Oszukiwanie na masową skalę
Wyobraź sobie, że odbierasz telefon od swojego szefa. Dźwięk jego głosu, sposób wysławiania się, nawet niuanse w intonacji – wszystko pasuje. Przełożony nagle prosi cię o przelanie 200 000 euro na podany przez niego rachunek. Bez żadnych wahań wykonujesz jego polecenie, przekonany, że to rzeczywiście on. Tylko że to nie był twój prawdziwy szef. To był sprytny oszust, który wykorzystując najnowszą technologię deepfake, stworzył perfekcyjną imitację jego głosu i doprowadził cię do dokonania nielegalnego przelewu. Przykład ten, zaczerpnięty z raportu opublikowanego przez Wall Street Journal, to zaledwie przedsmak tego, z czym już dziś muszą mierzyć się przedsiębiorcy i inwestorzy.
Deepfake – nowy wymiar oszustw
Technologia deepfake, czyli sztuczne generowanie treści, które wydają się autentyczne, to prawdziwe „Halloween” dla cyberbezpieczeństwa. Zaledwie kilka lat temu tworzenie tego typu materiałów wymagało zaawansowanej wiedzy informatycznej, dziś jest to narzędzie ogólnie dostępne, którego zastosowanie staje się coraz trudniejsze do wykrycia. Zgodnie z raportem Europejskiej Służby Badań Parlamentu Europejskiego, deepfake to materiały, które „wyglądają na autentyczne i przedstawiają osoby, które wydają się mówić lub robić coś, czego nigdy nie powiedziały ani nie zrobiły”. 1
Choć początkowo deepfake’i kojarzone były głównie z przerobionym materiałem wideo, to z biegiem czasu technologia ta rozwinęła się na tyle, że dziś pozwala na stworzenie perfekcyjnych imitacji także tekstu, dźwięku czy obrazu. A to oznacza, że oszuści mają do dyspozycji narzędzia, które umożliwiają im manipulowanie informacjami na niespotykaną dotąd skalę.
Zagrożenia dla przedsiębiorców i inwestorów
Deepfake’i to realne zagrożenie nie tylko dla przeciętnego Kowalskiego, ale także, a może przede wszystkim, dla przedsiębiorców i inwestorów. Wyobraź sobie sytuację, w której ktoś stworzy sfałszowane nagranie wideo, na którym widzisz swojego prezesa wygłaszającego kontrowersyjne poglądy. Taki materiał mógłby szybko rozprzestrzenić się w sieci, doprowadzając do poważnego kryzysu wizerunkowego, a w konsekwencji do bojkotu konsumenckiego produktów i usług twojej firmy. A to zaledwie jeden z możliwych scenariuszy.
Znacznie poważniejsze konsekwencje mogą nieść ze sobą manipulacje na rynkach finansowych. Wystarczy, że ktoś stworzy fałszywą informację na temat planowanego przejęcia czy fuzji spółek, by doprowadzić do gwałtownych wahań cen akcji, a w efekcie do poważnych strat dla inwestorów. Dlatego też eksperci zgodnie podkreślają, że deepfake’i stanowią realne zagrożenie dla uczciwości i stabilności rynków kapitałowych. Ich zdaniem, gdyby tego typu treści zaczęły rozprzestrzeniać się na masową skalę, mógłby to doprowadzić do całkowitej utraty zaufania inwestorów i niemożności podejmowania rzetelnych decyzji inwestycyjnych.
Cyberprzestępcy w natarciu
Niestety, to nie koniec listy potencjalnych zagrożeń związanych z deepfake’ami. Technologia ta może być również wykorzystywana do kradzieży danych, w tym informacji stanowiących tajemnicę przedsiębiorstwa, a nawet do wyłudzania pieniędzy. Wyobraź sobie, że ktoś podszywa się pod twojego dostawcę i wysyła ci sfałszowaną wiadomość z prośbą o zmianę numeru rachunku, na który masz dokonywać płatności. Albo że ktoś dzwoni do ciebie, podając się za prezesa twojej firmy, i żąda natychmiastowego przelewu środków na wskazane konto. W obu tych przypadkach łatwość, z jaką można podrobić głos lub wizerunek innej osoby, znacznie ułatwia cyberprzestępcom prowadzenie tego typu ataków.
Co gorsza, jak wynika z raportu opublikowanego przez Deloitte, tego typu działania to już nie tylko scenariusz hipotetyczny. Autorzy artykułu opisują przypadek, w którym pracownik brytyjskiej firmy energetycznej dokonał przelewu 200 000 euro, będąc przekonany, że rozmawia przez telefon ze swoim przełożonym. 2
Luki w prawie
Niestety, w obecnym stanie prawnym nie ma zbyt wielu skutecznych narzędzi, które mogłyby zapobiegać tego typu oszustwom. Owszem, istnieją regulacje odnoszące się do ochrony danych osobowych czy zwalczania nieuczciwej konkurencji, ale w praktyce ich zastosowanie w przypadku deepfake’ów jest dość ograniczone. Dochodzenie roszczeń z tego tytułu wymaga bowiem czasu i dużych nakładów, a przepisy te nie były pierwotnie tworzone z myślą o tego typu zagrożeniach.
Pewne nadzieje wiązane są z trwającymi pracami nad unijnym rozporządzeniem w sprawie sztucznej inteligencji (Artificial Intelligence Act), które zakłada m.in. obowiązek oznaczania materiałów stworzonych przy użyciu deepfake’ów. Zgodnie z planowanymi przepisami, twórcy tego typu treści mieliby być zobligowani do poinformowania o syntetycznym charakterze materiału, o ile nie jest to oczywiste dla odbiorcy. 3
Choć to niewątpliwie krok w dobrym kierunku, to wciąż pozostaje wiele wątpliwości co do tego, jak w praktyce miałby wyglądać ten obowiązek. Ustalenie bowiem, czy dany materiał jest oczywistym deepfake’iem, czy też nie, może okazać się niezwykle problematyczne, zważywszy na różne kompetencje oraz wrażliwość odbiorców. A co w przypadku, gdy deepfak’i będą wykorzystywane w ramach swobody wypowiedzi, sztuki lub nauki?
Jak się bronić?
Wobec luk w prawie to na samych przedsiębiorcach oraz inwestorach spoczywa obowiązek podjęcia działań mających na celu zabezpieczenie się przed zagrożeniami związanymi z deepfake’ami. Kluczową rolę odgrywa tutaj odpowiednia edukacja pracowników, szczególnie tych, którzy są odpowiedzialni za rozliczenia finansowe. Tylko wyczuleni na tego typu ataki socjotechniczne pracownicy będą w stanie skutecznie reagować na próby wyłudzenia danych lub pieniędzy.
Ważne jest również przygotowanie się na potencjalny kryzys wizerunkowy, który może być wywołany przez rozpowszechnianie sfałszowanych materiałów. W tym celu warto skorzystać z pomocy profesjonalnych zespołów zajmujących się zarządzaniem kryzysowym. W ich skład powinny wchodzić osoby odpowiedzialne za komunikację z mediami, prawników, a także specjalistów od ochrony wizerunku. Szybka i przemyślana reakcja może bowiem pomóc w ograniczeniu strat i zabezpieczeniu podstawowych interesów firmy.
Nie zapominajmy też, że w dobie błyskawicznego obiegu informacji w sieci, kluczowe znaczenie ma natychmiastowa reakcja na pojawiające się zagrożenia. Jeśli bowiem nieprawdziwy obraz utrwali się w świadomości konsumentów, może to okazać się niezwykle trudne do zwalczenia.
Podsumowanie
Fałszywe inwestycje i deepfake’i to nowe, bardzo realne zagrożenia, z którymi muszą mierzyć się przedsiębiorcy i inwestorzy. Choć obecne regulacje prawne nie zapewniają wystarczającej ochrony, to wiele zależy od samych firm. Zrozumienie ryzyka, wdrożenie odpowiednich procedur oraz narzędzi, a także szybka reakcja na potencjalne kryzysy – to klucz do zabezpieczenia się przed niebezpieczeństwami wynikającymi z deepfake’ów.
Dlatego też zachęcam, abyś regularnie odwiedzał stronę stop-oszustom.pl, gdzie znajdziesz mnóstwo praktycznych porad i informacji na temat cyberzagrożeń, w tym deepfake’ów. To nieocenione źródło wiedzy, które pomoże ci lepiej chronić siebie, swoją firmę i inwestycje.