Журнал "Системы Безопасности" № 5‘2023

Ц И Ф Р О В А Я Т Р А Н С Ф О Р М А Ц И Я , И И , И Н Т Е Р Н Е Т В Е Щ Е Й 37 важно проводить процедуру KYC (англ. Know Your Customer, знай своего клиента), то есть верифицировать личность клиента при прове- дении транзакций и любых других операций со счетами. Для расширения возможностей дис- танционного обслуживания банки внедряют удаленное подтверждение операций с помо- щью биометрии. Злоумышленники могут вос- пользоваться дипфейком для получения досту- па к счетам клиентов организации. Один из распространенных кейсов – подтвер- ждение операций в онлайн-банке по биомет- рическим данным через камеру на персональ- ном компьютере. С помощью специального софта злоумышленники могут наложить гене- ратор фейков на изображение, передаваемое с камеры на сервер организации. Чтобы пре- сечь противоправные действия, нейросети в инфраструктуре банка анализируют запись видеоподтверждения операции от пользовате- ля, сопоставляют ее с биометрическими данны- ми клиента. При обращении клиента в финан- совую организацию по телефону, даже если у банка нет биометрических данных клиента, детектор все равно сможет выявить признаки синтезированной речи и заблокировать прове- дение операции. аналогичным образом воспользоваться детек- тором фейков могут государственные сервисы, чтобы не позволить злоумышленникам подать онлайн-заявление от имени другого человека и избежать предоставления злоумышленникам доступа к персональным данным граждан. Детекторы дипфейков уже используются для определения фейковых новостных сообщений в социальных сетях. Социальная сеть Facebook (принадлежит Meta, признанной в России экс- тремистской организацией) уже несколько лет привлекает для анализа материалов от пользо- вателей внешних партнеров. ВКонтакте сообщи- ла о разработке собственной технологии опре- деления фейков в начале 2023 г. Такие технологии будут полезны не только пользователям, но и самим информационным агентствам, получающим часть актуальной информации от пользователей социальных сетей. Нейросети помогут журналистам опреде- лить достоверность данных и избежать распро- странения фейков в СМИ. В будущем детекторы дипфейков могут исполь- зоваться в любом онлайн-сервисе, где пользо- ватель может быть заинтересован в подлоге своей личности. Например, перед началом онлайн-заседаний суды проверяют личность участников, подключившихся дистанционно. Нейросети могут быть необходимы для под- тверждения подлинности изображения с каме- ры участника заседания. Cреди возможных кейсов можно выделить также определение фейков при сдаче онлайн- экзаменов. ИИ-модель может определить, дей- ствительно ли тест выполняет сам экзаменуе- мый. Такая услуга может быть востребована, например, при сдаче экзамена на квалифици- рованного инвестора, если такая аттестация будет проводиться онлайн. Проблемы детекции дипфейков Как и в любой борьбе с преступностью, зло- умышленники почти всегда оказываются на шаг впереди, регулярно разрабатывая новые алго- ритмы генерации фейков и модернизируя ста- рые. Поэтому ценность детекторов зависит от скорости обнаружения новых алгоритмов и оперативной доработки нейросети. Текущий уровень распознавания сгенерирован- ных изображений и видео достигает 90–95%. Однако, чтобы обойти детекторы, злоумышлен- ники дополнительно обрабатывают дипфейки с помощью фото- и видеоредакторов, исправ- ляя артефакты синтеза вручную. Такие кейсы считаются очень трудными для распознавания. Одними из наиболее ярких отредактированных дипфейков считаются записи, где якобы вместе поют актеры Леонардо ди Каприо и Дженна Ортега. Наиболее современные ML-модели не требуют дообучения для генерации дипфейков. Они могут сгенерировать фейковую видеозапись с лицом человека по одной его фотографии – и, по оценкам исследователей, в ряде случаев качество распознавания таких дипфейков было даже ниже, чем у дипфейков, сгенерированных нейросетями на базе крупных дата-сетов. В связи с этим сейчас ключевая задача дип- фейк-детекторов – наиболее качественно опре- делять материалы, сгенерированные популяр- ными, общедоступными и легкими в использо- вании ИИ-сервисами. Таким образом разработ- чики смогут пресечь массовое применение дип- фейков в противоправных целях. n www.secuteck.ru октябрь – ноябрь 2023 СПЕЦПРОЕКТ РЕшЕНИя На ОСНОВЕ ИСКуССТВЕННОгО ИНТЕЛЛЕКТа Ваше мнение и вопросы по статье направляйте на ss @groteck.ru В каждой компании рано или поздно руко- водство задается вопросом: "Что происхо- дит у нас в плане информационной безопасно- сти?" Большинство при этом уверены, что если все работает, то и бояться нечего. Последствия инцидентов информационной безопасности – это единственное, что может вывести коллег из состояния "безопасности по незнанию". Любое событие, включающее в себя неправо- мерные действия с информацией конфиденци- ального характера и сервисами компании, может являться инцидентом информационной безопасности. Почему только может? Потому что любые события необходимо тщательно проверять, чтобы не сделать еще хуже, вводя меры обеспечения безопасности там, где их и так достаточное количество; но давайте обо всем по порядку. Что необходимо компании для грамотного реагирования на инциденты информационной безопасности (ИБ)? 1. Выстроить процесс реагирования на инциденты ИБ Под данным процессом принято понимать опи- сание последовательности действий, таких как: l сбор событий и их обработка; l проверка легитимности событий; l идентификация инцидента и определение его критичности; l реализация плана реагирования на инци- дент; l выявление и устранение последствий инци- дента; l принятие мер по минимизации риска его повторного возникновения. 2. Разработать регламент реагирования на инциденты ИБ В регламенте должны быть четко отражены: l критерии оценки критичности инцидентов; l планы реагирования на инциденты ИБ; l ответственные за процесс и его исполнение; l документы, которые необходимо фиксиро- вать для последующей минимизации рисков (отчет, выгрузки, статистика и т.д.). 3. Приобрести SIEM-систему В каждой компании огромное количество устройств, которые собирают логи событий, и обработать их вручную попросту невозможно. Поэтому для выделения из общего множества событий тех, которые необходимо проверить на предмет инцидента, поможет SIEM-система. На текущий момент на рынке систем безопасности присутствует множество подходящих решений как отечественных, так и иностранных. 4. Ввести процесс реагирования на инциденты ИБ в работу Если в вашей компании имеется возможность организовать отдельное направление/отдел, направленное на выявление инцидентов (Secu- rity Operation Center) согласно организованному вами процессу, то это лучший вариант. Если же штат компании не позволяет это реализовать, то возможно сделать нечто подобное и при помощи операторов на аутсорсе, но в данном случае необходимо будет учитывать соответ- ствующие риски передачи конфиденциальной информации третьему лицу и принимать опре- деленные меры по их минимизации. Надеюсь, данной информации достаточно, чтобы составить представление о процессе реа- гирования на инциденты ИБ. И помните: если вам кажется, что ничего плохого не происхо- дит, возможно вы просто об этом не знаете. n Денис Богданов Независимый эксперт по информационной безопасности МНЕНИЕ ЭКСПЕРТА Что нужно для грамотного реагирования на инциденты ИБ?