Mākslīgais intelekts (MI) uzņēmumiem paver jaunas iespējas, taču vienlaikus rada arī nopietnus riskus. Viens no šobrīd bīstamākajiem ir deepfake tehnoloģija – dziļviltojumi, kuros cilvēka balss vai seja tiek atdarināta tik reālistiski, ka to izmanto finanšu krāpniecībā vai reputācijas graušanai. Uzņēmumiem tas vairs nav teorētisks risks, bet ikdienas realitāte.
Advokāts un advokātu biroja “Lawcorpus | Venslauskas” vadošais partneris Roks Venslauškas norāda, ka dziļviltojumu tehnoloģija kļūst arvien pieejamāka un to aizvien biežāk izmanto kiberkrāpniecībā. 2023. gadā šādu uzbrukumu skaits pasaulē pieauga par 3000 procentiem.
Noziedzniekiem pietiek ar dažām sekundēm kāda balss ieraksta, lai izveidotu pārliecinošu telefonsarunu. Prasmīgi viltots video savukārt var kļūt par efektīvu instrumentu dezinformācijas kampaņās. Viens no spilgtākajiem piemēriem ir uzbrukums starptautiskajam inženieruzņēmumam “Arup”, kad darbinieks veica pārskaitījumu 25,6 miljonu ASV dolāru apmērā, maldināts ar deepfake tehnoloģiju radītas “finanšu direktora” balss un video palīdzību.
Jums varētu patikt šie:
Šādus uzbrukumus dēvē par “vishing” (voice phishing) jeb balss krāpšanas shēmām. Tie kļūst vienlaikus gan biežāki, gan sarežģītāki. Īpaši smagi cieš finanšu iestāžu kontaktcentri, kurus pārpludina viltus zvani ar mērķi iegūt piekļuvi klientu kontiem. Prognozes liecina, ka tikai kontaktcentros notikušo krāpniecību radītie zaudējumi līdz 2025. gadam varētu sasniegt 44,5 miljardus ASV dolāru.
“Iedomājieties situāciju, kad internetā izplatās video ar jūsu uzņēmuma vadītāju, kurš “paziņo” par sliktajiem saimnieciskajiem rezultātiem, atlaišanām vai pat nelikumīgām darbībām. Šāda video ietekme, ja tas kļūst vīrusu populārs sociālajos tīklos, var būt neatgriezeniska – sākot no akciju cenas krituma līdz klientu un partneru uzticības zaudēšanai,” brīdina R. Venslauškas.
Kad likums atpaliek no tehnoloģiju attīstības: nepilnīga tiesiskā aizsardzība
Pēc R. Venslauška teiktā, dziļviltojumu upuri – gan fiziskas, gan juridiskas personas – savas tiesības tomēr var aizstāvēt, balstoties uz normām, kas regulē goda un cieņas aizsardzību, uzņēmuma reputācijas aizsardzību, personas tēla aizsardzību un datu aizsardzības prasības. Tomēr joprojām trūkst skaidra un speciāla tiesiskā regulējuma, kas ļautu šādu seku novēršanu un mazināšanu nodrošināt pietiekami efektīvi.
Piemēram, biometrisko datu – balss vai sejas – nelikumīga izmantošana deepfake izveidei ir nopietns Vispārīgās datu aizsardzības regulas (GDPR) pārkāpums. Taču civiltiesiskā ceļā šādu lietu risināšana praksē ir sarežģīta: viltojuma pierādīšana, pārkāpēja identificēšana un zaudējumu piedziņa bieži vien ir laikietilpīga, dārga un tehniski komplicēta.
“Tiesu sistēmai šobrīd nav viennozīmīgas atbildes uz jautājumu, kā vērtēt ierakstu, par kura autentiskumu pastāv pamatotas šaubas. Kā tiesai būtu jāizvērtē audio vai video ieraksts, ja tiek apšaubīta tā īstums? Kāda veida ekspertīze spēj ar 100 procentu pārliecību apstiprināt vai noliegt ieraksta autentiskumu? Uzņēmumiem jādarbojas proaktīvi un nedrīkst gaidīt, kamēr likumdevējs panāks tehnoloģiju attīstības tempu,” uzsver eksperts.
Jums varētu patikt šie:
Kā sevi pasargāt: visaptveroša risku vadība
Pēc R. Venslauška domām, cīņai ar dziļviltojumiem nepietiek tikai ar pretvīrusu risinājumiem vai ugunsmūri. Nepieciešama sistemātiska un visaptveroša drošības politika, kas aptver tehnoloģiskos, organizatoriskos un cilvēkfaktora aspektus.
Visefektīvākā aizsardzība ir mūsdienīgu uzraudzības tehnoloģiju, stingru iekšējo procesu un darbinieku informētības apvienojums. Organizācijām vajadzētu ieviest vismaz šādus pasākumus:
Tehnoloģiskā uzraudzība un automatizēta reaģēšana
SIEM platformas (drošības informācijas un notikumu pārvaldība) un SOAR risinājumi (drošības orkestrācija, automatizācija un reaģēšana) ļauj reāllaikā atklāt anomālijas IT infrastruktūrā un uz tām automātiski reaģēt. Ļoti svarīgi ir ieviest arī daudzfaktoru autentifikāciju (MFA), kas būtiski samazina risku, ka ar nozagtām parolēm var iegūt piekļuvi sistēmām.
Ārējo apdraudējumu uzraudzība
Organizācijai nepārtraukti jāuzrauga sava ārējās informācijas infrastruktūra: sākot ar ievainojamām sistēmām un beidzot ar potenciāliem datu noplūdēm tīmekļa tumšajā daļā (dark web). Tas palīdz laikus konstatēt, vai uzņēmuma nosaukums, darbinieku dati vai vizuālā identitāte jau netiek ļaunprātīgi izmantota.
Darbinieku apmācība
Apmācībām nevajadzētu aprobežoties tikai ar teorētiskiem semināriem. Nepieciešamas praktiskas simulācijas, kas palīdz darbiniekiem atpazīt sociālās inženierijas paņēmienus, tostarp uz deepfake balstītas krāpniecības (piemēram, “vadītāja” balss norādījumi par maksājumu veikšanu).
Skaidras iekšējās procedūras
Organizācijā ir jābūt ieviestam skaidram protokolam būtisku lēmumu un darījumu apstiprināšanai. Tas nozīmē, ka:
- lieli maksājumi vai līgumi netiek apstiprināti tikai uz e-pasta vai telefona sarunas pamata,
- tiek izmantoti vairāki neatkarīgi saziņas kanāli (piemēram, apstiprinājuma zvans citam kontaktam, droša ziņapmaiņas lietotne),
- šaubu gadījumā darbiniekiem ir tiesības un pienākums procesu uz laiku apturēt.
Reputācijas un incidentu pārvaldība
Uzņēmumiem jābūt gatavam reaģēšanas plānam gadījumiem, kad tie saskaras ar kiberincidentu vai reputācijas kaitējumu:
- kurš un kādā secībā nekavējoties jāinformē,
- kā izolēt skartās sistēmas,
- kā komunicēt ar klientiem, partneriem un sabiedrību.
Iepriekš sagatavots krīzes plāns palīdz mazināt zaudējumus un ļauj ātrāk atjaunot normālu darbību.
Vadības loma: vai krīze paliks deepfake scenārijs, vai kļūs par realitāti?
Deepfake uzbrukumi vairs nav zinātniskā fantastika, bet ikdienas prakse. Tie ir lēti, viegli pieejami un nereti daudz efektīvāki nekā tradicionāli ļaunprogrammatūras uzbrukumi. Lai gan tehnoloģijas attīstās un palīdz arvien labāk atklāt viltojumus, galvenā aizsardzības līnija joprojām ir cilvēks.
“Dziļviltojumi ir viens no bīstamākajiem mūsdienu apdraudējumiem, ar kuru uzņēmumi jau šodien ir spiesti saskarties. Kiberdrošība tagad ir nepārprotami vadības atbildības joma – gluži tāpat kā finanšu vadība vai atbilstība tiesību normām. Jo ātrāk uzņēmumi to apzināsies, jo lielāka būs iespēja, ka reputācijas katastrofa paliks tikai deepfake scenārijs, nevis pārvērtīsies par realitāti,” uzsver R. Venslauškas.
