Зазор в совете директоров: почему CISO борются с обсуждением глубоких подделок — и как их представить

Кибербезопасность вступает в решающий момент, обусловленный широким внедрением ИИ предприятиями, правительствами и отдельными лицами. С 82% компаний в США, которые либо используют, либо исследуют использование ИИ в своей деятельности, организации открывают новые возможности, но и атакующие также получают выгоду. Те же инструменты, которые стимулируют инновации, также позволяют злоумышленникам создавать синтетический контент с тревожной легкостью и реализмом. Эта новая реальность привела к значительным проблемам, включая возможность создания синтетического контента (изображений, аудио и видео) и злонамеренных глубоких подделок (манипулированного аудио, видео или изображения, используемого для имитации реального человека) с беспрецедентной скоростью и сложностью. За несколько кликов любой человек с доступом к компьютеру и интернету может манипулировать изображениями, аудио и видео, вводя недоверие и сомнения в информационную этику.

В эпоху, когда компании, правительства и средства массовой информации полагаются на цифровую связь для своего существования, нет места для ошибок в недооценке рисков, связанных с глубокими подделками, синтетической идентификацией и атаками на имитацию. Эти угрозы больше не являются гипотетическими – финансовые потери от мошенничества с глубокими подделками в предприятиях только в первом квартале 2025 года превысили 200 миллионов долларов, подчеркивая масштаб и срочность проблемы. Новый ландшафт угроз требует нового подхода к кибербезопасности, и CISO должны действовать быстро, чтобы обеспечить безопасность своей компании. Однако запрос на новые капитальные вложения и четкая коммуникация угрозы организации руководству с различным уровнем знаний о тяжести угрозы глубоких подделок может быть устрашающим. Поскольку атаки с глубокими подделками продолжают эволюционировать и принимать форму, каждый CISO должен быть на переднем крае обсуждения этой проблемы в совете директоров.

Ниже представлена структура для CISO и руководителей, чтобы облегчить обсуждение заинтересованных сторон на уровне совета, организации и сообщества.

Используйте знакомые структуры: глубокие подделки как продвинутая социальная инженерия

Советы директоров привыкли думать о кибербезопасности в знакомых терминах: фишинговые электронные письма, атаки с вымогательством и нависающий вопрос о том, будет ли их компания скомпрометирована. Этот образ мышления формирует, как они расставляют приоритеты угроз и где они распределяют бюджет безопасности. Но когда речь идет о контенте, сгенерированном ИИ, особенно глубоких подделках, нет встроенной точки отсчета. Представление глубоких подделок как отдельной, новой угрозы часто приводит к путанице, скептицизму или бездействию.

Чтобы бороться с этим, CISO должны привязать разговор к чему-то, что советы директоров уже понимают: социальная инженерия. По сути, угроза глубоких подделок не является полностью новой; это эволюционированная, более опасная форма фишинга, которая существовала в отрасли в течение лет и продолжает быть номером один вектор атаки социальной инженерии. Советы директоров уже признают фишинг как достоверный риск и комфортно одобряют ресурсы для защиты от него. Во многих отношениях глубокие подделки представляют собой более убедительную, более масштабную и более способную форму социальной инженерии, нацеленную на организации и отдельных лиц с разрушительной точностью.

Представление глубоких подделок таким образом позволяет CISO использовать существующую образовательную базу, бюджетные линии и институциональную память. Вместо запроса новых ресурсов они могут переформулировать запрос как эволюцию уже одобренных инвестиций в безопасность. Чем больше CISO могут опираться на этот нарратив, тем более вероятно, что они получат ресурсы для решения этой более крупной и насущной проблемы.

Закрепите риск в реализме, а не в сенсационности

Указание на реальные примеры – это отличный способ дальнейшего понимания советом директоров последствий, которые угрозы глубоких подделок могут иметь для организаций. Однако важно учитывать, какие примеры CISO представляют совету директоров, поскольку они могут иметь противоположный эффект. Знаменитые истории, такие как мошенничество с глубокими подделками на сумму 25 миллионов долларов в Гонконге, делают отличные заголовки, но они могут обратиться в обратном направлении в совете директоров. Эти экстремальные примеры часто кажутся далекими или нереалистичными, создавая чувство, что «что-то столь катастрофическое никогда не произойдет с нами». Предвзятость срабатывает сразу же и удаляет чувство срочности инвестировать в защиту.

Вместо этого CISO должны использовать более понятные сценарии, чтобы показать, как этот риск может реализоваться внутри, такие как имитация руководителей или мошенничество на собеседовании.

В одном случае угрозы из Северной Кореи создали фальшивый звонок Zoom с ИИ-генерированными руководителями, чтобы обмануть сотрудника криптовалюты и заставить его скачать вредоносное ПО для доступа к конфиденциальной информации компании с целью кражи криптовалюты. В конце концов, хакеры не смогли получить доступ, но угроза, которую эти атаки представляют для целостности бренда, должна быть сигналом для советов директоров внутри предприятия.

Другой растущий тактик включает фальшивых кандидатов на работу, использующих ИИ-генерированные идентификаторы и глубокие подделки для проникновения в организации. Эти лица часто действуют от имени противников США, таких как Россия, Северная Корея или Китай, стремясь получить доступ к конфиденциальным системам и данным. Этот тренд истощает внутренние ресурсы и подвергает организации национальным рискам безопасности и финансовой эксплуатации.

Часто эти угрозы остаются незамеченными. Для каждого примера в новостях десятки остаются непубликованными, что делает трудным полное понимание масштаба этой угрозы. Чем более буднична атака, тем более тревожной и понятной она становится. Делясь примерами, такими как эти – реалистичными, понятными и ближе к делу – CISO могут основать разговор о глубоких подделках в повседневных бизнес-операциях и подкрепить, почему эта эволюционирующая угроза требует серьезного внимания на уровне совета директоров.

Связать защиту глубоких подделок с существующими показателями устойчивости

CISO постоянно задают одни и те же вопросы их советом директоров: Какова вероятность того, что мы будем скомпрометированы? Где мы наиболее уязвимы? Как мы можем снизить риск? Хотя фишинг, вымогательство и утечки данных продолжают существовать, важно продемонстрировать фундаментальный сдвиг, который произошел внутри этих уязвимостей и как они теперь выходят далеко за пределы традиционных поверхностей атаки.

Команды HR, финансов и закупок – роли, которые традиционно не рассматриваются как передовые защитники, – теперь часто являются мишенями для синтетической имитации, и средняя способность человека обнаружить эти угрозы чрезвычайно низка. Фактически, только 1 из 1000 человек может точно обнаружить контент, сгенерированный ИИ. CISO теперь должны решать требование продвинутого образования по социальной инженерии и большей кибербезопасности во всей организации, поскольку каждый в организации должен быть обучен, протестирован и проинформирован, чтобы помочь с смягчением.

Защита глубоких подделок должна стать расширением общей устойчивости организации и требует непрерывного образования таким же образом, как команды обучаются через симуляции фишинга, обучение осведомленности и упражнения красной команды. CISO должны использовать метрики из обучения и симуляций, чтобы помочь представить проблему в метриках, которые их совет понимает. Если совет уже принял устойчивость как стратегическую приоритетность для организации, глубокие подделки становятся естественным следующим фронтиром.

Угрозы, сгенерированные ИИ, не приближаются. Они уже здесь. Пора нам обеспечить, чтобы совет директоров был готов слушать и руководить. Благодаря внедрению ИИ, масштаб и частота атак с глубокими подделками и идентификационными атаками преобразовали ландшафт угроз в непредсказуемый и постоянно эволюционирующий.

Но советы директоров не нуждаются в введении в глубокие подделки или клонирование голоса. Им нужен четкий бизнес-контекст и более глубокое понимание угроз, которые они представляют для их организаций. CISO должны основать свой разговор на риске, стоимости и операционной непрерывности. Те, кто выравнивает свою повествование о глубоких подделках с знакомыми парадигмами – фишингом, социальной инженерией, устойчивостью – дает своему совету директоров структуру и контекст, в котором они могут действовать, а не просто реагировать.