Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Forestil dig følgende: Du er økonomichef i et energiselskab med hovedsæde i England, og direktøren fra dit tyske moderselskab ringer for at bede dig om straks at overføre 220.000 euro til en leverandør i Ungarn.
Du genkender direktørens stemme, hans måde at tale på og hans tyske accent.
Samtidig er hans argumenter for hvorfor pengene skal overføres øjeblikkeligt overbevisende.
Hvad gør du? Overfører pengene?
Blot for senere at erfare at svindlere har brugt kunstig intelligens til at imitere den tyske direktørs stemme.
Der er vel at mærke ikke tale om en hypotetisk situation, men en faktisk hændelse fra marts 2019.
Spol nu tiden frem til 2021, og tænk på alle de fremskridt, som øget computerkraft og kunstig intelligens har skabt de seneste to år.
Den nuværende kombination af hurtigt voksende, avanceret deepfake-teknologi og et velorganiseret og velfinansieret netværk af cyberkriminelle gør det meget sandsynligt, at deepfakes nærmer sig det samme vendepunkt, som ransomware nåede i 2016: Fra at være en mindre trussel udvikler de sig til en hurtigt accelererende bølge af skadelige angreb.
It-sikkerhedsfagfolk har debatteret truslen fra deepfake lyd- og videomateriale siden 2017, da de første amatøragtige deepfakes kom frem.
Porno og debatter
Risikospektret strækker sig fra at ødelægge folks omdømme (de første deepfakes hånede og misbrugte berømtheder i blandt andet porno) til at manipulere politiske debatter ved for eksempel at offentliggøre falsk materiale umiddelbart inden et valg med det formål at tilsmudse politiske modstandere.
Derudover kan deepfakes bruges til at bedrage virksomheder ved for eksempel at skabe fake news for at kursmanipulere virksomheder på aktiemarkedet.
Skeptikere vil måske spørge, hvorfor de cyberkriminelle ulejliger sig med det besvær, det kræver at skabe deepfakelyd og endda videomateriale til at angribe virksomheder, når simpel phishing har vist sig at være effektiv nok til at bringe virksomhedsnetværk i knæ via eksempelvis ransomware.
Det er en valid pointe, men ikke desto mindre er der en række faktorer, der ligger til grund for vendepunkts-scenariet:
For det første er cyberkriminelle kendt for hurtigt at tilpasse sig den seneste teknologi.
Kriminelle har brugt falske e-mails til at bedrage virksomheder i årtier, og nu har de fundet ud af at gå fra simple e-mails til lyd- og videomedier, som de uden tvivl vil bruge til at styrke deres metoder.
For det andet udvikler deepfake-teknologien sig med hastige skridt.
Det betyder, at for hver måned, der går, bliver deepfakes sværere at skelne fra reelt lyd- og videomateriale.
Det vil fortsat blive lettere for angribere at lykkes på denne måde, og de vil kunne finde alle de værktøjer, de har brug for i internettets mørke kroge.
Endeligt bevæger cyberkriminalitet sig ofte i bølger. Det tyder ikke på, at ransomware går af mode lige foreløbig.
Dog er der et begrænset tidsrum, hvor en angrebsteknologi er innovativ nok til at narre folk, men stadig så ung at der ikke findes en forsvarsmekanisme til at afværge den.
Dette vindue er ved at åbne sig for deepfakes – ikke i en fjern fremtid, men lige nu.
Så hvad kan virksomheder gøre, bortset fra at vente på at der kommer værktøjer, der kan bekæmpe deepfakes?
Sådan kan du forsvare dig mod deepfakes
Der er rent faktisk adskillige skridt, som virksomheder kan tage her og nu for at forsvare sig imod deepfakes.
1. Kend din fjende: Forvis dig om, at virksomhedens sikkerhedspersonale er opmærksomme på den nye trussel og nøje følger med i efterretninger om trusler relateret til deepfakes, så de er forberedt på det forestående vendepunkt.
2. Hav en plan: Etabler arbejdsprocedurer til konkret håndtering og opret procedurer for denne type angreb. Håndtering af hændelser vil involvere topledelsen og afdelingerne for IT-sikkerhed, økonomi, jura og PR.
3. Spred budskabet: Inddrag deepfakes i sikkerhedsoplysningskampagner for at informere de ansatte om denne trussel. Lær personalet at træde et skridt tilbage, når de bliver i tvivl om information, de modtager – selv troværdige lyd- og videofiler. Begynd med målrettet uddannelse til personer i højrisikogruppen såsom topledelsen, mellemledelsen og økonomiafdelingen.
4. Skab kanaler: Etabler arbejdsprocedurer, så medarbejdere ved, hvordan de kan bekræfte eller afkræfte den information, de modtager via en potentiel deepfakebesked. Ligesom tofaktorgodkendelse er blevet standarden for adgangssikkerhed, bør dobbeltjekning af vigtig information blive en ny standardprocedure, efterhånden som vi nærmer os en æra af AI-skabt misinformation.
5. Genovervej virksomhedskulturen: Ved gammeldags virksomhedskultur er katalysatoren for et succesfuldt angreb, at ansatte ikke tør sætte spørgsmålstegn ved ordrer, de – tilsyneladende – har fået af deres overordnede.
De er bekymrede for, om deres leder bliver sur, hvis de beder om bekræftelse på ordren.
Derfor bør det første forsvar være at revurdere virksomhedskulturen og sigte efter et fladere hierarki, hvor det ikke er grænseoverskridende at ringe til sin overordnede for at stille spørgsmålet: "Har du virkelig lige sendt en videobesked til mig, hvor du bad mig om at overføre beløb X til konto Y i det mystiske land Z?"
I den nærmeste fremtid vil den onde deepfakeånd muligvis undslippe sin flaske.
Virksomheder bliver nødt til at være opmærksomme på denne risiko og forberede sig på den, også selv om der endnu ikke foreligger en entydig "antideepfake-løsning".
Bemærk i den forbindelse, at jeg lige har udstyret dig med fem tips til, hvordan du kan begynde at tackle denne forestående risiko – og hvis du ønsker at komme i kontakt med mig for at bekræfte denne information, bliver jeg ikke sur.
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.
