Chatgphishing yrityksissä on uusi muistutus siitä, että tekoälyavustajan vastaus ei ole automaattisesti turvallinen lähde. Huijaus voi syntyä tilanteessa, jossa työntekijä pyytää ChatGPT:n kaltaista palvelua tiivistämään verkkosivun, sähköpostin tai muun ulkoisen sisällön. Jos sisältöön on piilotettu ohjeita, tekoäly voi toistaa ne vastauksessaan linkkeinä, hälytyksinä, kuvina tai QR-koodeina.
Yrityksen näkökulmasta kyse ei ole vain yksittäisestä huijauslinkistä. Ilmiö laajentaa tietojenkalastelun sähköpostista ja verkkosivuista tekoälyavustajien tuottamiin yhteenvetoihin, joissa käyttäjän luottamus voi olla tavallista suurempi.
Mitä chatgphishingissä tapahtuu?
Chatgphishing perustuu siihen, että verkkosivun näkyvän sisällön lisäksi sivulle voidaan piilottaa ohjeita esimerkiksi metatietoihin tai muuhun rakenteeseen. Kun tekoälyavustajaa pyydetään tekemään sivusta yhteenveto, se voi käsitellä piilotettua sisältöä osana lähdemateriaalia.
Käytännössä käyttäjä voi saada tekoälyvastauksen loppuun valheellisen tietoturvahälytyksen, linkin kirjautumissivulle tai QR-koodin. Vaarallista on se, että viesti voi näyttää siltä kuin tekoälypalvelu itse olisi antanut luotettavan toimintaohjeen.
Sama perusongelma liittyy laajempaan ilmiöön, jota kutsutaan kehotteen injektioksi. Ulkopuolinen sisältö yrittää ohjata tekoälyn toimintaa tavalla, jota käyttäjä ei näe eikä välttämättä osaa epäillä.
Miksi tämä on tärkeää suomalaisille pk-yrityksille?
Monessa yrityksessä tekoälyä käytetään jo arjen apuna: tarjouspyyntöjen tiivistämiseen, verkkosivujen arviointiin, sopimustekstien hahmottamiseen, asiakasviestien luonnosteluun ja teknisten ohjeiden selkeyttämiseen. Jos työnkulkuun kuuluu ulkopuolisen sisällön kopiointi tai linkkien avaaminen tekoälyavustajan kautta, myös huijauksen hyökkäyspinta kasvaa.
Riski korostuu, kun työntekijä näkee linkin tai QR-koodin tutun tekoälypalvelun käyttöliittymässä. Linkki voi tuntua turvallisemmalta kuin sähköpostissa oleva linkki, vaikka tekoäly ei olisi tarkistanut sen aitoutta.
Yrityksille tämä tarkoittaa käytännössä kolmea asiaa:
- Tietojenkalastelu voi tulla tekoälyvastauksen sisällä, ei vain sähköpostissa tai hakutuloksissa.
- QR-koodit ovat erityinen riski, koska käyttäjä ei yleensä näe lopullista osoitetta ennen skannaamista.
- Ulkopuolisen sisällön automaattinen noutaminen voi aiheuttaa tietosuoja- ja seurantariskiä, jos vastaukseen haetaan esimerkiksi kuvia huijarin palvelimelta.
Miten ilmiö näkyy yrityksen arjessa?
Tyypillinen tilanne voi olla hyvin arkinen. Myynti pyytää tekoälyä tiivistämään asiakkaan lähettämän verkkosivun. Taloushallinto hakee selitystä laskutuspalvelun ohjeesta. Johto pyytää tiivistelmän pitkästä verkkoraportista. IT-tuki tarkistaa nopeasti teknisen dokumentaation sisällön.
Jos tekoälyvastauksessa näkyy kehotus kirjautua, vahvistaa tili, skannata QR-koodi tai avata tietoturvahälytyksen linkki, käyttäjän pitää pysähtyä. Tekoälyn tuottama vastaus ei tee linkistä virallista.
Suomi Solutions auttaa yrityksiä muuttamaan tämän tyyppiset havainnot käytännön toimenpiteiksi. Käytännössä se voi tarkoittaa tekoälyn käyttösääntöjen laatimista, Microsoft 365 -ympäristön suojausten tarkistamista, linkki- ja sähköpostisuodatuksen arviointia sekä henkilöstölle suunnattuja esimerkkejä siitä, miltä tekoälypohjainen huijaus voi näyttää.
Tekoälyn turvallinen käyttö vaatii selkeät rajat
Chatgphishing ei ole pelkkä selainongelma tai yksittäinen ohjelmistovirhe. Kyse on siitä, miten tekoälyavustaja tulkitsee ulkopuolista sisältöä ja esittää sen käyttäjälle. Siksi ratkaisu ei ole vain selaimen päivittäminen, vaikka selain- ja päätelaiteturva ovat edelleen tärkeitä.
Yrityksen kannattaa määritellä, mitä tekoälypalveluja saa käyttää, millaisilla tunnuksilla, millä tietotyypeillä ja missä tilanteissa. Erityisen tarkkana on oltava asiakasdatan, henkilötietojen, sopimusten, strategiadokumenttien ja sisäisten sähköpostien kanssa. GDPR-vaatimukset ja sopimukselliset velvoitteet eivät poistu siksi, että käsittely tapahtuu tekoälytyökalussa.
Suomi Solutions voi tukea tätä työtä arvioimalla, miten tekoälypalvelut sopivat yrityksen nykyiseen IT-ympäristöön, mitä hallintakäytäntöjä tarvitaan ja miten käyttäjien ohjeistus yhdistetään teknisiin suojauksiin. Tavoitteena ei ole estää järkevää tekoälyn käyttöä, vaan tehdä siitä hallittua.
Mitä yrityksen kannattaa tehdä nyt?
- Päivittäkää tekoälyn käyttösäännöt. Kirjatkaa selkeästi, että tekoälyn tuottamia linkkejä, hälytyksiä ja QR-koodeja ei pidetä automaattisesti luotettavina.
- Ohjeistakaa linkkien tarkistus. Käyttäjän kannattaa avata virallinen palvelu itse tunnetusta osoitteesta eikä tekoälyvastauksen linkistä.
- Rajoittakaa QR-koodien käyttöä. Tekoälyvastauksessa näkyvää QR-koodia ei tulisi skannata ilman erillistä varmistusta.
- Lisätkää koulutuksiin tekoälypohjaiset huijaukset. Perinteinen phishing-koulutus ei enää riitä, jos työntekijät käyttävät tekoälyä tiedonhakuun ja tiivistämiseen.
- Arvioikaa datankäsittely. Selvittäkää, missä tekoälypalvelu käsittelee tietoja, käytetäänkö syötteitä mallien kehittämiseen ja täyttyvätkö tietosuojavaatimukset.
- Ottakaa käyttöön teknisiä suojauksia. Linkkien maineentarkistus, sähköpostisuodatus, selainhallinta, DLP-valvonta ja pääsynhallinta vähentävät riskiä myös tekoälytyönkuluissa.
- Määritelkää ilmoitusprosessi. Työntekijän pitää tietää, kenelle epäilyttävästä tekoälyvastauksesta, linkistä tai QR-koodista ilmoitetaan.
Yrityksen kannattaa arvioida vaikutukset omaan ympäristöön ennen kiireisiä muutoksia. Jos tekoälyä käytetään jo asiakasviestinnässä, dokumenttien tiivistämisessä tai Microsoft 365 -ympäristön rinnalla, käytännön varautuminen alkaa näkyvyydestä, käyttöoikeuksista, koulutuksesta ja vastuiden selkeydestä. Suomi Solutions auttaa arvioimaan tekoälyn käytön riskit, koventamaan arjen suojauskäytäntöjä ja rakentamaan ohjeet, jotka sopivat suomalaisen pk-yrityksen todelliseen työarkeen. Lisätietoa käytännön IT- ja kyberturvatuesta löytyy osoitteesta https://suomisolutions.fi/.
