Újra és újra elő szoktak kerülni cikkek arról, hogy te, a normál, egyszerű hétköznapi ember hogyan tudnál védekezni az online veszélyek ellen. Ezek igencsak hálás cikkek az újságíróknak, mert 15 éve csak Ctrl +C Ctrl+V munkák. És közel 100%-ban haszontalan tanácsok.
De héj, ezúttal a vállalatoknak akarnak tanácsot adni, az már biztos komolyabb, hisz sokkal több pénz forog kockán.
De aztán eszedbe juthat a pár nappal ezelőtti cikkem, amiben leírtam, hogy miért teljesen lehetetlen, hogy egy vállalat sikeresen védekezzen a kibertámadásokkal szemben, ha a fontos dolgai a neten lógnak.
Aztán még idéztem is egy kibervédelmi szakembert a cikkből, aki megerősítette, hogy a sikeres védekezés lehetetlen... és az a cikk egy olyan magyar állami cégről szólt aminek a profilja épp a biztonság... nekik se megy, hát akkor egy sima mezei cégnek mennyi esélye lehet?
Netrekötve: Zéró.
De hagy idézem be ide megint a szakembert a másik cikkből:
"Krasznay Csaba kijelentette: ha valaki nagyon be szeretne juttatni egy zsarolóvírust egy szervezethez, különösen egy magas profilúhoz, az előbb-utóbb meg fogja oldani. "
Hozzátette, talán a legnagyobb, legfelkészültebb, legjobban védett cégek esetén a legkisebb a valószínűsége egy sikeres hackertámadásnak, azonban egy magyar közigazgatási szervnél szinte elkerülhetetlen.
Mondjuk nekem még itt van rejtélyként, hogy ha van egy szakemberük, aki megmondja nekik, hogy a digitális államuk egy kacsalábon forgó palota, akkor miért eröltetik ezerrel... Dehát ez a blogom egyik alap értetlensége.
És akkor forduljunk rá az új cikkre:
"Így védekezhetnek a vállalatok az online csalások ellen"
Őszintén, nagyon meglepődtem, mert nem azt kaptam amire számítottam.
De amit kaptam az egy... érthetetlen zagyvaság... egy AI reklám, de kinek is?
A cikk egy reklám az AI-nak, de... összezavarodhatsz, hogy most kinek is reklámozzák az AI-t. Mert elsőre lejön, hogy igen, a cégeknek, hogy vegyék ezt, ez jó lesz a cégednek, de aztán a cikk igazából folyamatosan azt próbálja bemutatni, hogy az AI... milyen nagy segítségére lesz a hackereknek, hogy még könnyebben bejussanak a cégekhez.
És az egyik legfőbb mód, hogy egy cég védekezzen az lesz, hogy:
"a magas érzelmi intelligenciával rendelkező emberek" kellenek majd, akik észreveszik, hogy át akarják majd verni őket.
Mondok valamit: Bullshit.
Bullshit, mert a "a magas érzelmi intelligenciával rendelkező emberek" se tudnák már a mai csalásokat se kiszúrni, és bullshit, mert a hackereknek semmi szükségük AI-ra, hogy bejussanak a cégekhez.
Ha egy cég netre van kötve és minden fontos cucca elérhető netről, mégha közbe is iktattak Smart Switch-et, vagy komolyabbnak mondot cégeknél Enterprise Switch-eket, tűzfalakkal... akkor sincs esélyük.
Elmondom az egyik legkényelmesebb módszert.
Van egy cég, ami keres üzleti ajánlatokat, vagy keres új alkalmazottakat és a cég minden gépe egy hálózaton lóg mint a magyar állami "biztonsági" cégnél, amiről pár napja írtam...
Tehát eleve ők maguk akarnak nyitni a külvilágra és ennyi már elég.
Írok nekik egy totál random levelet, hogy itt van az üzleti ajánlatom, nyissátok meg a mellékletet, vagy egy totál random levelet, hogy szeretnék jelentkezni a cégükhöz dolgozni és mellékelem az életrajzom...
Mindenképpen meg kell nyitniuk és ehhez nem kell semmi AI hókusz-pókusz, csak egy totál random standard generic leveleket író program ( nem AI ), sőt ha kényelmetlenséget akarok magamnak, akkor én magam írok három sort. Nincs az "a magas érzelmi intelligenciával rendelkező ember" aki ez ellen tudna tenni valamit. Nincs semmilye se ami ki tudná szűrni, hogy a levelem kamu. Ha a levél normális és nem valami... ázsiai próbálkozás netes fordítóval.
Szóval mi kell ide? Kell egy progi ami kamu email címet mutat a fogadónak, olyat ami szintén hitelessé teszi a dolgot. Pl. egy másik létező vállalatnak az email címét lássa, hogy onnan jön a levél. Ez könnyen megoldható.
A többi meg... még egy antivírus megfoghatná ott akkor a progit amivel megfertőzőm a gépet, de állandóan hozzá tudsz férni friss exploitokhoz és progikhoz amik tesztelve vannak, hogy működnek és nem fogja meg őket az antivírus. Ha pedig a hálózaton belül másik gépen van az értékes infó, akkor még pár lépés vár rád, de az is csak lassítja a dolgokat.
És eljutunk ahhoz, hogy akkor miről szól a cikk? Lényegében röhejes... a hackereknek egy reklám, hogy használjanak a jövőben AI-t, hogy még könnyebb dolguk legyen.
De igazából... semmi szükség ezekre. Bőven elég az ami már most rendelkezésre áll a hackereknek. Nem is lenne még kénylmesebb se. Ugyanúgy egy kattintás és már kész is a generic CV-s levél, vagy a generic üzleti ajánlat levél, amire rá kell, hogy kattintsanak és meg kell nyitniuk a mellékletet... különben a cég működése leállna.
Szóval kedves cikk: nem, a hackerek nem fognak az AI-ért fizetni havonta, feleslegesen. A friss explotiokért meg hasonlókért igen, de amit mondhatni kínálnak itt... annak semmi haszna. Pont mint a normál világnak kínált AI-k esetében.
Íme egy totál kamu... totál kamu, mert a hackereknek erre nincs szüksége:
"A GenAI képes személyre szabni az átveréseket pusztán a munkavállalói adatok vagy a vállalatspecifikus tartalmak elemzésével. A fenyegetőkakár a mi digitális lábnyomunkat is felhasználhatják, hogy egy deepfake videót készítsenek rólunk. Mindez kevesebb mint nyolc percbe és elhanyagolható költségbe kerül. Ennek fényében a GenAI fenyegetések mérséklése felé az első lépés az oktatás. Az alkalmazottaknak meg kell érteniük, hogy a technológia hogyan tudja kihasználni az érzelmeiket, hogy felülkerekedjen a racionális döntéseken. "
"A WEF szerint tehát a vezetőknek érdemes lenne befektetniük az érzelmi intelligenciát erősítő képzésekbe."
Aham... és egy totál generic CV-s levelet ezután akkor sohase nyitunk meg? Dehát az igazitól semmiben se térnek el, nincs mit észrevenni.
Egy dolog segíthetne: totál elszeparált rendszerek. De ezt a kényelmetlenséget valahogy szinte senki se akarja meglépni.
Még egy kis bullshit:
"Az egyes embernek azt is figyelembe kell vennie, hogy az érzelmektől vezérelt cselekedetei hogyan okozhatnak nem szándékosan károkat."
És a bullshit kifogyhatatlan:
"Még a kockázatok mérlegelésekor is előfordulhat, hogy a „mesterséges intelligencia hatása" felülírja a józan ítélőképességet. "
Ez egy cikk a vállalati biztonságról, de semmilyük sincs, semmilyük sincs ami érne valamit,
SEMMILYÜK!!!
AI nélkül is, százszázalékban bukás lesz a sorsuk a vállalatoknak, akik egy hálózaton tartanak mindent és a hálózat neten lóg.
És a végére egy kis bullshit reklám, ami a hackereknek szól igazából:
"A generatív mesterséges intelligencia fejlődése tehát nemcsak új lehetőségeket teremt, hanem jelentős kockázatokat is hordoz magában, különösen a vállalatok számára. Az oktatás, a megfelelő reagálás és a jól átgondolt döntéshozatal támogatása kulcsfontosságú a munkavállalók védelmében és a vállalati biztonság megőrzésében. Az emberi ítélőképesség és éberség pedig továbbra is a leghatékonyabb védekezési eszköz az online csalások ellen. "