بورڈ روم گیپ: کیوں CISOs ڈیپ فیکس کے بارے میں بات کرنے کے لئے جدوجہد کرتے ہیں - اور اسے کیسے بنایا جائے

سائبرسیکیوریٹی ایک اہم لمحے میں داخل ہو رہی ہے، جو کہ کاروباری اداروں، حکومتوں اور افراد کی طرف سے AI کو وسیع پیمانے پر اپنانے سے کارفرما ہے۔ کے ساتھ 82٪ امریکہ میں جو کمپنیاں اپنے کاروبار میں AI کا استعمال کر رہی ہیں یا اس کا استعمال کر رہی ہیں، تنظیمیں نئی صلاحیتوں کو کھول رہی ہیں، لیکن حملہ آور بھی ہیں۔ وہی ٹولز جو جدت کو تقویت دیتے ہیں خطرے کے اداکاروں کو خطرناک آسانی اور حقیقت پسندی کے ساتھ مصنوعی مواد تیار کرنے کے قابل بنا رہے ہیں۔ اس نئی حقیقت نے بے مثال رفتار اور نفاست سے مصنوعی مواد (تصاویر، آڈیو اور ویڈیو) اور بدنیتی پر مبنی ڈیپ فیکس (ہیرا پھیری سے آڈیو، ویڈیو، یا کسی حقیقی شخص کی نقالی کے لیے استعمال ہونے والی تصویر) بنانے کی صلاحیت سمیت اہم چیلنجز متعارف کرائے ہیں۔ صرف چند کلکس میں، کمپیوٹر اور انٹرنیٹ تک رسائی رکھنے والا کوئی بھی شخص تصاویر، آڈیو اور ویڈیوز میں ہیرا پھیری کر سکتا ہے، جس سے معلومات کے اخلاق میں عدم اعتماد اور شک پیدا ہوتا ہے۔ 

ایک ایسے دور میں جہاں کمپنیاں، حکومتیں اور میڈیا ادارے اپنی روزی روٹی کے لیے ڈیجیٹل کمیونیکیشن پر انحصار کرتے ہیں، ڈیپ فیکس، مصنوعی شناختی فراڈ، اور نقالی کے حملوں کے خطرات کو کم کرنے میں غلطی کی کوئی گنجائش نہیں ہے۔ یہ دھمکیاں اب فرضی نہیں ہیں - ڈیپ فیک سے چلنے والے انٹرپرائز فراڈ سے مالی نقصانات حد سے زیادہ ہو گئے صرف Q200 1 میں $2025 ملین، مسئلے کے پیمانے اور عجلت کو اجاگر کرنا۔ ایک نئے خطرے کے منظر نامے کے لیے سائبر سیکیورٹی کے لیے ایک نئے انداز کی ضرورت ہے، اور CISOs کو اپنی کمپنی کے محفوظ رہنے کو یقینی بنانے کے لیے تیزی سے کام کرنے کی ضرورت ہے۔ تاہم، نئے سرمائے کا مطالبہ کرنا اور ڈیپ فیکس کے خطرے کی شدت کے بارے میں علم کی مختلف سطحوں کے ساتھ کسی تنظیم کے خطرے کے بارے میں ایگزیکٹو بورڈ کو واضح طور پر بتانا مشکل ہو سکتا ہے۔ جیسے جیسے ڈیپ فیک حملے تیار ہوتے رہتے ہیں اور شکل اختیار کرتے ہیں، ہر CISO کو اس بات چیت کو بورڈ روم میں لانے میں سب سے آگے ہونے کی ضرورت ہے۔ 

ذیل میں CISOs اور ایگزیکٹوز کے لیے بورڈ، تنظیم اور کمیونٹی کی سطح پر اسٹیک ہولڈر کی بات چیت میں سہولت فراہم کرنے کے لیے ایک فریم ورک ہے۔ 

واقف فریم ورک استعمال کریں: ڈیپ فیکس بطور ایڈوانس سوشل انجینئرنگ

بورڈز کو مانوس شرائط میں سائبر سیکیورٹی کے بارے میں سوچنے کے لیے مشروط کیا گیا ہے: فشنگ ای میلز، رینسم ویئر کے حملے، اور یہ سوال کہ آیا ان کی کمپنی کی خلاف ورزی کی جائے گی۔ یہ ذہنیت یہ بناتی ہے کہ وہ کس طرح خطرات کو ترجیح دیتے ہیں اور وہ سیکیورٹی بجٹ کہاں مختص کرتے ہیں۔ لیکن جب بات AI سے تیار کردہ مواد کی ہو، خاص طور پر ڈیپ فیکس کی، تو کوئی بلٹ ان ریفرنس پوائنٹ نہیں ہوتا ہے۔ ڈیپ فیکس کو اسٹینڈ لون کے طور پر فریم کرنا، ناول کا خطرہ اکثر الجھن، شکوک و شبہات، یا بے عملی کا باعث بنتا ہے۔

اس کا مقابلہ کرنے کے لیے، CISOs کو بات چیت کو کسی ایسی چیز میں لنگر انداز کرنا چاہیے جو بورڈز پہلے ہی سمجھ چکے ہیں: سوشل انجینئرنگ۔ اس کے بنیادی طور پر، ڈیپ فیک خطرہ بالکل نیا نہیں ہے۔ یہ فشنگ کی ایک ترقی یافتہ، زیادہ خطرناک شکل ہے جو صنعت میں برسوں سے موجود ہے اور پہلے نمبر پر ہے۔ حملہ ویکٹر سوشل انجینئرنگ کے. بورڈ پہلے سے ہی فشنگ کو ایک قابل اعتماد خطرے کے طور پر تسلیم کرتے ہیں، اور وہ اس کے خلاف دفاع کے لیے وسائل کی منظوری دینے میں آرام سے ہیں۔ بہت سے معاملات میں، ڈیپ فیکس سماجی انجینئرنگ کی ایک زیادہ قائل، زیادہ توسیع پذیر، اور زیادہ قابل شکل کی نمائندگی کرتے ہیں، جو تنظیموں اور افراد دونوں کو تباہ کن درستگی کے ساتھ نشانہ بناتے ہیں۔ 

ڈھانچوں deepfakes اس طرح سے CISOs کو موجودہ تعلیم، بجٹ لائنوں، اور ادارہ جاتی پٹھوں کی یادداشت کو استعمال کرنے کی اجازت دیتا ہے۔ نئے وسائل مانگنے کے بجائے، وہ پوچھنے کو پہلے سے منظور شدہ سیکیورٹی سرمایہ کاری کے ارتقاء کے طور پر دوبارہ ترتیب دے سکتے ہیں۔ جتنا زیادہ CISOs اس بیانیے میں جھک سکتے ہیں، اتنا ہی زیادہ امکان ہے کہ انہیں اس بڑے، فوری مسئلے سے نمٹنے کے لیے وسائل فراہم کیے جائیں۔ 

حقیقت پسندی میں خطرے کو لنگر انداز کریں، سنسنی خیزی نہیں۔

حقیقی دنیا کی مثالوں کی طرف اشارہ کرنا بورڈ کی جانب سے تنظیموں پر ہونے والے گہرے جعلی خطرات کے اثرات کو سمجھنے کا ایک بہترین طریقہ ہے۔ تاہم، اس بات پر غور کرنا ضروری ہے کہ CISOs بورڈ کے سامنے کون سی مثالیں رکھتے ہیں، کیونکہ ان کا اثر الٹا ہو سکتا ہے۔ بدنام زمانہ کہانیاں جیسے ہانگ کانگ میں $25 ملین وائر فراڈ کا واقعہ زبردست سرخیاں بنائیں، لیکن وہ بورڈ روم میں جوابی فائرنگ کر سکتے ہیں۔ یہ انتہائی مثالیں اکثر دور دراز یا غیر حقیقت پسندانہ محسوس ہوتی ہیں، جس سے یہ احساس پیدا ہوتا ہے کہ "کوئی ایسی چیز جو تباہ کن ہمارے ساتھ کبھی نہیں ہو سکتی۔" تعصب فوری طور پر شروع ہو جاتا ہے اور تحفظ میں سرمایہ کاری کرنے کی عجلت کے احساس کو دور کرتا ہے۔ 

اس کے بجائے، CISOs کو یہ ظاہر کرنے کے لیے مزید متعلقہ منظرنامے استعمال کرنے چاہییں کہ یہ خطرہ اندرونی طور پر کیسے کام کر سکتا ہے، جیسے کہ ایگزیکٹو کی نقالی یا انٹرویو فراڈ۔

ایک معاملے میں ، شمالی کوریا کے دھمکی آمیز اداکار نے ایک جعلی زوم کال بنائی جس میں AI سے تیار کردہ ایگزیکٹیو شامل تھے تاکہ کرپٹو کرنسی چوری کرنے کے ارادے سے کمپنی کی حساس معلومات تک رسائی حاصل کرنے کے لیے ایک کرپٹو ملازم کو میلویئر ڈاؤن لوڈ کرنے کے لیے دھوکہ دیا جا سکے۔ آخر میں، ہیکرز رسائی حاصل نہیں کر سکے، لیکن ان حملوں سے برانڈ کی سالمیت کو جو خطرہ لاحق ہے وہ انٹرپرائز کے اندر موجود بورڈز کے لیے ایک جاگ اٹھنا چاہیے۔ 

ایک اور بڑھتے ہوئے حربے میں شامل ہے۔ جعلی نوکری کے امیدوار انٹرپرائز تنظیموں میں دراندازی کرنے کے لیے AI سے تیار کردہ شناختوں اور ڈیپ فیک اسناد کا استعمال۔ یہ افراد اکثر امریکی مخالفین جیسے روس، شمالی کوریا یا چین کی جانب سے حساس نظاموں اور ڈیٹا تک رسائی حاصل کرنے کے لیے کام کرتے ہیں۔ یہ رجحان اندرونی وسائل کو ضائع کرتا ہے اور تنظیموں کو قومی سلامتی کے خطرات اور مالی استحصال سے دوچار کرتا ہے۔ 

اکثر، یہ خطرات ریڈار کے نیچے پرواز کرتے ہیں۔ خبروں میں ہر ایک مثال کے لیے، درجنوں غیر رپورٹ کیے جاتے ہیں، جس کی وجہ سے اس خطرے کی شدت کو جامع طور پر سمجھنا مشکل ہو جاتا ہے۔ جتنا زیادہ غیرمعمولی حملہ، اتنا ہی زیادہ پریشان کن — اور متعلقہ — ہو جاتا ہے۔ اس طرح کی مثالوں کا اشتراک کرکے — حقیقت پسندانہ، متعلقہ، اور گھر کے قریب — CISOs روزمرہ کے کاروباری کاموں میں گہری جعلی گفتگو کو بنیاد بنا سکتے ہیں اور اس بات کو تقویت دے سکتے ہیں کہ یہ ابھرتا ہوا خطرہ بورڈ کی سطح پر کیوں سنجیدہ توجہ کا مطالبہ کرتا ہے۔

ڈیپ فیک ڈیفنس کو موجودہ لچکدار میٹرکس سے جوڑیں۔

CISOs سے ان کے بورڈز سے مسلسل وہی سوالات پوچھے جاتے ہیں: ہماری خلاف ورزی کا کیا امکان ہے؟ ہم سب سے زیادہ کمزور کہاں ہیں؟ ہم خطرے کو کیسے کم کرتے ہیں؟ جب کہ فشنگ، رینسم ویئر اور ڈیٹا کی خلاف ورزیاں بدستور موجود ہیں، لیکن یہ ضروری ہے کہ اس بنیادی تبدیلی کو ظاہر کیا جائے جو ان کمزوریوں کے اندر تبدیل ہوئی ہے اور یہ کہ اب وہ روایتی حملے کی سطحوں سے آگے کیسے بڑھتے ہیں۔ 

HR، فنانس، اور پروکیورمنٹ ٹیمیں — جو کردار روایتی طور پر فرنٹ لائن ڈیفنڈرز کے طور پر نہیں دیکھے جاتے ہیں — اب مصنوعی نقالی کے اکثر اہداف ہیں، اور ان خطرات کا پتہ لگانے کی اوسط انسان کی صلاحیت انتہائی کم ہے۔ درحقیقت، ہر 1 افراد میں صرف 1,000 AI سے تیار کردہ مواد کا درست پتہ لگا سکتا ہے۔ CISOs کو اب پوری تنظیم میں اعلیٰ درجے کی سماجی انجینئرنگ کی تعلیم اور زیادہ سے زیادہ سائبر لچک کے مطالبے کو حل کرنے کا کام سونپا گیا ہے، کیونکہ تنظیم میں ہر کسی کو تربیت، جانچ، اور تخفیف میں مدد کے لیے آگاہ کرنے کی ضرورت ہے۔ 

ڈیپ فیک ڈیفنس کو انٹرپرائز بھر میں لچک کی توسیع بننے کی ضرورت ہے اور اسی طرح مسلسل تعلیم کی ضرورت ہے جس طرح ٹیموں کو فشنگ سمولیشنز، بیداری کی تربیت، اور ریڈ ٹیم کی مشقوں کے ذریعے تربیت دی جاتی ہے۔ CISOs کو چاہیے کہ وہ ٹریننگز اور سمیلیشنز سے میٹرکس کا استعمال کریں تاکہ اس مسئلے کو میٹرکس میں فریم کرنے میں مدد ملے جسے ان کا بورڈ سمجھتا ہے۔ اگر کسی بورڈ نے پہلے ہی تنظیم کے لیے اسٹریٹجک ترجیح کے طور پر لچک حاصل کر لی ہے، تو ڈیپ فیکس ایک قدرتی اگلی سرحد بن جاتی ہے۔

AI سے پیدا ہونے والے خطرات نہیں آ رہے ہیں۔ وہ پہلے ہی یہاں موجود ہیں۔ یہ وقت ہے کہ ہم یقینی بنائیں کہ بورڈ روم سننے اور رہنمائی کے لیے تیار ہے۔ AI کو اپنانے کی بدولت، ڈیپ فیک اور شناخت پر مبنی حملوں کے پیمانے اور تعدد نے خطرے کے منظر نامے کو ایسے میں تبدیل کر دیا ہے جو غیر متوقع اور ہمیشہ تیار ہوتا ہے۔ 

لیکن بورڈز کو ڈیپ فیکس یا وائس کلوننگ پر پرائمر کی ضرورت نہیں ہے۔ انہیں واضح کاروباری سیاق و سباق اور ان کی تنظیموں کو لاحق خطرات کی زیادہ سمجھ کی ضرورت ہے۔ CISOs کو اپنی بات چیت کو خطرے، لاگت اور آپریشنل تسلسل میں بنیاد رکھنی چاہیے۔ وہ لوگ جو اپنے گہرے گہرے بیانیے کو مانوس تمثیلوں - فشنگ، سوشل انجینئرنگ، لچک کے ساتھ سیدھ میں لاتے ہیں - اپنے بورڈ کو ایک فریم ورک اور سیاق و سباق دیتے ہیں جس میں وہ صرف رد عمل نہیں بلکہ عمل کر سکتے ہیں۔