ما يجب أن يعرفه كل مدير تقنية المعلومات
تخيل أنك تحضر اجتماعًا لتكتشف أن جميع الحاضرين الآخرين كانوا مزيفين عميقًا. وهذا بالضبط ما حدث لعامل مالي صيني في مكالمة فيديو، حيث اعتقد أن المدير المالي طلب تحويل مبلغ 25.6 مليون دولار. الأشخاص الآخرون في الاجتماع كانوا أيضًا من المزيفين العميقين. ومع استمرار تحسن التكنولوجيا، تتحسن أيضًا فعالية مثل هذه الهجمات.
“تخيل هذا السيناريو: يحدث هجوم ببرامج الفدية في عملك، ويأتي جنبًا إلى جنب مع الطلب على المال تهديد بإصدار فيديو مزيف عميق مقنع لرئيسك التنفيذي وهو يتخذ موقفًا متشددًا بشأن قضية اجتماعية مثيرة للخلاف. هل تعرف كيف ترد؟” يقول كودي شولتز، مدير التحقيقات وحماية العملاء الخاصين في شركة الأمن والتحقيقات والامتثال العالمية حلول الدليل, في مقابلة عبر البريد الإلكتروني. وهو أيضًا ضابط سابق في وكالة المخابرات المركزية. “ربما يجد أحد الموظفين “قصة إخبارية” على موقع YouTube حول الماضي الإجرامي لأحد المسؤولين التنفيذيين من خلال اعتراف مصور بالفيديو. هل توجد سياسات لكيفية معالجة هذا الأمر؟”
إذا كانت السياسة الأمنية لشركتك لا تتوقع عمليات تزييف عميقة، فقد حان الوقت لإصلاح ذلك.
يقول جيك ويليامز، الهاكر السابق بوكالة الأمن القومي الأمريكية (NSA) وعضو هيئة التدريس في شركة أبحاث واستشارات الأمن السيبراني: “إن التزييف العميق هو التطور القادم في أسلحة الهندسة الاجتماعية”. أبحاث إيانس في مقابلة عبر البريد الإلكتروني. “إن فكرة تقليد المهندسين الاجتماعيين لصوت أو صورة شخص ما بشكل مقنع هي الشيء الذي كان يحدث في هوليوود، ولكن ليس في الحياة الحقيقية. مع التزييف العميق، والجهات الفاعلة التهديدية [can] نشر تقنيات شبيهة بهوليوود في الحياة الواقعية. تستخدم جهات التهديد تقنية التزييف العميق للاحتيال على المؤسسات، غالبًا عن طريق خداع الأشخاص لإعادة توجيه الأموال (عمليات احتيال الفواتير). [Though] إن عمليات الاحتيال هذه المتعلقة بالفواتير ليست جديدة، فالتزييف العميق يجعل عملية الاحتيال أكثر قابلية للتصديق.
لماذا يعتبر عام 2024 عاما محوريا؟
تعد التزييف العميق والأخبار المزيفة اتجاهًا متوقعًا للغاية هذا العام، خاصة وأن عام 2024 هو عام الانتخابات في دولة منقسمة بين رئيس حالي ورئيس سابق. إنها العاصفة المثالية للأخبار المزيفة والتزييف العميق.
أيضًا، منذ التدخل في الانتخابات الرئاسية لعام 2020، تقدم الذكاء الاصطناعي بشكل ملحوظ، بما يكفي لإحداث فرق بين التزييف العميق الواضح والمحتوى الذي يبدو شرعيًا.
“تستفيد الجهات التهديدية بشكل متزايد من تكنولوجيا التزييف العميق لنشر المعلومات المضللة والدعاية، كما يتضح من دورها البارز خلال الصراع الروسي الأوكراني على منصات مثل تويتر. يقول شون والدمان، الرئيس التنفيذي ومؤسس شركة “إنتربرايز”: “مع اقتراب موعد الانتخابات الكبرى، من المتوقع أن يتزايد انتشار المعلومات المضللة والدعاية”. الدفاع السيبراني الآمن, شركة استشارات الأمن السيبراني وخدمات الكشف والاستجابة المُدارة، في مقابلة عبر البريد الإلكتروني. “إن الهجوم الناجح على شركة متعددة الجنسيات والذي أدى إلى خسائر مالية كبيرة هو تذكير صارخ بفعالية مثل هذه التكتيكات، ومن المرجح أن يشجع على المزيد من الهجمات.”
أصبحت تقنية Deepfakes أكثر قابلية للتصديق بمرور الوقت، وذلك باستخدام تأثيرات التشويش الطبيعية لزيادة المصداقية. وفقًا لما قاله جيمي وايت، مدير التكنولوجيا التنفيذي في شركة Geneative AI للأمن والتمكين كاليبسوAI، قد يكون تلقي مكالمة هاتفية بجودة صوت مثالية تأثير الوادي غريب مما يجعل العقول البشرية تشكك في صحة ما تسمعه أو تراه.
يقول وايت: “استخدم نفس الصوت وأضف بعض الأصوات الطبيعية في الخلفية أو ضوضاء الإشارة، ويمكن أن يصبح الأمر أكثر قابلية للتصديق”. “إننا نشهد قفزات نوعية مماثلة للتقدم الذي حققته هوليوود على مدى 30 عامًا في عام أو عامين. وتيرة التحسن ستجعل من المستحيل تقريبًا التمييز [between] ما هو حقيقي مقابل ما يتم إنشاؤه في إطار زمني قصير جدًا، وستكون الفئات الأكثر ضعفًا في مجتمعنا هي الأكثر عرضة للخطر.
ما يجب القيام به
تعد Deepfakes تهديدًا حقيقيًا للأمن السيبراني ويجب على كل مؤسسة الاستعداد لمواجهته. مثل أساليب الأمن السيبراني الأخرى، فهو عبارة عن مزيج من الأشخاص والعمليات والتكنولوجيا. شراء التكنولوجيا هو الجزء الأسهل. الجزء الأصعب هو حث الموظفين على التفكير والتصرف بالطريقة الصحيحة والتأكد من أن العمليات تساعد في منع الهجمات بدلاً من المساعدة في تسهيلها.
يقول شون لوفلاند، الرئيس التنفيذي للعمليات في شركة الحلول والخدمات السيبرانية: “إن الضرر المحتمل الناجم عن التزييف العميق كبير، وهناك حاجة ماسة إلى طرق كشف فعالة وضمانات قانونية لحماية الأفراد والمجتمع من هذا التهديد”. إعادة الأمن في مقابلة عبر البريد الإلكتروني. “لمكافحة تهديد التزييف العميق، يلعب متخصصو تكنولوجيا المعلومات والأمن السيبراني دورًا حاسمًا. ويجب عليهم تثقيف الموظفين حول المخاطر، والاستثمار في الذكاء الاصطناعي وأدوات الكشف عن التعلم الآلي، وتعزيز عمليات التحقق، والحفاظ على ممارسات قوية للأمن السيبراني، والتعاون مع الخبراء والمشاركة في شبكات تبادل المعلومات.
يحتاج الموظفون إلى التدريب حول تهديد التزييف العميق، وما يمكن أن يفعله وما يجب فعله في حالة الاشتباه في وجود تزييف عميق.
ليزا أوكونور، القائدة العالمية للبحث والتطوير الأمني في أكسنتشر وتوصي أيضًا بوجود عمليات رقابية، مثل تنفيذ الضوابط حول ما تعتبره المنظمة مهمًا.
“كيف نقوم بتنفيذ الضوابط حول ما قلنا أنه مهم؟ هل يستخدم أي من عناصر التحكم هذه عوامل متعددة مثل مكالمة هاتفية؟ كيف نستخدم هذا الاتصال للحصول على تلك الموافقة الثانوية أو ذلك التفويض والتدقيق الفعلي في تلك الأساليب حتى نتمكن من إزالة مخاطر الطريقة في إطار التحكم الخاص بنا ونقول: “لا، هذا لم يعد جيدًا؟” يقول أوكونور. “وهذا شيء يمكن للشركات القيام به على الفور.”
يقول شولتز، من Guidepost، إن الوعي بالتهديدات المحتملة هو خطوة أولى، مثل فهم ما إذا كان للشركة وجود رسمي على وسائل التواصل الاجتماعي وما إذا كان لدى المديرين التنفيذيين ملفات شخصية. إذا لم يكن الأمر كذلك، فمن المهم التحقق من عدم وجود حسابات محتالة أو محاكاة ساخرة لأنها يمكن أن تلحق الضرر بالسمعة من خلال مشاركة صور مزيفة أو منشورات تحريضية من حسابات تبدو مشروعة. وتتفاقم المشكلة إذا ظلت تلك الحسابات المزيفة مجهولة حتى وقوع حادثة تتطلب الرد.
“بالإضافة إلى ذلك، يجب على المكاتب العائلية أن تفكر في استخدام كلمة رمزية أو عبارة رئيسية للمعاملات الهاتفية التي تتجاوز حدًا معينًا. يقول شولتز: “يجب أن تكون كلمة المرور شيئًا لا يظهر بشكل طبيعي في محادثة مالية مثل “ديناصور” أو “طائرة شراعية”. “نوصي أيضًا بتغيير كلمة المرور كل ستة أشهر على الأقل.”
وبالإضافة إلى ذلك فهو يوصي بما يلي:
-
تقييم الضعف الرقمي لفهم عالم المعلومات المتعلقة بالشخص على الإنترنت والويب المظلم، مثل أرقام الهواتف وعناوين البريد الإلكتروني ومعلومات المركبات وأسماء الأطفال ومدارسهم والصور من داخل المنزل والمساهمات السياسية ونسخ التوقيعات.
-
تعزيز الأجهزة الداخلية والتدريب من قبل شركة أمنية محترفة لفحص الأجهزة المادية بحثًا عن وجود برامج ضارة وبرامج ثابتة قديمة وغير ذلك الكثير.
-
تقييم الأمن المادي لفهم الثغرات الأمنية وطرق تخفيف تلك الثغرات أو إزالتها.
-
إنشاء أو مراجعة خطة الاستجابة للحوادث.
يقول شولتز: “بالنسبة للعديد من الشركات والمكاتب العائلية، فإن الإجابة على سؤال “كيف يمكنك التعامل مع هجوم برامج الفدية، أو اختراق الصور المزيفة لمدير تنفيذي أو مدير، أو محاولات انتحال شخصية كبار المسؤولين التنفيذيين، هي “لا أعرف”.” “الموظفون هم أفضل درع لك وأكبر المخاطر التي تواجهك. تأكد من أن موظفيك يعرفون توقعاتك ومسؤولياتك ويجرون تدريبًا واختبارًا منتظمًا لضمان الامتثال.