Školením používateľov eliminujme nové taktiky kybernetických útokov. Podobne ako vo futbale.

Futbal je pravdepodobne jednou z najpopulárnejších hier, ktorú pozná každý. Nemusím teda vysvetľovať, čo bola holandská taktika totálneho futbalu a čo znamenala. Tímy, ktoré čelili tejto taktike, museli zmeniť svoj štýl hry a vyvinúť spôsob hry, ktorý túto taktiku nejakým spôsobom eliminoval. Neskôr prišli Taliani so svojím cattenachio. Ich súperi sa opäť museli prispôsobiť a nájsť spôsob, ako prekonať "taliansky obranný múr". Potom prišli Španieli so svojou Tiki-taka. Každý, kto sa postavil proti Španielom, vymyslel spôsob, ako túto taktiku otupiť.

Teraz spoločnosť LastPass oznámila, že najmenej jeden z jej zamestnancov musel čeliť sociálnej manipulácii pomocou tzv. deep fake vytvoreného umelou inteligenciou. Konkrétne išlo o hlas generálneho riaditeľa spoločnosti Karima Toubba, ktorý mal byť falošný. Keďže však útok a pokus o komunikáciu prebiehal mimo bežných komunikačných kanálov, zamestnanec nadobudol podozrenie, komunikáciu ignoroval a nahlásil túto aktivitu ako incident. Podvrh použitý pri tomto útoku bol pravdepodobne vytvorený umelou inteligenciou vycvičenou na verejne dostupných zvukových nahrávkach generálneho riaditeľa spoločnosti LastPass, ktoré sú k dispozícii na YouTube. Tentoraz to teda ešte dobre dopadlo.

To znamená, že útoky využívajúce umelú inteligenciu sa už realizujú. Pritom ešte nedávno sme o podvrhnutí hlasu uvažovali len v rovine teórie a laboratórnych experimentov a o útokoch, ktoré ich využívajú, ako o ľahkom sci-fi. Teraz však musíme čeliť novej realite a novým taktikám našich protivníkov. Je preto veľmi pravdepodobné, že naši používatelia už nebudú bombardovaní takmer dokonalými podvrhnutými e-mailami, ale ich telefóny budú vyzváňať známym hlasom "ich informatika", ktorý ich bude vyzývať, aby napríklad spustili program TeamViewer. E-maily môžeme aspoň čiastočne filtrovať technickými prostriedkami.

Máme technický prostriedok, ktorý slúži ako ochranný dáždnik pre používateľa, aby mu telefón nezazvonil? Obávam sa, že v tejto chvíli, v čase, keď telefonovanie "prestáva" byť dôveryhodným prostriedkom komunikácie, takéto riešenie nemáme a sme odkázaní na milosť a nemilosť úsudku našich používateľov. Je tu nová taktika, nová hrozba, nový spôsob útoku, takže musíme niečo zmeniť. Budeme musieť zmeniť naše interné procesy a postupy, aby sme zabezpečili autentizáciu volajúceho. Premyslieť si, ako budeme overovať totožnosť volajúceho, napríklad spätným volaním, iným komunikačným kanálom, použitím autentifikačných kódových slov atď. alebo premyslieť pravidlá, ktoré obmedzia používanie telefonických hovorov na kritické operácie. Nepochybne budeme musieť doplniť aj vzdelávanie používateľov a budeme musieť výrazne zvýšiť naše úsilie v tejto oblasti. Zmena interných procesov a školenia používateľov na deep fake sa stáva otázkou "prežitia". 

Ak neviete, kde hrozí najväčšie nebezpečenstvo, čo by ste mali urobiť teraz a čo môže počkať, aký bezpečnostný systém je pre vás vhodný vzhľadom na vašu firmu a veľkosť, ak chcete pomôcť so zvyšovaním povedomia, bezpečnostným povedomím, bezpečnostným poradenstvom, konzultáciou problému, návrhom riešenia alebo školením zamestnancov, neváhajte sa obrátiť na spoločnosť ARICOMA. Radi vám poradíme a ako sa hovorí, za opýtanie nič nedáte :-) ARICOMA vie, ako na to.