Jaz u upravnoj sobi: Zašto se CISO-i muče s razgovorom o deepfakeovima - i kako ih uokviriti

Kibernetička sigurnost ulazi u prekretnicu, potaknuta široko rasprostranjenim usvajanjem umjetne inteligencije od strane poduzeća, vlada i pojedinaca. 82% tvrtke u SAD-u koje koriste ili istražuju korištenje umjetne inteligencije u svom poslovanju, organizacije otključavaju nove učinkovitosti, ali isto vrijedi i za napadače. Isti alati koji pokreću inovacije također omogućuju akterima prijetnji generiranje sintetičkog sadržaja s alarmantnom lakoćom i realizmom. Ova nova stvarnost uvela je značajne izazove, uključujući mogućnost stvaranja sintetičkog sadržaja (slika, zvuka i videa) i zlonamjernih deepfakeova (manipulirani zvuk, video ili slika korištena za lažno predstavljanje stvarne osobe) neviđenom brzinom i sofisticiranošću. U samo nekoliko klikova, svatko s pristupom računalu i internetu može manipulirati slikama, zvukom i videozapisima, unoseći nepovjerenje i sumnju u informacijski etos. 

U doba kada se tvrtke, vlade i medijske organizacije oslanjaju na digitalnu komunikaciju za svoju egzistenciju, nema mjesta za pogrešku u podcjenjivanju rizika koje predstavljaju deepfakeovi, prijevare sintetičkim identitetom i napadi lažnim predstavljanjem. Ove prijetnje više nisu hipotetske – financijski gubici od poslovnih prijevara omogućenih deepfakeovima premašili su 200 milijuna dolara samo u prvom kvartalu 1., što naglašava razmjere i hitnost problema. Novi krajolik prijetnji zahtijeva novi pristup kibernetičkoj sigurnosti, a CISO-i moraju brzo djelovati kako bi osigurali da njihova tvrtka ostane sigurna. Međutim, traženje novog kapitala i jasno komuniciranje izloženosti organizacije prijetnjama izvršnom odboru s različitim razinama znanja o ozbiljnosti prijetnje deepfakeova može biti zastrašujuće. Kako se deepfake napadi nastavljaju razvijati i oblikovati, svaki CISO mora biti u prvim redovima donošenja ove rasprave u upravnu sobu. 

U nastavku slijedi okvir za CISO-e i rukovoditelje za olakšavanje razgovora sa zainteresiranim stranama na razini uprave, organizacije i zajednice. 

Koristite poznate okvire: Deepfakeovi kao napredni društveni inženjering

Upravni odbori su uvjetovani razmišljati o kibernetičkoj sigurnosti na poznat način: phishing e-poruke, napadi ransomwarea i neizbježno pitanje hoće li njihova tvrtka biti napadnuta. Taj način razmišljanja oblikuje način na koji određuju prioritete prijetnji i gdje raspoređuju sigurnosne proračune. Ali kada je riječ o sadržaju generiranom umjetnom inteligencijom, posebno deepfakeovima, ne postoji ugrađena referentna točka. Uokviravanje deepfakeova kao samostalne, nove prijetnje često dovodi do zbunjenosti, skepticizma ili neaktivnosti.

Kako bi se suprotstavili ovome, CISO-i bi trebali utemeljiti razgovor oko nečega što upravni odbori već razumiju: društvenog inženjeringa. U svojoj srži, prijetnja deepfakea nije u potpunosti nova; to je razvijeniji, opasniji oblik phishinga koji postoji u industriji godinama i nastavlja biti broj jedan. vektor napada društvenog inženjeringa. Uprave već prepoznaju phishing kao vjerodostojan rizik i ne brinu se za resurse za obranu od njega. U mnogim aspektima, Deepfakeovi predstavljaju uvjerljiviji, skalabilniji i sposobniji oblik društvenog inženjeringa, ciljajući i organizacije i pojedince s razornom preciznošću. 

Framing deepfakes Na taj način CISO-i mogu iskoristiti postojeće obrazovanje, proračunske linije i institucionalnu mišićnu memoriju. Umjesto da traže nove resurse, mogu preoblikovati zahtjev kao evoluciju već odobrenih sigurnosnih ulaganja. Što se CISO-i više mogu osloniti na ovu priču, veća je vjerojatnost da će im se odobriti resursi za rješavanje ovog većeg, neposrednog problema. 

Usidrite rizik u realizmu, a ne u senzacionalizmu

Ukazivanje na primjere iz stvarnog svijeta izvrstan je način da uprava bolje razumije utjecaje koje bi deepfake prijetnje mogle imati na organizacije. Međutim, važno je razmotriti koje primjere CISO-i iznose pred upravama, jer oni mogu imati suprotan učinak. Zloglasne priče poput Incident prijevare u Hong Kongu vrijedne 25 milijuna dolara mogu biti sjajne naslovnice, ali mogu imati kontraefekt u upravnoj sobi. Ovi ekstremni primjeri često se čine dalekima ili nerealnima, stvarajući osjećaj da se „nešto tako katastrofalno nikada ne bi moglo dogoditi nama“. Pristranost se odmah javlja i uklanja osjećaj hitnosti ulaganja u zaštitu. 

Umjesto toga, CISO-i bi trebali koristiti scenarije s kojima se ljudi mogu povezati kako bi pokazali kako bi se ovaj rizik mogao odvijati interno, poput lažnog predstavljanja rukovoditelja ili prijevare na razgovorima za posao.

U jednom slučaju, Sjevernokorejski akteri prijetnje kreirao je lažni Zoom poziv s direktorima generiranim umjetnom inteligencijom kako bi prevario zaposlenika kriptovalute da preuzme zlonamjerni softver za pristup osjetljivim informacijama tvrtke s namjerom krađe kriptovalute. Na kraju, hakeri nisu uspjeli dobiti pristup, ali prijetnja koju ovi napadi predstavljaju integritetu brenda trebala bi biti poziv na buđenje upravnim odborima unutar poduzeća. 

Druga taktika rasta uključuje lažni kandidati za posao korištenje identiteta generiranih umjetnom inteligencijom i lažnih vjerodajnica za infiltraciju u poslovne organizacije. Te osobe često djeluju u ime američkih protivnika poput Rusije, Sjeverne Koreje ili Kine, tražeći pristup osjetljivim sustavima i podacima. Ovaj trend iscrpljuje unutarnje resurse i izlaže organizacije nacionalnim sigurnosnim rizicima i financijskom iskorištavanju. 

Često ove prijetnje prolaze ispod radara. Za svaki primjer u vijestima, deseci ostanu nezabilježeni, što otežava sveobuhvatno razumijevanje razmjera ove prijetnje. Što je napad svakodnevniji, to postaje uznemirujući – i pristupačniji. Dijeljenjem primjera poput ovih - realističnih, prepoznatljivih i bližih domu - CISO-i mogu utemeljiti razgovor o deepfakeu u svakodnevnom poslovanju i pojačati zašto ova rastuća prijetnja zahtijeva ozbiljnu pozornost na razini uprave.

Povežite Deepfake obranu s postojećim metrikama otpornosti

Upravni odbori CISO-a neprestano postavljaju ista pitanja: Kolika je vjerojatnost da ćemo biti napadnuti? Gdje smo najranjiviji? Kako smanjiti rizik? Iako phishing, ransomware i povrede podataka i dalje postoje, važno je pokazati temeljnu promjenu koja se dogodila unutar tih ranjivosti i kako se one sada protežu daleko izvan tradicionalnih površina napada. 

Timovi za ljudske resurse, financije i nabavu – uloge koje se tradicionalno ne smatraju obrambenim igračima na prvoj crti – sada su česte mete sintetičkog lažnog predstavljanja, a sposobnost prosječnog čovjeka da otkrije te prijetnje izuzetno je niska. Zapravo, samo 1 na svakih 1,000 ljudi može točno otkriti sadržaj generiran umjetnom inteligencijom. CISO-i sada su zaduženi za rješavanje potražnje za naprednim obrazovanjem o socijalnom inženjerstvu i većom kibernetičkom otpornošću u cijeloj organizaciji, budući da svi u organizaciji moraju biti obučeni, testirani i osviješteni kako bi pomogli u ublažavanju. 

Obrana od deepfakea mora postati proširenje otpornosti cijelog poduzeća i zahtijeva kontinuiranu edukaciju na isti način na koji se timovi obučavaju putem simulacija phishinga, obuke za podizanje svijesti i vježbi crvenog tima. CISO-i bi trebali koristiti metrike iz obuka i simulacija kako bi pomogli uokviriti problem u metrike koje njihova uprava razumije. Ako je uprava već prihvatila otpornost kao strateški prioritet za organizaciju, deepfakei postaju prirodna sljedeća granica.

Prijetnje generirane umjetnom inteligencijom ne dolaze. One su već ovdje. Vrijeme je da osiguramo da je upravna soba spremna slušati i voditi. Zahvaljujući prihvaćanju umjetne inteligencije, opseg i učestalost deepfake napada i napada temeljenih na identitetu transformirali su krajolik prijetnji u nepredvidljiv i stalno se mijenjajući. 

Ali upravama nije potreban uvod u deepfakeove ili kloniranje glasa. Potreban im je jasan poslovni kontekst i bolje razumijevanje prijetnji koje predstavljaju za svoje organizacije. CISO-i bi trebali temeljiti svoje razgovore na riziku, troškovima i operativnom kontinuitetu. Oni koji usklađuju svoju deepfake priču s poznatim paradigmama - phishingom, socijalnim inženjeringom, otpornošću - daju svojoj upravi okvir i kontekst u kojem mogu djelovati, a ne samo reagirati.