Verbind je met ons

Gedachte leiders

De kloof in de bestuurskamer: waarom CISO's moeite hebben om over deepfakes te praten — en hoe je dit kunt kaderen

mm
gepubliceerd

Cybersecurity staat op een keerpunt, gedreven door de wijdverbreide adoptie van AI door bedrijven, overheden en individuen. 82% Van de bedrijven in de VS die AI gebruiken of overwegen te gebruiken, ontsluiten organisaties nieuwe efficiëntievoordelen, maar aanvallers doen dat ook. Dezelfde tools die innovatie mogelijk maken, stellen cybercriminelen ook in staat om met alarmerend gemak en realisme synthetische content te genereren. Deze nieuwe realiteit brengt aanzienlijke uitdagingen met zich mee, waaronder de mogelijkheid om synthetische content (afbeeldingen, audio en video) en kwaadaardige deepfakes (gemanipuleerde audio, video of afbeeldingen die worden gebruikt om zich voor te doen als een echt persoon) te creëren met ongekende snelheid en verfijning. Met slechts een paar klikken kan iedereen met toegang tot een computer en internet afbeeldingen, audio en video manipuleren, wat wantrouwen en twijfel in de informatie-ethos introduceert. 

In een tijdperk waarin bedrijven, overheden en mediaorganisaties voor hun levensonderhoud afhankelijk zijn van digitale communicatie, is er geen ruimte voor fouten in het onderschatten van de risico's die deepfakes, synthetische identiteitsfraude en imitatieaanvallen met zich meebrengen. Deze bedreigingen zijn niet langer hypothetisch – de financiële verliezen door deepfake-fraude onder bedrijven overtroffen de $200 miljoen alleen al in het eerste kwartaal van 1, wat de omvang en urgentie van het probleem onderstreept. Een nieuw dreigingslandschap vereist een nieuwe aanpak van cybersecurity en CISO's moeten snel handelen om ervoor te zorgen dat hun bedrijf veilig blijft. Het kan echter ontmoedigend zijn om nieuw kapitaal aan te vragen en de blootstelling van een organisatie aan dreigingen duidelijk te communiceren aan een raad van bestuur met verschillende niveaus van kennis over de ernst van de dreiging van deepfakes. Naarmate deepfake-aanvallen zich blijven ontwikkelen en vorm krijgen, moet elke CISO voorop lopen om dit gesprek in de bestuurskamer te brengen. 

Hieronder vindt u een raamwerk waarmee CISO's en leidinggevenden gesprekken met belanghebbenden op bestuurs-, organisatie- en gemeenschapsniveau kunnen faciliteren. 

Gebruik bekende frameworks: deepfakes als geavanceerde social engineering

Bestuurders zijn geconditioneerd om cybersecurity te beschouwen in termen die ze al kennen: phishing-e-mails, ransomware-aanvallen en de dreigende vraag of hun bedrijf slachtoffer zal worden van een hack. Die mentaliteit bepaalt hoe ze bedreigingen prioriteren en waar ze beveiligingsbudgetten aan besteden. Maar als het gaat om door AI gegenereerde content, met name deepfakes, is er geen ingebouwd referentiepunt. Deepfakes framen als een op zichzelf staande, nieuwe bedreiging leidt vaak tot verwarring, scepsis of inactiviteit.

Om dit tegen te gaan, zouden CISO's het gesprek moeten baseren op iets wat besturen al begrijpen: social engineering. In de kern is de deepfake-dreiging niet geheel nieuw; het is een geëvolueerde, gevaarlijkere vorm van phishing die al jaren in de sector bestaat en nog steeds de nummer één is. aanvalsvector van social engineering. Besturen erkennen phishing al als een reëel risico en keuren middelen goed om zich ertegen te verdedigen. Deepfakes vertegenwoordigen in veel opzichten een overtuigender, schaalbaarder en capabeler vorm van social engineering, die zowel organisaties als individuen met verwoestende precisie aanvalt. 

Framing deepfakes Op deze manier kunnen CISO's gebruikmaken van bestaande opleidingen, budgetlijnen en het spiergeheugen van de instelling. In plaats van om nieuwe middelen te vragen, kunnen ze de vraag herformuleren als een evolutie van reeds goedgekeurde beveiligingsinvesteringen. Hoe meer CISO's zich op dit verhaal kunnen richten, hoe groter de kans dat ze de middelen krijgen om dit grotere, urgente probleem aan te pakken. 

Veranker het risico in realisme, niet in sensatiezucht

Het aanhalen van praktijkvoorbeelden is een uitstekende manier om het inzicht van een bestuur in de mogelijke impact van deepfake-dreigingen op organisaties te vergroten. Het is echter belangrijk om te overwegen welke voorbeelden CISO's aan besturen voorleggen, aangezien deze het tegenovergestelde effect kunnen hebben. Beruchte verhalen zoals het incident met 25 miljoen dollar aan telefraude in Hongkong Ze leveren geweldige krantenkoppen op, maar kunnen in de bestuurskamer averechts werken. Deze extreme voorbeelden voelen vaak ver weg of onrealistisch aan, waardoor het gevoel ontstaat dat "zoiets catastrofaals ons nooit zou kunnen overkomen". De vooringenomenheid slaat onmiddellijk toe en neemt het gevoel van urgentie om in bescherming te investeren weg. 

In plaats daarvan zouden CISO's met herkenbare scenario's moeten laten zien hoe dit risico zich intern zou kunnen voordoen, zoals het zich voordoen als een leidinggevende of fraude tijdens sollicitatiegesprekken.

In een geval, Noord-Koreaanse dreigingsactoren creëerde een nep Zoom-gesprek met AI-gestuurde leidinggevenden om een cryptomedewerker te misleiden tot het downloaden van malware om toegang te krijgen tot gevoelige bedrijfsinformatie met als doel cryptovaluta te stelen. Uiteindelijk kregen de hackers geen toegang, maar de bedreiging die deze aanvallen vormen voor de integriteit van een merk zou een wake-upcall moeten zijn voor directies binnen het bedrijf. 

Een andere groeiende tactiek betreft nep-sollicitanten Gebruikmakend van door AI gegenereerde identiteiten en deepfake-inloggegevens om bedrijfsorganisaties te infiltreren. Deze personen handelen vaak namens Amerikaanse tegenstanders zoals Rusland, Noord-Korea of China en proberen toegang te krijgen tot gevoelige systemen en data. Deze trend put interne resources uit en stelt organisaties bloot aan nationale veiligheidsrisico's en financiële uitbuiting. 

Vaak blijven deze bedreigingen onopgemerkt. Voor elk voorbeeld in het nieuws blijven er tientallen onopgemerkt, waardoor het moeilijk is om de omvang van deze bedreiging volledig te begrijpen. Hoe alledaagser de aanval, hoe verontrustender en herkenbaarder deze wordt. Door voorbeelden als deze te delen – realistisch, herkenbaar en dichter bij huis – kunnen CISO's het deepfake-debat verankeren in de dagelijkse bedrijfsvoering en benadrukken waarom deze veranderende dreiging serieuze aandacht verdient op bestuursniveau.

Koppel deepfake-verdediging aan bestaande veerkrachtstatistieken

CISO's krijgen voortdurend dezelfde vragen van hun besturen: Hoe groot is de kans dat we slachtoffer worden van een datalek? Waar zijn we het kwetsbaarst? Hoe beperken we risico's? Hoewel phishing, ransomware en datalekken nog steeds voorkomen, is het belangrijk om de fundamentele verschuiving binnen deze kwetsbaarheden te laten zien en hoe ze nu veel verder reiken dan traditionele aanvalsoppervlakken. 

HR-, financiële en inkoopteams – rollen die traditioneel niet als frontlinieverdedigers worden gezien – zijn nu vaak doelwit van kunstmatige imitatie, en het vermogen van de gemiddelde mens om deze bedreigingen te detecteren is extreem laag. Sterker nog, slechts 1 op de 1,000 mensen Kan AI-gegenereerde content nauwkeurig detecteren. CISO's hebben nu de taak om te voldoen aan de vraag naar geavanceerde social engineering-opleidingen en een grotere cyberweerbaarheid binnen de hele organisatie, aangezien iedereen binnen de organisatie getraind, getest en bewust gemaakt moet worden om te helpen bij het beperken van cyberaanvallen. 

Deepfake-verdediging moet een verlengstuk worden van de veerkracht van de hele organisatie en vereist voortdurende educatie, net zoals teams worden getraind via phishingsimulaties, bewustwordingstrainingen en red team-oefeningen. CISO's zouden de statistieken uit trainingen en simulaties moeten gebruiken om het probleem te kaderen in statistieken die hun bestuur begrijpt. Als een bestuur veerkracht al als strategische prioriteit voor de organisatie heeft omarmd, worden deepfakes een logische volgende stap.

Door AI gegenereerde bedreigingen komen niet. Ze zijn er al. Het is tijd dat we ervoor zorgen dat de directie klaar is om te luisteren en leiding te geven. Dankzij de inzet van AI hebben de omvang en frequentie van deepfake- en identiteitsgebaseerde aanvallen het dreigingslandschap veranderd in een onvoorspelbaar en voortdurend veranderend landschap. 

Maar raden van bestuur hebben geen handleiding nodig over deepfakes of voice cloning. Ze hebben een duidelijke bedrijfscontext nodig en een beter begrip van de bedreigingen die ze voor hun organisaties vormen. CISO's zouden hun gesprekken moeten baseren op risico, kosten en operationele continuïteit. Degenen die hun deepfake-narratief afstemmen op bekende paradigma's – phishing, social engineering, veerkracht – bieden hun raden van bestuur een kader en context waarin ze kunnen handelen, in plaats van alleen maar reageren. 

Gerelateerde onderwerpen:
mm

Jim is de Chief Product en Technology Officer voor GetReal, waar hij leiding geeft aan alle aspecten van productstrategie, -ontwikkeling en -levering. Hij heeft meer dan twintig jaar ervaring in de ontwikkeling, het beheer en de marketing van cybersecurityproducten en -diensten bij bedrijven zoals BetterCloud, IBM, Dell Secureworks en RedHat. Hij behaalde een bachelordiploma werktuigbouwkunde aan het Georgia Institute of Technology en een masterdiploma bedrijfskunde aan de Goizueta Business School van Emory University.