Decenijama je poverenje u posao zavisilo od jednostavnih ljudskih instinkta. Nekada smo, kada vidimo poznato lice ili čujemo glas kome se veruje, instinktivno verovali da imamo posla sa pravom osobom. Ta pretpostavka je sada opasna.
U proteklih 18 mjeseci, deepfakes su prešli iz novine u oružje. Ono što je počelo kao nespretne internetske šale postalo je zreli set alata za sajber kriminalce. Finansijski timovi su prevareni da povezuju milione nakon video poziva sa „izvršnim direktorima“ koji se nikada nisu prijavili. Državni sekretar na Floridi je lažno predstavljen da kontaktira ministre vanjskih poslova. Čak je i izvršni direktor Ferrarija bio imitiran u pokušaju prevare. Ovo nisu rubni slučajevi; oni su uvid u ono što dolazi.
Trošak se ne mjeri samo u novcu, već i u eroziji povjerenja. Kada više ne možemo vjerovati u ono što vidimo ili čujemo, sam temelj digitalnog povjerenja počinje da se ruši.
Zašto sada?
Ono što se promijenilo nije namjera; prevaranti su uvek bili inventivni. Ono što se promijenilo je pristupačnost. Generativna AI (GenAI) je demokratizovala obmanu. Ono što je nekada zahtevalo specijalističke laboratorije i veliku računarsku snagu, sada se može uraditi pomoću aplikacije i laptopa. Jedan audio snimak sa webinara ili nekoliko selfija na društvenim mrežama dovoljan je da stvori kredibilan glas ili lice.
Već vidimo posledice. Gartnerovo istraživanje je pokazalo da je 43% lidera u sajber sigurnosti iskusilo barem jedan audio poziv s omogućenim deepfake-om, a 37% je naišlo na deepfake u video pozivima. Kvalitet se poboljšava, obim se ubrzava, a barijera za ulazak se srušila.
Sama tehnologija nas ne može spasiti
Prodavci nisu mirovali. Provajderi za prepoznavanje glasa ugrađuju detekciju dubokog lažiranja u svoje platforme, koristeći neuronske mreže kako bi ocijenili vjerovatnoću da je pozivatelj sintetički. Sistemi za prepoznavanje lica su slojeviti u provjerama živosti, inspekciji metapodataka i telemetriji uređaja kako bi uočili znakove manipulacije. Ovo su neophodni razvoji, ali nisu dovoljni.
Detekcija je uvijek reaktivna. Preciznost protiv prošlomjesečnih falsifikata ne garantuje zaštitu od ovosedmičnog. A ishodi su vjerovatnost: sistemi vraćaju rezultate rizika, a ne izvjesnosti. To ostavlja organizacije da donose teške odluke na velikom nivou: kome da veruju, kome da izazovu, na osnovu signala koji nikada ne mogu biti savršeni.
Istina je da nijedan alat za detekciju ne može sam nositi težinu odbrane. Problem dubokog lažiranja odnosi se koliko na ljude i procese, tako i na algoritme.
Ljudska slaba tačka
Tehnologija je samo pola bitke. Najskuplji deepfake incidenti do sada nisu zaobišli mašine; prevarili su ljude. Od zaposlenih, koji su često pod pritiskom, traži se da brzo reaguju: “Prenesi sredstva”, “Resetuj moj MFA”, “Pridruži se ovom neplaniranom video pozivu.” Dodajte vjerodostojno lice ili poznati glas i oklijevanje će nestati.
Ovo je mjesto gdje CISO i lideri za sigurnost i upravljanje rizicima moraju postati pragmatični. Zaposleni nikada ne bi trebali biti stavljeni u poziciju u kojoj jedan telefonski poziv ili video razgovor može izazvati katastrofalnu akciju. Ako se zahtjev čini hitnim, ako uključuje novac ili pristup, mora biti potkrijepljen dodatnim dokazom.
Ne radi se o usporavanju poslovanja. Radi se o izgradnji otpornosti. Postavljanje pitanja koja bi samo prava osoba znala, eskaliranje osjetljivih zahtjeva kroz nezavisne kanale ili obvezivanje višefaktorske autentifikacije otporne na phishing prije odobrenja, ovo su zaštitne ograde koje sprječavaju da lažni postane prevara. Ponekad su najjednostavnije tehnike najefikasnije.
Borba za poverenje
Implikacije se protežu izvan korporativnih gubitaka. Deepfakes sada potpiruju kampanje dezinformacija, šire političke neistine i narušavaju povjerenje u javne institucije. U nekim slučajevima, originalni snimci se odbacuju kao “lažne vijesti”. Čak je i autentičnost pod sumnjom.
Vlade počinju da reaguju. Danska i Ujedinjeno Kraljevstvo uvele su ili razmatraju nove zakone kako bi kriminalizirali stvaranje i dijeljenje seksualno eksplicitnih deepfakea. U Sjedinjenim Državama, novo zakonodavstvo čini nesuglasne deepfake medije eksplicitno nezakonitim. Ovo su važni koraci, ali sam zakon ne može pratiti brzinu generativne AI.
Za preduzeća je odgovornost trenutna i neizbežna. CISO ne mogu čekati savršeno regulatorno rješenje. Moraju pretpostaviti da će obmana biti dio svake interakcije i prema tome osmisliti svoju organizaciju.
Dizajniranje imajući na umu prevaru
Dakle, kako bi organizacije trebale djelovati? Odgovor leži u kombinovanju slojevitih tehničkih zaštitnih mehanizama sa ojačanim poslovnim procesima i kulturom zdravog skepticizma. CISO bi trebali:
- Koristite alate za otkrivanje dubokog lažiranja, ali nemojte se oslanjati na njih u izolaciji.
- Osigurajte da se kritični tokovi posla kao što su transferi novca, oporavak identiteta i odobrenja izvršne vlasti nikada ne oslanjaju na jednu tačku povjerenja.
- Opremite zaposlenike obukom i samopouzdanjem da izazovu čak i poznato lice na ekranu ako nešto nije u redu.
Uzmite biometrijske sisteme kao primjer. Slojeviti pristup: otkrivanje prezentacijskog napada (hvatanje artefakata prikazanih kameri), detekcija napada ubrizgavanjem (uočavanje sintetičkih video tokova) i kontekstualni signali sa uređaja ili ponašanje korisnika, gradi stvarnu otpornost. U praksi, možda se ne otkriva sam deepfake, već neobični obrasci koji dolaze s njegovom upotrebom
Na kraju krajeva, CISO-i i lideri za sigurnost i upravljanje rizicima moraju promijeniti način na koji razmišljaju o identitetu. To više nije nešto što se može pretpostaviti iz vida ili zvuka; to se mora dokazati.
Veća slika
Nalazimo se u eri u kojoj vidjeti više nije vjerovati. Identitet, kamen temeljac digitalnog povjerenja, redefiniraju protivnici koji ga mogu proizvesti po svojoj volji. Organizacije koje se brzo prilagođavaju slojevima tehničkih mjera zaštite sa otpornim poslovnim procesima će ublažiti prijetnju. Oni koji ne rizikuju ne samo gubitke od prevare, već i kolaps povjerenja, kako unutar tako i izvan svojih zidova.
Deepfakes se neće riješiti jednim pametnim alatom ili odlukom o nabavci. Oni zahtijevaju promjenu u načinu razmišljanja: pretpostavite da bi lice ili glas ispred vas mogli biti lažni i dizajnirajte svoju sigurnost u skladu s tim.
Napadači se kreću brzo. Pitanje je da li defanzivci mogu da se kreću brže.
Gartner analitičari istražuju digitalni identitet i povjerenje na Gartner Security & Risk Management Summitu koji se održava ove sedmice u Londonu (22-24. septembra).
Akif Khan je potpredsjednik analitičar u Gartneru