennyspetoksen kestävyydelle?

ChatGPT:n julkaisun jälkeen loppuvuonna 2022 näimme räjähdysmäisen kasvun tekoälyohjatuissa mediavälineissä, jotka pystyvät kloonaamaan ääniä ja kasvoja muutamassa minuutissa. Useimmat organisaatiot pitivät niitä luovien kiihdyttimienä suunnittelussa ja markkinoinnissa. Mutta rikolliset näkivät uuden mahdollisuuden vaikuttavampiin sosiaalisiin insinööritöihin.

Syväväärennykset muodostuivat nopeasti petosten välineeksi, joilla rikolliset manipuloivat ihmisiä. Turvallisuustiimit vastasivat siihen investoimalla havaitsemisteknologiaan, mutta havaitseminen yksinään ei voi ratkaista ongelmaa, joka on juurtunut ihmisten luottamukseen. Psykologia oli alan sokea piste.

Tuo oivallus johti minun perustamaan Shreem Growth Partnersin, yrityksen, joka on omistautunut syväväärennyspetoksen kestävyyden rakentamiselle tietoisuuden, simulaation ja kognitiivisen kestävyyden kautta. Ihmisten kykyä ajatella kriittisesti ja vastustaa manipulaatiota on avain tämänkaltaisen petoksen lieventämiseen.

IProovissa sinä toimitti eturintamassa kasvokuvien biometriikassa ja identiteetin verifioinnissa. Miten se kokemus paljasti syväväärennysten kasvavan uhan, jonka ne muodostavat todennusjärjestelmille?

IProovin tuote- ja markkinointijohtajana auttin tuomassa biometrisen kasvon tunnistamisen turvallisuudenherkkien organisaatioiden käyttöön sekä julkisella että yksityisellä sektorilla. Nämä instituutiot ovat jatkuvasti kohteena järjestäytyneelle kyberrikollisuudelle. Heidän vastustajansa ovat älykkäitä, hyvin rahoitettuja ja varustettuja viimeisimmällä teknologialla.

Aloimme nähdä yrityksiä ohittaa biometrisiä järjestelmiä syväväärennyksillä, jotka oli tehty varastetuista identiteeteistä. Koska iProov toimi pilvipalveluna, voimme havainnoida näitä hyökkäyksiä reaaliajassa ja analysoida, miten kunkin hyökkäyksen versio kehittyi. Tuli selväksi, että rikolliset oppivat nopeammin kuin markkina sopeutui.

Se kokemus antoi minulle sisäisen näkymän syväväärennyspetoksen kehitykseen ja syvän ymmärryksen siitä, miten luovuus ja psykologia ohjaavat kyberrikollisuutta. Sama ymmärrys rikollisen mielenlaadusta ohjaa nyt työtäni syväväärennyspetoksen kestävyyden parissa.

Syväväärennykset käytetään yhä enemmän johtajien henkilöllisyyden väärinkäytöksiin, äänen kloonaamiseen ja sosiaalisiin insinööritöihin. Mitä skenaarioita sinä näet useimmin kenttätyössä tänään?

On aina helpompaa päästä sisään sosiaalisen insinöörityön kautta kuin murtamalla turvallisuusjärjestelmiä. Kun ihmiset tulevat tietoisiksi perinteisistä huijauksista, rikolliset kääntyvät uusiin tavoisiin manipuloida luottamusta.

Syväväärennysteknologia on muodostunut voimakkaimmaksi sosiaalisen insinöörityön työkaluksi, jonka olemme koskaan nähneet. Se mahdollistaa tekijöille luoda realistisia luottamuksen signaaleja: aidon näköisiä kasvoja, ääniä ja kertomuksia, jotka ohittavat ihmisen arvostelukyvyn.

Rikollisen etu ei rajoitu vain johtajien henkilöllisyyden väärinkäyttöön tai maksuihin. Kohdetta ovat yhä enemmän immateriaalioikeudet, arkaluontoiset tiedot ja pääsykoodit. Kouluttamalla tekoälyagentteja ja antamalla niille kloonaamia ääniä, petoksia voidaan toteuttaa laajassa mittakaavassa, nopeasti ja tarkasti. Se on uhkakuva, johon olemme siirtymässä.

Mikä erottaa syväväärennyspetoksen kestävyysohjelman perinteisestä kyberturvallisuudesta tai anti-phishing-koulutuksesta?

Kyberturvallisuuskoulutus, jonka tunnemme, luotiin 2000-luvun alussa, kun internet ja kaupallinen tietokoneistus olivat edelleen muotoutumassa. Siitä lähtien sisältö on kehittynyt täyttämään vaatimukset, ja fokus on ollut LMS-alustoilla ja gamifikaatiolla osallistumisen kannalta. Mutta uhkakuvat ovat edenneet.

Nykyinen petos on älykäs, luova ja psykologisesti suunniteltu. Rikolliset käyttävät tekoälyä samalla tavoin kuin akatemia tai yritys. Koulutuksen on siis oltava enemmän kuin vain noudattaminen, se on mentävä kognition puolelle.

Syväväärennyspetoksen kestävyyden koulutus ei voi rajoittua siihen, onko joku klikannut linkkiä. Se on opettava ihmisiä ajattelemaan kriittisesti, kyseenalaistamaan kasvojen ja äänien aitoutta, joita he kohtaavat, ja tunnistamaan, miten helppoja havaintoja voidaan manipuloida.

Yhtä suuri paino on asetettava kognitiiviseen kestävyyteen. Korkeat tunteet, häiriintyneet mieli ja jatkuva moniajo heikentävät kriittistä ajattelua. Rakentamalla kognitiivista kestävyyttä koulutetaan työntekijöitä ylläpitämään emotionaalista tasapainoa ja analyysia, ja pysymään valppaina. Se on juuri se mielentila, jota tarvitaan manipulaation vastustamiseen.

Yrityksesi tarjoaa syväväärennyshaavoittuvuusanalyysiä ja pöytäharjoituksia. Voitko kuljettaa meidät läpi yhden näistä simulaatioista ja kertoa, mitä näkökulmia asiakkaat yleensä saavat?

Haavoittuvuusanalyysissamme ja pöytäharjoituksissa jäljitämme uusimmat syväväärennysmahdollistamat hyökkäysvektorit, jotka perustuvat todellisiin tapauksiin. Yleisiä skenaarioita ovat esimerkiksi väärä työnhakija, joka käyttää kloonaamaa identiteettiä, IT-avustus, joka on mukautettu palauttamaan monenkerroksisen todennuksen tunnistetta, tai videopuhelu, jossa on tekoälyllä luotu hahmo, joka vakuuttaa henkilöstöä lataamaan haitallista ohjelmistoa.

Nämä simulaatiot paljastavat, miten ihmiset reagoivat paineen alla, ja paljastavat sokeat kohdat viestinnässä, prosesseissa ja vastemuodostusmenetelmissä. Johtajat usein löytävät puuttuvan asiantuntemuksen ja epäselvän omistajuuden. Tulokset johtavat yleensä jatkuvaan kestävyysohjelmaan, joka vahvistaa petoskirjallisuutta, prosessien ja kulttuurin muutosta sekä kriisin valmiutta koko organisaatiossa.

Usein puhut ihmislähtöisestä riskienhallinnasta. Miten yritykset voivat valvoa työntekijöitään havaitsemaan ja vastustamaan syväväärennysmanipulaatiota, sen sijaan, että vain luottaisivat teknisiin työkaluihin?

Syväväärennykset hyödyntävät samaa hermostollista piiriä, joka auttaa meitä arvioimaan luottamusta ja emotionaalisuutta. Aivot ovat ohjelmoitu priorisoimaan visuaalisia ja kuuloaistimellisia vihjeitä, koska ne ovat ensimmäiset aistimme, jotka kehittyvät. Mutta meillä ei ole vielä evoluutio luonut kykyä kyseenalaistaa näitä vihjeitä vaan meidän on opittava ja jatkuvasti vahvistettava tuo taito.

Yritykset voivat valvoa työntekijöitään kouluttamalla heitä kohtelemaan digitaalista vuorovaikutusta varovasti ja uteliaasti. Kun olemme puhelimessa tai videopuhelussa, olemme vuorovaikutuksessa artefaktin kanssa. Se artefakti voi olla todellinen ihminen, joka on heijastettu ruudulle, tai se voi olla tekoälyllä luotu.

Ainoa puolustus on aktiivinen verifiointi: kysymällä oikeat kysymykset, tarkistamalla yksityiskohtia ja huomaamalla epäjohdonmukaisuuksia kertomuksessa. Uusi mantra on yksinkertainen – nolla luottamus, aina verifioi.

Syväväärennykset hämärtävät rajaa disinformaation ja petoksen välillä. Miten johtajat voivat valmistautua maine- ja toimintakriiseihin, jotka johtuvat synteettisistä medialaisten tapahtumista?

Johtoryhmien on kohdattava syväväärennystapahtumia ydinliiketoimintariskinä, eikä hypoteettisena. Jokaisen johtajan pöydällä on tiedettävä roolinsa, kun kriisi syntyy.

Kuten hallitukset tarkastavat riskirekisteriä, heidän on myös tarkasteltava vastausstrategioita, ja ne eivät voi olla staattisia. Uhkakuvat kehittyvät liian nopeasti. Strategiat tarvitsevat stressitestien kautta testaamista ja päivittämistä vähintään kahdesti vuodessa, mieluiten seuraten pöytäharjoitusta, joka simuloi todellisen tapahtuman.

Syväväärennyskriisit eivät yleensä asetu kauniisti yhden toiminnon alle. Ne vaativat koordinointia viestintän, oikeudellisen, turvallisuuden ja HR:n välillä. Organisaatiot, jotka vastaavat parhaiten, ovat niitä, joiden johtajat harjoittelevat yhteistyötä ennen todellista tapahtumaa.

On myös psykologinen kustannus, kun työntekijät tai johtajat joutuvat vakuuttavien syväväärennysten kohteiksi. Mitä tukitoimia tai protokollia organisaatioiden tulisi olla paikallaan osoittamaan ihmisten vaikutukselle?

”Huijaus häpeä” on vältettävä kaikin keinoin. Organisaatioiden on rakennettava psykologisen turvallisuuden kulttuuri jo ennen tapahtumaa. Kun työntekijät tai johtajat joutuvat syväväärennysten kohteiksi, kokemus voi tuntua hyökkäykseltä. Menetetty hallinta omasta kuvasta, äänestä ja digitaalisesta identiteetistä.

Vastaus on sekä proseduraalinen että inhimillinen. Selkeät ilmoitusprotokollat tulisi olla rinnakkain mielenterveyden tukemisen, luottamuksellisten debriefien ja pääsyn digitaalisiin forensisiin tutkimuksiin, jotta yksilöt ymmärtävät, mitä tapahtui.

Johtajat asettavat sävyn. Kun johtajat puhuvat avoimesti manipulaatiosta ja toipumisesta, se poistaa stigmaa ja rohkaisee avoimuutta. Se avoimuus on se, joka muuttaa yksilöllisen haavoittuvuuden kollektiiviseksi kestävyydeksi.

Kun olet konsulttiyhtiön perustaja tässä alalla, mitkä ovat suurimmat huolesi siitä, kuinka nopeasti generatiivinen tekoäly on kehittymässä – ja missä näet seuraavan aallon syväväärennyskykyjen ilmaantuvan?

Generatiivinen tekoäly on kehittymässä poikkeuksellisen nopeasti. Itse kehitys ei ole huolenaihe. Todellinen riski piilee sen nopeassa omaksumisessa ja kiinnittymisessä arkipäiväisiin liiketoimintaprosesseihin. Uhkien hallinnan ja tietoisuuden tahti ei ole pysynyt mukana. Se ero uhkan ja kestävyyden välillä on juuri se, mihin petkuttajat voimistuvat, syväväärennykset ollessa heidän tehokkain välineensä.

Jokainen uusi innovaatio muodostuu uudeksi pinnaksi hyökkäyksille. Tällä hetkellä tekoälyagentit edustavat kasvavaa riskiä. Yhdistettynä syväväärennysteknologiaan ne voivat suorittaa petoksia laajassa mittakaavassa, nopeasti ja tarkasti, mitä mikään ihmisuhka ei voi saavuttaa.

Toisaalta, mitkä teknologiat tai yhteistyöhön perustuvat ponnistelut antavat sinulle toivoa, että voimme pysyä edellä syväväärennyspetoksia ja disinformaatiota?

Se, että tämä keskustelu tapahtuu arvostetussa julkaisussa, on itsessään edistysaskel. Se osoittaa, että innovaattorit, sääntelijät, media ja yritykset kaikki ovat voimakkaasti vaikuttuneita disinformaatiosta.

Se, mikä antaa minulle toivoa, on kasvava halu yhteistyöhön. Syväväärennyskestävyys ei tule yhdestä työkalusta tai yhdestä organisaatiosta, vaan jaetusta tiedosta. Opien vaihtamaan tietoa ja kouluttamaan yhteisöä yhtä tehokkaasti kuin rikolliset tekevät.

Meidän on vielä opittava, miten se yhteistyö tapahtuu, mutta intentio on olemassa. Ja se kollektiivinen intentio on se, mikä lopulta palauttaa luottamuksen.

Kiitos hienosta haastattelusta, lukijat, jotka haluavat oppia lisää, voivat vierailla Aarti Samanin sivustolla.