Il divario nelle sale riunioni: perché i CISO hanno difficoltà a parlare di deepfake e come inquadrarlo

La sicurezza informatica sta entrando in un momento cruciale, guidata dall'adozione diffusa dell'intelligenza artificiale da parte di aziende, governi e individui. Con 82% delle aziende negli Stati Uniti che utilizzano o stanno esplorando l'utilizzo dell'IA nelle proprie attività, le organizzazioni stanno sbloccando nuove efficienze, ma lo stesso vale per gli aggressori. Gli stessi strumenti che alimentano l'innovazione stanno anche consentendo agli autori delle minacce di generare contenuti sintetici con allarmante facilità e realismo. Questa nuova realtà ha introdotto sfide significative, tra cui la capacità di creare contenuti sintetici (immagini, audio e video) e deepfake dannosi (audio, video o immagini manipolati utilizzati per impersonare una persona reale) a una velocità e una sofisticazione senza precedenti. In pochi clic, chiunque abbia accesso a un computer e a Internet può manipolare immagini, audio e video, introducendo sfiducia e dubbio nell'ethos dell'informazione. 

In un'epoca in cui aziende, governi e organizzazioni mediatiche fanno affidamento sulla comunicazione digitale per il proprio sostentamento, non c'è margine di errore nel sottovalutare i rischi posti da deepfake, frodi di identità sintetica e attacchi di impersonificazione. Queste minacce non sono più ipotetiche: le perdite finanziarie derivanti da frodi aziendali basate su deepfake hanno superato 200 milioni di dollari solo nel primo trimestre del 1, sottolineando la portata e l'urgenza del problema. Un nuovo panorama delle minacce richiede un nuovo approccio alla sicurezza informatica e i CISO devono agire rapidamente per garantire la sicurezza della propria azienda. Tuttavia, richiedere nuovi capitali e comunicare chiaramente l'esposizione alle minacce di un'organizzazione a un consiglio di amministrazione con diversi livelli di conoscenza della gravità della minaccia dei deepfake può essere scoraggiante. Con la continua evoluzione e la crescente importanza degli attacchi deepfake, ogni CISO deve essere in prima linea nel portare questo dibattito in sala riunioni. 

Di seguito è riportato un quadro di riferimento per i CISO e i dirigenti per facilitare le conversazioni con le parti interessate a livello di consiglio di amministrazione, organizzazione e comunità. 

Utilizzare framework familiari: i deepfake come ingegneria sociale avanzata

I consigli di amministrazione sono stati condizionati a pensare alla sicurezza informatica in termini familiari: email di phishing, attacchi ransomware e l'incombente domanda se la loro azienda verrà violata. Questa mentalità influenza il modo in cui stabiliscono le priorità delle minacce e dove allocano i budget per la sicurezza. Ma quando si tratta di contenuti generati dall'intelligenza artificiale, in particolare i deepfake, non esiste un punto di riferimento predefinito. Inquadrare i deepfake come una minaccia autonoma e innovativa spesso porta a confusione, scetticismo o inazione.

Per contrastare questo fenomeno, i CISO dovrebbero basare la conversazione su qualcosa che i consigli di amministrazione già conoscono: l'ingegneria sociale. In sostanza, la minaccia del deepfake non è del tutto nuova; si tratta di una forma di phishing evoluta e più pericolosa, presente nel settore da anni e che continua a essere la principale minaccia. attacco vettoriale di ingegneria sociale. I consigli di amministrazione riconoscono già il phishing come un rischio credibile e sono disposti ad approvare risorse per difendersi. Per molti aspetti, i Deepfake rappresentano una forma di ingegneria sociale più convincente, più scalabile e più efficace, che colpisce sia le organizzazioni che i singoli individui con una precisione devastante. 

Framing deepfakes In questo modo, i CISO possono attingere alla formazione esistente, alle linee di bilancio e alla memoria muscolare istituzionale. Anziché richiedere nuove risorse, possono riformulare la richiesta come un'evoluzione degli investimenti in sicurezza già approvati. Quanto più i CISO si avvarranno di questa narrativa, tanto più è probabile che vengano loro concesse le risorse per affrontare questo problema più ampio e immediato. 

Ancorare il rischio al realismo, non al sensazionalismo

Riferirsi ad esempi concreti è un ottimo modo per far comprendere meglio al consiglio di amministrazione l'impatto che le minacce deepfake potrebbero avere sulle organizzazioni. Tuttavia, è importante considerare quali esempi i CISO sottopongono ai consigli di amministrazione, poiché potrebbero avere l'effetto opposto. Storie tristemente note come l'incidente di frode telematica da 25 milioni di dollari a Hong Kong Sono ottimi titoli, ma possono ritorcersi contro i dirigenti. Questi esempi estremi spesso sembrano remoti o irrealistici, creando la sensazione che "qualcosa di così catastrofico non potrebbe mai accaderci". Il pregiudizio si manifesta immediatamente e annulla il senso di urgenza di investire nella protezione. 

I CISO dovrebbero invece utilizzare scenari più realistici per mostrare come questo rischio potrebbe manifestarsi internamente, ad esempio in caso di furto d'identità da parte di un dirigente o di frode nei colloqui.

In un caso, Attori della minaccia nordcoreana hanno creato una finta chiamata Zoom con dirigenti generati dall'intelligenza artificiale per indurre un dipendente del settore delle criptovalute a scaricare un malware per accedere a informazioni aziendali sensibili con l'intento di rubare criptovalute. Alla fine, gli hacker non sono riusciti ad accedere, ma la minaccia che questi attacchi rappresentano per l'integrità di un brand dovrebbe essere un campanello d'allarme per i consigli di amministrazione aziendali. 

Un'altra tattica in crescita prevede falsi candidati Utilizzando identità generate dall'intelligenza artificiale e credenziali deepfake per infiltrarsi nelle organizzazioni aziendali. Questi individui agiscono spesso per conto di avversari statunitensi come Russia, Corea del Nord o Cina, cercando di accedere a sistemi e dati sensibili. Questa tendenza prosciuga le risorse interne ed espone le organizzazioni a rischi per la sicurezza nazionale e a sfruttamento finanziario. 

Spesso queste minacce passano inosservate. Per ogni caso riportato dalle notizie, decine di casi non vengono segnalati, rendendo difficile comprenderne appieno l'entità. Più l'attacco è banale, più diventa inquietante e comprensibile. Condividendo esempi come questi (realistici, pertinenti e più vicini a casa), i CISO possono radicare il dibattito sui deepfake nelle operazioni aziendali quotidiane e rafforzare il motivo per cui questa minaccia in continua evoluzione richiede una seria attenzione a livello di consiglio di amministrazione.

Collegare la difesa Deepfake alle metriche di resilienza esistenti

I CISO si sentono continuamente porre le stesse domande dai loro consigli di amministrazione: qual è la nostra probabilità di subire violazioni? Dove siamo più vulnerabili? Come possiamo ridurre il rischio? Sebbene phishing, ransomware e violazioni dei dati continuino a esistere, è importante mostrare il cambiamento fondamentale che si è verificato in queste vulnerabilità e come ora si estendano ben oltre le tradizionali superfici di attacco. 

I team delle risorse umane, della finanza e degli acquisti, ruoli tradizionalmente non considerati difensori in prima linea, sono oggi spesso bersaglio di impersonificazioni sintetiche e la capacità media di un essere umano di rilevare queste minacce è estremamente bassa. Infatti, solo 1 persona su 1,000 può rilevare con precisione i contenuti generati dall'intelligenza artificiale. I CISO hanno ora il compito di rispondere alla domanda di formazione avanzata in ingegneria sociale e di una maggiore resilienza informatica in tutta l'organizzazione, poiché tutti i membri dell'organizzazione devono essere formati, testati e resi consapevoli per contribuire alla mitigazione. 

La difesa dai deepfake deve diventare un'estensione della resilienza aziendale e richiede una formazione continua, proprio come avviene per i team tramite simulazioni di phishing, corsi di sensibilizzazione ed esercitazioni di red team. I CISO dovrebbero utilizzare le metriche ottenute durante i corsi di formazione e le simulazioni per inquadrare il problema in parametri comprensibili per il consiglio di amministrazione. Se un consiglio di amministrazione ha già adottato la resilienza come priorità strategica per l'organizzazione, i deepfake diventano una naturale nuova frontiera.

Le minacce generate dall'intelligenza artificiale non sono in arrivo. Sono già qui. È ora di garantire che i vertici aziendali siano pronti ad ascoltare e a guidare. Grazie all'adozione dell'intelligenza artificiale, la portata e la frequenza degli attacchi deepfake e basati sull'identità hanno trasformato il panorama delle minacce in uno scenario imprevedibile e in continua evoluzione. 

Ma i consigli di amministrazione non hanno bisogno di un'introduzione ai deepfake o alla clonazione vocale. Hanno bisogno di un contesto aziendale chiaro e di una maggiore comprensione delle minacce che rappresentano per le loro organizzazioni. I CISO dovrebbero basare la loro conversazione su rischi, costi e continuità operativa. Chi allinea la propria narrazione sui deepfake a paradigmi familiari – phishing, ingegneria sociale, resilienza – fornisce al proprio consiglio di amministrazione un quadro e un contesto in cui agire, non solo reagire.