Connect with us

De Kloof in de Bestuurskamer: Waarom CISO’s Moeite Hebben om Over Deepfakes te Praten — en Hoe Ze Het Kader Moeten Schetsen

Thought leaders

De Kloof in de Bestuurskamer: Waarom CISO’s Moeite Hebben om Over Deepfakes te Praten — en Hoe Ze Het Kader Moeten Schetsen

mm
Published
Updated

Cyberbeveiliging staat aan de vooravond van een cruciaal moment, aangedreven door de brede adoptie van AI door ondernemingen, overheden en particulieren. Met 82% van de bedrijven in de VS die AI gebruiken of onderzoeken of ze het in hun bedrijf willen gebruiken, ontgrendelen organisaties nieuwe efficiëntie, maar dat doen aanvallers ook. Dezelfde tools die innovatie mogelijk maken, maken het ook mogelijk voor dreigingsactoren om synthetische inhoud met verontrustende gemakkelijkheid en realisme te genereren. Deze nieuwe realiteit heeft aanzienlijke uitdagingen met zich meegebracht, waaronder de mogelijkheid om synthetische inhoud (afbeeldingen, audio en video) en kwaadaardige deepfakes (gemanipuleerde audio, video of afbeeldingen die worden gebruikt om een echte persoon na te bootsen) met ongekende snelheid en geavanceerdheid te creëren. Met slechts een paar muisklikken kan iedereen met toegang tot een computer en internet afbeeldingen, audio en video’s manipuleren, waardoor wantrouwen en twijfel in de informatie-ethos worden geïntroduceerd.

In een tijdperk waarin bedrijven, overheden en media-organisaties afhankelijk zijn van digitale communicatie voor hun bestaan, is er geen ruimte voor fouten bij het onderschatten van de risico’s die deepfakes, synthetische identiteitsfraude en impersonatie-aanvallen met zich meebrengen. Deze bedreigingen zijn niet langer hypothetisch – financiële verliezen als gevolg van deepfake-geactiveerde bedrijfsfraude overschreden $200 miljoen in Q1 2025 alleen, waarmee de omvang en urgentie van het probleem worden onderstreept. Een nieuwe dreigingslandschap vereist een nieuwe aanpak van cyberbeveiliging, en CISO’s moeten snel handelen om ervoor te zorgen dat hun bedrijf veilig blijft. Het is echter ontmoedigend om te vragen om nieuw kapitaal en duidelijk de blootstelling van de organisatie aan het bestuur te communiceren met uiteenlopende kennisniveaus van de ernst van de dreiging van deepfakes. Terwijl deepfake-aanvallen blijven evolueren en vorm krijgen, moet elke CISO aan de vooravond staan van het brengen van dit gesprek naar de bestuurskamer.

Hieronder vindt u een kader voor CISO’s en executives om stakeholder-gesprekken te faciliteren op bestuurs-, organisatie- en gemeenschapsniveau.

Gebruik Vertrouwde Kaders: Deepfakes als Geavanceerde Sociale Ingenieurskunst

Besturen zijn geconditioneerd om over cyberbeveiliging na te denken in vertrouwde termen: phishing-e-mails, ransomware-aanvallen en de dreigende vraag of hun bedrijf zal worden gehackt. Die mentaliteit bepaalt hoe ze prioriteit geven aan bedreigingen en waar ze beveiligingsbudgetten toewijzen. Maar als het gaat om AI-gegenereerde inhoud, met name deepfakes, is er geen ingebouwd referentiepunt. Het kader van deepfakes als een op zichzelf staande, nieuwe dreiging leidt vaak tot verwarring, scepticisme of inactiviteit.

Om dit te bestrijden, moeten CISO’s het gesprek verankeren in iets wat besturen al begrijpen: sociale ingenieurskunst. In wezen is de deepfake-dreiging niet geheel nieuw; het is een geëvolueerde, gevaarlijkere vorm van phishing die al jaren binnen de industrie bestaat en blijft de nummer één aanvalsvector van sociale ingenieurskunst. Besturen erkennen al phishing als een geloofwaardig risico en zijn comfortabel met het goedkeuren van middelen om zich daartegen te verdedigen. In veel opzichten vertegenwoordigen deepfakes een overtuigender, schaalbaarder en capabelere vorm van sociale ingenieurskunst, die zowel organisaties als individuen met verwoestende precisie target.

Het kader van deepfakes op deze manier mogelijk maken, stelt CISO’s in staat om gebruik te maken van bestaande educatie, budgetlijnen en institutioneel geheugen. In plaats van om nieuwe middelen te vragen, kunnen ze het verzoek herformuleren als een evolutie van reeds goedgekeurde beveiligingsinvesteringen. Hoe meer CISO’s kunnen leunen op dit verhaal, hoe waarschijnlijker het is dat ze de middelen krijgen om dit grotere, onmiddellijke probleem aan te pakken.

Veranker het Risico in Realisme, niet in Sensationalisme

Het verwijzen naar echte voorbeelden is een goede manier om het begrip van het bestuur te vergroten over de gevolgen die deepfake-dreigingen kunnen hebben voor organisaties. Het is echter belangrijk om te overwegen welke voorbeelden CISO’s aan besturen voorleggen, omdat ze het tegenovergestelde effect kunnen hebben. Beruchte verhalen zoals de $25 miljoen draadfraude-incident in Hong Kong maken voor geweldige koppen, maar ze kunnen in de bestuurskamer terugvallen. Deze extreme voorbeelden voelen vaak ver weg of onrealistisch, waardoor het gevoel ontstaat dat “iets zo catastrofaals nooit bij ons kan gebeuren.” De bias treedt onmiddellijk in werking en verwijdert het gevoel van urgentie om te investeren in bescherming.

In plaats daarvan moeten CISO’s meer relatable scenario’s gebruiken om te laten zien hoe dit risico zich intern kan manifesteren, zoals executive-impersonatie of interviewfraude.

In een geval Noord-Koreaanse dreigingsactoren creëerden een neppe Zoom-gesprek met AI-gegenereerde executives om een crypto-werknemer te misleiden om malware te downloaden om toegang te krijgen tot gevoelige bedrijfsinformatie met de intentie om cryptocurrency te stelen. Uiteindelijk konden de hackers geen toegang krijgen, maar de dreiging die deze aanvallen vormen voor de integriteit van een merk moet een wake-up call zijn voor besturen binnen het bedrijf.

Een andere groeiende tactiek omvat nep-kandidaten voor banen die AI-gegenereerde identiteiten en deepfake-gegevens gebruiken om bedrijfsorganisaties binnen te dringen. Deze personen handelen vaak namens Amerikaanse tegenstanders zoals Rusland, Noord-Korea of China, die toegang zoeken tot gevoelige systemen en gegevens. Deze trend put interne middelen uit en stelt organisaties bloot aan nationale veiligheidsrisico’s en financiële exploitatie.

Vaak vliegen deze bedreigingen onder de radar. Voor elk voorbeeld in het nieuws, gaan er tientallen ongerapporteerd voorbij, waardoor het moeilijk is om de omvang van deze dreiging volledig te begrijpen. Hoe alledaagser de aanval, hoe verontrustender – en herkenbaarder – het wordt. Door voorbeelden zoals deze te delen – realistisch, herkenbaar en dichter bij huis – kunnen CISO’s het deepfake-gesprek verankeren in dagelijkse bedrijfsoperaties en versterken waarom deze evoluerende dreiging serieuze aandacht op bestuursniveau vereist.

Verbind Deepfake-Verdediging aan Bestaande Veerkrachtmetingen

CISO’s worden voortdurend dezelfde vragen gesteld door hun besturen: Wat is de kans dat we worden gehackt? Waar zijn we het meest kwetsbaar? Hoe kunnen we het risico verminderen? Terwijl phishing, ransomware en datalekken blijven bestaan, is het belangrijk om te laten zien dat er een fundamentele verschuiving heeft plaatsgevonden binnen die kwetsbaarheden en hoe ze nu verder gaan dan traditionele aanvalsoppervlakken.

HR-, financiële en inkoopteams – rollen die traditioneel niet als frontlinie-verdedigers worden gezien – zijn nu frequente doelwitten van synthetische impersonatie, en de gemiddelde menselijke capaciteit om deze bedreigingen te detecteren is extreem laag. In feite slechts 1 op elke 1.000 mensen kan AI-gegenereerde inhoud nauwkeurig detecteren. CISO’s zijn nu belast met het aanpakken van de vraag naar geavanceerde sociale ingenieurskunst-educatie en grotere cyberveerkracht in de hele organisatie, aangezien iedereen in de organisatie getraind, getest en bewust moet worden gemaakt om te helpen bij mitigatie.

Deepfake-verdediging moet een uitbreiding worden van de algehele veerkracht van het bedrijf en vereist voortdurende educatie op dezelfde manier als teams worden getraind via phishing-simulaties, bewustzijnstraining en rode team-oefeningen. CISO’s moeten metingen uit trainingen en simulaties gebruiken om het probleem te kaderen in metingen die hun bestuur begrijpt. Als een bestuur al heeft ingestemd met veerkracht als een strategische prioriteit voor de organisatie, worden deepfakes een natuurlijke volgende frontier.

AI-gegenereerde bedreigingen komen niet. Ze zijn er al. Het is tijd dat we ervoor zorgen dat de bestuurskamer klaar is om te luisteren en te leiden. Dankzij de adoptie van AI is de omvang en frequentie van deepfake- en identiteitsgebaseerde aanvallen de dreigingslandschap getransformeerd in een onvoorspelbaar en evoluerend landschap.

Maar besturen hebben geen inleiding nodig over deepfakes of stemcloning. Ze hebben een duidelijke zakelijke context en een groter begrip van de bedreigingen die ze vormen voor hun organisaties nodig. CISO’s moeten hun gesprek verankeren in risico, kosten en operationele continuïteit. Diegenen die hun deepfake-verhaal kaderen in vertrouwde paradigma’s – phishing, sociale ingenieurskunst, veerkracht – geven hun bestuur een kader en context waarin ze kunnen handelen, niet alleen reageren.

mm

Jim is de Chief Product en Technology Officer voor GetReal, waar hij alle aspecten van productstrategie, ontwikkeling en levering leidt. Hij brengt meer dan twee decennia ervaring in de ontwikkeling, het beheer en de marketing van cybersecurityproducten en -diensten bij bedrijven zoals BetterCloud, IBM, Dell Secureworks en RedHat. Hij heeft een Bachelor of Mechanical Engineering-diploma van het Georgia Institute of Technology en een Master of Business Administration van de Goizueta Business School aan de Emory University.