מנמ"רים, כיצד תסייעו לארגון להיאבק בתופעת הדיפ-פייק?

אחד האיומים היותר נפוצים בשנים האחרונות הוא ניסיונות הונאה על ידי זיוף קול, וידיאו וכדומה. או, בקיצור, דיפ-פייק. הזיוף העמוק הזה מופנה כלפי אנשים פרטיים ו-"איך לא", גם כלפי ארגונים. בחלק מהמקרים, המטרה היא לגרום לעובדים בארגון לבצע פעולות לטובת התוקפים, בעיקר העברות כספים בהיקפים גדולים.

נכון הוא שההונאות באמצעות המחשב התחילו לא הרבה אחרי שהמציאו אותו, אבל החידוש בדיפ-פייק הוא שההאקרים משכללים את שיטות התקיפה והזיוף באמצעות כלי AI – מה שמגדיל את מרחב הסיכונים לארגונים, שרבים מאוד מהם משתמשים בהם או יתחילו להשתמש בהם בקרוב. במאמצים די פשוטים, אפשר כיום לזייף קול של עובד או מנהל, שמדבר עם עובד או מנהל אחר, שאותו הוא אמור להכיר, ולגרום לו לבצע פעולות שמסכנות את הארגון. באותה המידה קל מאוד כיום לעלות לשיחת קול או וידיאו פנים ארגונית, או עם גורמים מחוצה לו, באמצעות זהויות בדויות – ולתקוף אותו, בין אם זה באמצעות פישינג או בדרך אחרת.

הנהלות של ארגונים מבינות את הסיכון הרב שהדיפ-פייק מביא עימו, וההערכה היא שהוא אחד החסמים הבולטים שמונעים מהם להטמיע כלי בינה מלאכותית יוצרת. חברי אותן הנהלות גם נחשפים לנזקי הדיפ-פייק בדיווחים בתקשורת, למשל הביטויים לתופעה שקיימים במערכת הבחירות הנוכחית בארצות הברית, והדיווחים על זיופי אשראי בהיקפים גדולים באמצעות טכנולוגיה זו. מומחים מציינים שיש חשש גדול שתאגידים פיננסיים יחוו קריסה בגלל ההשפעה השלילית של הדיפ-פייק. הרי לא קשה לייצר שיחת קול או וידיאו בהשתתפות, כביכול, של פקיד בנק או בעל תפקיד אחר שחיוני לביצוע עסקאות פיננסיות.

האחריות להיאבק בדיפ-פייק מוטלת גם, ובעיקר, על המנמ"ר

מומחי אבטחה מפנים את הזרקור בנושא זה אל הארגונים, ודנים באחריות של בעלי התפקידים בהם, כולל המנמ"ר, להיאבק בדיפ-פייק. ראשיתו של המאבק הזה הוא ביצירת מודעות אצל המנמ"ר שסכנת הזיוף העמוק נמצאת על מפתן דלתו, ואולי אף כבר נכנסה לארגון שבו הוא מועסק. "מנמ"רים, מנהלי אבטחה ומנהלי תאגידים צריכים להיות מוכנים למתקפות בסיוע בינה מלאכותית, שמשתמשות בשיחות קוליות ובשיחות וידיאו שנחזות להיות מציאותיות, אך הן מזויפות", אמר מייקל האסה, יועץ ותיק לאבטחת סייבר ו-IT. הוא השתתף בפאנל של מומחים שיזם האתר CIO, שעסק בנושא זה.

טכנולוגיית הדיפ-פייק מתקדמת במהירות, ופושעי הסייבר כבר מתחילים להפוך אותה לעוד כלי לפגיעה משמעותית בארגונים. האחריות למניעתה היא קודם כל של המנמ"רים ומנהלי האבטחה, וזוהי קריאת השכמה דחופה להם

המסקנה שעולה מהפאנל היא שגם כאן, הנחת העבודה של המנהלים הטכנולוגיים בארגונים, שעליהם מוטלת האחריות להתכונן מפני המתקפות האלה, צריכה להיות שההגנה שלהם לעולם לא תהיה הרמטית. זאת מאחר שפיתוח כלי המניעה לעולם לא ידביק את קצב התפתחות כלי ה-GenAI והיכולות שלהם להיות כר לייצור אותם זיופים מסוכנים.

אז איך מתגוננים?

המומחים המליצו למנהלים הטכנולוגיים בארגונים לפעול למזעור נזקי הדיפ-פייק הן באמצעות הסברה, הגדלת המודעות של העובדים לתופעה, הידוק הנחיות, דיוקן ותרגולים, והן באמצעות השקעת משאבים.

באשר למודעות, על המנמ"רים ומנהלי האבטחה להיות קודם כל מודעים בעצמם להונאות פוטנציאליות במגוון שיטות שה-AI מאפשרת – בשיחה קולית, שיחת וידיאו ועוד. אחר כך, עליהם להעביר זאת לעובדים, ולדרוש מהם, כדרישה בסיסית, לנקוט פעולת אימות נוספת בכל פעם, ובפרט בכל פעם שעולה אצלם החשד לשימוש בדיפ-פייק. עליהם להסביר לעובדים שלא יתפתו לעשות קיצורי דרך, שעלולים לעלות ביוקר – להם, ובמיוחד לארגון שלהם.

כאשר מדובר בשיחת טלפון, צריך לאמן נציגי שירות ובכלל עובדים שחושדים בזיוף שיחה לשאול שאלות פרטניות שרק הם או אנשי הארגון יודעים, ובכך להגדיל את הסיכוי לגלות את הזיוף. גם הזייפנים הגדולים ביותר, שעשו תחקיר על עובד או ארגון מסוים, ניזונים בעיקר ממידע גלוי, ועדיין יש מידע שהם לא יכולים להיות מודעים אליו.

יש כלים, שחלקם נמצאים בפיתוח, כמו מכשיר אימות המבוסס על טביעות אצבע ברמה גבוהה עם יכולות חדשות, שיכולות לצמצם את הסיכון. כמו כן, כבר קיימות שיטות לזיהוי חתימת קול בכניסה לשיחת ועידה, או בשיחה עצמה, כדי לזהות דמויות מתחזות.

המישור הנוסף הוא השקעה במשאבי מחשוב חזקים הרבה יותר ממה שהארגון צריך, משום שעדיין, חלק מהכלים של ה-AI מוגבלים ביכולת שלהם להתמודד עם כוח מחשוב ברמה גבוהה. עוד המלצות למנהלי האבטחה הן להשקיע ביישומים מאובטחים אצל עובדים שמעבירים כספים בהיקפים גדולים, וכן להדריך אותם על מנת לנקוט אמצעי זיהוי במיילים או בזיהוי קול. כיום כבר לא מספיק לשאול מישהו מהצד השני של הקו מה שמו. כדי להילחם בדיפ-פייק צריך עוד סימני זיהוי, גם אם זה לא נעים.

השורה התחתונה: טכנולוגיית הדיפ-פייק מתקדמת במהירות, ופושעי הסייבר כבר מתחילים להפוך אותה לעוד כלי לפגיעה משמעותית בארגונים. האחריות למניעתה היא קודם כל של המנמ"רים ומנהלי האבטחה, וזוהי קריאת השכמה דחופה להם.