Executives Need a Deep-Fake Defense Strategy

ผู้นำองค์กรต้องเพิ่มกลยุทธ์ป้องกันการปลอมแปลงอัตลักษณ์บุคคล (Deep-Fake)

by Mr. Darin Stewart, VP Analyst Gartner Inc

In March 2019, the CEO of a U.K. energy firm received an urgent call from his boss, the chief executive of the firm’s parent company in Germany. The German CEO instructed his subordinate to transfer €220,000 to a supplier in Hungary. The transfer of funds was urgent and needed to be completed within the hour. Since the CEO recognized his superior’s distinctive German accent and slightly melodious way of speaking, he immediately authorized the transfer. Unfortunately, the U.K. CEO was not speaking to his boss. He was speaking to an AI impersonating the German CEO.

Should business be terrified by this incident? Yes and no. Yes, because of the sophistication and success of the attack. And no, because it still takes considerable effort and resources to launch an attack like this and the target was a large, multinational corporation. This is about to change. The weapons to create disinformation will scale dramatically in two ways. First, it will become much easier for bad actors to launch many of these attacks, so that even a small percentage of success will make it worth their while. Second, powerful, easy-to-use, deepfake technologies in the hands of the many make it simple for anyone to launch an attack against somebody they wish to target for whatever reason.

AI and machine learning permeate modern business and communications. It should come as no surprise that these technologies are being turned to illicit purposes. Deepfakes are audio, images, and videos that appear real but are actually AI-generated, synthetic creations. They are just the latest manifestation of disinformation in what the RAND Corporation describes as a culture of “truth decay.” This dynamic is much discussed and lamented in the realm of politics and conspiracy theories. In the context of business, the loss of online veracity receives much less attention. While companies are scrambling to defend against ransomware attacks, they are doing nothing to prepare for an immanent onslaught of synthetic media.

Deep-fake technology has advanced considerably in the few short years since the British CEO was duped by AI voice mimicry. The necessary tools have also become much more accessible. All that is needed to produce a convincing fake image or video is a decent computer (your teenager’s gaming rig is more than sufficient) and a good collection of images of the target. This makes corporate executives particularly vulnerable.

CEO’s and other corporate officers tend to be the public face of their companies. As a result, there is usually a wide range of publicly available images and recordings of these people in different contexts doing different things in different ways. This provides would be deepfakers with all the material they need to create digital doppelgangers of those executives.

This is already happening to many many public figures, most commonly as celebrities are made the unwilling subject of synthetic pornography. Public images of a star are combined with existing pornographic material to produce disturbingly realistic fakes. Imagine the scandal and necessary damage control if a CEO were placed in such a position. Alternatively, a deep-faker could stage and film a bribe with money exchanging hands between two actors and then replace one of the actors with a politician or your chief financial officer? Ransomware may be today’s great vulnerability but deep-fake extortion or slander will be tomorrow’s.

โดย นายแดริน สจ๊วต รองประธานฝ่ายวิจัย การ์ทเนอร์ อิงค์

เดือนมีนาคม 2562 ซีอีโอของบริษัทพลังงานแห่งหนึ่งในประเทศอังกฤษได้รับสายด่วนจากเจ้านายซึ่งเป็นผู้บริหารของบริษัทแม่ที่เยอรมนี โดยเจ้านายชาวเยอรมันสั่งให้ลูกน้องของเขาโอนเงินจำนวน 220,000 ยูโร (ประมาณ 8.5 ล้านบาท) ให้กับตัวแทนซัพพลายเออร์ในฮังการี ซึ่งต้องโอนเงินเป็นกรณีเร่งด่วนและต้องแล้วเสร็จภายใน 1 ชั่วโมง เนื่องจากซีอีโอชาวอังกฤษจำสำเนียงเยอรมันที่โดดเด่นของเจ้านายได้ดี เขาจึงรีบอนุมัติการโอนเงินในทันที ทว่าโชคร้ายที่ซีอีโอชาวอังกฤษไม่ได้คุยกับเจ้านายของเขา แต่กลับคุยกับปัญญาประดิษฐ์ที่เลียนเสียงและแอบอ้างตัวเป็นเจ้านายชาวเยอรมัน

องค์กรธุรกิจควรต้องตระหนกกับเหตุการณ์นี้หรือไม่? คำตอบคือทั้งใช่และไม่ใช่ ที่ธุรกิจต้องกังวลคือรูปแบบความซับซ้อนในการหลอกลวงที่ดูแนบเนียนและที่สำคัญเป็นการโจมตีที่ประสบความสำเร็จ  แต่ที่ยังเบาใจได้คือมันยังต้องใช้ความพยายามและทรัพยากรอย่างมากในการจู่โจมรูปแบบนี้และเป้าหมายใหญ่อย่างบริษัทข้ามชาติ ซึ่งสิ่งนี้กำลังจะเปลี่ยนไป โดยเครื่องมือที่ใช้บิดเบือนข้อมูลสามารถขยายเป็นสองทางอย่างน่าทึ่ง อย่างแรก คือ มันทำให้ผู้ที่ไม่หวังดีใช้วิธีนี้จู่โจมได้ง่ายมากขึ้น แม้จะมีเปอร์เซ็นต์ความสำเร็จน้อยแต่สิ่งที่ได้มาก็คุ้ม อย่างที่สองเมื่อเทคโนโลยี Deep-Fake หรือการปลอมแปลงอัตลักษณ์ของบุคคลด้วยปัญญาประดิษฐ์ที่ทรงพลังและใช้ง่ายตกอยู่ในมือคนจำนวนมากที่ทำให้ใครก็ได้สามารถโจมตีเป้าหมายที่ต้องการไม่ว่าจะด้วยเหตุผลใดก็ตาม

เทคโนโลยีเอไอ (AI) และแมชชีนเลิร์นนิ่ง (Machine Learning) แทรกซึมอยู่ในธุรกิจและการสื่อสารสมัยใหม่ ซึ่งไม่น่าแปลกใจที่จะมีการใช้เทคโนโลยีเหล่านี้ไปในทางที่ผิดกฎหมาย การล่อลวงแบบดีปเฟก (Deepfakes) สามารถเป็นได้ทั้งเสียง รูปภาพ และวิดีโอที่ดูเสมือนจริงแต่กลับเป็นสิ่งประดิษฐ์ที่สร้างขึ้นด้วยเอไอ เหล่านี้เป็นปรากฏการณ์ครั้งล่าสุดของการบิดเบือนข้อมูลในแบบที่ RAND Corporation หน่วยงานด้านนโยบายระดับโลกของอเมริกา ได้อธิบายไว้ว่าเป็น “วัฒนธรรมการเสื่อมสลายของความจริง” (หรือ Truth Decay) เป็นพลวัตที่มีการถกเถียงอย่างมากถึงขอบเขตในด้านการเมืองและทฤษฎีสมคบคิด ในขณะที่บริบทของธุรกิจการสูญเสียความสัตย์จริงทางออนไลน์กลับได้รับความสนใจน้อยกว่า ขณะที่บริษัทต่าง ๆ พยายามป้องกันการโจมตีของแรมซัมแวร์พวกเขากลับไม่ได้ทำอะไรเพื่อเตรียมพร้อมรับมือกับการจู่โจมจากสื่อสังเคราะห์เหล่านี้

เทคโนโลยี Deep-fake ได้พัฒนาก้าวหน้าไปอย่างมากในช่วงไม่กี่ปีที่ผ่านมา นับตั้งแต่ซีอีโอชาวอังกฤษคนนั้นถูกหลอกโดยเอไอที่เลียนเสียงพูดเจ้านายของเขา และยังส่งผลให้เครื่องมือต่าง ๆ ที่จำเป็นในการสร้างดีปเฟกเข้าถึงได้มากขึ้นเช่นกัน ซึ่งการสร้างภาพหรือวิดีโอปลอม ๆ ขึ้นมาให้ดูน่าเชื่อถือขอเพียงมีคอมพิวเตอร์คุณภาพดี (ซึ่งอุปกรณ์ที่ลูก ๆ วัยรุ่นของคุณใช้เล่นเกมก็เพียงพอแล้ว) และคอลเลกชันรูปภาพดี ๆ ของเป้าหมายเท่านั้น สิ่งเหล่านี้ทำให้ผู้บริหารองค์กรธุรกิจต้องเผชิญกับความเสี่ยงมากขึ้นเป็นพิเศษ

ซีอีโอและผู้บริหารแถวหน้าคนอื่น ๆ ในองค์กรล้วนเป็นที่รู้จักในสาธารณะ และโดยปกติจะมีภาพและบันทึกกิจกรรมของบุคคลเหล่านี้ในบริบทต่าง ๆ เผยแพร่ในสื่อสาธารณะ ซึ่งสิ่งเหล่านี้จะทำให้นักต้มตุ๋นดีปเฟก (Deepfakers) มีเครื่องมือทั้งหมดที่จำเป็นในการสร้าง “ตัวตนเสมือน” เพื่อเลียนแบบอัตลักษณ์ต่าง ๆ ของผู้บริหารเหล่านั้น

การปลอมแปลงในลักษณะดังกล่าวนี้เกิดขึ้นแล้วกับบุคคลสาธารณะมากมาย บ่อยครั้งเกิดกับคนดัง ๆ ที่มักถูกนำภาพไปใช้ในทางอนาจารโดยที่ไม่ได้รับความยินยอม รูปสาธารณะของดารารวมกับเนื้อหาลามกอนาจารถูกนำมาผลิตใช้เสมือนของจริงจนน่าตกใจ ลองจินตนาการถึงเรื่องอื้อฉาวและการควบคุมความเสียหายหากเกิดเรื่องแบบนี้กับซีอีโอขององค์กร หรือจัดฉากการติดสินบนโดยมีนักแสดงยื่นเงินให้กันแล้วเอาใบหน้าของนักการเมืองหรือผู้บริหารด้านการเงินขององค์กรคุณมาสวมแทน แรนซัมแวร์อาจเป็นเรื่องน่ากลัวของวันนี้แต่พรุ่งนี้สิ่งที่จะมาแทนคือการใช้ดีปเฟกเพื่อการขู่กรรโชกหรือการให้ร้ายแก่กัน