Tehisintellekt (TI) avab ettevõtetele uusi võimalusi, kuid toob endaga kaasa ka tõsiseid ohte. Üks ohtlikumaid neist on praegu deepfake-tehnoloogia – süvavõltsingud, kus inimeste häält või nägu jäljendatakse nii realistlikult, et seda kasutatakse finantspettuste korraldamiseks või maine hävitamiseks. Ettevõtete jaoks ei ole see enam teoreetiline risk, vaid igapäevane reaalsus.
Advokaadi ja advokaadibüroo „Lawcorpus | Venslauskas“ juhtivpartneri Roko Venslauskase sõnul muutub süvavõltsingute tehnoloogia järjest kättesaadavamaks ja seda kasutatakse üha sagedamini küberpettustes. 2023. aastal kasvas selliste rünnakute arv maailmas koguni 3000 protsenti.
Kurjategijatele piisab vaid mõnest sekundist kellegi häälesalvestisest, et luua usutav telefonikõne. Oskuslikult võltsitud video võib omakorda olla tõhus vahend desinformatsioonikampaaniates. Üks silmapaistvamaid näiteid on rünnak rahvusvahelise inseneriettevõtte „Arup“ vastu, kus töötaja tegi 25,6 miljoni USA dollari suuruse ülekande, eksituna deepfake-tehnoloogiaga loodud „finantsjuhi“ häälest ja videost.
Selliseid rünnakuid nimetatakse „vishing“’uks (voice phishing) ehk häälepõhiseks petuskeemiks. Need muutuvad ühtaegu nii sagedasemaks kui ka keerukamaks. Eriti tugevalt on löögi all finantsasutuste kontaktikeskused, mis on üle ujutatud võltskõnedest, mille eesmärk on pääseda ligi klientide kontodele. Prognooside kohaselt võivad ainuüksi kontaktkeskuste pettustest tingitud kahjud ulatuda 2025. aastaks 44,5 miljardi USA dollarini.
„Kujutage ette olukorda, kus internetis levib video teie ettevõtte juhist, kes „teatab“ halbadest majandustulemustest, koondamistest või koguni ebaseaduslikust tegevusest. Sellise video mõju, kui see levib sotsiaalmeedias, võib olla korvamatu – alates aktsiahinna langusest kuni klientide ja partnerite usalduse kadumiseni,“ hoiatab R. Venslauskas.
Kui seadus jääb arengule alla: lünklik õiguskaitse
R. Venslauskase sõnul on süvavõltsingute ohvriks langenud isikutel ja ettevõtetel siiski võimalik oma õigusi kaitsta, tuginedes au ja väärikuse kaitset, ettevõtte maine kaitset, õigust oma kujutisele ning andmekaitsenõudeid reguleerivatele normidele. Samas puudub tänaseni selge ja spetsiaalne õigusraamistik, mis võimaldaks nende tagajärgedega tõhusalt tegeleda.
Näiteks on biomeetriliste andmete – nagu hääl või nägu – ebaseaduslik kasutamine deepfake’i loomiseks tõsine isikuandmete kaitse üldmääruse (GDPR) rikkumine. Ometigi on tsiviilvaidlused praktikas keerulised: võltsingu tõendamine, rikkuja tuvastamine ning kahju hüvitamise nõudmine on sageli aeganõudev, kallis ja tehniliselt keeruline.
„Õigussüsteemil ei ole praegu ühest vastust küsimusele, kuidas käsitleda salvestist, mille autentsuses on põhjendatud kahtlus. Kuidas peaks kohus hindama heli- või videosalvestist, kui selle ehtsuses kaheldakse? Milline ekspertiis suudab 100 protsendi kindlusega kinnitada või ümber lükata salvestise ehtsuse? Ettevõtted peavad tegutsema proaktiivselt ega tohi jääda ootama, kuni seadus reaalsusele järele jõuab,“ rõhutab ekspert.
Kuidas end kaitsta: terviklik riskijuhtimine
R. Venslauskase hinnangul ei piisa võitlusel süvavõltsingutega üksnes viirusetõrjest või tulemüürist. Vaja on süstemaatilist ja terviklikku turvapoliitikat, mis hõlmaks tehnoloogilisi, organisatsioonilisi ja inimfaktorit puudutavaid meetmeid.
Kõige tõhusam kaitse on tema sõnul kaasaegsete seiretehnoloogiate, rangete sisemiste protsesside ja töötajate teadlikkuse ühendamine. Organisatsioonid peaksid rakendama vähemalt järgmisi samme:
Tehnoloogiline seire ja automatiseeritud reageerimine
SIEM-platvormid (turbeinfo ja -sündmuste haldus) ning SOAR-lahendused (turbe orkestreerimine, automatiseerimine ja reageerimine) võimaldavad avastada IT-taristus anomaaliaid reaalajas ning neile automaatselt reageerida. Väga oluline on kasutusele võtta ka mitmefaktoriline autentimine (MFA), mis vähendab märkimisväärselt riski, et varastatud paroolidega saab süsteemidele ligi.
Väliste ohtude jälgimine
Organisatsioon peaks pidevalt jälgima oma välisinfostruktuuri: alates haavatavatest süsteemidest kuni võimalike andmeleketeni tumes internetis (dark web). See aitab varakult tuvastada, kas ettevõtte nime, töötajate andmeid või visuaalset identiteeti juba kuritarvitatakse.
Töötajate koolitamine
Koolitused ei tohiks piirduda ainult teoreetiliste loengutega. Vajalikud on praktilised simulatsioonid, mis aitavad töötajatel ära tunda sotsiaalse manipulatsiooni võtteid, sh deepfake-põhiseid petuskeeme (näiteks ,,juhi” häälkäsklused maksete tegemiseks).
Selged sisemised protseduurid
Organisatsioonis peab kehtima selge protokoll oluliste otsuste ja tehingute kinnitamiseks. See tähendab, et:
- suuri makseid või lepinguid ei kinnitata üksnes e-kirja või telefonikõne alusel,
- kasutatakse mitut sõltumatut suhtluskanalit (nt kinnituskõne teisele kontaktile, turvaline sõnumirakendus),
- kahtluse korral on töötajatel õigus ja kohustus protsess ajutiselt peatada.
Maine ja intsidentide haldamine
Ettevõtetel peaks olema valmis reageerimisplaan juhuks, kui neid tabab küberintsident või mainekahju:
- kes ja millises järjekorras tuleb viivitamatult teavitada,
- kuidas isoleerida kahjustatud süsteemid,
- kuidas suhelda klientide, partnerite ja avalikkusega.
Ettvalmistatud kriisikava aitab kahju minimeerida ning võimaldab tegevuse kiiremini taastada.
Juhtkonna roll: kas kriis jääb deepfake-senaariumiks või saab tegelikkuseks?
Deepfake-rünnakud ei ole enam ulme, vaid igapäevane praktika. Need on odavad, kergesti kättesaadavad ja sageli märksa tõhusamad kui traditsioonilised pahavararünnakud. Kuigi tehnoloogia areneb ja aitab võltsinguid üha paremini tuvastada, jääb peamiseks kaitseliiniks ikkagi inimene.
„Süvavõltsingud on üks ohtlikumaid kaasaegseid ohte, millega ettevõtted juba täna silmitsi seisavad. Küberjulgeolek on nüüdseks selgelt juhtkonna vastutusvaldkond – täpselt samamoodi nagu finantsjuhtimine või õigusnõuetele vastavus. Mida kiiremini ettevõtted seda mõistavad, seda suurem on tõenäosus, et mainekatastroof jääb üksnes deepfake-stsenaariumiks, mitte ei muutu reaalsuseks,“ rõhutab R. Venslauskas.
