Justinas Radzevičius, IT įmonės „Cognizant“ saugumo analitikas pabrėžia, kad čia vis dažniau ir sumaniau pasitelkiamos dirbtinio intelekto (DI) priemonės, dėl to ypatingą dėmesį jis pataria skirti ir darbuotojų edukacijai.
Populiariausios išlieka fišingo atakos
Fišingas, anot jo, vis dar išlieka populiariausias kibernetinių atakų tipas, kuris dažnu atveju lydi į išpirkos reikalaujančias atakas (angl. ransomware), kuomet patiriami didžiausi nuostoliai, jeigu įmonės neturi brandžių apsaugos ar duomenų atkuriamų sprendimų.
Tai tokio tipo kibernetinė ataka, kurios pagalba į jūsų sistemas yra pirmiausiai įsilaužiama, patalpinama speciali programinė įranga (galima vadinti netgi virusu), tačiau duomenys yra ne vagiami, bet vietoje to apribojama prieiga prie jų – pavyzdžiui, yra užšifruojami pasinaudojus sudėtingais algoritmais. O norint atgauti duomenis iš jūsų yra reikalaujama išpirka.
„Nors fišingo atakos visada buvo populiariausia atakos rūšis, reikalaujanti mažai pastangų ir atnešanti teigiamų rezultatų sukčiams, apsiginti nuo jos visada buvo gan paprasta edukuojant darbuotojus, mokant juos suprasti ir atpažinti, kaip atrodo fišingo atakos, kokie bruožai yra būdingi šios rūšies atakoms. Dažniausiai tai būna impersonacijos (žmogaus ar departamento), turto prievartavimas ar paprasčiausios apgavystės tikinant ką nors laimėjus. Deja, šios atakos tapo daug labiau pavojingesnės išpopuliarėjus DI naudojimui ir prieigai“, – teigia J.Radzevičius.
Vadovų impersonacijos
Pritaikant DI galimybes, kibernetiniai sukčiai gali puikiai impersonuoti kitus žmones ar kolegas, naudojant viešai prieinamą informaciją.
Vienas iš pavyzdžių būtų galimybė turėti telefoninį pokalbį apsimetant kolega/vadovu, atkuriant balsą, intonaciją, kalbėjimo manierą. Žinoma, tam atlikti reikalingi duomenys/pavyzdžiai, kad DI algoritmas galėtų išmokti tai daryti. Tam pasitelkiama informacija, kuri surenkama iš viešų konferencijų įrašų, tinklalaidžių ir pan. Tai reiškia, kad nebūtinai visi žmonės gali būti impersonuojami pasitelkiant DI.
„Vienas iš pavyzdžių galėtų būti aukšto lygio vadovo impersonacija. Nesinaudojant DI, sukčiai siųsdavo laišką ar žinutę bandydami apsimesti vadovu ir skubinant atlikti piniginį pavedimą (netikrą) į jų saskaitą, bandydami sukurti skubos bei svarbos efektą. Darbuotojai paprasčiausiai galėdavo tą patvirtinti susisiekdami su tikru žmogumi. Naudojantis DI, sukčiai gali tokią impersonaciją atlikti tiesioginiu telefono pokalbiu, kuomet kitame telefono gale, pasitelkus DI, bus girdimas tarsi tas tikras žmogus, stipriai padidinant šansą, jog prašymas atlikti pavedimą bus sėkmingesnis“, – kalba ekspertas.
Panaši ataka, pasitelkiant „deepfake“ technologiją (vis tikroviškesnėmis tampančios skaitmeninės vaizdo manipuliacijos) 2024 metų pradžioje iš vienos įmonės (įmonės duomenys neskelbiami), padėjo išvilioti 25 milijonus JAV dolerių.
„Panašios atakos prasidėjo jau nuo 2019 metų, kuomet naudojantis DI, sukčiai sugebėjo išvilioti 243 tūkstančių JAV dolerių iš vienos Jungtinės Karalystės energetikos įmonių. Tai buvo gan nauja, bet šiuo metu, DI esant prieinamam kiekvienam vartotojui, DI įrankių naudojimas kibernetinėms atakoms ir sukčiavimams, tik augs“, – įspėja jis.
Darbuotojų edukacija
„Cognizant“ saugumo analitikas atkreipia dėmesį, kad visos šios situacijos primena itin svarbų aspektą – tai nuolatinės darbuotojų edukacijos saugumo aspektu svarba. Juk žmogus (darbuotojai) yra pirmas ir svarbiausias įmonės saugumo faktorius ir net įdiegus pačius inovatyviausius techninius sprendimus, darbuotojai vis tiek atliks labai svarbią rolę, nes net ir labiausiai pažengę techniniai sprendimai negali apsaugoti nuo žmogiškųjų klaidų. Dėl to, jo teigimu, įmonės visada turėtų galvoti apie įvairiausius būdus priminti apie budrumo ir bendrą IT saugos išprusimo svarbą. Kuo įdomiau ir interaktyviau tai padaroma, tuo rezultatai būna geresni. Tai neturi būti didelės išlaidos prabangiems kursams ar motyvaciniams kalbėtojams (žinoma, esant galimybėms, verta investuoti ir į tokį švietimo būdą).
„Mūsų organizacijoje į tai bandome pažvelgti kūrybiškai. Vienas iš pavyzdžių – velykinis žaidimas mūsų biure, kai vietoje paslėptų margučių, po biuro erdves būna išdėliotos tikros „saugumo spragos“: bendrose erdvėse palikti kompiuteriai, USB laikmenos, lapeliai su netikrais slaptažodžiais ir pan. Suradę spragą darbuotojai gauna simbolinį prizą, pavyzdžiui, šokoladinį kiaušinį ar kitokių saldumynų. Svarbiausia šių „žaidimų“ dalis yra ta, jog darbuotojai įsitraukia ir patys proaktyviai ieško „spragų“. Tokį žaidimą galima pritaikyti organizacijose įvairiomis progomis. O geriausias būdas užtikrinti įmonių ir jų žmonių privatumą/saugumą yra turėti aiškiai apibrėžtas taisykles, politiką ir užtikrinti, kad visi yra su jomis yra susipažinę ir jas supranta. Daugumoje, kaip ir prieš tai minėtuose pavyzdžiuose, esminis faktorius, kuris leidžia kibernetiniams (ir ne tik) sukčiams išvilioti informaciją ar pinigus yra žmogus, ir tik tuomet, kai darbuotojai puikiai supras pavojus ir rizikas, bus susipažinę su saugumo taisyklėmis, jų budrumas leis apsisaugoti nuo potencialių kibernetinių sukčių pavojų, nepaisant to, kokie įrankiai bus pasitelkti atakom. Tam reikalingas ir brandus IT saugos darbuotojų lygis, leidžiantis kurti tikslingą ir šių laikų aktualijas atitinkančią saugumo mokymo programą. Taip pat negalima pamiršti ir paprastų techninių sprendimų kaip dviejų faktorių autentikacija bei pažangi pavojų atpažinimo sistema“, – primena J.Radzevičius.
Kitas dažnai pasitaikantis organizacijų sprendimas, norint įveikti kylančias bėdas su DI panaudojimu, yra tiesiog draudimas naudotis DI sprendimais darbo tikslais ir jų blokavimas tinkle.
„Tačiau tai nėra labai efektyvu, kadangi nesi apsaugotas nuo to, jog darbuotojas nepasinaudos DI sprendimais iš savo asmeninio įrenginio ar prisijungs iš kito tinklo. Kiek efektyvesnis sprendimas yra taisyklių nustatymas kam ir kokiais tikslais organizacijose pasitelkiami DI įrankiai. apie DI naudą ar sprendimų taikymą. Pavyzdžiui, mes įmonėje prisidedame prie vidinio DI įrankio kūrimo, testavimo ir panaudojimo. Tokio įrankio pagalba galime užtikrinti, kad darbuotojai galės kurti naują ir inovatyvų turinį bei sprendimus. Tuomet bus užtikrinta klientų duomenų sauga ir autorinių teisių klausimai, tačiau taip pat turime įvertinti, kad DI įrankis nėra atsakymas į visus klausimus ir įvertinti pateikiamų atsakymų saugą, legalumą ir kitus svarbius aspektus. Per ateinančius kelis metus organizacijoms, kurios nori išlikti inovacijų aukštumose, DI sprendimų panaudojimas bus itin svarbus ir reikalingas norint išlikti konkurencingoms“, – pabrėžia pašnekovas.