Kết nối với chúng tôi

Khoảng cách trong phòng họp: Tại sao các CISO gặp khó khăn khi nói về Deepfake — và cách giải quyết

Lãnh đạo tư tưởng

Khoảng cách trong phòng họp: Tại sao các CISO gặp khó khăn khi nói về Deepfake — và cách giải quyết

mm
Được phát hành

An ninh mạng đang bước vào thời điểm then chốt, được thúc đẩy bởi việc áp dụng rộng rãi AI của các doanh nghiệp, chính phủ và cá nhân. Với 82% Trong số các công ty tại Hoa Kỳ đang sử dụng hoặc đang tìm hiểu việc ứng dụng AI trong hoạt động kinh doanh, các tổ chức đang khai phá những hiệu quả mới, nhưng những kẻ tấn công cũng vậy. Chính những công cụ thúc đẩy sự đổi mới này cũng đang cho phép các tác nhân đe dọa tạo ra nội dung tổng hợp một cách dễ dàng và chân thực đến mức đáng báo động. Thực tế mới này đã đặt ra những thách thức đáng kể, bao gồm khả năng tạo ra nội dung tổng hợp (hình ảnh, âm thanh và video) và deepfake độc hại (âm thanh, video hoặc hình ảnh bị thao túng dùng để mạo danh người thật) với tốc độ và độ tinh vi chưa từng có. Chỉ với vài cú nhấp chuột, bất kỳ ai có quyền truy cập vào máy tính và internet đều có thể thao túng hình ảnh, âm thanh và video, gieo rắc sự ngờ vực và ngờ vực vào tinh thần thông tin. 

Trong thời đại mà các công ty, chính phủ và các tổ chức truyền thông phụ thuộc vào truyền thông kỹ thuật số để sinh tồn, không thể có sai lầm nào trong việc đánh giá thấp rủi ro mà deepfake, gian lận danh tính tổng hợp và các cuộc tấn công mạo danh gây ra. Những mối đe dọa này không còn là giả thuyết nữa – thiệt hại tài chính từ gian lận doanh nghiệp sử dụng deepfake đã vượt quá Chỉ riêng trong quý 200 năm 1 đã đạt 2025 triệu đô la, nhấn mạnh quy mô và tính cấp bách của vấn đề. Bối cảnh đe dọa mới đòi hỏi một cách tiếp cận mới về an ninh mạng, và các CISO cần hành động nhanh chóng để đảm bảo công ty của họ luôn an toàn. Tuy nhiên, việc yêu cầu thêm vốn và truyền đạt rõ ràng mức độ rủi ro của tổ chức đến ban điều hành, những người có hiểu biết khác nhau về mức độ nghiêm trọng của mối đe dọa deepfake, có thể rất khó khăn. Khi các cuộc tấn công deepfake tiếp tục phát triển và định hình, mọi CISO cần phải đi đầu trong việc đưa vấn đề này vào cuộc họp hội đồng quản trị. 

Dưới đây là khuôn khổ dành cho các CISO và giám đốc điều hành để tạo điều kiện cho các cuộc trò chuyện với các bên liên quan ở cấp hội đồng quản trị, tổ chức và cộng đồng. 

Sử dụng các khuôn khổ quen thuộc: Deepfake như một kỹ thuật xã hội tiên tiến

Các hội đồng quản trị đã quen với việc suy nghĩ về an ninh mạng theo những thuật ngữ quen thuộc: email lừa đảo, tấn công ransomware, và câu hỏi thường trực về việc liệu công ty của họ có bị xâm phạm hay không. Tư duy đó định hình cách họ ưu tiên các mối đe dọa và phân bổ ngân sách bảo mật. Nhưng khi nói đến nội dung do AI tạo ra, đặc biệt là deepfake, không có điểm tham chiếu tích hợp nào. Việc coi deepfake là một mối đe dọa độc lập, mới lạ thường dẫn đến sự nhầm lẫn, hoài nghi hoặc không hành động.

Để chống lại điều này, các CISO nên tập trung vào một vấn đề mà hội đồng quản trị đã hiểu rõ: kỹ thuật xã hội. Về bản chất, mối đe dọa deepfake không hoàn toàn mới; nó là một hình thức lừa đảo nguy hiểm hơn, đã phát triển và tồn tại trong ngành nhiều năm và tiếp tục là mối đe dọa số một. tấn công vector về kỹ thuật xã hội. Các hội đồng quản trị đã nhận thức được lừa đảo trực tuyến là một rủi ro đáng tin cậy và họ sẵn sàng phê duyệt các nguồn lực để phòng chống. Xét trên nhiều khía cạnh, Deepfake đại diện cho một hình thức kỹ thuật xã hội thuyết phục hơn, có khả năng mở rộng hơn và hiệu quả hơn, nhắm mục tiêu vào cả tổ chức và cá nhân với độ chính xác khủng khiếp. 

Framing deepfakes Bằng cách này, các CISO có thể khai thác nguồn lực sẵn có từ hệ thống giáo dục, ngân sách và kinh nghiệm thực tế của tổ chức. Thay vì yêu cầu nguồn lực mới, họ có thể định hình lại yêu cầu này như một sự phát triển của các khoản đầu tư an ninh đã được phê duyệt. Các CISO càng dựa vào câu chuyện này, họ càng có nhiều khả năng được cấp nguồn lực để giải quyết vấn đề lớn hơn, cấp bách này. 

Neo rủi ro vào chủ nghĩa hiện thực, không phải chủ nghĩa giật gân

Việc chỉ ra các ví dụ thực tế là một cách tuyệt vời để giúp hội đồng quản trị hiểu rõ hơn về tác động của các mối đe dọa deepfake đối với tổ chức. Tuy nhiên, điều quan trọng là phải cân nhắc xem các CISO nên đưa ra ví dụ nào trước hội đồng quản trị, vì chúng có thể gây ra tác dụng ngược. Những câu chuyện tai tiếng như vụ lừa đảo chuyển tiền trị giá 25 triệu đô la ở Hồng Kông Những ví dụ cực đoan này thường gây ấn tượng mạnh, nhưng lại có thể phản tác dụng trong phòng họp. Những ví dụ cực đoan này thường có vẻ xa vời hoặc phi thực tế, tạo ra cảm giác rằng "một thảm họa như vậy sẽ không bao giờ xảy ra với chúng ta". Định kiến này xuất hiện ngay lập tức và làm mất đi cảm giác cấp bách phải đầu tư vào bảo vệ. 

Thay vào đó, các CISO nên sử dụng những tình huống liên quan hơn để chỉ ra rủi ro này có thể diễn ra như thế nào ở cấp độ nội bộ, chẳng hạn như giả mạo giám đốc điều hành hoặc gian lận trong phỏng vấn.

Trong một trường hợp, Các tác nhân đe dọa từ Bắc Triều Tiên đã tạo ra một cuộc gọi Zoom giả mạo với sự tham gia của các giám đốc điều hành do AI tạo ra để lừa một nhân viên tiền điện tử tải xuống phần mềm độc hại nhằm truy cập thông tin nhạy cảm của công ty với mục đích đánh cắp tiền điện tử. Cuối cùng, tin tặc đã không thể truy cập được, nhưng mối đe dọa mà những cuộc tấn công này gây ra cho tính toàn vẹn của một thương hiệu nên là một hồi chuông cảnh tỉnh cho các ban quản trị trong doanh nghiệp. 

Một chiến thuật đang phát triển khác liên quan đến ứng viên xin việc giả mạo sử dụng danh tính do AI tạo ra và thông tin đăng nhập deepfake để xâm nhập vào các tổ chức doanh nghiệp. Những cá nhân này thường hành động thay mặt cho các đối thủ của Hoa Kỳ như Nga, Triều Tiên hoặc Trung Quốc, tìm cách truy cập vào các hệ thống và dữ liệu nhạy cảm. Xu hướng này làm cạn kiệt nguồn lực nội bộ và khiến các tổ chức phải đối mặt với rủi ro an ninh quốc gia và bị bóc lột tài chính. 

Những mối đe dọa này thường không được chú ý. Cứ mỗi trường hợp được đưa tin trên báo chí, lại có hàng chục trường hợp không được đưa tin, khiến việc hiểu toàn diện mức độ nghiêm trọng của mối đe dọa này trở nên khó khăn. Cuộc tấn công càng tầm thường thì càng trở nên đáng lo ngại và dễ liên tưởng. Bằng cách chia sẻ những ví dụ như thế này—thực tế, dễ liên tưởng và gần gũi hơn—các CISO có thể đưa cuộc trò chuyện về deepfake vào các hoạt động kinh doanh hàng ngày và củng cố lý do tại sao mối đe dọa đang phát triển này đòi hỏi sự quan tâm nghiêm túc ở cấp độ hội đồng quản trị.

Liên kết phòng thủ Deepfake với các chỉ số phục hồi hiện có

Các CISO liên tục được hội đồng quản trị hỏi những câu hỏi tương tự: Khả năng bị xâm phạm của chúng ta là bao nhiêu? Chúng ta dễ bị tổn thương nhất ở đâu? Làm thế nào để giảm thiểu rủi ro? Trong khi lừa đảo, phần mềm tống tiền và vi phạm dữ liệu vẫn tiếp tục tồn tại, điều quan trọng là phải chỉ ra sự thay đổi cơ bản đã diễn ra trong các lỗ hổng đó và cách chúng hiện đang vượt xa các bề mặt tấn công truyền thống. 

Các nhóm nhân sự, tài chính và mua sắm—những vai trò vốn không được coi là lực lượng phòng thủ tuyến đầu—hiện là mục tiêu thường xuyên của hoạt động mạo danh tổng hợp, và khả năng phát hiện những mối đe dọa này của con người trung bình là cực kỳ thấp. Trên thực tế, chỉ có 1 trong 1,000 người có thể phát hiện chính xác nội dung do AI tạo ra. Các CISO hiện được giao nhiệm vụ giải quyết nhu cầu về đào tạo kỹ thuật xã hội nâng cao và khả năng phục hồi mạng tốt hơn trên toàn tổ chức, vì mọi người trong tổ chức cần được đào tạo, kiểm tra và nâng cao nhận thức để hỗ trợ giảm thiểu rủi ro. 

Phòng thủ deepfake cần trở thành một phần mở rộng của khả năng phục hồi toàn doanh nghiệp và đòi hỏi đào tạo liên tục, tương tự như cách các đội ngũ được đào tạo thông qua mô phỏng lừa đảo, đào tạo nâng cao nhận thức và các bài tập nhóm đỏ. Các CISO nên sử dụng các số liệu từ đào tạo và mô phỏng để giúp định hình vấn đề theo các số liệu mà hội đồng quản trị của họ hiểu rõ. Nếu hội đồng quản trị đã coi khả năng phục hồi là một ưu tiên chiến lược của tổ chức, deepfake sẽ trở thành một lĩnh vực tiếp theo tự nhiên.

Các mối đe dọa do AI tạo ra sẽ không đến. Chúng đã ở đây rồi. Đã đến lúc chúng ta đảm bảo ban lãnh đạo sẵn sàng lắng nghe và dẫn dắt. Nhờ việc áp dụng AI, quy mô và tần suất của các cuộc tấn công deepfake và dựa trên danh tính đã biến đổi bối cảnh mối đe dọa thành một thứ khó lường và luôn biến đổi. 

Nhưng hội đồng quản trị không cần một bài học vỡ lòng về deepfake hay sao chép giọng nói. Họ cần một bối cảnh kinh doanh rõ ràng và hiểu rõ hơn về các mối đe dọa mà chúng gây ra cho tổ chức của mình. Các CISO nên đặt câu chuyện của họ vào rủi ro, chi phí và tính liên tục của hoạt động. Những người kết nối câu chuyện deepfake của họ với các mô hình quen thuộc — lừa đảo, kỹ thuật xã hội, khả năng phục hồi — sẽ cung cấp cho hội đồng quản trị một khuôn khổ và bối cảnh để họ có thể hành động, chứ không chỉ phản ứng. 

Chủ đề liên quan:
mm

Jim là Giám đốc Sản phẩm và Công nghệ của GetRealÔng phụ trách mọi khía cạnh của chiến lược sản phẩm, phát triển và triển khai. Ông có hơn hai thập kỷ kinh nghiệm trong việc phát triển, quản lý và tiếp thị các sản phẩm và dịch vụ an ninh mạng tại các công ty như BetterCloud, IBM, Dell Secureworks và RedHat. Ông có bằng Cử nhân Kỹ thuật Cơ khí của Viện Công nghệ Georgia và bằng Thạc sĩ Quản trị Kinh doanh của Trường Kinh doanh Goizueta thuộc Đại học Emory.