Az identitásunkat most minden eddiginél jobban megtámadják, nagyrészt a mesterséges intelligencia (AI) gyors elterjedésének köszönhetően. A személyazonosság-csalás egyik formája, amely az elmúlt évben az egekbe szökött, a mélyhamisítás, vagyis a szintetikus adathordozó, amelyet digitálisan manipuláltak egy személy megszemélyesítésére. Ezek a csalárd megszemélyesítések sokféle formát ölthetnek, beleértve a szöveges, videó-, hang- és közösségi médián alapuló mélyhamisításokat, és mivel továbbra is sikeresek, további csatornák hozzáadására számíthatunk a riasztó keverékhez.
A mélyhamisítások nem feltétlenül újdonságok, hiszen 2017 óta lebegnek az interneten , de az utóbbi időben a hírességek és közéleti személyiségek megszemélyesítésén túl személyesebbé váltak, és a C-suite-ot megcélozzák szinte minden iparágban – a kiskereskedelemtől az egészségügyig és azon túl is. Például a közelmúltban egy pénzügyi alkalmazottat becsaptak azzal, hogy óriási 25 millió dollárt fizessen azoknak a csalóknak, akik mélyhamisításokat használtak pénzügyi igazgatójának kiadva.
Tovább rontja a helyzetet, hogy a Pew Research nemrégiben megállapította, hogy az amerikaiak kevesebb mint fele tudja, mi az a mélyhamisítás, ami még nagyobb sikerarányt eredményez a következő áldozatukat elkapni kívánó számítógépes bűnözők számára. Talán ugyanilyen aggasztó az is, hogy a KPMG szerint a vezetők 80%-a úgy gondolja, hogy a mélyhamisítások kockázatot jelentenek az üzletükre, de csak 29%-uk mondta azt, hogy lépéseket tett az ellenük való küzdelem érdekében.
A mélyhamisítási dilemma kezelésének első lépése a tudatosság növelése és a fenyegetéssel szembeni proaktív tartás. De hogyan (és hol) induljanak el a szervezetek? Fedezzük fel.
Egy nyertes páros: A passzív és az aktív személyazonosság-hitelesítés szerepe
A mélyhamisítások megfelelő leküzdése érdekében a szervezeteknek sokrétű megközelítést kell alkalmazniuk a személyazonosság-hitelesítés terén. Például annak ellenére, hogy a biometrikus adatok erős bejelentkezési lehetőség, egyetlen hitelesítési mód – például az ujjlenyomat vagy az arcfelismerés – egyszerűen nem elegendő a mai motivált, kifinomult csalók elleni védelemhez. Több hitelesítési tényezőre van szükség ahhoz, hogy megnyerje a harcot a felhasználói élmény megszakítása nélkül.
Itt a passzív hitelesítés, különösen a passzív identitásveszély-észlelési módszerek játsszák a főszerepet. Az aktív hitelesítéssel párhuzamosan, amely inkább a végfelhasználó felé néz, a passzív identitásveszély-észlelés a háttérben dolgozó kritikus réteg, amelynek fő célja a lehetséges kockázatok azonosítása. Ha gyanús bejelentkezést vagy viselkedést észlel, a technológia képes alternatív ellenőrzési lehetőségekre váltani – például a helyet vagy az eszközhasználatot megerősítő push értesítésekre. Ahelyett, hogy több hitelesítést alkalmazna, a passzív identitásveszély-észlelés figyelmezteti a végfelhasználót (és ha van ilyen) a szervezetet, hogy mi történik, és a kezdetektől megakadályozza a potenciálisan csalárd tevékenységet.
A „semmiben sem bízó” korszak: Az explicit és implicit bizalom szerepe az identitásban
Az implicit bizalom, vagy ahogy egykor ismertük, elhalványul, mivel a mélyhamisítások veszélyeztetik az identitás-hitelesítési folyamatot. Nem bízhatunk többé semmiben, amit hallunk vagy látunk, még akkor sem, ha az rendkívül valósághűnek és pontosnak tűnik.
Mivel a mélyhamisításokat az áldozatok társadalmi tervezésére használják, az olyan csatornákat, mint a hang, a képek és a videó, használnak nem hitelesített csatornákon. Például előfordulhat, hogy egy alkalmazott Zoom-hívást kap szervezete vezérigazgatójától, amelyben kéri, hogy állítson vissza jelszót, vagy küldjön pénzt sürgős fizetésért. Ez az alkalmazott általában hallgatólagosan megbízik a főnökében, de a mélyhamisítások miatt most szükségünk van egy másodlagos hitelesítési módszerre, amellyel ellenőrizhetjük, hogy amit lát és hall, az valódi és megbízható.
Az explicit bizalom egy szöveges üzenet, push értesítés vagy más hitelesítő adatok elküldése a hálózati sávon, hogy ellenőrizze az üzenet címzettjét. Természetesen ezt nem kell folyamatosan megtenni, de amikor egy kérés érkezik – például pénzküldés vagy csaló linkre kattintás –, akkor a kifejezett bizalomnak kell előtérbe kerülnie a megfelelő mélyhamisítás elleni védelem érdekében. Szeretjük ezt a „nem bízz semmiben, ellenőrizd le mindent” korszaknak nevezzük, ahol semmi sem tekinthető valósnak, amíg nem hitelesítik.
AI végleg: Harc a mélyhamisítások ellen feltörekvő technológiákkal
Természetesen a mesterséges intelligencia megjelenésének is megvannak az előnyei, és fel lehet használni a mélyhamisítások leküzdésére – a rossz mesterséges intelligencia elleni küzdelemben a jó AI-val. Annak érdekében, hogy a mélyhamisítások csökkenjenek, jobban meg kell keményíteni a további, feltörekvő technológiákat, amelyek segítenek a mélyhamisítások észlelésében. Ide tartoznak az olyan technológiák, mint a képbeillesztés-észlelés, ahol megtekintheti, hogy egy képet manuálisan vagy hamisan adtak-e hozzá a kommunikációs módhoz, vagy a hangérzékelés, lehetővé téve a felhasználók számára, hogy megnézzék, hogy egy hangfájlt nem szintetikusan hoztak-e létre. Idővel további, generatív mesterségesintelligencia-alapú mélyhamisítás-megelőzési módszerek is megjelennek majd, de egyelőre arra kérik a szervezeteket, hogy a kialakulóban lévő technológiai lehetőségeket használják ki előnyükre – hasonlóan ahhoz, ahogyan a kiberbűnözők teszik az ellenfél oldalán az AI-csatában.
Kritikus társadalmi válaszút előtt állunk, ahol a mesterséges intelligencia jóra és rosszra egyaránt felhasználható – és az emberi identitás a technológiai kötélhúzás középpontjában áll. Bizalmatlanságot keltenek benne, és komoly kockázatnak teszik ki.
Mint minden kiberbiztonsági fenyegetés esetében, a vezetőknek meg kell próbálniuk egy lépéssel a támadók előtt maradni. A közmondást idézve a legjobb támadás a jó védekezés. Ez vonatkozik a mélyhamisításokra is – minél inkább felkészülhetnek a szervezetek a legrosszabbra, annál jobb helyzetben lesznek a holnap feltörekvő támadásai elleni védekezésben. Ébernek kell maradnunk és tisztában kell lennünk az alkalmazott taktikákkal, és a személyazonosság-ellenőrzés sokoldalú megközelítésével küzdenünk kell ellenük.