DI technologijos, tokios kaip generatyvinis DI, leidžia sukčiams kurti itin įtikinamus deepfake vaizdo ir garso įrašus, kurie gali apgauti net patyrusius specialistus.

Pavyzdžiui, neseniai Honkongo įmonė prarado 25 mln. dolerių po to, kai sukčiai, pasitelkę deepfake technologiją, apsimetė įmonės vadovais ir įtikino darbuotoją pervesti lėšas.

Kokia pusiausvyra turi būti tarp inovacijų ir jų reguliavimo, užtikrinant duomenų apsaugą, ekspertai balandžio pradžioje diskutavo ir Vilniuje, Lietuvos bankų asociacijos (LBA) ir Valstybinės duomenų apsaugos inspekcijos (VDAI) organizuotoje konferencijoje „Duomenų apsauga finansų srityje: tarp BDAR, dirbtinio intelekto ir kibernetinio saugumo iššūkių“.

Dvi skaitmenizacijos pusės

Pasak konferencijoje kalbėjusios LBA prezidentės dr. Eivilės Čipkutės, skaitmeninės inovacijos finansų įstaigų klientams leidžia teikti greitesnes, saugesnes ir patogesnes paslaugas, o per dešimtmetį sektoriuje pasiektas technologinis progresas buvo stulbinantis.

„Šiandien kiekvienas iš mūsų banką turime savo delnuose – galime atsidaryti sąskaitą nuotoliniu būdu, atlikti momentinius mokėjimus telefonu, gauti paskolos ar būsto kredito pasiūlymus neišeinant iš namų“, – teigė dr. E. Čipkutė.

Vis dėlto sparti skaitmenizacija lėmė ir naujas landas piktnaudžiauti – vykdyti pinigų plovimą ar apeiti sankcijas. Anot LBA prezidentės, šios grėsmės niekur nedings ir ateityje, o finansų sektoriui ir reguliuotojams tenka svarbi užduotis ieškoti naujų sprendimų, kaip efektyviai apsaugoti klientus.

LBA vadovės žodžius patvirtina ir naujausi Nacionalinio kibernetinio saugumo centro (NKSC) duomenys, rodantys, kad 2023 m. Lietuvoje nors ir fiksuota bendra gerėjanti kibernetinio saugumo situacija, didėja vidutinio rimtumo incidentų skaičius (12 proc. daugiau nei 2022 m.), o dėl kibernetinių incidentų įvykę asmens duomenų saugumo pažeidimai paveikė didelę dalį (net 49 proc.) subjektų. Atakos prieš duomenų turėtojus tampa subtilesnės ir efektyvesnės.

„Prieš beveik 10 metų Europos Sąjungoje priimtas Bendrasis duomenų apsaugos reglamentas (BDAR) tebėra aktualus ir šiandien, nes finansų sektorius vis sparčiau diegia itin galingus dirbtinio intelekto įrankius, kuriuos būtina tinkamai sukalibruoti, siekiant apsaugoti asmens duomenis ir žmonių privatumą“, – pridūrė dr. E. Čipkutė.

Pusiausvyros paieškos

Latvijos „Swedbank“ duomenų apsaugos pareigūnė Veronika Sajadova konferencijoje akcentavo, kad duomenų apsauga šiandien reikalauja nuolatinio balanso tarp finansų įstaigų tikslų ir asmens duomenų subjektų teisių.

„Visada turi būti pasiruošęs, nes jei prarasi balansą, tai atsisuks prieš tave. Pavyzdžiui, pinigų plovimo prevencijos (AML) ir BDAR reikalavimai dažnai suvokiami kaip prieštaringi vienas kitam, bet iš tiesų jie padeda vienas kitam siekti bendrų tikslų ir išlaikyti pusiausvyrą“, – teigė V. Sajadova.

Su balansavimu tarp duomenų saugos bei reguliavimo susiduria ir patys rinkos reguliuotojai, pripažįsta Lietuvos banko Pinigų plovimo prevencijos skyriaus vadovė Reda Stanytė.

„Suprantu, kaip jaučiasi finansų įstaigos – jos turi dalytis informacija, atpažinti sukčiavimą, jį sustabdyti, bet kartu turi galvoti, kaip tai daroma ir kokiais duomenimis gali dalytis. 
Mes, kaip priežiūros institucija, iš finansų institucijų esame surinkę milžiniškus kiekius duomenų, todėl taip pat turime rasti pusiausvyrą tarp priežiūros funkcijų vykdymo ir asmens duomenų apsaugos užtikrinimo“, – kalbėjo R. Stanytė.

Prisitaikyti prie DI turės visi

Siekiant užkirsti kelią įtartiniems sandoriams ir kovoti su pinigų plovimu, finansų sektoriuje jau naudojami ir DI sprendimai. Įvairūs DI pagrindu sukurti įrankiai taip pat gali prognozuoti klientų poreikius, padėti įvertinti kredito riziką ar net bendrauti su klientais.

Pasak „Revolut Bank“ valdybos nario Vytauto Dantos, vienas pagrindinių iššūkių naudojant DI finansų sektoriuje – kaip ir kokiais duomenimis apmokyti modelius. Mažesnės įstaigos esą dažnai neturi pakankamai duomenų kokybiškai treniruoti DI sistemas, o dalijimasis duomenimis tarp organizacijų tampa sudėtingas dėl BDAR ribojimų. 

„Negalima tiesiog naudoti viešų generatyvinio DI įrankių, tokių kaip „ChatGPT“, su vidiniais asmens duomenimis – tai prieštarauja reglamentui. Kartu reikia žinoti, kad DI nėra tik mados reikalas. Organizacijos, kurios nesugebės integruoti dirbtinio intelekto sprendimų atsakingai ir tvariai, rizikuoja likti nuošalyje“, – perspėjo V. Danta.
Ekspertas prognozuoja, kad DI pakeis finansų sektorių dar labiau nei internetinė bankininkystė, tačiau kai kuriems, neturintiems pakankamai reikalingų duomenų, adaptuotis naujoje realybėje bus sudėtinga.

„DI modelis turi būti gerai ištreniruotas, kitaip jis nesugebės pasiekti gerų rezultatų. Pavyzdžiui, prastai paruoštas sukčiavimo nustatymo modelis neidentifikuos įtartinų operacijų arba be pagrindo ribos niekuo dėtus klientus“, – pažymėjo V. Danta.

Kibernetiniai nusikaltėliai taip pat prisitaiko prie to, kaip generatyvinis DI keičia paslaugų teikimo procesus, teigė „Microsoft“ nacionalinė technologijų vadovė Vidurio Europoje Renate Strazdina. Anot jos, privačiajam ir viešajam sektoriams būtina atsakingai vertinti vis naujai kylančias rizikas.

„Svarbu neužsimerkti prieš grėsmes ir neatverti durų kibernetiniams nusikaltėliams. Deja, bet generatyvinis DI keičia ir jų veikimo būdus, todėl geriau rinktis saugius sprendimus ir valdyti šį procesą atsakingai, o ne apsimesti, kad grėsmės neegzistuoja“, – sakė R. Strazdina.

Konferencijos dalyviai sutiko, kad finansų įstaigos, investuodamos į klientų duomenų saugumą, saugo ir savo reputaciją, o tai tampa konkurenciniu pranašumu.

Imasi veiksmų dėl duomenų apsaugos

VDAI vertinimu, visuomenės sąmoningumo rodikliai asmens duomenų apsaugos srityje gerėja. Gyventojai vis labiau supranta savo teises ir aktyviau siekia jas ginti, tai patvirtina ir kasmet atliekamų apklausų rezultatai.

„Pastebime, kad gyventojų žinių lygis duomenų apsaugos srityje nuolat auga. Pavyzdžiui, pernai daugiau nei 85 proc. apklaustųjų nurodė, kad žino apie BDAR egzistavimą ir savo teisę į asmens duomenų apsaugą. Daugiau nei 90 proc. teigė, kad imtųsi tam tikrų veiksmų siekdami apginti savo teises“, – teigė Dijana Šinkūnienė, VDAI direktorė.

Jos teigimu, siekiant išlaikyti protingą balansą tarp asmens duomenų apsaugos teisinio reguliavimo ir sparčiai besivystančių technologijų, svarbus glaudus visų suinteresuotų šalių bendradarbiavimas, leidžiantis kartu rasti optimalius sprendimus bei greitai reaguoti į galimus iššūkius.

Nors apie duomenų apsaugą, pasak įstaigos vadovės, aktyviai kalbama dar nuo BDAR atsiradimo, viena pagrindinių priežasčių, kodėl apie tai diskutuojama dabar, – DI įrankių naudojimas.
„Kalbėdami apie technologijas, pirmiausia turėtume galvoti apie jų poveikį žmogui, o ne tik apie duomenų tvarkymą techniniu požiūriu“, – pridūrė D. Šinkūnienė.

Ši LBA ir VDAI organizuota konferencija – pirmasis tokio pobūdžio ir masto renginys Vilniuje, kurio tikslas – ne tik aptarti aktualias problemas, bet ir kurti bendrą regiono požiūrį į duomenų apsaugos standartus finansų sektoriuje.

Konferencijoje ekspertai nagrinėjo DI taikymo galimybes, asmens duomenų tvarkymą pinigų plovimo prevencijos kontekste, diskutavo apie sukčiavimo prevenciją ir balansą tarp privatumo apsaugos ir naujausių saugumo standartų įgyvendinimo.