Šiuo metu vienas iš didžiausių verslo galvos skausmų yra kaip apsaugoti klientų ir darbuotojų duomenis, nes kibernetiniai sukčiai ieško bei atranda naujų būdų, kaip pasiekti šią informaciją, rašoma „Cognizant“ pranešime žiniasklaidai.
Asociatyvi „Pixabay“ nuotr.
Justinas Radzevičius, įmonės saugumo analitikas, pabrėžia, kad čia vis dažniau ir sumaniau pasitelkiamos dirbtinio intelekto (DI) priemonės, dėl to ypatingą dėmesį jis pataria skirti ir darbuotojų edukacijai.
Populiariausios išlieka fišingo atakos
Fišingas, anot jo, vis dar išlieka populiariausias kibernetinių atakų tipas, kuris dažnu atveju lydi į išpirkos reikalaujančias atakas (angl. ransomware), kuomet patiriami didžiausi nuostoliai, jeigu įmonės neturi brandžių apsaugos ar duomenų atkuriamų sprendimų.
Tai tokio tipo kibernetinė ataka, kurios pagalba į jūsų sistemas yra pirmiausiai įsilaužiama, patalpinama speciali programinė įranga (galima vadinti netgi virusu), tačiau duomenys yra ne vagiami, bet vietoje to apribojama prieiga prie jų – pavyzdžiui, yra užšifruojami pasinaudojus sudėtingais algoritmais. O norint atgauti duomenis iš jūsų yra reikalaujama išpirka.
„Nors fišingo atakos visada buvo populiariausia atakos rūšis, reikalaujanti mažai pastangų ir atnešanti teigiamų rezultatų sukčiams, apsiginti nuo jos visada buvo gan paprasta edukuojant darbuotojus, mokant juos suprasti ir atpažinti, kaip atrodo fišingo atakos, kokie bruožai yra būdingi šios rūšies atakoms.
Dažniausiai tai būna impersonacijos (žmogaus ar departamento), turto prievartavimas ar paprasčiausios apgavystės tikinant ką nors laimėjus. Deja, šios atakos tapo daug labiau pavojingesnės išpopuliarėjus DI naudojimui ir prieigai“, – teigia J. Radzevičius.
Vadovų impersonacijos
Pritaikant DI galimybes, kibernetiniai sukčiai gali puikiai impersonuoti kitus žmones ar kolegas, naudojant viešai prieinamą informaciją.
Vienas iš pavyzdžių būtų galimybė turėti telefoninį pokalbį apsimetant kolega/vadovu, atkuriant balsą, intonaciją, kalbėjimo manierą. Žinoma, tam atlikti reikalingi duomenys/pavyzdžiai, kad DI algoritmas galėtų išmokti tai daryti. Tam pasitelkiama informacija, kuri surenkama iš viešų konferencijų įrašų, tinklalaidžių ir pan. Tai reiškia, kad nebūtinai visi žmonės gali būti impersonuojami pasitelkiant DI.
„Vienas iš pavyzdžių galėtų būti aukšto lygio vadovo impersonacija. Nesinaudojant DI, sukčiai siųsdavo laišką ar žinutę bandydami apsimesti vadovu ir skubinant atlikti piniginį pavedimą (netikrą) į jų saskaitą, bandydami sukurti skubos bei svarbos efektą. Darbuotojai paprasčiausiai galėdavo tą patvirtinti susisiekdami su tikru žmogumi.
Naudojantis DI, sukčiai gali tokią impersonaciją atlikti tiesioginiu telefono pokalbiu, kuomet kitame telefono gale, pasitelkus DI, bus girdimas tarsi tas tikras žmogus, stipriai padidinant šansą, jog prašymas atlikti pavedimą bus sėkmingesnis“, – kalba ekspertas.
Panaši ataka, pasitelkiant „deepfake“ technologiją (vis tikroviškesnėmis tampančios skaitmeninės vaizdo manipuliacijos) 2024 metų pradžioje iš vienos įmonės (įmonės duomenys neskelbiami), padėjo išvilioti 25 milijonus JAV dolerių.
„Panašios atakos prasidėjo jau nuo 2019 metų, kuomet naudojantis DI, sukčiai sugebėjo išvilioti 243 tūkstančių JAV dolerių iš vienos Jungtinės Karalystės energetikos įmonių. Tai buvo gan nauja, bet šiuo metu, DI esant prieinamam kiekvienam vartotojui, DI įrankių naudojimas kibernetinėms atakoms ir sukčiavimams, tik augs“, – įspėja jis.
Darbuotojų edukacija
Analitikas atkreipia dėmesį, kad visos šios situacijos primena itin svarbų aspektą – tai nuolatinės darbuotojų edukacijos saugumo aspektu svarba. Juk žmogus (darbuotojai) yra pirmas ir svarbiausias įmonės saugumo faktorius ir net įdiegus pačius inovatyviausius techninius sprendimus, darbuotojai vis tiek atliks labai svarbią rolę, nes net ir labiausiai pažengę techniniai sprendimai negali apsaugoti nuo žmogiškųjų klaidų.
Dėl to, jo teigimu, įmonės visada turėtų galvoti apie įvairiausius būdus priminti apie budrumo ir bendrą IT saugos išprusimo svarbą. Kuo įdomiau ir interaktyviau tai padaroma, tuo rezultatai būna geresni. Tai neturi būti didelės išlaidos prabangiems kursams ar motyvaciniams kalbėtojams (žinoma, esant galimybėms, verta investuoti ir į tokį švietimo būdą).
Paieška archyve
