Nota djúpfölsun til að blekkja

En gervigreind fylgja líka hættur, því rétt eins og tæknin gerir fólk afkastameira við störf sín þá geta alls kyns skúrkar og glæpamenn tekið gervigreindina í sína þjónustu og notað hana til að valda fyrirtækjum og stofnunum óskunda.

UTmessan verður haldin í Hörpu um næstu helgi og meðal fyrirlesara þar er Pinar Alpay, framkvæmdastjóri vöru- og markaðssviðs Signicat, en hún ætlar að ræða um hvernig netþrjótar nota gervigreind í auðkennissvikum (e. identity fraud).

Signicat hefur um árabil verið leiðandi í lausnum fyrir stafræn auðkenni og rafrænar undirskriftir, m.a. með hugbúnaðinum Dokobit by Signicat, en félagið keypti fyrir ári íslenska tæknifyrirtækið SmartWorks, umboðsaðila Dokobit á Íslandi.

Hermdu eftir fjármálastjóranum í rauntíma

Á UTmessunni fjallar Alpay m.a. um nýlega rannsókn sem Signicat lét gera þar sem í ljós kom að stjórnendur virðast ekki nægilega vel undirbúnir fyrir þær hættur sem fylgja gervigreindinni: „Rannsóknin náði til 1.200 manns um alla Evrópu sem starfa við varnir gegn fjármálasvikum en um var að ræða fólk sem vinnur m.a. hjá bönkum, fjártæknifyrirtækjum og greiðslumiðlunarfélögum. Í ljós kom að svikatilraunum hefur fjölgað um 80% á undanförnum þremur árum en að á sama tíma hefur orðið 74% aukning í tilraunum til að gera auðkennissvik með gervigreind,“ segir Alpay. „Þeim tilvikum þar sem svokallaðri djúpfölsunartækni (e. deepfake) var beitt fjölgaði margfalt og fóru úr því að vera 0,1% af svikatilraunum upp í að vera 6,5% í dag.“

Alpay bendir á að gervigreind sé öflugt verkfæri sem tölvuþrjótar geta notað til létta sér að gera alls kyns árásir og finna sér nýjar leiðir fram hjá hefðbundnum vörnum. „Gott dæmi um þetta rataði nýlega í fréttir en þar tapaði fjármálafyrirtæki í Hong Kong 25 milljónum dala eftir auðkennissvik þar sem óprúttnir aðilar notuðu gervigreind til að villa á sér heimildir. Fór árásin þannig fram að starfsmanni var send beiðni um að gera millifærslu og þótti honum skeytið grunsamlegt. Var hann því næst plataður á myndfund þar sem djúpfölsunartækni var notuð til að láta hann halda að hann væri að ræða við fjármálastjóra fyrirtækisins og aðra stjórnendur sem staðfestu beiðnina í fölsuðu myndsímtali,“ segir Alpay en tölvuþrjótarnir gátu notað gervigreind til að breyta bæði ásýnd sinni og rödd í rauntíma.

Finni rétta jafnvægið milli varna og aðgengis

„Við getum auðveldlega ímyndað okkur alls kyns svik sem þessi tækni býður upp á. Meðal annars þurfa tryggingafyrirtæki og lífeyrissjóðir núna að vera á varðbergi enda getur fólk villt á sér heimildir og kannski að sumum gæti þótt freistandi að t.d. reyna að sannfæra þjónustufulltrúa um að látinn ættingi sé enn á lífi svo að lífeyrisgreiðslurnar til hans haldi áfram að berast, svo aðeins eitt dæmi sé nefnt.“

Það flækir málin fyrir fyrirtæki og stofnanir að þau þurfa að reyna að finna gott jafnvægi á milli þess að verjast svikum og árásum en flækja ekki um of þá ferla sem viðskiptavinurinn reiðir sig á. Þökk sé örum tækniframförum er almenningur orðinn vanur lipurri og snöggri afgreiðslu yfir netið en gervigreindin þýði að styrkja þurfi varnirnar. „Þetta kallar á að gera ítarlega áhættugreiningu og koma auga á hvar þarf að auka varnirnar og hvar gæti verið óhætt að draga úr þeim. Við viljum t.d. að það sé ekki of erfitt fyrir nýja kúnna að skrá sig í viðskipti en á móti þarf að vega líkurnar og kostnaðinn af svikum,“ útskýrir Alpay.

Hún bætir við að þessi nýja ógn steðji ekki aðeins að fyrirtækjum heldur séu einnig fjölmörg dæmi um einstaklinga sem hafi tapað háum fjárhæðum þegar rafrænum skilríkjum þeirra var annaðhvort stolið eða þau misnotuð. Á síðasta ári fjölluðu fjölmiðlar meðal annars um íslenska aðila sem höfðu stolið rafrænum skilríkjum einstaklings og þannig komist í netbanka viðkomandi.

Fara má ýmsar leiðir til að styrkja varnirnar og segir Alpay að skipta megi varnaraðgerðunum í nokkur lög: Fara þarf ítarlega yfir helstu ferla og koma auga á veika fleti. Svo er líka hægt að nýta nýjustu tækni til að koma betur auga á tilraunir til árása og svika og getur t.d. gervigreind skimað þau gögn sem verða til í rekstrinum til að koma auga á mynstur sem gætu bent til að svik séu að eiga sér stað. Tæknin býður líka upp á að gera tölvuþrjótum erfiðara fyrir að nota gervigreind til að villa á sér heimildir og er t.d. útbreitt í dag að ef fólk þarf að auðkenna sig í mynd þá sé það beðið um að snúa höfðinu bæði til hægri og vinstri, sem djúpfölsunartækni getur átt erfitt með.“

Hættan mun bara fara vaxandi

Rannsóknin sem Signicat lét framkvæma bendir til að fyrirtæki þurfi að taka sig á. „Aðeins 22% svarenda sögðust þegar hafa gripið til aðgerða til að verjast auðkennissvikum þar sem gervigreind er notuð en 74% til viðbótar svöruðu að slíkar varnir yrðu innleiddar á næstu tólf mánuðum. Af þeim sem áttu eftir að laga varnirnar nefndu síðan 76% að þá skorti fjármuni, tíma eða rétta sérþekkingu til að bregðast hraðar við.“

Ísland er hvergi nær undanskilið netárásum og segir Alpay að með auknu aðgengi að fullkomnari tækni sé ljóst að slíkar árásir muni bara aukast hérlendis. „Í dag er enn ekki til nein töfralausn sem getur gripið öll möguleg tilfelli. Mitt ráð til fyrirtækja er að þau bíði ekki eftir því að verða fyrir tjóni heldur byrji strax að skoða hvað þau geti gert til að verja sig og byggi síðan ofan á það til að reyna að vera einu skrefi á undan þessari þróun.“

Pinar Alpay