Uusien kyberuhkien kehittyessä oman identiteetin turvallisuudesta huolehtimisesta on tullut entistä tärkeämpää. Esimerkiksi AI-identiteettivarkaudet ovat yleistyneet kovaa vauhtia sen jälkeen, kun ChatGPT tuli markkinoille vuonna 2022.
SlashNextin tuore raportti osoitti, että verkkorikolliset hyödyntävät generatiivista AI:ta tietojenkalasteluun liittyvissä huijauksissa, mikä on johtanut siihen, että phishing-hyökkäykset ovat lisääntyneet 341 prosenttia vain kuudessa kuukaudessa.
Tämä uusi trendi sisältää erityisesti haitallisia linkkejä, yrityssähköpostien väärinkäytöksiä, QR-koodien kautta tapahtuvaa tietojenkalastelua ja liitetiedostoihin perustuvia viruksia.
SlashNext raportoi, että haitallisia tietojenkalasteluun pyrkiviä viestejä on lähetetty jopa 4 151 prosenttia enemmän sen jälkeen, kun ensimmäinen generatiivinen tekoäly tuli julkisuuteen marraskuussa 2022.
Nykyään 80 prosenttia kaikista tietomurroista käyttää petollisia identiteettejä. Niiden kustannukset yrityksille lasketaan vuosittain miljardeissa dollareissa. SaaS-sovellusten ja tekoälyn yleistymisen myötä identiteetteihin kohdistuvien hyökkäysten määrä on myös kasvussa – 2024 IBM Threat Intelligence Index -raportin mukaan kasvua on ollut vuosittain 71 prosenttia.
- Katso koko lista
Miten tekoälyllä toteutetut AI-identiteettivarkaudet toimivat organisaatioiden sisällä?
Identiteettiin perustuvat verkkohyökkäykset muuttuvat yhä monimutkaisemmiksi sitä mukaan, kun hyökkääjät käyttävät tekoälyä niiden automatisointiin ja skaalaamiseen.
Olerian toimitusjohtaja Jim Alkove, joka toimi aiemmin Salesforcen ja Microsoftin entisenä luottamusjohtajana, keskusteli identiteettiturvallisuudesta Techopedian kanssa:
“Ihmisten henkilöllisyys on tänä päivänä kyberturvallisuuden suurin haaste. Jos et tiedä, kuka ja mikä pystyy näkemään tietojasi, et voi millään suojata niitä.”
Identiteettiin liittyvät tietoturvavarkaudet aiheuttavat myös merkittäviä mainehaittoja yhdysvaltalaisyrityksille. Lisäksi ne maksavat yrityksille keskimäärin 9,48 miljoonaa dollaria per tietomurto.
Alkove puhuu myös identiteettivarkauksiin liittyvistä piilokustannuksista.
“Kun yritys kohtaa merkittävän tietoturvapoikkeaman, se ei ainoastaan vaikuta liiketoimintaan, vaan se voi myös vaikuttaa asiakkaiden ja kumppaneiden luottamukseen pitkällä aikavälillä. Tänä vuonna on ollut ennätysmäärä tietomurtoja ja uusia tekoälypohjaisia turvallisuusuhkia. Siksi yritysten on tärkeämpää kuin koskaan kehittää ja uudistaa lähestymistapojaan identiteettiturvallisuuteen.”
“Tekoälypohjaiset tietojenkalastelutekniikat, joissa koneoppimisalgoritmit luovat räätälöityjä sähköposteja phishing-hyökkäyksiin, yleistyvät ja paranevat jatkuvasti”, Alkove sanoi.
“Lisäksi tekoälyä käytetään luomaan deepfake-videoita, jotka voivat hämätä sekä ihmisiä että järjestelmiä, mikä entisestään vaikeuttaa hyvän tietoturvallisuuden ylläpitämistä.”
Alkove selitti, että hyökkääjät käyttävät tekoälyä analysoidakseen valtavia määriä dataa löytääkseen ohjelmistoista haavoittuvuuksia, mikä pakottaa turvallisuustiimit mukauttamaan ja kehittämään puolustustaan jatkuvasti – usein vieläpä hyvin rajallisilla resursseilla.
Trulioon teknologiajohtaja Hal Lonas kertoi Techopedialle, että tekoälyyn pohjautuvat identiteettivarkaudet aiheuttavat paljon laajempia kuin vain taloudellisia vahinkoja.
“Hyökkäykset voivat vaikuttaa työntekijöiden moraaliin, mikä luo tunteen siitä, että yrityksen sisällä toimivat tiimit eivät ole valmiita taistelemaan tietoturvauhkia vastaan. Tämä voi johtaa erilaisiin negatiivisiin reaktioihin instituution sisällä.”
Tällaiset hyökkäykset voivat myös vaikuttaa innovaatioihin, koska organisaatiot ovat huomanneet erityisesti uusien tuotteiden ja innovaatioiden olevan hakkereiden mielenkiinnon kohteina. Tämä asettaa yritykset heikkoon asemaan, mikäli ne viivyttelevät uusien teknologioiden käyttöönottoa turvallisuushuolien vuoksi.
Piilokustannukset: luottamus, häiriöt, oikeudenkäynnit ja vakuutukset
Vuonna 2023 Identity Theft Resource Center (ITRC) tutki 3 205 tietomurtoa. Määrä oli 72 prosenttia enemmän vuoteen2021 verrattuna. Samalla liittovaltion kauppakomissio (FTC) raportoi yli 10 miljardin dollarin kustannuksista vuonna 2023, mikä oli 14 prosenttia enemmän vuoteen 2022 verrattuna.
Tämä korostaa erityisesti sitä, että kuluttajat ovat aiempaa haavoittuvammassa asemassa ja sitä kautta epäluottamus esimerkiksi verkkopalveluita kohtaan on kasvussa.
Conversican toimitusjohtaja Jim Kaskade keskusteli Techopedian kanssa tekoälyyn pohjautuvien identiteettivarkauksien tulevaisuudesta:
“Uskon, että jatkossa 60 prosenttia näistä hyökkäyksistä perustuu tekoälyyn. Tekoälyn ohjaamat hyökkäykset, kuten deepfake-videot, synteettiset identiteetit ja pitkälle kehittyneet phishing-hyökkäykset, ovat yleistyneet.”
Kun tekoälyn tukemat identiteettivarkaudet kasvavat, liiketoiminnan jatkuvuus kärsii. ITRC havaitsi, että lähes 11 prosenttia kaikista julkisesti noteeratuista yrityksistä oli vaarassa joutua AI-identiteettivarkauden uhriksi vuonna 2023.
Nämä tietomurrot aiheuttivat merkittäviä toiminnallisia häiriöitä ja resurssien hallintaan liittyviä ongelmia. Kaskade Conversicalta kertoi Techopedialle, että nimenomaan tekoäly ajaa tätä trendiä eteenpäin.
“Tekoäly lisää hyökkäysten tehokkuutta ja onnistumisprosenttia, mikä kasvattaa ja vaikeuttaa toiminnallisia häiriöitä. Tekoälyalgoritmit voivat automatisoida laajamittaisia tietojenkalastelu- ja tunnistetietojen hankkimiseen tarkoitettuja verkkohyökkäyksiä.”
Oikeudenkäyntikulut ovat myös kasvussa, sillä niihin liittyvät kustannukset ylittivät 10 miljardia dollaria vuonna 2023.
“Tekoälyn mahdollistamien kehittyneiden ja laajamittaisten verkkohyökkäysten myötä oikeudelliset seuraamukset, kuten sakot ja oikeudenkäynnit, yleistyvät nopeasti”, Kaskade sanoi.
Lisäksi piilokustannuksiin kuuluu tietomurron aiheuttamien jälkien korjaaminen, yrityksen maineen palauttaminen sekä vakuutusmaksujen nousu.
Alkove Olerialta lisäsi, että jatkuva uhka hyökkäyksistä luo turvallisuustiimeille vaikean toimintaympäristön, mikä johtaa helposti uupumukseen ja inhimillisiin virheisiin.
“Menetetyt liiketoimintamahdollisuudet ovat toinen pitkän aikavälin kustannus, koska mahdolliset asiakkaat ja kumppanit saattavat olla varovaisia tekemään yhteistyötä yrityksen kanssa, jolla on ollut ongelmia tietoturvan kanssa”, Alkove sanoi.
Seuraavan sukupolven tekoälybotit ja GenAI-hyökkäykset
Kountin tuotemarkkinoinnin johtaja Christopher Tennyson toimii Equifax-yhtiön alaisuudessa. Se on omistautunut tunnistamaan ja tutkimaan petoksia, identiteettivarkauksia ja sääntöjen noudattamista.
Tennyson kertoi Techopedialle, että haitalliset tekoälybotit on päivitetty siten, että niiden tunnistaminen on aiempaa hankalampaa.
Tennyson selitti, että on olemassa botteja, joita on helppo havaita koneoppimismallien ja tekoälyn avulla. Ne pystyvät nimittäin tunnistamaan ei-inhimillisen käyttäytymisen.
“Sitten huijarit joutuivat sopeutumaan toimintaansa ja alkoivat käyttää tekoälyä itse. Yksinkertainen skripti ei vain mahdollistanut käyttäytymistä, joka voisi jäljitellä oikean henkilön toimintaa.”
“GenAI:n ilmaantuminen on lisännyt mahdollisuuksia mahdollistamalla AI-bottien ohittaa yleisesti käytössä olevien bottien tunnistustarkistukset, kuten CAPTCHA:n”, Tennyson sanoi.
Tennyson kertoi, että deepfake on toinen alue, jossa he ovat nähneet merkittäviä edistysaskeleita. “Keräämällä ainoastaan muutaman esimerkin henkilön kasvoista ja äänestä, huijari voi nyt jäljitellä tätä henkilöä esittävää videota tai puhelua”, Tennyson lisäsi.
Generatiivista tekoälyä käyttäen kyberrikolliset voivat myös luoda tekstejä millä tahansa kielellä ja ohittaa automatisoidut tietoturvallisuusmallit.
Tennyson selitti, että tällaisten rikollisten työkalujen innovointi tulee aiheuttamaan organisaatioille paljon kustannuksia, kuten operatiivisten resurssien uudelleen suuntaamista sekä suorituskyvyn ja kasvun heikkenemistä.
Lisäksi AI-identiteettivarkauksista tulee aiheutumaan merkittäviä taloudellisia vaikutuksia, osakekurssien laskuja, luotto- ja rahoitusrajoituksia sekä uusien teknologioiden investointikustannusten kasvua.
AI-identiteettivarkaudet – yhteenveto
BeyondTrustin tietoturvastrategisti Chris Hills kommentoi Techopedialle:
“Kun on kyse tekoälyn käyttämisestä identiteettivarkauksissa, emme osaa vielä tarkalleen arvioida, kuinka suuria ja pitkäaikaisia vaikutuksia sillä tulee olemaan.”
Hills lisäsi, että tekoälyyn liittyvät hyökkäykset tulevat lisääntymään ja muodostumaan tulevaisuudessa keskeisen tietoturvallisuusongelman. Samanlainen kehitys on nähty jo aiemmin kiristysohjelmien kohdalla.
“Tekoälyllä tapahtuvat identiteettiuhat ovat vasta alkuvaiheessa. Niistä tulee yhä parempia, ja tekoälyn avulla verkkorikolliset voivat automatisoida hyökkäyksiä ennen näkemättömällä tavalla. Todennäköisesti emme ole koskaan ennen nähneet tai kokeneet vastaavaa”, Hills sanoi.
“Kun kyse on tekoälyyn pohjautuvista verkkohyökkäyksistä identiteettejä vastaan, ongelmaksi nousevat erityisesti deepfake-videot ja muu vastaava multimedia. Olemme pian tilanteessa, jossa tavalliset käyttäjät, insinöörit ja johtajat joutuvat kyseenalaistamaan, mikä on totta ja mikä on väärennettyä – tekoälyteknologia on tullut jo niin hyväksi!”
Yhteenvetona voidaan todeta, että tekoälyn ja kyberrikollisuuden yhdistyminen on tuonut mukanaan täysin uuden aikakauden identiteettivarkauksien osalta. Panokset tulemaan moninkertaistumaan tulevaisuudessa.
Näiden hyökkäysten piilokustannukset ulottuvat taloudellisten menetysten tuolle puolen. Tämä johtuu siitä, että tietovuodot vaikuttavat kuluttajien luottamukseen, liiketoimintaan ja jopa yrityksen tekemiin innovaatioihin.
Tekoälyn kehittyessä organisaatioiden on kiireellisesti mukautettava turvallisuusstrategioitaan ja olemaan valmiita torjumaan tämä kasvava uhka – tai seuraukset saattavat olla katastrofaalisia.
AI-identiteettivarkaudet – Usein kysytyt kysymykset
Miten tekoäly on kasvattanut phishing-hyökkäysten määrää?
Mitkä ovat tekoälyyn perustuvan identiteettivarkauden kustannukset?
Mikä vaikutus tekoälyyn perustuvalla identiteettivarkaudella on ollut yrityksiin?
Lähteet
- The State of Phishing 2024 (Slashnext)
- CrowdStrike 2024 Global Threat Report (Crowdstrike)
- IBM Security X-Force Threat Intelligence Index 2024 (Ibm)
- Jim Alkove – Seattle, Washington, United States | Professional Profile (Linkedin)
- Identity security reimagined (Oleria)
- Cost of a data breach 2023: Geographical breakdowns (Stats.nwe)
- Sign In | Qwoted (App.qwoted)
- Global Online Identity Verification Service – KYC, KYB, AML (Trulioo)
- SpamFireWall is checking your browser and IP 45.61.185.154 for spam bots (Idtheftcenter)
- As Nationwide Fraud Losses Top $10 Billion in 2023, FTC Steps Up Efforts to Protect the Public (Ftc)
- Jim Kaskade – Conversica (Linkedin)
- AI-Powered Conversations to Unlock Revenue (Conversica)
- Identity Theft Resource Center 2023 Annual Data Breach Report Reveals Record Number of Compromises; 72 Percent Increase Over Previous High – ITRC (Idtheftcenter)
- Christopher Tennyson, MBA – Kount, an Equifax Company (Linkedin)
- Fraud Detection and Chargeback Management Solutions (Kount)
- Equifax | Credit Bureau | Check Your Credit Report Credit Score (Equifax)
- Christopher Hills – BeyondTrust (Linkedin)
- Identity and Access Security (Beyondtrust)