Denne klumme er et debatindlæg og er alene udtryk for forfatterens synspunkter.
Det svageste punkt i informationssikkerheden ligger stort set aldrig i hardware eller software.
Det ligger i ”fleshware” – mennesker af kød og blod, der kan manipuleres til at kompromittere sikkerheden. Det er primært her, banditterne sætter deres angreb ind, så hvordan skaber vi et stærkt forsvar?
Jeg arbejder til daglig i en konsulentvirksomhed, så jeg er vant til, at det fyger med fyndige fraser som ”powering the future” eller ” de-risk tomorrow by boosting cybersecurity today.”
Nu vil jeg driste mig til at introducere mit eget hjemmestrikkede begreb: Effektiv mistillid.
Indrømmet: Det er ikke særlig fyndigt, og det lyder egentlig heller ikke særlig tillokkende. Ikke desto mindre beskriver det meget godt en tilgang til informationssikkerhed, som vi bliver nødt til at tage til os i en AI-tidsalder. Forklaring følger.
Frygt fører til tøven
Jeg blev for nylig præsenteret for endnu en konsulentfrase: ”Cost of hesitation.”
Det dækker over, at vi som forbrugere og mennesker bliver bombarderet med så meget AI-genereret indhold og så mange AI-drevne forsøg på at snyde os, at vi er begyndt at tøve, inden vi tager beslutninger.
Nye tal fra Accenture viser, at mere end halvdelen af os (52 procent) har set eksempler på fake news, mens ikke mindre end hver tredje (33 procent) har været udsat for deep fake angreb eller svindelforsøg.
Så der er ikke noget at sige til, at mange begynder at flytte foden til bremsen, når de modtager henvendelser på internettet.
Denne tøven er et åbenlyst problem i forhold til markedsføring, fordi den også rammer ægte og velmenende salgsbudskaber.
Det kan være dyrt at tøve
Men tøven er også et problem for effektiviteten i organisationer, fordi det kan bremse beslutningsprocesser.
Og nogle gange kan det være meget dyrt at tøve, for eksempel hvis deep fakes risikerer at påvirke aktiekursen.
I begyndelsen af april blev der spredt et falsk rygte om, at Trump ville indføre en 90-dages pause på sine toldsatser.
Det fik aktiekurserne til at banke i vejret og til et øjeblik senere at klaske sammen igen. Bare for at illustrere hvor stor betydning det kan have, om vi kan stole på information.
Men der kan også bare være tale om noget så simpelt som at skulle validere henvendelser og sikre, at man fanger phishing-forsøg, hvoraf nogle måske kan være avancerede med simulering af direktørens stemme eller lignende.
På den ene side har vi ikke rigtig råd til at tøve, for tid er penge.
På den anden side må vi heller ikke tage forhastede beslutninger med hovedet under armen.
Ligesom ved livredende førstehjælp: Patienten dør, hvis vi venter for længe, men vi skal heller ikke begynde hjertemassage på et hjerte, der stadig banker. Lidt af en presbold.
Træn mistilliden
Det er her, at ”effektiv mistillid” kommer ind i billedet.
For hvordan sikrer vi, at alle i organisationen forholder sig kritisk uden samtidig at gå helt i baglås og bruge for meget tid på at validere og tage beslutninger?
Og særligt for lille Danmark: Hvordan får vi et folk, der normalt har meget stor tillid, til at omfavne mistilliden?
Det korte svar: Vi skal have de rigtige beslutninger ind på rygraden på alle i organisationen.
Når hackeren ringer fra et mærkeligt udenlandsk nummer, kan det meget vel være for at optage en snas af din stemme, så det kan anvendes til at AI-generere en falsk besked til dine kollegaer.
Derfor skal automatreaktionen være bare at lægge røret på uden at sige noget. Der skal tages en beslutning i nuet, og det kan man kun gøre, hvis man har trænet det, så det sidder.
Det betyder, at praktisk træning i simulerede scenarier bør fylde meget i den sikkerhedstræning, de fleste virksomheder gennemfører.
Man får ikke noget ind på rygraden ved at kigge på PowerPoint-slides.
Og ud over træningen bør man også gennemføre jævnlige øvelser, der kan holde den effektive mistillid ved lige.
I vores arbejde med processer, politikker og teknologiske øvelser må vi ikke glemme, hvor vigtigt simpel, mekanisk træning kan være for informationssikkerheden.
Jeg forventer ikke at få min egen TedTalk eller blive inviteret til de store konferencer for at præsentere ”Effektiv Mistillid ™,” men jeg håber, at denne klumme kan tjene som en lille reminder om betydningen af praktisk træning
Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling.
Har du en god historie, eller har du specialviden, som du synes trænger til at blive delt?
Læs vores klumme-guidelines og send os din tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.