Kā deepfake tehnoloģija apdraud ikdienas lēmumu pieņemšanas procesus un kāpēc kvalificēts elektroniskais paraksts (QES) ir labākā aizsardzība pret identitātes viltošanu.
2024. gada sākumā Honkongas starptautiska uzņēmuma finanšu nodaļas darbinieks piedalījās videozvānā ar savu komandu un finanšu direktoru. Zvans izskatījās pilnīgi parasti – pazīstamas sejas, pazīstamas balsis, pazīstams konteksts. Finanšu direktors deva rīkojumu pārskaitīt 25 miljonus dolāru. Darbinieks izpildīja rīkojumu.
Neviens no zvana dalībniekiem nebija īsts. Katra seja un balss bija ģenerēta ar deepfake tehnoloģiju.
Kā tas bija iespējams? Tāpēc, ka viss apstiprināšanas process balstījās uz vienu lietu: darbinieks ticēja savām acīm un ausīm.
Mēs apstiprinām lēmumus ar maņām – un tagad tā ir problēma
Padomājiet uz mirkli, kā apstiprināšanas lēmumi jūsu organizācijā faktiski tiek pieņemti.
Vadītājs sapulcē saka: "Jā, ejam tālāk." Kāds nosūta e-pastu: "Apstiprinu." Zvana laikā vienojas: "Sūti rēķinu, es parakstīšu." Pazīstama seja ekrānā pamāj ar galvu.
Visi šie apstiprinājumi balstās uz maņu informāciju – mēs atpazinām balsi, redzējām pareizo seju, izlasījām pazīstamu rakstīšanas stilu. Tas ir darbojies tūkstošiem gadu. Problēma ir tāda, ka tagad to visu var ģenerēt.
FBI kibernoziedzības nodaļa to ir pateikusi tieši: ģeneratīvais AI padara krāpšanas shēmas ticamākas un mērogojamākas. Eiropols ir piebilsis, ka deepfake tehnoloģija kļūst par organizētās noziedzības standarta rīku. Ne rīt – jau tagad.
Tā ir ikdienas problēma
Honkongas stāsts ir dramatisks, taču draudi nav summās. Draudi ir loģikas modelī, kas visur ir vienāds:
Kāds prezentē sevi kā pareizo cilvēku → kāds cits viņam notic → lēmums tiek pieņemts.
Tas pats modelis darbojas, kad personāla vadītājs saņem "direktora" zvanu ar lūgumu mainīt darbinieka līguma nosacījumus. Tas pats modelis darbojas, kad grāmatvedis saņem "vadītāja" vēstuli apstiprināt ārkārtas maksājumu. Tas pats modelis darbojas, kad skolas direktors "apstiprina" iepirkuma dokumentu, ko viņš patiesībā nav redzējis.
Uzbrukuma virsma nav tehniskā infrastruktūra. Uzbrukuma virsma ir ikdienas lēmumu pieņemšanas brīži, kad mēs uzticamies tam, ko redzam un dzirdam.
Jautājums nav par to, vai pret jūsu organizāciju šāds uzbrukums tiks mēģināts. Jautājums ir: kad tas notiks, kā jūs pēc tam pierādīsiet, kas patiesībā notika?
Labā ziņa: tam ir risinājums, un tas nav jauns
Problēma šķiet jauna, taču risinājums faktiski pastāv jau gadiem. Kriptogrāfiskais paraksts nebalstās uz to, kā kāds izskatās vai skan. Tas balstās uz unikālu atslēgu pāra un sertifikāta kombināciju, ko nav iespējams reproducēt bez parakstītāja personiskās ierīces un autentifikācijas.
Deepfake spēj atdarināt seju. Tas nespēj atdarināt kriptogrāfisku atslēgu.
Eiropas Savienības eIDAS regulas augstāko līmeni sauc par kvalificētu elektronisko parakstu (QES), un tas tiek izmantots katru dienu. Būtiskā atšķirība no visiem citiem paraksta līmeņiem: ES atzīst QES par līdzvērtīgu pašrocīgam parakstam.
Kā kvalificēts elektroniskais paraksts darbojas praksē
Parastu e-parakstu – vārda ierakstīšanu, ķeksīša pievienošanu, attēla "paraksta" augšupielādi – izmanto vairākums. Tas ir ērti. Taču strīda gadījumā rodas jautājums: kā pierādīt, ka tieši šis cilvēks to izdarīja?
Kvalificēts elektroniskais paraksts to atrisina, jo izveido pārbaudāmu ķēdi:
Persona ir identificēta ar kvalificētu sertifikātu – nevis tāpēc, ka viņa ekrānā izskatījās kā viņa, bet tāpēc, ka viņa izturēja stingru identitātes pārbaudi.
Dokumenta saturs ir fiksēts parakstīšanas brīdī. Ja kāds pēc parakstīšanas maina kaut vienu rakstzīmi, tas ir konstatējams.
Laika brīdis ir fiksēts ar kriptogrāfisku laika zīmogu.
Uzticamības ķēde ir izsekojama: parakstu izdevusi kvalificēta uzticamības pakalpojuma sniedzēja, kas ir iekļauta Eiropas Komisijas publiskajā uzticamības sarakstā. Ikviens var pārbaudīt, vai ķēde ir derīga.
Visa šī ķēde ir neatkarīgi verificējama – bez nepieciešamības kādam ticēt pēc viņa sejas, balss vai e-pasta stila.
Baltijā jau ceturtdaļgadsimtu
Kvalificēts elektroniskais paraksts nav jauns izgudrojums. Baltija to izmanto jau kopš laikiem, kad deepfake jēdziens vēl nebija zināms.
Igaunija 2000. gadā pieņēma digitālā paraksta likumu – vienu no pirmajiem pasaulē. 2002. gadā tika izsniegtas pirmās ID kartes, kuru mikroshēma ļāva gan autentificēties, gan kvalificēti parakstīt. Tajā pašā gadā Igaunijā tika dots pirmais digitālais paraksts: Tallinas un Tartu pilsētu mēri parakstīja sadarbības līgumu. No šī brīža sākās kaut kas, ko pārējā Eiropa tikai tagad sāk panākt.
Latvija 2003. gadā pieņēma elektronisko dokumentu likumu un izveidoja eParaksts infrastruktūru – valsts e-paraksta sistēmu, ko pārvalda LVRTC. 2012. gadā Latvijā tika ieviesta eID karte ar digitālā paraksta iespējām, un kopš 2021. gada tā ir obligāta visiem pilsoņiem, kas vecāki par 15 gadiem.
Lietuva e-paraksta likumu pieņēma tajā pašā gadā kā Igaunija – 2000. gadā. Pirmās personu apliecinošās kartes tika izsniegtas 2003. gadā, un kopš 2009. gada tās satur digitālā paraksta mikroshēmu. Šodien Lietuvā ir vairāk nekā 1,6 miljoni Smart-ID lietotāju – valstī, kurā dzīvo 2,8 miljoni iedzīvotāju.
Visās trīs valstīs līdz 2000. gadu vidum digitālā parakstīšana bija ikdienas dzīves daļa – uzņēmumu reģistrēšana, bankas operācijas, nodokļu atskaites.
Pēc tam sekoja mobilie risinājumi. Igaunija 2007. gadā uzsāka mobiil-ID, kas darbojās bez viedtālruņa – pietika ar SIM karti un PIN kodu. 2017. gadā SK ID Solutions vienlaikus visās trīs Baltijas valstīs uzsāka Smart-ID. Divu mēnešu laikā bija vairāk nekā 100 000 lietotāju. Šodien Smart-ID ir vairāk nekā 3 miljoni aktīvu lietotāju, un tas ir sertificēts kvalificētu parakstu izveidei.
Skaitļi runā paši par sevi: tikai Igaunijā vien 20 gadu laikā ir doti vairāk nekā 800 miljoni digitālo parakstu. Tā ir valsts, kurā dzīvo 1,3 miljoni iedzīvotāju.
Kāpēc tas ir svarīgi deepfake kontekstā? Tāpēc, ka Baltijā kriptogrāfiska identitātes apstiprināšana nav nekas eksperimentāls. Tā ir norma. Un tieši šī norma tagad kļūst aktuāla visai Eiropai.
Eiropa seko līdzi: EUDI maks padara QES pieejamu visiem
2024. gadā stājās spēkā eIDAS 2.0 – atjaunināta Eiropas digitālās identitātes regula, kas prasa, lai katra ES dalībvalsts piedāvātu saviem pilsoņiem Eiropas digitālās identitātes maku (EUDI Wallet). Termiņš: 2026. gada beigas.
Tas nozīmē, ka kvalificēts elektroniskais paraksts, ko Baltijā izmanto jau vairāk nekā divas desmitgades, drīzumā kļūs pieejams 450 miljoniem eiropiešu tieši no viedtālruņa. Maks ļaus glabāt digitālo identitāti, iesniegt dokumentus un dot kvalificētus elektroniskos parakstus – bez atsevišķas karšu lasītāja, SIM kartes vai atsevišķa pakalpojumu sniedzēja līguma.
Baltijai tā nav revolūcija, bet loģisks turpinājums. Pārējai Eiropai tā ir paradigmas maiņa – un deepfake laikmetā ārkārtīgi savlaicīga.
Ko tas nozīmē jums – un ko ne
Godīga atbilde: kvalificēts elektroniskais paraksts neatrisina visu.
Deepfake var izmantot, lai pārliecinātu īstu cilvēku parakstīt nepareizu dokumentu. "Lūdzu, paraksti ātri, šī ir galīgā versija." "Mēs par to runājām zvānā, tu piekritī." QES pierāda, ka kāds parakstīja – bet neaizsargā no tā, ka viņu apmānīja.
Tāpēc QES ir spēcīgs pamats, kam pievienojas saprātīgi paradumi:
Augsta riska dokumentiem – otrs kanāls. Ja kāds lūdz steidzami parakstīt kaut ko svarīgu, pārbaudiet pa otru kanālu (zvans, īsziņa), vai pieprasījums ir īsts.
Ārkārtas pieprasījumiem – pauze. "Vadītājs lūdza tūlīt apstiprināt" ir klasisks manipulācijas modelis. Jo steidzamāks ir lūgums, jo vairāk tas ir pārbaudāms.
Parakstītiem dokumentiem – kontrole. Ieviesiet paradumu pārbaudīt svarīgu dokumentu paraksta statusu un uzticamības ķēdi. Ne kā izņēmumu, bet kā rutīnu.
Ātrums joprojām ir svarīgs – taču ātrums bez pierādāmības ir risks
Digitālā transformācija gadiem ir bijis stāsts par ātrumu: ātrāka parakstīšana, ātrāka apstiprināšana, mazāk papīra. Tas bija pareizi, un tas paliek svarīgi.
Taču pasaulē, kur video un balss ir viltojami, papildus ātrumam nepieciešama arī pierādāmība. Ja jūs nevarat parādīt, kas ko apstiprināja, tad no ātruma nav labuma – ir tikai ātri radusies problēma, ko vēlāk ir grūti atrisināt.
Kvalificēts elektroniskais paraksts ir viens no nedaudzajiem rīkiem, kas piešķir jūsu organizācijas lēmumiem matemātisku un juridisku svaru, ko neviens deepfake nespēj satricināt. Ne tāpēc, ka tas ir regulatīva prasība, bet tāpēc, ka tas darbojas.
Agrello atbalsta kvalificētus elektroniskos parakstus un palīdz izveidot darba procesus, kuros svarīgs lēmums ir pierādīts, verificēts un neapstrīdams. Izmēģiniet bez maksas un apskatiet, kā tas jūsu gadījumā darbojas praksē.
Ready to get started?
Join Agrello and manage your contracts the smart way.