Direktor prejme nujno zahtevo za plačilo, finančna služba obvestilo o spremembi bančnega računa dobavitelja, vodja kadrovske službe pa življenjepis z zlonamerno priponko. Vse to so danes običajni simptomi sodobnih napadov z orgoožanjem poslovne e-poštem (ang. Business Email Compromise - BEC), ki jih poganja generativna umetna inteligenca. Napadalci ne iščejo več tehničnih ranljivosti, ampak izkoriščajo zaupanje ljudi in nedoslednosti v poslovnih procesih.
Še pred nekaj leti je bilo večino sporočil phishing mogoče prepoznati po slabem jeziku ali nenavadnih formulacijah. Danes umetna inteligenca omogoča pripravo slovnično brezhibnih sporočil v katerem koli jeziku, prilagojenih posameznemu podjetju. Javne objave na LinkedInu, spletnih straneh in družbenih omrežjih napadalcem omogočajo, da pripravijo izjemno prepričljive scenarije.
Posledice so lahko zelo občutne. Med najbolj odmevnimi primeri je primer inženirskega podjetja Arup, kjer so napadalci z uporabo videokonference in globokega ponaredka prepričali zaposlenega v izvedbo več milijonov evrov vrednih nakazil. Tudi pri proizvajalcu Ferrari so poročali o poskusih zlorabe identitete vodstva z uporabo umetno ustvarjenega glasu. Takšni primeri kažejo, da tarča ni več informacijski sistem, temveč proces odločanja.
Spolzka tla, kjer tehnologija odpove
Za vodstvo podjetja je nasedanje takšnim prevaram predvsem vprašanje upravljanja tveganj. Če lahko ena sama elektronska pošta sproži napačno plačilo ali razkritje občutljivih podatkov, gre za poslovno tveganje z neposrednimi finančnimi posledicami. Tehnologija je le del rešitve. Enako pomembni so jasno določeni postopki potrjevanja plačil in še prej nabavljanja, kultura preverjanja informacij ter redno usposabljanje zaposlenih.
Učinkovit pristop združuje tehnološka orodja, kot so večfaktorska avtentikacija, sodobna zaščita elektronske pošte ter storitve zaznavanja in odzivanja (MDR) ob rednem vzdrževanju pripravljenosti zaposlenih s simulacijami phishing napadov. Ob tem je smisleno uvesti tudi organizacijsko pravilo, da se vsaka sprememba bančnega računa ali izredno plačilo potrdi po drugem komunikacijskem kanalu, po pravilu najmanj štirih oči. Seveda gre izpostaviti, da organizacije, ki redno preverjajo svojo pripravljenost, bistveno zmanjšajo verjetnost uspešne prevare.
Boli šele, ko udari
Koristi takšnega pristopa se ne kažejo samo kot manjše število incidentov. Podjetje hitreje zazna napad, zmanjša možnost finančnih izgub, krepi zaupanje partnerjev in izboljša svojo odpornost. To je še posebej pomembno v času, ko regulativa, kot je NIS2/ZInfV-1, od vodstev zahteva aktivno upravljanje kibernetskih tveganj.
Glede na to, da se ta tveganja pojavljajo vsakodnevno morajo vodstva urgentno ukrepati najmanj tako, da:
• pregledajo postopke odobravanja plačil;
• uvedejo obvezno dvojno preverjanje sprememb bančnih računov;
• zagotoviti večfaktorsko avtentikacijo za vse ključne uporabnike, ki so udeleženi pri obravnavi računov in plačil.
• vzpostavijo redne simulacije napada phishing.
• zahtevajo redno poročanje o kibernetskih tveganjih na ravni uprave.
Največja sprememba zadnjih dveh let ni v tem, da so napadi pogostejši, ampak da so postali poslovno prepričljivi. Direktor danes ne potrebuje več zgolj dobre protivirusne zaščite, temveč organizacijo, ki zna podvomiti tudi v njegovo sporočilo, ki je videti popolnoma verodostojno.




