Aarti Samani, Założyciel i Dyrektor Generalny Shreem Growth Partners – Seria Wywiadów

Aarti Samani, Założyciel i Dyrektor Generalny Shreem Growth Partners, jest liderem technologicznym i strategiem AI z ponad dwudziestoletnim doświadczeniem w prowadzeniu wzrostu w dziedzinie AI, tożsamości cyfrowej i bezpieczeństwa biometrycznego. Pełniła stanowiska kierownicze w iProov i Digital Surgery (nabytej przez Medtronic), gdzie kierowała globalnymi strategiami produktowymi i marketingowymi oraz zabezpieczała znaczące rundy finansowania. Jako częsty komentator BBC i prelegent na globalnych wydarzeniach, w tym Money 20/20 i CogX Festival, doradza radom nadzorczym i menedżerom w kwestiach etyki AI, zarządzania i ryzyka, pomagając organizacjom budować zaufanie i odporność w erze sztucznej inteligencji.

Shreem Growth Partners pomaga organizacjom chronić się przed oszustwami z użyciem deepfake i manipulacjami opartymi na AI, koncentrując się na ludzkim aspekcie obrony. Poprzez szkolenia dostosowane do potrzeb, briefings dla kadry kierowniczej, oceny podatności i konsultacje strategiczne, firma wyposaża zespoły i liderów w umiejętność rozpoznawania, reagowania i zapobiegania próbom manipulacji. Poprzez rozwijanie świadomości, gotowości i odporności kulturowej, Shreem upoważnia organizacje do zabezpieczenia ich tożsamości, reputacji i siły roboczej przed ewoluującymi zagrożeniami AI.

Założyła Pani Shreem Growth Partners po pełnieniu stanowisk kierowniczych w iProov, Medtronic Digital Surgery i innych firmach związanych z AI. Co skłoniło Panią do założenia firmy poświęconej specjalnie odporności na oszustwa z użyciem deepfake?

Po wydaniu ChatGPT pod koniec 2022 roku, byliśmy świadkami eksplozji narzędzi medialnych opartych na AI, które mogły klonować głosy i twarze w ciągu kilku minut. Większość organizacji postrzegała je jako przyspieszacze kreatywności dla projektowania i marketingu. Ale przestępcy zobaczyli nową okazję do bardziej skutecznej inżynierii społecznej.

Deepfakes szybko stały się narzędziem wyboru dla oszustów do manipulowania ludźmi. Zespoły bezpieczeństwa odpowiedziały, inwestując w technologie wykrywania, jednak samo wykrywanie nie może rozwiązać problemu, który ma swoje korzenie w zaufaniu ludzi. Psychologia była punktem ślepej strony przemysłu.

To spostrzeżenie skłoniło mnie do założenia Shreem Growth Partners, firmy poświęconej budowaniu odporności na oszustwa z użyciem deepfake poprzez świadomość, symulację i odporność poznawczą. Wzmacnianie ludzkiej zdolności do myślenia krytycznego i oporu wobec manipulacji jest kluczem do łagodzenia tego rodzaju oszustw.

W iProov pracowała Pani na froncie biometrii twarzy i weryfikacji tożsamości. Jak doświadczenie to ujawniło rosnące zagrożenie, jakie deepfakes stanowią dla systemów uwierzytelniania?

Jako Dyrektor ds. Produktu i Marketingu w iProov, pomogłam wprowadzić weryfikację twarzy biometrycznej do organizacji wrażliwych na bezpieczeństwo w sektorach publicznych i prywatnych. Te instytucje są stałymi celami zorganizowanej przestępczości cybernetycznej. Ich przeciwnicy są inteligentni, dobrze finansowani i wyposażeni w najnowocześniejszą technologię.

Zaczęliśmy obserwować próby obejścia systemów biometrycznych z użyciem deepfake wytworzonych z skradzionych tożsamości. Ponieważ iProov działała jako usługa zarządzana w chmurze, mogliśmy obserwować te ataki w czasie rzeczywistym i analizować, jak każda iteracja ewoluowała. Stało się jasne, że przestępcy uczą się szybciej niż rynek dostosowuje się.

To doświadczenie dało mi wgląd w ewolucję oszustw z użyciem deepfake i głębokie zrozumienie tego, jak kreatywność i psychologia napędzają przestępczość cybernetyczną. To samo zrozumienie umysłu przestępczego informuje moją pracę w zakresie odporności na oszustwa z użyciem deepfake.

Deepfakes są coraz częściej używane do naśladownictwa osób, klonowania głosów i ataków inżynierii społecznej. Jakie scenariusze są Pani najczęściej spotykane w terenie dzisiaj?

Zawsze jest łatwiej uzyskać dostęp przez inżynierię społeczną niż przez łamanie systemów bezpieczeństwa. Gdy ludzie stają się coraz bardziej świadomi tradycyjnych oszustw, przestępcy zwracają się ku nowym sposobom manipulowania zaufaniem.

Technologia deepfake stała się najpotężniejszym narzędziem inżynierii społecznej, jakie kiedykolwiek widzieliśmy. Umożliwia sprawcom generowanie sygnałów zaufania o wysokiej wierności: realistyczne twarze, głosy i narracje, które omijają ludzkie osądy.

Przewaga przestępcza nie ogranicza się do naśladownictwa osób czy płatności. Coraz częściej celem są własność intelektualna, wrażliwe dane i poświadczenia dostępu. Poprzez szkolenie agentów AI i nadawanie im sklonowanych głosów, oszustwa mogą być obecnie wykonywane na dużą skalę, z prędkością i precyzją, której nie mógłby dorównać żaden człowiek. To jest horyzont zagrożenia, na którym się znajdujemy.

Czym różni się program odporności na oszustwa z użyciem deepfake od tradycyjnego szkolenia z cyberbezpieczeństwa lub przeciwdziałania phishingowi?

Szkolenia z cyberbezpieczeństwa, jakie znamy, zostały stworzone na początku lat 2000, gdy internet i komputery komercyjne jeszcze się kształtowały. Od tego czasu treść ewoluowała, aby spełniać wymagania zgodności, z naciskiem na platformy LMS i gamifikację dla zaangażowania. Ale krajobraz zagrożeń posunął się do przodu.

Dzisiejsze oszustwa są inteligentne, kreatywne i zaprojektowane psychologicznie. Przestępcy używają AI z taką samą finezją jak środowiska akademickie lub przedsiębiorstwa. Szkolenia muszą więc wykraczać poza zgodność i dotknąć kognicji.

Szkolenie z odporności na oszustwa z użyciem deepfake nie może być sprowadzone do tego, czy ktoś kliknie link. Musi nauczyć ludzi myśleć krytycznie, kwestionować autentyczność twarzy i głosów, z którymi wchodzą w interakcje, i rozpoznawać, jak łatwo percepcja może być manipulowana.

Równy nacisk musi być położony na odporność poznawczą. Podwyższone emocje, rozpraszające umysły i ciągłe wielozadaniowość osłabiają myślenie krytyczne. Budowanie odporności poznawczej szkoli pracowników, aby utrzymać równowagę emocjonalną i pozostać analitycznymi oraz czujnymi. To jest właśnie nastawienie potrzebne do oporu wobec manipulacji.

Firma oferuje Oceny Podatności na Deepfake i Ćwiczenia na Biurku. Czy może Pani oprowadzić nas przez symulację i powiedzieć, jakie spostrzeżenia klienci zwykle zdobywają?

W naszych ocenach podatności i ćwiczeniach na biurku replikujemy najnowsze wektory ataków z użyciem deepfake, pochodzące z prawdziwych incydentów. Typowe scenariusze obejmują fałszywego kandydata do pracy, który używa sklonowanej tożsamości, kompromitowanego helpdesk IT w celu zresetowania poświadczeń uwierzytelniania wieloskładnikowego lub wideorozmowę z AI wygenerowaną osobą, która przekonuje personel do pobrania oprogramowania złośliwego.

Te symulacje ujawniają, jak ludzie reagują pod presją i pokazują punkty ślepe w komunikacji, procesach i odpowiedzi na incydenty. Dyrektorzy wykonawczy często odkrywają brakującą ekspertyzę i niejasne własności decyzyjne. Wyniki zwykle prowadzą do trwałego programu odporności. Takiego, który wzmacnia literaturę na temat oszustw, zmiany procesów i kultury oraz gotowości do kryzysu w całej organizacji.

Często mówi Pani o zarządzaniu ryzykiem ukierunkowanym na ludzi. Jak firmy mogą upoważnić swoich pracowników do wykrywania i opierania się manipulacji z użyciem deepfake, zamiast polegać wyłącznie na narzędziach technicznych?

Deepfakes wykorzystują te same obwody neuronalne, które pomagają nam oceniać zaufanie i emocje. Nasze mózgi są zaprogramowane, aby priorytetowo traktować wizualne i słuchowe sygnały, ponieważ są to pierwsze zmysły, które rozwijamy. Ale jeszcze nie ewoluowaliśmy, aby instynktownie kwestionować te sygnały, więc musimy się tego nauczyć i ciągle umacniać tę umiejętność.

Firmy mogą upoważnić swoich pracowników, szkoląc ich, aby traktowali interakcje cyfrowe z ostrożnością i ciekawością. Gdy jesteśmy na rozmowie głosowej lub wideorozmowie, wchodzimy w interakcję z artefaktem. Ten artefakt może być prawdziwą osobą wyświetlaną na ekranie lub może to być artefakt sztuczny. Nie możemy tego określić wizualnie.

Jedyną obroną jest aktywna weryfikacja: zadawanie odpowiednich pytań, sprawdzanie szczegółów i zauważanie nieścisłości w narracji. Nowe hasło musi być proste — zero zaufania, zawsze weryfikuj.

Deepfakes zacierają granicę między dezinformacją a oszustwem. Jak dyrektorzy wykonawczy mogą przygotować się do kryzysów reputacyjnych i operacyjnych spowodowanych incydentami związanymi z mediami syntetycznymi?

Zespoły kierownicze muszą teraz traktować incydenty związane z deepfake jako podstawowe ryzyko biznesowe, a nie hipotetyczne. Każdy członek zespołu kierowniczego powinien wiedzieć, jaka jest jego rola, gdy kryzys się rozwinie.

Podobnie jak rady nadzorujące przeglądają rejestry ryzyka, powinny również przeglądać plany reagowania na incydenty, a te nie mogą być statyczne. Krajobraz zagrożeń ewoluuje zbyt szybko. Plany muszą być testowane pod kątem wytrzymałości i aktualizowane co najmniej dwa razy w roku, najlepiej po ćwiczeniach na biurku, które symulują rzeczywiste zdarzenie.

Kryzysy związane z deepfake rzadko mieszczą się ładnie w jednej funkcji. Wymagają koordynacji między komunikacją, prawnikami, bezpieczeństwem i HR. Organizacje, które reagują najlepiej, to te, których liderzy ćwiczą tę współpracę przed wystąpieniem prawdziwego incydentu.

Istnieje również koszt psychologiczny, gdy pracownicy lub dyrektorzy wykonawczy stają się celem przekonywających deepfake. Jakie wsparcie lub protokoły powinny mieć organizacje, aby rozwiązać ten ludzki wpływ?

“Wstyd z oszustwa” musi być unikany za wszelką cenę. Organizacje powinny budować kulturę bezpieczeństwa psychologicznego długo przed wystąpieniem incydentu. Gdy pracownicy lub dyrektorzy wykonawczy stają się celem deepfake, doświadczenie może być porównane do ataku. Utrata kontroli nad własną podobizną, głosem i cyfrową tożsamością.

Odpowiedź musi być zarówno proceduralna, jak i ludzka. Jasne protokoły raportowania powinny współistnieć z wsparciem zdrowia psychicznego, poufnymi debriefami i dostępem do cyfrowej kryminalistyki, aby osoby zrozumiały, co się stało.

Liderzy ustalają ton. Gdy dyrektorzy wykonawczy mówią otwarcie o próbach manipulacji i powrocie do zdrowia, to usuwa stigma i zachęca do przejrzystości. Ta otwartość jest tym, co zmienia indywidualną wrażliwość w kolektywną odporność.

Jako założyciel firmy konsultingowej w tej dziedzinie, jakie są Pani największe obawy dotyczące tempa, w jakim rozwija się generatywna sztuczna inteligencja — i gdzie widzi Pani następną falę możliwości deepfake?

Generatywna sztuczna inteligencja ewoluuje w nadzwyczajnym tempie. Samo to nie jest obawą. Prawdziwe ryzyko leży w jej szybkiej adopcji i trwałości w codziennych operacjach biznesowych. Tempo zarządzania zagrożeniami i świadomości po prostu nie dotrzymuje kroku. To rozdzielenie między zagrożeniem a odpornością jest właśnie tym miejscem, w którym oszustwa kwitną, a deepfakes są ich najskuteczniejszym narzędziem.

Każda nowa innowacja staje się kolejną powierzchnią do wykorzystania. Obecnie agenci AI stanowią rosnące ryzyko. Po połączeniu z technologią deepfake mogą wykonywać oszustwa na skalę, prędkość i precyzję, której nie mógłby dorównać żaden człowiek.

Odwrotnie, jakie technologie lub wspólne wysiłki dają Pani optymizm, że możemy pozostać przed oszustwami z użyciem deepfake i dezinformacją?

Fakt, że ta rozmowa ma miejsce w szanowanym wydaniu, jest sam w sobie znakiem postępu. Pokazuje, że innowatorzy, regulatorzy, media i przedsiębiorstwa są wszystkie dotknięte dezinformacją.

To, co daje mi optymizm, to rosnąca gotowość do współpracy. Odporność na deepfake nie przyjdzie z jednego narzędzia czy jednej organizacji, ale z wymiany informacji. Uczymy się wymieniać informacje i edukować społeczność tak efektywnie, jak przestępcy.

Wciąż musimy dopracować, jak ta współpraca ma miejsce, ale intencja jest. A ta zbiorowa intencja jest tym, co ostatecznie przywróci zaufanie.

Dziękujemy za wspaniały wywiad. Czytelnicy, którzy chcą dowiedzieć się więcej, powinni odwiedzić Aarti Samani.