Một trong những mối quan tâm lớn nhất đối với AI tạo sinh (GenAI) là khả năng thao túng con người. Điều này khiến nó trở nên lý tưởng cho việc dàn dựng các cuộc tấn công lừa đảo qua mạng. Từ việc khai thác dấu chân số của ai đó đến việc tạo các email lừa đảo có sức thuyết phục cao, thu âm giọng nói để truy cập trực tuyến và video giả mạo sâu, GenAI đã nâng cao đáng kể khả năng tạo ra các cuộc tấn công.
Những kiểu tấn công này đã có trong thực tế. Hồi tháng 2, truyền thông đã đưa tin về một nhân viên tài chính ở Hồng Kông bị lừa chuyển 25 triệu USD do kẻ lừa đảo dùng công nghệ deepfake giả mạo là CFO (giám đốc tài chính) của công ty trong một hội nghị video.
Ban đầu, nạn nhân cũng tỏ ra nghi ngờ khi nhận được một email lừa đảo yêu cầu thực hiện một giao dịch bí mật. Tuy nhiên sau đó, nạn nhân đã bị thuyết phục và tin rằng giao dịch đó là hợp pháp khi tham gia một cuộc họp nhóm và nhận ra những người trong nhóm là những người thân của mình. Trên thực tế, họ hoàn toàn không phải là đồng nghiệp của anh ấy mà mọi người trong cuộc họp đều là phiên bản giả mạo của những người đó.
Những trường hợp như vậy cho thấy, chúng ta không còn có thể tin vào những gì mình thấy và nghe nữa. Các cuộc tấn công này thực hiện gian lận BEC (xâm phạm email doanh nghiệp - DN) và giả mạo CFO bằng cách liên hệ với người liên quan để xác thực một yêu cầu nào đó.
Trên thực tế, những cuộc tấn công này khiến cho phần lớn chương trình đào tạo nâng cao nhận thức về bảo mật mà chúng ta có trở nên lỗi thời. Vậy làm cách nào chúng ta có thể hướng dẫn người dùng bảo vệ DN trong thời đại GenAI?
Những cân nhắc cho nhận thức về GenAI
Đầu tiên, chúng ta cần biết tấn công phi kỹ thuật (social engineering) về cơ bản là vấn đề về tâm lý học, đặt nạn nhân vào tình huống mà họ cảm thấy bị áp lực phải đưa ra quyết định. Do đó, bất kỳ hình thức liên lạc nào (email, cuộc gọi, chat hoặc video…) mang lại cảm giác cấp bách và đưa ra yêu cầu bất thường đều cần được gắn cờ, không phản hồi ngay lập tức và phải tuân theo quy trình xác minh nghiêm ngặt.
Giống như khái niệm zero trust, cách tiếp cận phải là “không bao giờ tin tưởng, luôn luôn xác minh” và quá trình giáo dục nên phác thảo các bước cần thực hiện khi có một yêu cầu bất thường. Ví dụ, liên quan đến gian lận CFO, bộ phận kế toán phải đặt ra giới hạn thanh toán và việc vượt quá giới hạn này sẽ kích hoạt quy trình xác minh.
Thứ hai, người dùng cần lưu ý đến việc chia sẻ quá mức. Ví dụ như công ty có chính sách ngăn chặn việc tiết lộ thông tin qua điện thoại không? Có hạn chế đăng những hình ảnh công ty mà kẻ tấn công có thể khai thác không? Các bài đăng trên mạng xã hội có thể được sử dụng để đoán mật khẩu hoặc lộ thông tin liên quan đến bảo mật của một cá nhân không? Các bước như vậy có thể giúp giảm nguy cơ bị khai thác các thông tin số.
Nhưng hãy nhớ rằng những người có vai trò quan trọng như lãnh đạo DN có nguy cơ bị đánh cắp hình ảnh và sao chép giọng nói cao hơn. Và điều này đưa chúng ta đến điểm thứ ba là chúng ta không nên tìm cách khai thác GenAI để đào tạo nhận thức về bảo mật.
Ví dụ, các hoạt động mô phỏng lừa đảo sẽ mô phỏng các hoạt động tấn công do AI tạo ra bằng cách cá nhân hóa dữ liệu được khai thác. Trên thực tế, GenAI hứa hẹn sẽ cải tiến hoạt động đào tạo về bảo mật theo hướng tốt hơn.
Sự thay đổi trong đào tạo nâng cao nhận thức về bảo mật
Ngày nay, đào tạo dựa trên máy tính nói chung được sử dụng định kỳ để đáp ứng những yêu cầu về quy định và tuân thủ nhưng nó vẫn không giảm thiểu rủi ro và thúc đẩy thực tiễn tốt nhất.
Chương trình đào tạo sát thực với hoạt động kinh doanh và phù hợp với người lao động sẽ có hiệu quả hơn nhiều. Trước đây, việc này gặp nhiều thách thức, đòi hỏi phải phát triển các mô-đun đào tạo phù hợp với hồ sơ rủi ro của DN. Ngày nay, với GenAI, điều này thậm chí có thể đạt được mức độ tùy chỉnh sâu hơn dựa trên vai trò của người dùng trong tổ chức và các mẫu hành vi của họ.
Gartner dự báo, đến năm 2026, những DN kết hợp GenAI với các chương trình văn hóa bảo mật và hành vi bảo mật sẽ giảm thiểu được 40% sự cố do nhân viên gây ra.
Theo Gartner, các phương pháp truyền thống để đào tạo an ninh sẽ được thay thế bằng các hệ thống đo lường sự thay đổi hành vi được hỗ trợ bởi GenAI. Do đó, các khuôn khổ kiểm soát an ninh mạng sẽ chuyển từ đào tạo dựa trên tuân thủ ngày nay sang đo lường dựa trên hành vi nhằm giảm thiểu rủi ro cho con người. Điều này nghĩa là cần có chương trình đào tạo riêng để phát hiện ra những hành vi nhạy cảm của mỗi người, giúp giảm thiểu khả năng đưa ra quyết định sai lầm.
Trong tương lai, GenAI sẽ trở thành lực lượng hướng dẫn nhiều hơn trong việc đưa ra quyết định hàng ngày, thúc đẩy người dùng đưa ra những lựa chọn đúng đắn và đặt câu hỏi về các hành động tiềm ẩn rủi ro.
Đạo tạo về sử dụng GenAI trong nội bộ
Việc đưa GenAI vào như một công cụ tổng hợp tại nơi làm việc cũng có nghĩa là chúng ta cần đào tạo lực lượng lao động về cách sử dụng an toàn. Cần áp dụng khung quản trị như ISO 22989 và ISO 42001, khung quản lý rủi ro AI của Viện Tiêu chuẩn và Công nghệ quốc gia (NIST) Mỹ hoặc các tùy chọn khác.
Các khung này phác thảo các biện pháp kiểm soát mà sau đó sẽ được chuyển thành chính sách GenAI và bao gồm cả việc sử dụng có trách nhiệm, quy trình báo cáo và tính phù hợp với các chính sách bảo mật và bảo vệ dữ liệu hiện có. Điểm mấu chốt là phải đảm bảo rằng người dùng hiểu AI được sử dụng ở đâu và cách họ có thể sử dụng nó một cách an toàn.
Kết luận
Nguy cơ GenAI được sử dụng để tạo ra phần mềm độc hại đã được nói đến rất nhiều. Tuy nhiên, mối đe dọa thực sự nằm ở nguy cơ rò rỉ dữ liệu và lừa đảo từ con người. Đúng là GenAI đang được sử dụng để tạo mã và gần đây, các nhà nghiên cứu đã phát hiện ra rằng tập lệnh Powershell để đánh cắp thông tin được sử dụng trong chiến dịch lừa đảo được viết bởi ChatGPT.
Tuy nhiên, mã này không phức tạp hơn nếu nó được tạo bởi con người và phần mềm độc hại như vậy có thể dễ dàng được phát hiện bằng các tính năng phát hiện tự động.
Theo thời gian, GenAI dự kiến sẽ cho phép các tác nhân đe dọa mở rộng khả năng của chúng khi các cuộc tấn công ngày càng nhiều và phát triển nhanh hơn. Nhưng hiện tại, khả năng “bẻ cong” thực tế của GenAI mới là mối đe dọa lớn và cách phòng thủ tốt nhất là đào tạo an ninh hiệu quả.
Chúng ta cần tỉnh táo hơn bao giờ hết, đặt câu hỏi nhiều hơn và đừng coi thường bất cứ điều gì./.
Theo Tạp chí Thông tin & Truyền thông