العمل والوظيفة

لماذا يجب عليك إبقاء الكاميرات مفتوحة في اجتماعات الفرق: بعد أسباب أمنية

بواسطة Oussama Ahmed 0

تعرضت متاجر التجزئة البريطانية The Co-Operative Group (Co-op) و Marks & Spencer (M&S) و Harrods لهجمات إلكترونية كبيرة في الأيام القليلة الماضية. في حين أن التفاصيل الكاملة حول المخترق أو المخترقين غير معروفة، إلا أن قرب الهجمات قد يشير إلى أن جهات تهديد واحدة مسؤولة عن جميع الهجمات الثلاث، وربما مجموعة القرصنة Scattered Spider التي تم ربطها بالفعل بهجوم M&S. كيف يجب على تجار التجزئة والبنوك والجميع الاستجابة؟

تكتيكات مخترقي قطاع التجزئة

في حين أن سلسلة متاجر التجزئة البريطانية “بوتس” هي أحدث المتضررين من اضطرابات تكنولوجيا المعلومات، فقد تضررت مبيعات سلسلة متاجر “موريسونز” بشدة في العام الماضي بسبب هجوم إلكتروني، كما عانت شركتا “كوريز” و”جيه دي سبورتس” من هجمات أدت إلى اختراق بيانات العملاء. من الواضح أن تجار التجزئة عرضة للخطر، ومع خسارة شركة “ماركس آند سبنسر” ما قيمته نصف مليار جنيه إسترليني بسبب عدم قدرتها على قبول المدفوعات اللاتلامسية، وترك متاجر “كو-أوب” بأرفف فارغة، لا يمكن التقليل من أهمية هذه الهجمات.

ما الذي يحدث؟ هل ربما تم اختراق أقسام تكنولوجيا المعلومات من قبل عاملين عن بعد من كوريا الشمالية حصلوا على وظائفهم بشهادات مزيفة؟ نحن نعلم أن هؤلاء الأشرار متطورون للغاية بالفعل. قسم الموارد البشرية الذي أجرى أربع مقابلات فيديو، والتي أكدت أن الفرد يطابق الصورة الموجودة في طلبه (تم تحسينها باستخدام الذكاء الاصطناعي)، وأجرى فحوصات خلفية إضافية عادت جميعها سليمة (لأنه تم استخدام هوية أمريكية مسروقة) انتهى به الأمر بتوظيف موظف وهمي بدأ على الفور في تحميل برامج ضارة. اكتشفت شركة أخرى في النهاية أنها وقعت فريسة لمخطط منسق لتأمين وظائف خارجية عن بعد للكوريين الشماليين وأن أكثر من ثلث فريقها الهندسي بأكمله كان من كوريا الشمالية!

إذا لم يكن الأمر يتعلق بمبرمجي “بايثون” الكوريين الشماليين، فهل وصل عملاء تابعون لقوة أجنبية إلى جهاز كمبيوتر كمي غير معروف حتى الآن لكسر الرموز السرية والدخول إلى شبكات تجار التجزئة عن طريق تكرار المفاتيح الخاصة لإلحاق الهزيمة بأمن الشبكة؟ هل انقلب المطلعون على مضيفيهم وحاولوا شلهم انتقامًا لتغيير غير مرغوب فيه في الشروط والأحكام؟ هل تم اختراق أنظمة تكنولوجيا المعلومات المقدمة من قبل الموردين الرئيسيين من قبل مخربين متخفين يعملون نيابة عن تجار التجزئة المنافسين؟

لا، بالطبع لا. لم يكن الأمر يتعلق بموظفين وهميين أو متسللين لفك الشفرات، بل كان نفس الهجوم الذي يحدث في كل مكان وفي كل وقت. اتصل المتسللون بمكتب المساعدة وتظاهروا بأنهم موظفون فقدوا كلمات المرور الخاصة بهم. قال المركز الوطني للأمن السيبراني في المملكة المتحدة (NCSC)، فيما يتعلق بهذه الهجمات، إنه يجب على الشركات إعادة تقييم كيفية قيام مكتب مساعدة تكنولوجيا المعلومات الخاص بها “بمصادقة الموظفين” قبل إعادة تعيين كلمات المرور، وخاصة كبار الموظفين الذين لديهم حق الوصول إلى الأجزاء عالية المستوى من شبكة تكنولوجيا المعلومات. حسنًا، هذا بديهي. إنه نفس الاختراق الهندسي الاجتماعي القديم كما كان دائمًا.

لا يجب أن يكون الوضع هكذا. في القطاع المالي، أحد الاستخدامات الأكثر شيوعًا للقياسات الحيوية هو استعادة الحسابات، ولا أرى سببًا لعدم تمكن تجار التجزئة من استخدام نفس النوع من التكنولوجيا لإصلاح مصادقة “اعرف موظفك” (KYE) تمامًا كما تستخدم البنوك مصادقة “اعرف عميلك” (KYC) لاستعادة الوصول إلى الحساب.

(انظر ما تفعله شركات مثل Keyless وAnonybit، على سبيل المثال.)

حذرت M&S في تقريرها السنوي الأخير من أن التحول إلى العمل الهجين جعلها أكثر عرضة للهجمات الإلكترونية، وألاحظ باهتمام أن جزءًا من استجابة Co-op للهجوم كان إصدار أوامر للموظفين بإبقاء كاميراتهم قيد التشغيل خلال اجتماعات العمل عن بعد و “التحقق من جميع الحاضرين”. طلب بريد إلكتروني داخلي أُرسل إلى 70,000 موظف أيضًا منهم عدم تسجيل أو نسخ مكالمات Teams، مما يعني ضمنيًا أن المتسللين كانوا يحضرون الاجتماعات الداخلية ويحتفظون بالنسخ من أجل الحصول على معلومات لتحسين هجمات الهندسة الاجتماعية بالإضافة إلى احتمال الحصول على معلومات حول الأنظمة الداخلية للمساعدة في عمليات الاختراق المستقبلية.

جرائم جديدة، مجرمون جدد.

نحن جميعًا ندرك أن طبيعة الجريمة تتغير وأن مجرمي الإنترنت أذكياء. لست متأكدًا من أن إبقاء الكاميرات قيد التشغيل، على الرغم من أنه سياسة جيدة لأسباب عديدة، سيحدث فرقًا كبيرًا هنا. الذكاء الاصطناعي قادر بالفعل على إنشاء مقاطع فيديو لأشخاص يمكنها خداع زملاء العمل وقد استُخدم للقيام بذلك لأغراض شائنة لسنوات: خسرت Arup 25 مليون دولار أمريكي لصالح محتالين استخدموا الذكاء الاصطناعي لانتحال شخصية المدير المالي للشركة وإصدار تعليمات لموظف تابع لتحويل الأموال خلال مكالمة فيديو جماعية متعددة الأشخاص والتي، وفقًا لشرطة هونج كونج، “تبين أن الجميع [الذي رآه المرؤوس] كان مزيفًا“.

تنتشر التزييفات العميقة مثل تلك، وليس فقط في الخدمات المصرفية والتجزئة. خسر صاحب معرض فني في لندن 30,000 جنيه إسترليني بعد أن أمضى شهورًا في التفاوض على معرض مع Pierce Brosnan مزيف. في قضية أخرى في المملكة المتحدة، أُلقي القبض على امرأة بعد أن زُعم أنها ارتدت سلسلة من الشعر المستعار والأزياء التنكرية لاجتياز اختبارات الجنسية نيابة عن 14 شخصًا آخر على الأقل، من الذكور والإناث، باستخدام “وثائق هوية مزورة” لتجنب الكشف. قام مالك عقار AirBnB بتأجيره لامرأة كانت لديها هوية مسروقة واجتازت تقرير المرجع برخصة قيادة مزورة: ثم سرقت الأثاث وأجرت المنزل من الباطن كمنصة للحفلات!

 

مخترق الذكاء الاصطناعي، دفاعات الذكاء الاصطناعي؟ لا.

ذكر محافظ الاحتياطي الفيدرالي، مايكل بار، مؤخرًا أنه في مواجهة هجمات التزييف العميق المتزايدة القائمة على الذكاء الاصطناعي، يجب على البنوك “مكافحة النار بالنار” واستثمار المزيد في الذكاء الاصطناعي بأنفسهم. أنا أختلف مع هذا الرأي. من الممكن أن يكون استخدام تقنيات التعرف على الوجوه، وتحليل الصوت، والقياسات الحيوية السلوكية قادرًا على اكتشاف عمليات التزييف بالذكاء الاصطناعي، إلى أن تتحسن هذه العمليات المزيفة. وقد يكون من الصحيح أن الاستثمارات الكبيرة في الذكاء الاصطناعي قد تساعد في الدفاع عن البنوك ضد طوفان من الاحتيال بالذكاء الاصطناعي، ولكن قد يكون هذا بمثابة ارتياح مؤقت حيث يحسن المحتالون من أساليبهم. ولكن لماذا نسلك هذا الطريق؟ بدلاً من محاولة التفوق على المهاجمين بالذكاء الاصطناعي، لماذا لا نستخدم تقنية مجربة ومختبرة لا يمكن تزييفها: التوقيعات الرقمية؟

إن الذكاء الاصطناعي ضد الذكاء الاصطناعي هو سباق محموم لا نهاية له. بدلاً من ذلك، يجب أن نطالب البنوك وتجار التجزئة وشركات الإعلام وجميع الجهات الأخرى بتطوير استخدامهم للبنية التحتية الأمنية المجربة والمختبرة لإحباط المخترق الحديث المسلح بالتزييف العميق. كما كتبت سابقًا، قد تتمكن من إنشاء فيديو مزيف مقنع تمامًا لـ Brad Pitt، ولكن لا يمكنك إنشاء توقيع رقمي مقنع تمامًا لـ Brad Pitt. بدلاً من مطالبة الموظفين بمحاولة تخمين ما إذا كانوا ينظرون حقًا إلى نائب مساعد مدير تسوية الفواتير (المنطقة الشمالية الشرقية) أو إلى روبوت، يجب أن نمنحهم مصادقة ثنائية العوامل بدلاً من كلمات المرور، وبيانات اعتماد يمكن التحقق منها مع مصادقة بيومترية قوية بدلاً من تفويضات تشغيل الكاميرا، ونسخ مشفرة وموقعة رقميًا، وتخزين مقاوم للتلاعب للمفاتيح المشفرة (على سبيل المثال، في الهواتف المحمولة). *ملاحظة: التوقيعات الرقمية توفر ضمانًا قويًا لأصالة البيانات وسلامتها، مما يجعلها أداة قيمة في مكافحة التزييف.*

 

Oussama Ahmed101 المشاركات 0 تعليقات
    قد يعجبك ايضا المزيد عن المؤلف
    اترك رد

    لن يتم نشر عنوان بريدك الإلكتروني.