Dirbtinis intelektas (DI) atveria naujas galimybes, tačiau kartu su jomis – ir grėsmes. Viena pavojingiausių šiuo metu – giliosios klastotės (angl. deepfake), kai realistiškai imituojami žmonių balsai ar veidai naudojami finansinėms machinacijoms ar reputacijos žlugdymui. Verslui tai – nebe teorinė rizika, o realybė, su kuria susiduriama jau šiandien.
Advokato ir Advokatų profesinės bendrijos „Lawcorpus | Venslauskas“ vadovaujančiojo partnerio Roko Venslausko teigimu, giliųjų klastočių technologija tampa vis lengviau prieinama ir dažniau naudojama kibernetiniam sukčiavimui. 2023 m. tokių atakų skaičius pasaulyje išaugo net 3000 proc. Nusikaltėliams pakanka vos kelių sekundžių balso įrašo, kad sukurtų įtikinamą skambutį, o sumaniai suklastotas vaizdo įrašas gali būti panaudotas dezinformacijos kampanijoms.
Pasak specialisto, vienas ryškiausių pavyzdžių – ataka prieš tarptautinę inžinerijos įmonę „Arup“, kurios darbuotojas, suklaidintas gilia klastote sukurto finansų direktoriaus vaizdo ir balso skambučio, pervedė nusikaltėliams 25,6 milijono JAV dolerių. Tokios atakos, vadinamos „vishing“ (balso sukčiavimas, angl. voice phishing), tampa vis dažnesnės ir rafinuotesnės. Finansų įstaigų kontaktų centrai yra tiesiog užversti suklastotais skambučiais, kuriais siekiama gauti prieigą prie klientų sąskaitų. Prognozuojama, kad vien kontaktų centrų patiriami nuostoliai dėl sukčiavimo 2025 metais gali siekti 44,5 milijardo dolerių.
„Įsivaizduokite situaciją, kai internete pasirodo vaizdo įrašas, kuriame jūsų įmonės vadovas skelbia melagingą informaciją apie prastus finansinius rezultatus, atleidžiamus darbuotojus ar neteisėtą veiklą. Tokio įrašo žala, jam išplitus socialiniuose tinkluose, gali būti nepataisoma – nuo akcijų vertės kritimo iki klientų ir partnerių pasitikėjimo praradimo“, – sako R. Venslauskas.
Kai įstatymai atsilieka: teisinė apsauga dar skylėta
R. Venslausko teigimu, nukentėjus nuo giliųjų klastočių savo pažeistas teises galima ginti taikant teisės normas, reglamentuojančias asmens garbės ir orumo, įmonės reputacijos gynimą, teisę į atvaizdą ar nustatančias duomenų apsaugos reikalavimus. Vis dėlto, šiuo metu trūksta aiškaus teisinio reguliavimo, kuris leistų veiksmingai gintis nuo jų pasekmių.
Neteisėtas biometrinių duomenų (balso ar veido) naudojimas deepfake kūrimui yra rimtas Bendrojo duomenų apsaugos reglamento (BDAR) pažeidimas, tačiau civiliniai ginčai praktikoje išlieka sudėtingi: įrodyti klastotę, identifikuoti pažeidėją ar reikalauti žalos atlyginimo gali būti itin sudėtinga ir brangu.
„Teisinė sistema kol kas neturi aiškaus atsakymo, kaip traktuoti įrašą, dėl kurio autentiškumo kyla pagrįstų abejonių. Bet kaip teismas turėtų vertinti garso ar vaizdo įrašą, jei kyla pagrįsta abejonė dėl jo autentiškumo? Kokia ekspertizė yra pajėgi šimtu procentų patvirtinti arba paneigti įrašo tikrumą? Verslui reikia veikti proaktyviai – nelaukiant, kol teisė prisivys realybę“, – rekomenduoja ekspertas.
Kaip apsisaugoti: kompleksinis požiūris į rizikos valdymą
R. Venslausko nuomone, kovoje su giliosiomis klastotėmis vien antivirusinių ar ugniasienių nepakanka. Reikia sisteminės, kompleksinės saugumo politikos, kuri apimtų technologinius, organizacinius ir žmogiškuosius sprendimus.
Specialistas sako, kad efektyviausias gynybos būdas – derinti modernias stebėsenos technologijas su vidinių procesų griežtinimu ir darbuotojų sąmoningumo stiprinimu bei dalinasi pagrindiniais žingsniais, kuriuos turėtų įgyvendinti organizacijos.
Technologinė stebėsena ir automatizuotas atsakas. SIEM (saugumo informacijos ir įvykių valdymo) ir SOAR (saugumo orkestravimo, automatizavimo ir reagavimo) platformos leidžia realiu laiku aptikti anomalijas IT infrastruktūroje ir reaguoti automatizuotai. Taip pat svarbu diegti daugiafaktorinę autentifikaciją (MFA), kuri užkerta kelią prisijungimams net ir nutekinus slaptažodžius.
Išorinių grėsmių kontrolė. Būtina stebėti išorinį organizacijos paviršių – nuo pažeidžiamų sistemų iki nutekintų duomenų tamsiajame internete (ang. dark web).
Darbuotojų mokymai. Tai ne tik informaciniai seminarai, bet ir simuliacijos, kurios padeda atpažinti socialinės inžinerijos metodus, įskaitant ir deepfake grėsmes.
Aiškios procedūros. Viduje turi veikti aiškus protokolas: svarbius sprendimus tvirtinti per kelis kanalus, atlikti skambučio patvirtinimą, o ne vien remtis elektroniniu laišku ar skambučiu.
Reputacijos ir incidentų valdymas. Organizacijos turėtų turėti parengtą reagavimo planą. Kas ir kokia seka turi būti informuojamas? Kaip izoliuoti pažeistas sistemas? Kaip komunikuoti su klientais ir visuomene? Išankstinis pasirengimas leidžia minimizuoti žalą ir greičiau atstatyti veiklą.
Vadovo sprendimai lemia, ar reputacijos krizė taps realybe
„Deepfake“ atakos nebėra fantastinis scenarijus – jos jau vyksta. Jos pigios, lengvai prieinamos ir dažnai veikia kur kas efektyviau nei tradiciniai virusai. Ir nors technologijos padeda jas atpažinti, pagrindinė apsauga vis dar lieka žmogus.
„Giliosios klastotės – viena pavojingiausių šiuolaikinių grėsmių, su kuria jau šiandien susiduria verslas. Kibernetinis saugumas šiandien yra vadovybės atsakomybės klausimas – lygiai taip pat kaip finansai ar teisinė atitiktis. Ir kuo greičiau verslas tai supras, tuo didesnė tikimybė, kad reputacijos krizė liks tik „deepfake“ scenarijus, o ne tikrovė“, – pabrėžia R. Venslauskas.
„BNS Spaudos centre“ skelbiami įvairių organizacijų pranešimai žiniasklaidai. Už pranešimų turinį atsako juos paskelbę asmenys bei jų atstovaujamos organizacijos.
