В ближайшие годы специалисты по безопасности и рискам столкнутся с тем, что принимаемые в области кибербезопасности решения могут иметь более глубокие социальные последствия, чем когда-либо прежде, утверждает аналитики Forrester Research. Жизнь людей все больше зависит от технологий — они широко применяются для решения рабочих вопросов, учебы или общения, и эта зависимость превращает их в мишень. Принимая решения, люди полагаются на данные — это еще одно обстоятельство, которое делает их уязвимыми. Хакеры это прекрасно понимают, поэтому стоит ожидать, что в недалеком будущем они попытаются ограничить доступ к большим скоплениям данных с помощью программ-вымогателей.

Похищая информацию, страны с авторитарной формой правления и подставные организации получат больше возможностей для усиления своих геополитических позиций и влияния. За последние несколько лет ИИ и машинное обучение серьезно нарастили свои возможности. Они уже в достаточной мере применяются в ИБ-продуктах, усиливая защиту корпоративного периметра, но, к сожалению, эти успехи не пройдут мимо внимания хакеров — вооружившись ИИ, они получат более мощные рычаги для взлома инфраструктур.

Компании будут заниматься сбором и вепонизацией (то есть, использованием в качестве инструмента давления) данных посредством слияний и поглощений (M&A). Данные — слишком ценный ресурс, поэтому охота на них не прекратится даже после скандала, причиной которого стал организованный Cambridge Analytica незаконный сбор данных в соцсети Facebook. Компании и правительства прекрасно понимают, что данные — это не только ценность, но и оружие, поэтому вряд ли откажутся от манипуляций с ними. Несмотря на повсеместное принятие локальных законодательных актов, регулирующих циркуляции больших объемов данных, они мало что сделают, чтобы остановить растущий рынок M&A, связанный с консолидацией данных.

Подавляющее большинство компаний занимаются сбором данных о пользователях, включая сведения о предпочтениях, местонахождении, передвижениях и здоровье, оправдывая свои действия заботой о клиенте, тем что это якобы позволяет предоставлять ему более качественные сервисы. Поначалу их действия выглядят безвредно, однако все приобретет несколько иной характер, если компании-поставщики самых известных приложений попадут во владение структур, аффилированных со странами-противниками. Подобная ситуация сложилась после того, когда китайская компания Beijing Kunlun Tech после приобретения части акций Grindr (приложение для знакомств, которое популярно среди ЛГБТ-сообщества) получила законный доступ к конфиденциальной информации о клиентах. Приобретение Grindr стало свидетельством того, что действующее законодательство не в состоянии смягчить риски попадания данных в чужие руки. Этот факт требует от компаний формирования собственных стратегий управления данными потребителей.

Затраты, связанные с мошенническими действиями типа deepfake, превысят в 2020 г. 250 млн. долл. В начале этого года мошенникам удалось обмануть британскую энергетическую компанию на сумму 243 тыс. долл., выманив их за счет использования технологий генерации естественного языка. Генеральный менеджер этой компании подумал, что разговаривает по телефону с руководителем материнской компании. «Босс» попросил его отправить средства венгерскому поставщику. По данным страховой компании Euler Hermes Group SA, преступник заявил, будто запрос был очень срочным, и попросил менеджера перевести деньги в течение часа. В итоге неназванная компания понесла финансовые потери.

Возможно, это был первый в своем роде прецедент, когда хакер выманил средства путем имитации голоса стороннего человека. Он показывает, какие экономические выгоды ИИ открывает перед мошенниками. В будущем неудержимая фантазия преступников будет создавать множество сценариев обмана при помощи машинного обучения — атаки типа deepfake (подделка изображения, голоса или видео человека с помощью ИИ) станут более изощренными, позволяя за небольшую плату создавать убедительные копии голоса или видео. Чтобы снизить риски, ИТ-отделам необходимо дополнительно инвестировать в программы повышения осведомленности и обучения сотрудников. Помимо этого не обойтись без опытных ИБ-специалистов, которые понимают сходства и различия между атаками на основе deepfake и устаревшими фишинговыми схемами. 

Проблемы конфиденциальности данных приведут к тому, что свои данные от ИИ будет защищать каждый пятый корпоративный клиент. Несмотря на растущую ценность решений ИИ и МО, компании, которые полагаются на данные корпоративных клиентов для улучшения своих продуктов B2B, столкнутся с трудностями при поиске клиентов, желающих заключать соглашение об обмене данными (договор, который четко документирует, какие данные передаются и как эти данные могут быть использованы). Такие законодательные акты, как GDPR и CCPA, а также негативная реакция потребителей по поводу нарушения конфиденциальности и непреднамеренного раскрытия информации угрожают катастрофическими последствиями для получения прибыли в краткосрочной перспективе и для имиджа бренда, поскольку клиенты будут запрещать поставщикам передачу своих данных третьим сторонам. Эта нехватка данных приведет к тому, что решения ИИ и МО станут менее эффективными, что, в свою очередь, может создать цикл отрицательной обратной связи. Как следствие, компании, которые не чувствуют отдачи от ИИ, будут вынуждены компенсировать повышенный риск расходов, связанных с конфиденциальностью, что приведет к тому, что в ближайшие годы часть корпоративных клиентов запретит использование своих данных.


Источник: ITWeek