Johtokuilu: Miksi tietohallintojohtajat kamppailevat puhuakseen deepfakeistä – ja miten asia tulisi kehystää

Kyberturvallisuus on siirtymässä käännekohtaan tekoälyn laajamittaisen käyttöönoton myötä yrityksissä, hallituksissa ja yksityishenkilöissä. 82% Yhdysvalloissa yrityksistä, jotka joko käyttävät tai tutkivat tekoälyn käyttöä liiketoiminnassaan, organisaatiot avaavat uusia tehokkuusmahdollisuuksia, mutta niin tekevät myös hyökkääjät. Samat innovaatioita vauhdittavat työkalut mahdollistavat myös uhkatoimijoille synteettisen sisällön luomisen hälyttävän helposti ja realistisesti. Tämä uusi todellisuus on tuonut mukanaan merkittäviä haasteita, mukaan lukien kyvyn luoda synteettistä sisältöä (kuvia, ääntä ja videota) ja haitallisia deepfakeja (manipuloitua ääntä, videota tai kuvaa, jota käytetään todellisen henkilön esittämiseen) ennennäkemättömällä nopeudella ja hienostuneisuudella. Vain muutamalla napsautuksella kuka tahansa, jolla on pääsy tietokoneeseen ja internetiin, voi manipuloida kuvia, ääntä ja videoita, mikä tuo epäluottamusta ja epäilyksiä tiedon maailmaan. 

Aikakaudella, jolloin yritykset, hallitukset ja mediaorganisaatiot ovat riippuvaisia digitaalisesta viestinnästä elantonsa saamiseksi, ei ole sijaa virheille aliarvioidessa syväväärennösten, synteettisten identiteettipetosten ja henkilöllisyyden anastamisen aiheuttamia riskejä. Nämä uhat eivät ole enää hypoteettisia – syväväärennöksiin perustuvien yrityspetosten aiheuttamat taloudelliset tappiot ylitettiin. 200 miljoonaa dollaria pelkästään vuoden 1 ensimmäisellä neljänneksellä, mikä korostaa ongelman laajuutta ja kiireellisyyttä. Uusi uhkakuva vaatii uudenlaista lähestymistapaa kyberturvallisuuteen, ja tietoturvajohtajien on toimittava nopeasti varmistaakseen yrityksensä turvallisuuden. Uuden pääoman pyytäminen ja organisaation uhka-altistuksen selkeä viestiminen johtoryhmälle, jolla on vaihteleva tietämys syväväärennösten uhan vakavuudesta, voi kuitenkin olla pelottavaa. Syväväärennöshyökkäysten kehittyessä ja muotoutuessa jokaisen tietoturvajohtajan on oltava eturintamassa tuomassa tätä keskustelua johtokuntahuoneeseen. 

Alla on viitekehys, jonka avulla tietohallintojohtajat ja johto voivat helpottaa sidosryhmäkeskusteluja hallituksen, organisaation ja yhteisön tasolla. 

Käytä tuttuja viitekehyksiä: Syvähuijaukset edistyneenä sosiaalisen manipuloinnin keinona

Hallitukset on totutettu ajattelemaan kyberturvallisuutta tutuin termein: tietojenkalastelusähköpostit, kiristysohjelmahyökkäykset ja uhkaava kysymys siitä, joutuuko heidän yrityksensä tietomurron kohteeksi. Tämä ajattelutapa muokkaa sitä, miten he priorisoivat uhkia ja mihin he kohdistavat turvallisuusbudjetteja. Mutta tekoälyn luoman sisällön, erityisesti deepfake-sisältöjen, kohdalla ei ole sisäänrakennettua viitekehystä. Deepfake-sisältöjen asettaminen erilliseksi, uutena uhkana johtaa usein hämmennykseen, skeptisyyteen tai toimimattomuuteen.

Tämän torjumiseksi tietoturvajohtajien tulisi ankkuroida keskustelu johonkin, minkä hallitukset jo ymmärtävät: sosiaaliseen manipulointiin. Syvähuijausuhka ei ole pohjimmiltaan täysin uusi; se on kehittynyt ja vaarallisempi tietojenkalastelun muoto, joka on ollut alalla jo vuosia ja on edelleen ykkösenä. hyökkäys vektori sosiaalisen manipuloinnin keinot. Hallitukset tunnustavat jo tietojenkalastelun uskottavana riskinä ja hyväksyvät mielellään resursseja sitä vastaan puolustautumiseen. Monessa suhteessa syvähuijaukset edustavat vakuuttavampaa, skaalautuvampaa ja tehokkaampaa sosiaalisen manipuloinnin muotoa, joka kohdistaa hyökkäykset sekä organisaatioihin että yksilöihin tuhoisalla tarkkuudella. 

Kehystys deepfakes Tällä tavoin tietoturvajohtajat voivat hyödyntää olemassa olevaa koulutusta, budjettikohtia ja institutionaalista lihasmuistia. Uusien resurssien pyytämisen sijaan he voivat muotoilla pyynnön uudelleen jo hyväksyttyjen tietoturvainvestointien kehityksenä. Mitä enemmän tietoturvajohtajat voivat nojata tähän narratiiviin, sitä todennäköisemmin heille myönnetään resursseja tämän suuremman ja välittömän ongelman ratkaisemiseen. 

Ankkuroi riski realismiin, älä sensaatiohakuisuuteen

Tosielämän esimerkkien mainitseminen on loistava tapa syventää hallituksen ymmärrystä siitä, miten deepfake-uhkat voivat vaikuttaa organisaatioihin. On kuitenkin tärkeää miettiä, mitä esimerkkejä tietohallintojohtajat esittävät hallituksille, sillä niillä voi olla päinvastainen vaikutus. Tunnetut tarinat, kuten 25 miljoonan dollarin suuruinen tilisiirtopetostapaus Hongkongissa päästävät hienoihin otsikoihin, mutta ne voivat kääntyä itseään vastaan johtokunnassa. Nämä äärimmäiset esimerkit tuntuvat usein kaukaisilta tai epärealistisilta ja luovat tunteen, että "jotain näin katastrofaalista ei voisi koskaan tapahtua meille". Tämä ennakkoluulo iskee välittömästi ja poistaa kiireellisyyden tunteen investoida suojeluun. 

Sen sijaan tietoturvajohtajien tulisi käyttää helpommin samaistuttavia skenaarioita osoittaakseen, miten tämä riski voisi ilmetä sisäisesti, kuten johdon henkilöllisyyden anastamisen tai työhaastattelupetosten avulla.

Yhdessä tapauksessa Pohjois-Korean uhkatoimijat loi väärennetyn Zoom-puhelun, jossa tekoälyn luomat johtajat huijasivat kryptotyöntekijää lataamaan haittaohjelman päästäkseen käsiksi arkaluontoisiin yritystietoihin kryptovaluutan varastamiseksi. Lopulta hakkerit eivät päässeet käsiksi, mutta näiden hyökkäysten brändin eheydelle aiheuttama uhka pitäisi olla herätys yrityksen hallituksille. 

Toinen kasvava taktiikka on väärennetyt työpaikan hakijat käyttäen tekoälyn luomia identiteettejä ja syväväärennettyjä tunnistetietoja soluttautuakseen yritysorganisaatioihin. Nämä henkilöt toimivat usein yhdysvaltalaisten vastustajien, kuten Venäjän, Pohjois-Korean tai Kiinan, puolesta ja pyrkivät käsiksi arkaluonteisiin järjestelmiin ja tietoihin. Tämä suuntaus kuluttaa sisäisiä resursseja ja altistaa organisaatiot kansallisille turvallisuusriskeille ja taloudelliselle hyväksikäytölle. 

Usein nämä uhkat jäävät huomiotta. Jokaista uutisoitua esimerkkiä kohden kymmeniä uhkia jää raportoimatta, mikä vaikeuttaa uhkan laajuuden kokonaisvaltaista ymmärtämistä. Mitä arkipäiväisempi hyökkäys, sitä häiritsevämmäksi – ja samaistuttavammaksi – siitä tulee. Jakamalla tällaisia esimerkkejä – realistisia, samaistuttavia ja lähempänä kotia – tietohallintojohtajat voivat juurruttaa deepfake-keskustelun jokapäiväiseen liiketoimintaan ja vahvistaa, miksi tämä kehittyvä uhka vaatii vakavaa huomiota hallitustasolla.

Yhdistä syvähuijausten torjunta olemassa oleviin sietokykymittareihin

Tietoturvajohtajilta kysytään jatkuvasti samoja kysymyksiä hallituksiltaan: Mikä on todennäköisyys joutua tietomurron kohteeksi? Missä olemme haavoittuvimpia? Miten voimme vähentää riskiä? Vaikka tietojenkalastelua, kiristysohjelmia ja tietomurtoja esiintyy edelleen, on tärkeää tuoda esiin perustavanlaatuinen muutos, joka on tapahtunut näissä haavoittuvuuksissa, ja miten ne ulottuvat nyt paljon perinteisten hyökkäyspintojen ulkopuolelle. 

HR-, talous- ja hankintatiimit – roolit, joita ei perinteisesti pidetä etulinjan puolustajina – ovat nyt usein keinotekoisen henkilöllisyyden anastamisen kohteita, ja keskivertoihmisen kyky havaita näitä uhkia on erittäin heikko. Itse asiassa, vain yksi tuhannesta ihmisestä pystyy havaitsemaan tekoälyn luomaa sisältöä tarkasti. Tietoturvajohtajien tehtävänä on nyt vastata edistyneen sosiaalisen manipuloinnin koulutuksen ja paremman kyberturvallisuusvastuun kysyntään koko organisaatiossa, sillä kaikkia organisaatiossa on koulutettava, testattava ja tiedotettava tilanteesta, jotta voidaan auttaa lieventämistoimissa. 

Syväväärennösten torjunnasta on tultava jatke koko yrityksen kattavalle sietokyvylle, ja se vaatii jatkuvaa koulutusta samalla tavalla kuin tiimejä koulutetaan tietojenkalastelusimulaatioiden, tietoturvakoulutuksen ja red team -harjoitusten avulla. Tietoturvajohtajien tulisi hyödyntää koulutusten ja simulaatioiden mittareita auttamaan asian rajaamisessa mittareilla, jotka heidän hallituksensa ymmärtävät. Jos hallitus on jo omaksunut sietokyvyn organisaation strategiseksi prioriteetiksi, syväväärennöksistä tulee luonnollinen seuraava rintama.

Tekoälyn luomat uhat eivät ole tulossa. Ne ovat jo täällä. On aika varmistaa, että hallitus on valmis kuuntelemaan ja johtamaan. Tekoälyn käyttöönoton ansiosta syväväärennösten ja identiteettiin perustuvien hyökkäysten laajuus ja tiheys ovat muuttaneet uhkakuvan arvaamattomaksi ja jatkuvasti kehittyväksi. 

Mutta hallitukset eivät tarvitse johdantoa syvähuijauksiin tai äänen kloonaukseen. Ne tarvitsevat selkeän liiketoimintakontekstin ja paremman ymmärryksen uhkista, joita ne aiheuttavat organisaatioilleen. Tietoturvajohtajien tulisi perustaa keskustelunsa riskiin, kustannuksiin ja toiminnan jatkuvuuteen. Ne, jotka mukauttavat syvähuijausnarratiivinsa tuttuihin paradigmoihin – tietojenkalastelu, sosiaalinen manipulointi ja resilienssi – antavat hallitukselleen kehyksen ja kontekstin, jossa se voi toimia, ei vain reagoida.