Мошенники пытаются пробраться в компании с помощью сотрудников-дипфейков

Татьяна Никитина 17 Февраля 2025 - 16:32

Малый и средний бизнес

...

Случаи использования дипфейков при трудоустройстве пока редки, однако использование ИИ-технологий позволяет сделать фальшивки более убедительными и повысить процент успеха подобного мошенничества.

Принятый на работу лжесотрудник поможет злоумышленникам получить доступ к корпоративным данным и причинить работодателю значительный ущерб.

За последние пару месяцев обманщики дважды пытались использовать дипфейки на собеседовании в калифорнийском стартапе Vidoc Security Lab и почти преуспели. Их подвели невнимание к деталям и плохое качество видео.

Оба претендента на удаленную работу, якобы из Польши и Сербии, по телефону ответили на все вопросы и при этом звучали убедительно, но с сильным азиатским акцентом. Подлог стал очевиден в ходе сеанса видеосвязи: изображение явно было сфальсифицировано, мимика и жесты не соответствовали речи.

«Трудоустройство под личностью другого человека, созданной при помощи технологии дипфейка, потенциально дает преступнику возможность получить учетные записи и другую значимую информацию, которая может значительно облегчить задачу проникновения в инфраструктуру компании для развития атаки», — пояснила для «Известий» руководитель отдела привлечения талантов компании F.A.C.C.T. (отныне F6) Людмила Гвоздева.

Эксперт «Лаборатории Касперского» Дмитрий Аникин по этому поводу заявил, что мошенники пытались использовать дипфейки на собеседованиях еще в 2022 году, когда увеличился спрос на удаленку (из-за COVID-19).

Опрошенные репортером специалисты также отметили, что подобные происшествия в HR редки (в России пока не зафиксированы). Мошенники чаще используют ИИ для составления впечатляющих резюме.

Расширение использования ИИ-технологий породило новые риски, с которыми волей-неволей приходится считаться. Растет число атак, полагающихся на ИИ, участились случаи мошенничества с применением дипфейков, способных вернуть на повестку дня утратившие эффективность схемы обмана — вроде Fake Date.

К сожалению, технические новинки — всегда палка о двух концах, а инструменты на основе ИИ вообще трудно защитить от злоупотреблений. Недавний опрос показал, что такая возможность тревожит бизнесменов, однако многим не хватает ресурсов для достойного отпора злоумышленникам, вооруженным ИИ.

Следующая главная новость »

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »

Екатерина Быстрова 23 Декабря 2025 - 13:59

Security Vision SGRC Корпорации Средства управления информационной безопасностью Системы управления процессами информационной безопасности (SGRC) Security Vision

В Security Vision NG SGRC расширили возможности управления ИБ

Компания Security Vision сообщила о крупном обновлении раздела Governance («Управление информационной безопасностью») в продукте Security Vision NG SGRC. Обновление затрагивает базовые процессы управления ИБ — от определения ролей и стратегии до планирования, рисков и актуализации политик.

Обновлённый раздел делает акцент на выстраивании ИБ «с нуля»: с определения миссии и видения информационной безопасности, а также организационной структуры.

В системе используется ролевая модель RASCI, которую можно адаптировать под конкретную организацию и сразу увидеть незакрытые роли и зоны ответственности.

В рамках Governance формируется организационный контекст ИБ, включая перечень заинтересованных сторон:

внутренних — подразделения, руководители, лица, принимающие решения;
внешних — регуляторы, партнёры, акционеры.

Их требования и приоритеты в дальнейшем учитываются при оценке рисков.

Стратегия и фреймворки

На уровне стратегии в NG SGRC можно выбрать базовый фреймворк развития ИБ. В системе доступны NIST CSF 2.0 и ISO 27001, при этом допускается создание собственного фреймворка или комбинирование подходов.

Именно на этом этапе задаются ориентиры развития кибербезопасности и формируется логика дальнейших процессов.

Управление рисками и планирование

В обновлённом разделе также определяются ключевые элементы риск-менеджмента:

бизнес-риски;
процесс и методика управления рисками;
риск-аппетит и толерантность к риску.

На базе выбранного фреймворка проводится анализ текущего и целевого состояния ИБ. По его итогам формируется стратегический план, который можно разбить на этапы, назначить исполнителей и отслеживать прогресс на сводных дашбордах.

Процессы и политики — автоматически

После выбора фреймворка система автоматически формирует перечень процессов информационной безопасности. Для них доступны типовые описания этапов и действий, а также связанные частные политики ИБ.

Для большинства документов, включая базовую политику информационной безопасности, в NG SGRC предусмотрены шаблоны, упрощающие подготовку и актуализацию документов.

Поддержание актуальности

Отдельное внимание в обновлении уделено поддержанию актуального состояния ИБ. В системе можно настроить интервалы пересмотра процессов, политик и других сущностей, а также назначить ответственных сотрудников, которые будут получать соответствующие уведомления.

В целом обновление Governance делает акцент не на отдельных инструментах, а на последовательной и управляемой модели информационной безопасности, где стратегия, риски, процессы и документы связаны между собой и поддерживаются в актуальном состоянии.

Какие продукты и технологии лучшие в ИБ в 2025 году? Обсудим в эфире AM Live. Регистрируйтесь по этой ссылке »