Chroń głos swojego klienta

Cyfrowi asystenci nieustannie podsłuchują, co może stwarzać poważne zagrożenie dla bezpieczeństwa. Rośnie liczba przestępstw cyfrowych, polegających na wykorzystaniu głosu, niczego nie podejrzewających osób.

Wraz z dynamicznym rozwojem systemów głosowych, które są wbudowane w nasze telefony, komputery, samochody czy domy, rosną zagrożenia płynące z przestępczości internetowej bazującej na wykorzystaniu ludzkiego głosu.

Cyfrowi asystenci zawsze słuchają, tworząc poważne zagrożenie dla bezpieczeństwa, zwłaszcza w czasie, kiedy miliony ludzi z powodu pandemii pracują z domu. Ocenia się, że w kolejnych dwóch latach na świecie będzie więcej internetowych, cyfrowych asystentów niż ludzi. Według badania przeprowadzonego przez Pindrop Security niemal dwie trzecie firm planuje wykorzystanie asystentów głosowych do komunikacji z klientami.

Nowe zjawisko: vishing

Zagrożenie cyberatakami na systemy głosowe rośnie wraz z dynamicznym rozwojem wykorzystania tej technologii – ludzie rozmawiają z botami, by odtworzyć muzykę, zapłacić rachunki, zarezerwować stolik w restauracji czy załatwić inne codzienne sprawy. Obecnie wystarczą niespełna cztery sekundy oryginalnego nagrania audio, żeby niemalże bezbłędnie podrobić czyjś głos. Niedawno hakerzy, wykorzystując oprogramowanie do uczenia maszynowego, podrobili głos pewnego prezesa firmy i posługując się nim, wydali polecenie jego podwładnym, by ci przelali setki tysięcy dolarów na konto fałszerzy.

Dzisiejsze fałszerstwa z wykorzystaniem ludzkiego głosu znane są jako „vishing”. Polegają one m.in. na sterowaniu asystentami głosowymi poprzez wydawanie za ich pomocą niewykrywalnych poleceń audio, ponownym odtwarzaniu nagrań i modyfikowaniu głosu oszustów tak, by dostosować go do parametrów głosu ich ofiar. Im lepiej wychodzi hakerom podszywanie się pod innych ludzi, tym łatwiej będzie im wykorzystać sfałszowane głosy, które będzie coraz trudniej odróżnić od oryginalnych.

Jeżeli firmy nie podejmą właściwych działań zapobiegawczych w obszarze cyberbezpieczeństwa, szkody mogą być katastrofalne. Firmy świadczące usługi finansowe, kiedy dojdzie do kradzieży danych, wysyłają klientom miliony nowych kart kredytowych. Jednak nie mogą wysłać im nowych głosów. Dopóki nie zabezpieczy się odpowiednio systemów aktywacji głosowej, szybki dotychczas przyrost liczby urządzeń, które potrafią rozpoznawać komendy głosowe, może się zatrzymać wskutek słabnącego zaufania klientów do zabezpieczeń firm, które z nich korzystają.

Stosuj usługi głosowe, gdy jesteś pewny

Według badania Pindrop menedżerowie 80% firm na całym świecie przyznają, że kwestia bezpieczeństwa w usługach głosowych wciąż spędza im sen z powiek. Jak więc mogą zadbać o bezpieczeństwo głosów swoich klientów?

Przede wszystkim firmy powinny stosować usługi głosowe jedynie wtedy, kiedy są przekonane, że potrafią zażegnać wszelkie zagrożenia związane z cyberprzestępczością. Na przykład w pierwszej kolejności firmy finansowe powinny oferować klientom jedynie możliwość sprawdzenia podstawowych faktów za pomocą głosu – takich jak stan konta czy kurs akcji – prosząc ich następnie o kontynuowanie transakcji za pomocą narzędzi manualnych lub biometrycznych, takich jak systemy rozpoznawania twarzy lub odczytywania odcisku palca.

Usługi głosowe dynamicznie się rozwijają i stają się coraz bardziej zaawansowane – w związku z tym firmy mogą zabezpieczyć się, podejmując następujące działania.

Wzmocnienie procedury identyfikacji

Firmy powinny wprowadzić dla usług sterowanych głosowo protokoły monitorujące, które będą przynajmniej tak skuteczne jak te używane w usługach cyfrowych. Klienci powinni otrzymywać ostrzeżenia dotyczące składanych zamówień, jeżeli ich wartość przekracza określony limit lub ich profil odbiega od dotychczasowych zachowań zakupowych.

Firmy mogą zwiększać świadomość klientów o potencjalnych zagrożeniach, wysyłając im listy podejrzanych zachowań, żeby pomóc im ocenić, czy postępowanie osób trzecich albo prośba o informację nie jest aby wstępem do oszustwa. Firma może na przykład podpowiedzieć klientom, by odkładali słuchawkę, jeżeli dzwoniący nie zna ich nazwiska i relacji z firmą lub jeżeli numer telefonu dzwoniącego wydaje się podejrzany. Ostatnio oszuści, chcąc zdobyć numery klientów, namawiali ludzi do ujawniania swoich danych wrażliwych, kiedy ci korzystali z wyszukiwania za pomocą głosu. Klienci powinni także być świadomi, w jakim zakresie są chronieni, kiedy firma uruchamia nową usługę głosową.

Im lepiej wychodzi hakerom podszywanie się pod innych ludzi, tym łatwiej będzie im wykorzystać sfałszowane głosy, które będzie coraz trudniej odróżnić od oryginalnych.

Kolejny poziom weryfikacji

Jednocześnie usługi głosowe powinny wymagać też dodatkowych form identyfikacji, na przykład biometrycznej, przez rozpoznanie twarzy lub odcisku palca. Ewentualnie mogłaby to być identyfikacja werbalno-jakościowa, wykorzystująca informacje, których nie można znaleźć w domenie publicznej – na przykład pytania o osobiste preferencje lub imię krewnego, którego klient najczęściej odwiedzał, będąc dzieckiem, lub prośba o obie te informacje.

Firmy będą także musiały zainwestować w coraz bardziej dostępne dziś technologie filtrowania, które pozwalają odróżnić głos autentyczny od syntetyzowanego. Niektóre firmy już dziś testują technologie mogące wykrywać dźwięki, których ludzkie ucho zazwyczaj nie rejestruje, na przykład oddech obecny przy prawdziwym głosie, ale już nie przy syntetyzowanym. Projektuje się także systemy służące do blokowania niesłyszalnych poleceń przez identyfikację i wykasowywanie sygnałów ultradźwiękowych, które, jak zauważyli badacze, mogą przejąć kontrolę nad systemami rozpoznawania głosu.

Prowadzenie cyberćwiczeń

Hakerzy będą nieustannie tworzyć nowe metody wykorzystania najsłabszych ogniw. Firmy oferujące systemy aktywowane głosowo muszą nieustannie testować ich bezpieczeństwo, przeprowadzając cyberćwiczenia. Dzięki nim mogą identyfikować słabości, by potem je likwidować. Powinny także przygotować scenariusze reakcji na wypadek udanych ataków hakerskich.

Jednym z takich ćwiczeń mogłoby być działanie, w którym jedna grupa firmowych ekspertów od cyberbezpieczeństwa starałaby się wyszukiwać i atakować słabości systemu, podczas gdy druga grupa starałaby się te ataki odpierać. Alternatywnie firmy mogłyby angażować uczciwych hakerów, by przeprowadzali niespodziewane ataki na ich usługi głosowe – albo samodzielnie, albo we współpracy z innymi firmami. Branże obronna i płatności w internecie organizują już w tego typu gry i testują wzajemnie swoje systemy, atakując je.

Zespoły zajmujące się cyberbezpieczeństwem powinny jednocześnie eksplorować alternatywne sposoby działania na wypadek wystąpienia kryzysu cybernetycznego z usługami głosowymi w roli głównej. Eksperci powinni z wyprzedzeniem zastanowić się, jak reagować na różne scenariusze. Muszą odpowiedzieć sobie na następujący zestaw pytań: Jak powinien zareagować system w sytuacji niespodziewanego wybrania środków za pomocą głosów spreparowanych dzięki technologii deepfake? W jaki sposób system w ogóle może uznać, że doszło do ataku? Jakie alternatywne rozwiązania należy udostępnić w nagłej sytuacji kryzysowej?

Firmy będą także musiały zainwestować w coraz bardziej dostępne dziś technologie filtrowania, które pozwalają odróżnić głos autentyczny od syntetyzowanego.

Komunikacja pomiędzy branżami

Regulacje dotyczące usług głosowych istnieją już dziś. Mamy na przykład kalifornijską ustawę chroniącą prywatności klientów, która ogranicza zarówno sprzedaż danych głosowych, jak i kopanie w nich, jeżeli były zgromadzone przez telewizory smart tv. Europejskie Rozporządzenie o ochronie danych osobowych (RODO) wymaga od firm, by zgłaszały do lokalnego organu regulacyjnego informacje o włamaniach do ich systemów danych, choć w obecnym kształcie nie dotyczy to jeszcze bezpośrednio danych głosowych.

Niezależnie od zasad osoby odpowiedzialne w firmie za cyberbezpieczeństwo nie powinny działać same. Muszą pozostawać w ciągłym kontakcie z rządami i innymi podmiotami z własnej branży, by wyprzedzać swoimi możliwościami regulacje i nowe potencjalne zagrożenia. Operacje głosowe – i wygoda, a także efektywność korzystania z nich – będą się upowszechniać. Chyba że firmy, które je oferują, nie będą w stanie wykazać, że potrafią zapewnić ochronę głosom klientów.

Firmy powinny stworzyć fora lub inne narzędzia upowszechniania wiedzy na temat form naruszeń systemów głosowych, tak by całe branże mogły bronić się przed oszustami. Kiedy system asystentów głosowych stanie się powszechną metodą wykorzystywaną przy dokonywaniu przelewów, może to wymagać wprowadzenia także nowych protokołów bezpieczeństwa.

Możliwości gospodarki konwersacyjnej

Jeżeli usługi głosowe stałyby się bezpieczne, mogłyby zawierać usługi, które poprawiłyby – a być może nawet zmieniłyby – codzienne życie klientów. Ludzie mogliby wydawać polecenia samochodom, by te zawiozły ich na spotkanie. Mogliby kazać swoim telefonom, by zorganizowały dla nich wakacje. Pewnego dnia mogliby nawet radzić się wirtualnych asystentów w sprawach finansowych.

Realizacja wizji takiej konwersacyjnej przyszłości będzie jednak wymagała zapewnienia, że zabezpieczenia będą lepiej rozwinięte niż możliwości hakerów do włamywania się do systemów głosowych. Firmy powinny ustalić, co powinno mieć obecnie priorytet, jeżeli chodzi o zapewnienie bezpieczeństwa głosom klientów – i przygotować się na niekończącą się batalię.