З якими проблемами стикається бізнес та команди з безпеки через наслідки пандемії, виснаження та геополітично мотивовані кібератаки?
Новий звіт VMware, Inc. Global Incident Response Threat Report показує, що спеціалісти з кібербезпеки мають справу зі збільшенням кількості кібератак після вторгнення Росії в Україну та іншими новими загрозами, такими як діпфейки, атаки на API. Крім того, клопоту додають ще кіберзлочинці, які атакують безпосередньо команди з реагування на інциденти.
За словами Ріка МакЕлроя, головного спеціаліста з кібербезпеки у VMware, кіберзлочинці зараз використовують діпфейки у своїх методах атак, щоб уникнути засобів контролю безпеки. Двоє з трьох респондентів помітили використання дипфейків як частини атак, що на 13% більше, ніж минулого року. Причому електронна пошта була найпопулярнішим способом дістатися жертви. Кіберзлочинці вийшли за рамки використання синтетичного відео та аудіо задля здійснення впливу або проведення кампаній з дезінформації. Їхня нова мета — використовувати технологію діпфейк, щоб скомпрометувати організації та отримати доступ до їхнього середовища.
Те, що діпфейки застосовують все частіше є зростаючою загрозою для бізнесу та суспільства по мірі того, як розвиваються технології.
Ось три поради для компаній щодо боротьби з цією загрозою.
Технологічні покращення значно впливають на бізнес і наше суспільство. Однак прогрес також несе нові ризики, з якими важко впоратися. Штучний інтелект (ШІ) знаходиться на передовій нових технологій. Наразі можливості його застосування зростають як ніколи.
Штучний інтелект має величезний бізнес-потенціал, починаючи від автоматизації рутинних завдань і закінчуючи виявленням прихованих стимулів для бізнесу. Однак зловживання ШІ може завдати шкоди організаціям і призвести до надзвичайної втрати довіри.
Нещодавно ФБР підкреслило зростаючу тенденцію внаслідок переходу до дистанційної роботи, коли зловмисники використовували діпфейки, щоб прикидатися кандидатами на роботу в американських компаніях. Зловмисники викрадали ідентифікаційні дані громадян США, щоб отримати доступ до систем компаній.
Як компанії можуть боротися зі зростанням використання діпфейків? Ось кілька способів зменшити ризики безпеки.
Перевірте автентичність
Повернення до основ часто є найефективнішим способом боротьби. Діпфейки створюються шляхом викрадення ідентифікаційної інформації людини, як-то фотографій та персональних даних, і використання механізму ШІ для створення цифрової схожості. Часто хакери використовують наявне відео, аудіо та графіку, щоб імітувати манери та мову жертви.
Нещодавній випадок лише демонструє, як зловмисники використовують цю технологію. Низка європейських політичних лідерів вважали, що вони спілкуються з мером Києва Віталієм Кличком, але їх повідомили, що вони комунікували з діпфейком.
Під час співбесіди з потенційними кандидатами на вакансії онлайн компанії наражаються на ризик діпфейку. Скасування формату віддаленої роботи є непрактичним, якщо компанії хочуть наймати найкращих спеціалістів.
Однак варто попросити кандидатів надати офіційне підтвердження своєї особи, також записувати інтерв’ю на відео та вимагати від нових співробітників відвідати офіс компанії принаймні один раз одразу після прийому на роботу. Це зменшить ризики найму шахрая, що застосовує діпфейк.
Хоча ці методи не виключають ризиків діпфейку, вони зменшують ймовірність того, що зловмисник отримає доступ до секретів компанії. Подібно до того, як MFA (багатофакторна автентифікація) запобігає зловмисному доступу до систем, ці аналогові методи можуть стати бар’єрами для використання діпфейку.
Інші аналогові методи включають перевірку рекомендацій кандидатів.
Від чого захворів, тим і лікуйся
Технологія діпфейк використовує алгоритми глибокого навчання (Deep Learning), щоб імітувати дії та манери людини.
Аналогові методи можуть допомагати боротися з діпфейками, але вони вимагають часу. Одним із рішень для швидкого виявлення діпфейків є використання технології проти самої ж себе. Якщо алгоритми DL можуть створювати діпфейки, чому б не використовувати це для боротьби з ними ж.
У 2020 році Маніш Агравала зі Стенфордського університету розробив рішення, яке дозволило кінорежисерам коригувати репліки акторів на відзнятому матеріалі. Таку інновацію оцінили дуже високо, оскільки режисерам не потрібно перезнімати сцени через несправний звук або невдалі діалоги. Однак ця технологія стала у нагоді не лише кінематографістам.
Зрозумівши, до яких негативних наслідків може призвести використання цього рішення зловмисниками, Агравала протиставив своєму програмному забезпеченню інший інструмент на основі ШІ, який виявляв аномалії між рухами губ і вимовою слів. Діпфейки, в яких голос накладається на відео з зображенням людини, не можуть змінювати рухи губ або вираз обличчя.
Рішення Агравала також можна застосувати для виявлення накладання обличчя та інших стандартних технік діпфейку. Як і в усіх додатках штучного інтелекту, багато залежить від даних, які передає алгоритм. Однак навіть ця змінна виявляє зв’язок між технологією діпфейк та рішенням боротьби з нею.
Діпфейк використовує синтетичні дані та набори даних, зібрані із реальних випадків, щоб опрацювати численні ситуації. Наприклад, алгоритми можуть обробляти дані військового інциденту та збирати ці дані, щоб створити ще більше інцидентів. Ці алгоритми можуть змінювати погодні умови, змінні готовності учасників, умови озброєння тощо, отже використовувати їх для моделювання.
Компанії можуть використовувати подібні синтетичні дані для боротьби з випадками використання діпфейку. Екстраполюючи дані з поточних ситуацій, штучний інтелект може передбачати та виявляти крайні випадки та розширювати наше розуміння того, як виникають та працюють діпфейки.
Прокачуйте цифрову трансформацію та підвищуйте обізнаність
Попри складну природу технології боротьби з діпфейками, довгострокового вирішення проблеми не існує. Однак компанії можуть боротися з діпфейками, підсилюючи свої цифрові позиції та навчаючи співробітників.
Обізнаність про діпфейки допоможе співробітникам аналізувати та розуміти інформацію. Компанії можуть розробити процеси для перевірки ідентичності в ситуації з віддаленою роботою та бути впевненими, що їхні співробітники дотримуватимуться правил через загрози діпфейків.
Знову ж таки, ці заходи не можуть виключити загрози діпфейку, але компанії можуть створити надійну структуру, яка їх мінімізує.
В майбутньому, безсумнівно, з’являться нові способи боротьби з цією загрозою. Однак компанії повинні усвідомлювати ризики, які становлять діпфейки, і працювати над їхнім пом’якшенням
