W kilku poprzednich artykułach podnosiliśmy znaczenie tożsamości cyfrowej w kontekście zagrożeń związanych z jej przejęciem i wykorzystaniem do przeprowadzenia ataków cybernetycznych. Pisaliśmy, że tożsamość cyfrowa stała się granicą, którą należy w szczególny sposób chronić, by zabezpieczyć dostęp do naszych prywatnych aktywów czy zasobów organizacji, ale również do wizerunku, który budujemy przez całe swoje życie. W dobie gwałtownego rozwoju sztucznej inteligencji widzimy, jak wiele wcześniej niemożliwych (chyba że nazywamy się Ethan Hunt i przypadkiem braliśmy udział w jednej z akcji specjalnych z serii niemożliwych do wykonania) scenariuszy ataków staje się realnych.
Przykładem może być udana próba wyłudzenia pieniędzy opisana tutaj: Finance worker pays out $25 million after video call with deepfake ‘chief financial officer’. Według przedstawicieli policji Hongkongu pracownik jednej z międzynarodowych firm padł ofiarą oszustwa, w którym wykorzystano publicznie dostępne nagrania wideo i dźwiękowe kadry zarządzającej spółki. Materiałów tych użyto do spreparowania wideokonferencji, podczas której ofiara ataku była przekonana, że rzeczywiście rozmawia ze swoimi kolegami z pracy i zleciła przekazanie 25 milionów dolarów na konta przestępców. Zdarzenie to pokazuje obecne możliwości tworzenia deepfake’ów z wykorzystaniem sztucznej inteligencji, które bez dodatkowej weryfikacji tożsamości drugiej strony prowadzą do poważnych problemów. O tym, w jaki sposób przestępcy mogą zbierać dane niezbędne do przeprowadzenia tego rodzaju ataków, możecie również przeczytać w jednym z naszych poprzednich artykułów: Zaawansowany deepfake oparty na AI wykorzystywany w atakach na konta bankowe.
W jaki sposób można się chronić przed deepfakiem?
Co można zrobić, by zabezpieczyć się przed tego rodzaju atakiem? Nie zawsze jest to łatwe, ale możemy podjąć pewne działania, które zminimalizują ryzyko, że staniemy się ofiarą ataku albo że nasze nieświadome działanie do niego doprowadzi. Poniżej wymieniamy działania, które możemy podjąć w celu utrudnienia życia atakującym.
- Tam, gdzie to możliwe, staraj się wykorzystywać drugi składnik – taki jak np. SMS do osoby, z którą rozmawiasz, w celu weryfikacji, czy to faktycznie ona.
- Jeżeli to możliwe, spróbuj skontaktować się z tą osobą bezpośrednio, korzystając z telefonu, połączenia wideo czy twarzą w twarz.
- Słuchaj swojego instynktu: jeśli coś wydaje Ci się podejrzane lub niezwykłe, nie ignoruj tego. Zdrowy sceptycyzm może pomóc Ci uniknąć pułapek deepfake’a.
- Korzystaj z narzędzi do wykrywania deepfake’ów, stosuj narzędzia i technologie, które pomagają w wykrywaniu deepfake’ów, takie jak specjalne oprogramowanie, które analizuje treści w poszukiwaniu sygnałów wskazujących na manipulację.
- Zdobywaj wiedzę, edukuj się na temat technologii deepfake i naucz się rozpoznawać jej oznaki, takie jak niedoskonałości w wyglądzie lub niezgodności między dźwiękiem a obrazem.
- Co bardzo istotne – upewnij się, że ustawienia prywatności Twoich kont w mediach społecznościowych i innych platformach online są dostosowane tak, aby ograniczyć dostęp do Twoich danych i treści. Dzięki temu nie dostarczysz w łatwy sposób informacji, które ktoś będzie chciał wykorzystać przeciwko Tobie.
Niezależnie od kontekstu powinniśmy mieć możliwość weryfikacji autentyczności drugiej strony, czy jest faktycznie tą osobą, którą widzimy w trakcie wideokonferencji lub w z którą rozmawiamy przez telefon. I jak ostatnio pisaliśmy o metodach uwierzytelniania bezhasłowego (Co zamiast haseł?) w kontekście potwierdzania naszej tożsamości w systemach informatycznych, teraz napiszemy, jakie mamy możliwości potwierdzania tożsamości drugiej osoby.
Czym jest Decentralized Identity
Koncepcja zdecentralizowanej tożsamości rozwinęła się w odpowiedzi na obawy dotyczące centralizacji danych osobowych oraz coraz częstsze przypadki naruszeń prywatności i kradzieży tożsamości w Internecie. Dążenie do decentralizacji tożsamości polega na zapewnieniu użytkownikom pełnej kontroli nad ich danymi osobowymi oraz zwiększeniu bezpieczeństwa i prywatności w środowisku online. Decentralized Identity (zdecentralizowana tożsamość) to koncepcja i model zarządzania tożsamością, w którym użytkownicy mają kontrolę nad swoimi cyfrowymi tożsamościami bez konieczności polegania na centralnych instytucjach czy dostawcach usług, jak Google czy Facebook (Meta Platforms). Zamiast tego tożsamość cyfrowa użytkownika jest przechowywana i kontrolowana przez niego samego, często za pomocą technologii blockchain lub innych rozproszonych systemów, bez konieczności tworzenia indywidulanych kont w różnych aplikacjach webowych. Idea zdecentralizowanej tożsamości jest ściśle powiązana z technologią Verifiable Credentials (weryfikowalnych poświadczeń), która umożliwia wydawanie, przechowywanie i udostępnianie wiarygodnych cyfrowych poświadczeń tożsamości w sposób zdecentralizowany i bezpieczny.
Na czym polega technologia Verifiable Credentials?
Verifiable Credentials są cyfrowymi dokumentami, które podlegają odpowiednim otwartym standardom World Wide Web Consortium. Mogą one reprezentować informacje zawarte w fizycznych dokumentach, takich jak paszport czy prawo jazdy, jak również nowe rzeczy, które nie mają fizycznego odpowiednika, jak posiadanie konta bankowego. Mają one liczne zalety w porównaniu do tradycyjnych dokumentów, zwłaszcza że są podpisane cyfrowo, co czyni je odpornymi na manipulacje i możliwymi do natychmiastowej weryfikacji.
Weryfikowalne dokumenty mogą być wystawiane przez każdego, na dowolny temat, i tak samo mogą być przez każdego prezentowane oraz weryfikowane. Jednostka generująca dokument jest nazywana Wydawcą. Dokument jest następnie przekazywany Posiadaczowi, który przechowuje go w celu późniejszego użycia. Posiadacz może potem udowodnić coś o sobie, prezentując swoje dokumenty weryfikującemu. Ideą tego mechanizmu jest to, że posiadacz dokumentu tożsamości (jego właściciel) działa w trójkącie zaufania:
- Wydawca dokumentu ufa Właścicielowi.
- Właściciel ufa Weryfikującemu.
- Weryfikujący ufa Wydawcy.
Teoretycznie w tym trójkącie może się znaleźć osoba, instytucja czy urządzenie. Należy zauważyć, że ponieważ weryfikowalne dokumenty mogą być tworzone przez każdego, to weryfikujący decyduje, czy ufa wydawcy.
Założeniem technologii Verifiable Credentials jest zapewnienie użytkownikom zgodnych z zasadami prywatności, zdecentralizowanych i bezpiecznych metod przechowywania i udostępniania swoich cyfrowych tożsamości. Dzięki temu użytkownicy mają większą kontrolę nad swoimi danymi oraz mogą korzystać z usług online bez obaw o ich bezpieczeństwo oraz prywatność. Zarówno Decentralized Identity jak i Verifiable Credentials to nowe technologie, których potencjalne możliwości zastosowania są dosyć duże, możemy tutaj wymienić takie przykłady jak:
- Uwierzytelnianie online: użytkownicy mogą kontrolować i zarządzać swoimi cyfrowymi tożsamościami w sposób zdecentralizowany. Mogą one być wykorzystywane do uwierzytelniania użytkowników w różnych usługach online, eliminując potrzebę polegania na centralnych instytucjach lub dostawcach usług.
- Zarządzanie danymi osobowymi: pozwalają użytkownikom kontrolować swoje dane osobowe, decydując, które informacje są udostępniane, komu i w jakim celu. Dzięki temu użytkownicy mogą lepiej chronić swoją prywatność online.
- Identyfikacja w sektorze zdrowia: do bezpiecznej identyfikacji pacjentów oraz dostępu do ich danych medycznych, z zachowaniem wysokich standardów bezpieczeństwa i prywatności.
- Identyfikacja w sektorze finansowym: do weryfikacji tożsamości klientów, ułatwiając procesy KYC (Know Your Customer) oraz zapewniając bezpieczeństwo transakcji finansowych.
- Identyfikacja w sektorze publicznym: w rządowych usługach online, takich jak przyznawanie świadczeń społecznych czy wydawanie dokumentów tożsamości, technologie zdecentralizowanej tożsamości mogą zwiększyć bezpieczeństwo i skuteczność procesów identyfikacji.
Czy technologie te znajdą szerokie zastosowanie, czy pozwolą podnieść poziom ochrony naszych cyfrowych tożsamości w świecie online? Jak w przypadku każdego rozwiązania, znajdą się głosy krytyczne, natomiast z pewnością zależy to od sposobu, w jaki ostatecznie rozwiązania te zostaną zaimplementowane w naszej codziennej rzeczywistości.