Чума цифровой эпохи: как недоброжелатели могут использовать дипфейки против бренда

Нейросети может использовать любой желающий — например, чтобы сгенерировать новую аватарку для соцсетей или найти информацию в интернете. Но новые технологии всё чаще используют и в преступных целях.

С помощью ИИ мошенники могут выманивать у людей или компаний деньги, а конкуренты — выставлять их в негативном свете. Мы поговорили об угрозе дипфейков с юристами, специалистами по PR и кибербезопасности.

Из этого материала редакции «Маркетинг» Skillbox Media вы узнаете:

• что такое дипфейки;
• как с их помощью могут навредить человеку или бизнесу;
• как дипфейки регулируются законодательством;
• что делать, если компания подверглась атаке с использованием дипфейков.

Что такое дипфейки и как их создают

Дипфейки — это поддельные изображения, аудио или видео, созданные с помощью искусственного интеллекта (ИИ). ИИ анализирует исходные материалы, чтобы изучить внешность, мимику, жесты, манеру речи человека, а затем может генерировать новый контент, который выглядит и (или) звучит как настоящий.

Например, нейросеть может «подставить» лицо известного актёра к телу другого человека. Таким же образом можно подделать голос любого человека, если есть аудиообразец его речи.

Часто дипфейки используют в рекламе, в кино или при создании вирусного контента для соцсетей. Например, в 2023 году креативное агентство Agenda Agency использовало образ актёра Киану Ривза для создания рекламного ролика: в нём голливудский актёр проверяет, выключил ли он утюг.

Как с помощью дипфейков могут навредить бизнесу или бренду

Использовать контент, созданный нейросетями, могут не только ради рекламы, привлечения внимания или развлечения, но и для того, чтобы навредить другому человеку или обмануть его. Вот как недоброжелатели это делают.

Создавать фейковые новости. Например, недоброжелатели могут сгенерировать аудио или видео с директором компании, коллегой или известным политиком, в котором он говорит что-то, что может испортить его репутацию или репутацию всего бизнеса.

Создавать фейковые отзывы. Конкуренты могут сгенерировать, например, негативные видеоотзывы и опубликовать их в соцсетях или на сайтах-отзовиках. Нейросети способны создавать сотни отзывов в час, и восстановить репутацию после такой атаки может быть сложно.

Обманывать, чтобы выманить деньги. С помощью нейросетей могут подделать голос руководителя, сделать «кружочек» в Telegram или даже начать видеоконференцию в режиме реального времени с его лицом. Таким образом мошенники могут, например, изобразить руководителя компании и попросить бухгалтера перевести крупную сумму со счёта компании на счёт мошенников.

Случаи мошенничества с использованием дипфейков распространены в России, США и Китае. Например, в 2024 году фирма из Гонконга перевела мошенникам 24 миллиона долларов после видеосозвона с топ-менеджерами компании, изображения которых сгенерировал ИИ.

Как использование дипфейков регулируется законодательством и можно ли подать на злоумышленников в суд

В российском правовом поле нет понятия «дипфейк». В 2024 году на рассмотрение в Госдуму внесли законопроект, который может исправить это, но пока его не приняли.

Мы спросили у юриста, является ли создание дипфейков нарушением и можно ли подать на тех, кто их делает, в суд.

Карина Маргарян

Старший IT- и IP-юрист RTM Group

— Само по себе создание дипфейков сейчас не нарушает закон. Но незаконными могут быть содержание контента, способы получения информации и материалов для его создания. Контент может нарушать нормы, связанные с охраной:

• прав на результаты интеллектуальной деятельности (статьи 1255, 1259, 1304 ГК РФ);
• чести, достоинства и деловой репутации (статья 152 ГК РФ);
• изображения гражданина (статья 152.1 ГК РФ);
• частной жизни (статья 152.2 ГК РФ);
• персональных данных (ФЗ-152 «О персональных данных»).

Например, использование изображения человека без его разрешения или без согласия правообладателя фотографии считается нарушением. А если дипфейк используют для распространения информации, порочащей честь, достоинство и деловую репутацию человека, такие действия подпадают под статью 152 ГК РФ.

Ещё дипфейки могут использовать для клеветы, мошенничества, вымогательства, причинения ущерба. Эти действия незаконны сами по себе, дипфейки — лишь инструмент злоумышленников. Если вы столкнулись с такой ситуацией, можно обратиться в правоохранительные органы.

Можно ли подать на злоумышленников в суд? Да, если дипфейк нарушает честь, достоинство и деловую репутацию, можно требовать компенсации морального вреда и удаления контента. Однако для удовлетворения требований необходимо доказать:

• факт распространения нарушителем ложных сведений;
• порочащий характер указанных сведений;
• несоответствие распространяемых в дипфейке сведений действительности.

Во внесудебном порядке можно обратиться к владельцу сайта с заявлением и потребовать удалить контент, нарушающий права. Но нужно будет подтвердить права на контент. Владелец сайта в соответствии со статьёй 15.7 закона «Об информации» обязан удалить спорный контент в течение 24 часов.

После этого нужно подать в суд заявление об ограничении доступа к контенту в порядке статьи 144.1 ГПК РФ. В случае положительного решения — обратиться в Роскомнадзор для блокировки доступа к контенту по статье 15.2 закона «Об информации». Сделать это нужно в течение 15 дней после вынесения определения суда.

Что изменится, если примут законопроект? Если указанный выше законопроект №718538-8 примут, то за использование дипфейка в противоправных целях будет предусмотрено уголовное наказание. Дипфейк введут в качестве нового квалифицирующего признака для нескольких статей УК РФ «Клевета», «Мошенничество» и прочих. Ответственность по ним будет строгой.

Если законопроект примут, за преступления с использованием дипфейков будут грозить следующие наказания:

• За клевету — штраф до 1,5 миллиона рублей или штраф в размере дохода осуждённого за период до 18 месяцев, либо до 320 часов обязательных работ, либо до трёх лет принудительных работ, либо до трёх месяцев ареста, либо до двух лет лишения свободы.
• За мошенничество — штраф до 400 тысяч рублей или штраф в размере дохода осуждённого за период до двух лет, либо до 480 часов обязательных работ, либо до двух лет исправительных работ, либо до пяти лет принудительных работ с возможным ограничением свободы до двух лет, либо до шести лет лишения свободы с возможным ограничением свободы до полутора лет.
• За вымогательство — до семи лет лишения свободы со штрафом до 500 тысяч рублей или в размере дохода осуждённого за период до трёх лет и с возможным ограничением свободы на срок до двух лет.
• За причинение имущественного ущерба — до пяти лет принудительных работ с возможным ограничением свободы на срок до двух лет; либо до пяти лет лишения свободы со штрафом до 80 тысяч рублей или штрафом в размере дохода осуждённого за период до шести месяцев и с возможным ограничением свободы до двух лет.

Также законодатели предложили ввести наказание за кражи, совершённые с использованием дипфейков. За это будет грозить штраф в размере до 200 тысяч рублей или в размере дохода осуждённого за период до 18 месяцев, либо до 480 часов обязательных работ, либо до двух лет исправительных работ, либо до пяти лет принудительных работ с возможным ограничением свободы до одного года, либо до пяти лишения свободы с возможным ограничением свободы на срок до одного года.

Что делать, если компания столкнулась с дипфейками

Мы поговорили об этом со специалистами по управлению репутацией и PR, по кибербезопасности. Они считают, что при атаках с использованием дипфейков нужно выпускать опровержения, но не всегда: только если такая атака действительно может нанести вред.

Защититься от дипфейков на 100% нельзя. Можно только снизить риск того, что сотрудники компании попадутся на удочку мошенников, а ещё вовремя отследить распространение дипфейков, чтобы быстро среагировать на них.

Дмитрий Сидорин

Основатель компании Sidorin Lab, эксперт в области управления репутацией

— Опровержения нужно выпускать, только когда вы уверены, что фейк получил действительно большой охват и возможны последствия. Например, если фейк публикует какой-то бот с сотней подписчиков или никому не известный телеграм-канал, то выпускать опровержение в своём профиле в соцсетях на 2 миллиона подписчиков, скорее всего, не стоит.

Личный бренд в случае атаки страдает больше, чем репутация целой компании. При этом часто мишенью атак становятся отдельные сотрудники. И если компания всегда имеет возможность дистанцироваться от атакованного сотрудника или сделать ребрендинг, то человеку с этой историей придётся жить.

Для защиты от таких сценариев можно использовать системы мониторинга, чтобы успеть заметить фейк до того, как он получит большой охват. Это даёт специалистам по управлению репутацией время, чтобы успеть заблокировать его там, где это возможно, и позволяет подготовиться к негативным сценариям развития событий.

Юрий Гизатуллин

Основатель Tiqum, PropTech-проекта «Йорта» и HR-агентства it_smiles

— Если компания подверглась атаке с помощью дипфейков, стоит как можно быстрее публично отреагировать на произошедшее, особенно если речь идёт о репутации или финансовых вопросах. Чем быстрее ваши партнёры узнают правду, тем меньший урон нанесут злоумышленники.

На мой взгляд, сильнее всего пострадают люди, ведь доверие к личности легче разрушить, чем доверие к абстрактному бренду. CEO компании, топ-менеджер или известный фаундер — идеальная мишень. Всего один дипфейк с псевдозаявлениями может вызвать эффект домино: инвесторы занервничают, команда потеряет веру в лидера, клиенты отвернутся.

Главная превентивная мера — информирование сотрудников о возможностях современных ИИ-сервисов, внедрение жёстких регламентов по операциям. Например, запрета переводить деньги, если кто-то попросил об этом по телефону. Также для своих аккаунтов нужно включить двухфакторную аутентификацию во всех системах. А чтобы быстрее реагировать на дипфейки, нужно внедрить систему мониторинга упоминаний компании в интернете и соцсетях.

Елена Лунгу

Специалист по соцмедиа в компании «МЕТИЗ»

— Первое правило в эпоху дипфейков — не молчать. Молчание — это не нейтральная позиция, это сигнал, который могут воспринять как признание вины. Как только вы обнаружили фейк, выпустите официальное заявление. Объясните, что это подделка, и приведите доказательства. Например, покажите оригинальное видео или аудио, если оно есть.

Второй шаг — привлечь экспертов. IT-специалисты проведут анализ и докажут, что материал поддельный. Это особенно важно, если фейк уже начал распространяться. И третий шаг — использовать соцсети. Официальные каналы компании — это ваш мегафон. Чем быстрее вы донесёте правду, тем меньше будет ущерб.

Игнорировать фейк можно только в одном случае: если он настолько абсурден, что в него никто не поверит. Но даже в этом случае лучше держать руку на пульсе и быть готовым к эскалации.

Полностью защититься невозможно, но можно снизить риски. Например, обучить сотрудников распознавать фейки. Провести тренинги, где вы покажете, как выглядит поддельное видео или аудио. Ещё один способ — использовать цифровые водяные знаки, они помогают отличить оригинал от подделки. И конечно, мониторинг. Следите за тем, что пишут о вашей компании в интернете.

Роман Стрельников

Руководитель направления по информационной безопасности в «1С-Битрикс»

— Главная превентивная мера — использование защищённых мессенджеров. Важно понимать, что выявить странные черты в поведении руководителя можно только в том случае, если вы регулярно с ним общаетесь, а этим могут похвастаться далеко не все сотрудники. Если атака реализована через голосовое сообщение, то заметить изменения в мимике и движениях невозможно.

Поэтому необходимо донести до сотрудников, что важно соблюдать правила безопасности при обработке любых запросов, особенно тех, что связаны с финансовыми операциями или с передачей конфиденциальной информации. Проводите тренинги и рассказывайте об обновлениях, чтобы сотрудники разбирались в способах атак и знали, как действовать в подозрительных ситуациях.

Необходимо ограничить использование личной почты, WhatsApp, Telegram или других общедоступных мессенджеров для решения рабочих вопросов. Такие каналы не обеспечивают достаточного уровня защиты и могут быть легко скомпрометированы.

Сотрудников нужно научить распознавать признаки фишинга, такие как подозрительные ссылки, грамматические ошибки, необычные формулировки, чрезмерная срочность или давление в сообщениях.

Также важно установить чёткие процедуры для финансовых операций. Например, многоэтапную проверку, требующую подтверждения от нескольких сотрудников или отделов перед переводом средств. Это минимизирует риски, даже если один из сотрудников попадётся на уловки мошенников.

Ещё можно использовать антифишинговые решения, которые автоматически анализируют сообщения и блокируют подозрительные запросы. Также оперативно выявлять угрозы помогут инструменты для мониторинга и анализа сетевой активности.

Главное об использовании дипфейков в преступных целях

• Дипфейк — это поддельные аудио, видео или фото, которые созданы нейросетью. Они имитируют изображение и (или) голос человека.
• С помощью дипфейков недоброжелатели могут притвориться другим человеком, например руководителем компании, и попросить сотрудников перевести деньги. Кроме того, такие подделки могут использовать для создания фейковых новостей и отзывов, порочащих репутацию компании или человека.
• В случае атаки с помощью дипфейков специалисты советуют опубликовать опровержение, чтобы минимизировать репутационный и материальный ущерб. Также они рекомендуют учить сотрудников азам информационной безопасности. Это поможет им распознать фейк и не попасться на уловки мошенников.