GenAI làm tăng nguy cơ xảy ra các cuộc tấn công trên không gian mạng
Một trong những lo ngại lớn nhất mà GenAI tạo ra là khả năng thao túng con người, giúp công cụ này trở nên lý tưởng cho các cuộc tấn công lừa đảo qua mạng. Từ việc khai thác digital footprint của người dùng đến việc viết ra các email lừa đảo mang tính thuyết phục cao, thu âm giọng nói để truy cập trực tuyến và video deepfake, GenAI đã làm tăng cao khả năng xảy ra các cuộc tấn công trên không gian mạng.
Những kiểu tấn công này không phải chỉ có trong lý thuyết mà chưa từng xáy ra trên thực tế. Hồi tháng 2, truyền thông đã đưa tin về một nhân viên tài chính ở Hồng Kông bị lừa chuyển 25 triệu USD do kẻ lừa đảo dùng công nghệ deepfake, giả mạo là CFO của công ty trong một cuộc gọi video. Ban đầu, nạn nhân cũng cảm thấy nghi ngờ khi nhận được một email yêu cầu thực hiện một giao dịch bí mật. Tuy nhiên sau đó, nạn nhân đã bị thuyết phục khi tham gia video meeting với những người quen trong cuộc gọi. Tuy nhiên trên thực tế, những người trong cuộc gọi đó hoàn toàn không phải là đồng nghiệp của nạn nhân mà đều là phiên bản deepfake được tạo bởi AI.
Những trường hợp như vậy cho thấy, chúng ta không còn có thể hoàn toàn tin vào những gì mình nhìn thấy và nghe được nữa. Những kiểu lừa đảo này làm cho phần lớn chương trình đào tạo nâng cao nhận thức về bảo mật mà chúng ta có trở nên lỗi thời. Vậy làm cách nào chúng ta có thể hướng dẫn người dùng bảo vệ doanh nghiệp trong thời đại GenAI?
Những cân nhắc về GenAI
Đầu tiên, chúng ta cần biết tấn công liên quan social engineering bản chất là vấn đề về tâm lý học, đặt nạn nhân vào tình huống mà họ cảm thấy bị áp lực phải đưa ra quyết định. Do đó, bất kỳ hình thức liên lạc nào (email, cuộc gọi, chat hoặc video…) mang lại cảm giác cấp bách và đưa ra yêu cầu bất thường đều cần được lưu tâm, không nên phản ứng ngay lập tức mà phải kiểm tra thông tin lại cẩn thận.
Giống như khái niệm zero trust, cách tiếp cận phải là không bao giờ tin tưởng, luôn luôn xác minh khi có một yêu cầu bất thường. Ví dụ, liên quan đến gian lận CFO, bộ phận kế toán phải đặt ra một hạn mức thanh toán và nếu giao dịch yêu cầu vượt quá hạn mức sẽ phải thông qua quy trình xác minh.
Thứ hai, người dùng cần lưu ý đến việc chia sẻ thông tin. Ví dụ như công ty có chính sách ngăn chặn việc tiết lộ thông tin qua điện thoại không? Có hạn chế đăng những hình ảnh công ty mà kẻ tấn công có thể khai thác không? Các bài đăng trên mạng xã hội có thể được sử dụng để đoán mật khẩu hoặc lộ thông tin liên quan đến bảo mật của một cá nhân không? Các bước như vậy có thể giúp giảm nguy cơ bị khai thác các thông tin.
Tuy nhiên, những người có vai trò quan trọng như lãnh đạo công ty có nguy cơ bị đánh cắp hình ảnh và sao chép giọng nói cao hơn. Vì điều này, GenAI đang dần được đưa vào khai thác để đào tạo nâng nhận thức về bảo mật.
Cập nhật bản tin An ninh mạng tại đây.
Sự thay đổi trong đào tạo nâng cao nhận thức về bảo mật
Ngày nay, đào tạo computer-based nói chung được sử dụng định kỳ để đáp ứng những yêu cầu về quy định và tuân thủ nhưng cộng tác này vẫn không giảm thiểu được rủi ro và cho ra được kết quả tốt nhất.
Thay vào đó, doanh nghiệp nên phát triển chương trình đào tạo sát với thực tế hoạt động kinh doanh và phù hợp với người lao động. Trước đây, việc này gặp nhiều khó khăn, đòi hỏi doanh nghiệp phải phát triển các module đào tạo phù hợp với tính chất, yêu cầu và chương trình quản trị rủi ro. Ngày nay, với GenAI, chương trình đào tạo có thể được tùy chỉnh sâu hơn dựa trên vai trò của người dùng trong tổ chức và các mẫu hành vi của họ.
Gartner dự báo, đến năm 2026, những doanh nghiệp kết hợp GenAI với các chương trình đào tạo văn hóa bảo mật và hành vi bảo mật sẽ giảm thiểu được 40% sự cố do nhân viên gây ra. Các phương pháp truyền thống để đào tạo văn hoá bảo mật sẽ được thay thế bằng các hệ thống đo lường sự thay đổi hành vi được hỗ trợ bởi GenAI.
Do đó, các khuôn khổ kiểm soát an ninh mạng sẽ chuyển từ đào tạo dựa trên tuân thủ ngày nay sang đo lường dựa trên hành vi nhằm giảm thiểu rủi ro cho con người tạo ra. Điều này nghĩa là doanh nghiệp cần phát triển chương trình đào tạo riêng để phát hiện ra những hành vi của mỗi người, giúp giảm thiểu khả năng đưa ra quyết định sai lầm.
Trong tương lai, GenAI sẽ dần trở thành nguồn lực định hướng trong việc đưa ra quyết định hàng ngày, thúc đẩy người dùng đưa ra những lựa chọn đúng đắn và đặt câu hỏi về các hành động tiềm ẩn rủi ro.
Đọc thêm: Làm sao để nhân viên của bạn ghi nhớ kiến thức an ninh mạng lâu hơn?
Đào tạo về sử dụng GenAI trong nội bộ
Khi doanh nghiệp sử dụng GenAI như một công cụ tổng hợp tại nơi làm việc thì doanh nghiệp sẽ cần đào tạo người lao động về cách sử dụng GenAI an toàn. Cần áp dụng khung quản trị như ISO 22989 và ISO 42001, khung quản lý rủi ro AI của Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) Mỹ hoặc các tiêu chuẩn khác.
Các khung tiêu chuẩn này đưa ra các biện pháp kiểm soát mà sau đó doanh nghiệp sẽ nên chuyển thành chính sách GenAI và bao gồm cả việc người dùng sử dụng có trách nhiệm và tuân theo quy trình báo cáo. Đặc biệt, khung tiêu chuẩn này phải phù hợp với các chính sách bảo mật và bảo vệ dữ liệu hiện có của công ty.
Kết luận
GenAI bị sử dụng để phát triển các phần mềm độc hại đã trở nên rất phổ biến. Tuy nhiên, code này không phức tạp hơn một code được viết bởi con người và phần mềm độc hại như vậy có thể dễ dàng được phát hiện bằng các tính năng phát hiện tự động.
Theo thời gian, GenAI dự kiến sẽ cho phép các tác nhân đe dọa mở rộng khả năng của chúng khi các cuộc tấn công ngày càng nhiều và phát triển nhanh hơn. Nhưng hiện tại, khả năng “bẻ cong” thực tế của GenAI mới là mối đe dọa lớn và cách phòng thủ tốt nhất là đào tạo an ninh hiệu quả.