The Deepfake Threat Is Here: It's Time to Start Building it into Enterprise Risk Management

האיום Deepfake כבר כאן: הגיע הזמן להתחיל לבנות אותו לתוך ניהול סיכונים ארגוני

מאת פיל מונקסטר • 5 ספטמבר 2023

כאשר אלוף זכויות הצרכנים בבריטניה, מרטין לואיס, פנה לרשתות החברתיות כדי לקדם תוכנית השקעות חדשה של 'קוואנטום AI', רבים הופתעו מהמהלך. אחרי הכל, לואיס בנה אמון עם הציבור במשך שנים רבות בכך שסירב לאשר פרויקטים מסחריים מכל סוג שהוא. למעשה, מודעת הווידאו בהשתתפות לואיס התברר כזיוף עמוק. איכות הדמיון סומנה כ"מפחידה" לאדם עצמו, שהזהיר כי זיופים כאלה עלולים "להרוס חיים".

זה ללא ספק נכון. אבל כשמשתמשים בה בזדון, הטכנולוגיה לא רק מהווה איום הונאה לצרכנים, היא מהווה סיכון פיננסי ומוניטין עצום לארגונים. זהו סיכון שמערכת ניהול אבטחת מידע (ISMS) תקינה יכולה לעזור להפחית.

מה זה Deepfake Tech?

Deepfakes משתמש בסוג של טכנולוגיית בינה מלאכותית הידועה בשם למידה עמוקה כדי ליצור וידאו ואודיו מזויפים של אנשים שקשה להבדיל מהם מתוכן אמיתי. ניתן להשתמש בו כדי לסנתז דיבור ולתפעל ביעילות הבעות פנים כדי לגרום לזה להיראות כאילו אדם אומר משהו שהוא לא. בעוד שיש שימושים לגיטימיים לטכנולוגיה, למשל, בתעשיית הקולנוע, היא נפרסת יותר ויותר למטרות זדוניות.

הזיוף של מרטין לואיס הוא אחת הפעמים הראשונות שבו נעשה שימוש בסרטון כדי לקדם הונאות השקעות. עם זאת, אודיו מזויף עמוק קיים כבר כמה שנים ונהג להערים על נמענים לחבר כספים לחשבונות השייכים לרמאים. הטכניקה הזו רימתה בריטי מנכ"ל להאמין אודיו מזויף עמוק של הבוס הגרמני שלו אומר לו לחבר מעל 240,000 $ לחשבון צד שלישי. וזה רימה מנהל יפני להאמין שמנהל עסק האם שלו ביקש העברה של 35 מיליון דולר.

מהם האיומים הפוטנציאליים?

המקרים שלעיל הם סוג של ריף על הונאת האימייל העסקי (BEC), סוג של הונאת עמלות מוקדמות שבה הרמאי מרמה את הקורבנות לבצע העברות גדולות לאחרון. עם זאת, ישנם איומים מתעוררים אחרים על ארגונים. אלו כוללים:

טקטיקות דיוג לטעינת על: אודיו או וידאו מזויפים עמוקים של ישות מהימנה בחברה, למשל ראש ה-IT או יחידה עסקית, עלולים להערים על הקורבן למסור את האישורים שלו או מידע עסקי רגיש. ל-FBI יש כבר הזהיר עובדים של שמע עמוק מזויף בשימוש בשילוב עם פלטפורמות ועידת וידאו.

הגשת מועמדות במרמה לעבודות מרוחקות: ללא שם: ה- FBI יש גם הזהיר של זיופים עמוקים בשימוש עם מידע אישי גנוב לעזור לרמאים לזכות בעבודות עבודה מרחוק. לאחר מכן ניתן להשתמש בגישה לרשת ארגונית כדי לגנוב מידע רגיש של לקוחות וחברה.

עקיפת בדיקות זהות: זיהוי פנים או קול הוא דרך פופולרית יותר ויותר עבור ארגונים לאמת משתמשים, במיוחד לקוחות. כפי שמפורט על ידי יורופול, ניתן לפרוס זיופים עמוקים כדי להערים על מערכות אלו לספק גישה לחשבון. למרות שזה לא איום ישיר על אבטחת הארגון, זה עלול להשפיע ברצינות על סיכון מוניטין ופיננסי.

הונאת לקוחות ישירות: כפי שטוען יועץ האבטחה הראשי של Tanium, Timothy Morris, זיופים עמוקים של אודיו יכולים לשמש כהמשך למסעות פרסום של Smishing (דיוג), שבהם נאמר ללקוחות להתקשר למספר אם הם לא מזהים חיוב ספציפי בחשבון שלהם.

"אם אתה מתקשר, זיוף עמוק ידידותי המייצג את הבנק שלך מחכה לקחת את האישורים והכסף שלך", הוא מסביר ל-ISMS.online. "שיטות דומות יכולות להשתמש בזיופים עמוקים לתמיכה טכנית והונאות רומנטיות."

הפצת דיסאינפורמציה על החברה: לדוגמה, חברה עשויה לרצות להשפיע על המכירות ומחיר המניה של יריבתה על ידי פרסום סרטון מזויף של מנכ"ל שטוען שהמוצרים של החברה שלהם פגומים.

"הפצת תוכן מזויף עמוק שמטרתו להשמיץ ארגונים או אנשי מפתח עלולה לגרום לנזק מוניטין משמעותי", אומר מנכ"ל Incode, Ricardo Amper, ל-ISMS.online. "על ידי מניפולציה של התפיסה הציבורית, לזיופים עמוקים יכולים להיות השלכות חברתיות מרחיקות לכת, להשפיע על תפיסת השוק, אמון הלקוחות ואפילו סביבות פוליטיות."

כיצד מערכת ISMS יכולה לעזור?

למרבה המזל, ישנם דברים שארגונים יכולים לעשות בצורה שיטתית כדי לצמצם את הסיכונים הנשקפים מזיופים עמוקים, לדברי Eze Adighibe, יועץ ISO בחברת Bulletproof.

"זיופים עמוקים קשורים למגוון סיכוני סייבר המהווים מערכת אפקטיבית לניהול אבטחת מידע (ISMS), באמצעות מסגרת תאימות כגון ISO 27001, יכולה לתמוך בהפחתה. דוגמאות לסיכונים אלה כוללים התקפות הנדסה חברתית, הונאות, גניבת זהות, פרופילים מזויפים ומידע מוטעה אוטומטי", הוא אומר ל-ISMS.online.

"ISMS דורש מקיף הערכת סיכוני אבטחת מידע עם ניתוח השפעה ובחירת בקרות לטיפול בסיכונים שזוהו. לכן, ארגונים צריכים לשקול לכלול זיופים עמוקים בפעילויות הערכת הסיכונים שלהם בהתחשב באיום שהם מהווים היום".

באופן ספציפי, ISMS יכול לעזור להפחית את הסיכון לזיוף עמוק בשלושה תחומים, לפי Adighibe:

העלאת המודעות לסיכון הקשור לזיוף עמוק בקרב עובדים
הטמעת הבקרות הטכניות הנכונות כדי לזהות ולמנוע זיופים עמוקים
פיתוח נהלי תגובה/ניהול לאירועים להתמודדות עם התקפות Deep Fake

הוא מסביר שהבקרות המפורטות ב-ISO 27001 שיכולות לעזור כאן הן אימון מודעות אבטחה/סימולציות דיוג, בקרות גישה חזקות וכלי ניטור אבטחה. אחרים מכסים פרטיות והגנה על PII, מחיקת מידע, דיווח על אירועי אבטחה ומודיעין איומים.

"לארגונים הבקיאים בהפחתת איומים מתעוררים כבר יהיו אמצעים להתמודדות עם זיופים עמוקים, אבל הגיע הזמן שכל העסקים, ללא קשר לגודלם, יבחנו את הסיכונים ויישמו את בקרות האבטחה הנכונות", מנכ"ל Defense.com, אוליבר פינסון. רוקסבורג אומר ל-ISMS.online.

הוא צודק. אודיו/וידאו Deepfake הוא לא רק יותר ויותר מציאותי. זה נהיה יותר סביר ליותר אנשים עם כוונות מרושעות. שם הם גם סימנים כי יכולות אלו מוצעות כשירות במחתרת לפשעי הסייבר. זו דרך בטוחה לדמוקרטיזציה לשחקנים זדוניים אף יותר.

פיל מונקסטר

פיל מונקאסטר הוא עיתונאי IT כבר 20 שנה. הוא התחיל את דרכו ככתב בארגון IT Week בשם IT Week בשנת 2005 והתקדם לתפקיד עורך חדשות לפני שעזב כדי להמשיך בקריירה עצמאית. מאז, פיל כתב עבור כותרים כולל The Register, שם עבד ככתב אסיה בזמן שהתבסס בהונג קונג במשך יותר משנתיים, MIT Technology Review, SC Magazine, Infosecurity Magazine ואחרים.