AI-trusler er en distraksjon. Ditt virkelige problem er nærmere hjemme

La oss være ærlige: AI-drevne cyberangrep er et skremmende perspektiv. Men de er ikke den største trussel mot din bedrift.

Den største trusselen er distraksjonen de skaper.

I over 15 år har jeg sett den samme historien utspille seg. Ledelsen blir forskrekket av den siste “AI-supertrusselen”, mens sikkerhetsteamet fortsatt sliter med å svare på grunnleggende spørsmål som “Hvor er vår mest sensitive kundedata?” eller “Hvem eier oppdatering av det kritiske systemet?” Vi jager etter nye verktøy mens ingeniører blir trukket inn i siste minuttets compliance-øvelser, og kritiske sårbarheter blir prioritet ned.

Dette er det klassiske “fancy lås på en skjermdør”-problemet. Organisasjoner rusher til å deployere AI-drevne forsvar, men angripere bruker AI med færre regler og mer fleksibilitet til å gå rett gjennom grunnleggende hull i prosess, eierskap og kultur. For mid-markedsbedrifter spesielt, å ignorere grunnleggende prinsipper er en invitasjon til å bli det neste advarselsEksemplet.

Hvorfor statiske forsvar feiler i en dynamisk verden

Da jeg startet min karriere, var sikkerhet en checkliste: antivirus, oppdateringer og sterke brannmurer. Den verden er lenge borte. I dag rewriter polymorft malware seg selv for å unngå signaturer, og botneter lanserer angrep raskere enn noen menneske kan reagere.

Kryptert trafikk har blitt motpartens favoritt-gjemmested. Zscaler’s 2024 ThreatLabz-rapport fant ut at nære 90% av malware nå leveres over krypterte kanaler. Det betyr at ni av ti trusler er usynlige for legacy-verktøy som ikke kan inspisere den trafikken.

Den virkelige flaskehalsen er imidlertid ikke bare teknologi; det er organisatorisk friksjon. Jeg har sett gode sikkerhetsteam bruke uker bare på å få godkjenning til å lukke et kjent hull. I den tiden det tar å planlegge møter, kan en automatisert angriper være inn og ut. Å være statisk er ikke lenger et alternativ. Sikkerhetsprogrammer må være kontekst-bevisste og fokusere på de raskt bevegelige delene av bedriften.

Industrialiseringen av cyberkriminalitet

Dette burde ikke overraske noen. Angripere er entreprenører som driver en bedrift. De adopterer bare ny teknologi for å forbedre sin ROI—akkurat som vi gjør. AI hjelper dem industrialisere sine operasjoner.

• Phishing-as-a-Service, Supercharged: Phishing er fortsatt den #1 måten å komme inn. FBI og IBM rapporterer det som den øverste initial tilgangsvektoren i år etter år. Nå, med generative AI-verktøy som “FraudGPT”, kan kriminelle skape perfekt tilpassede, feilfrie phishing-kampanjer i en skala vi aldri har sett.
• Stemmen er en løgn: Voice phishing (“vishing”) eksploderer. CrowdStrike så en 442% økning da angripere bruker AI-kloned stemmer til å etterligne ledere og lure ansatte til å overføre midler. En britisk energiselskap tapte over $243.000 på denne måten fra ett enkelt oppringning.
• Oppkomsten av den automatiserte motparten: CrowdStrike’s trussel-jegere ser nå end-to-end automatiserte kampanjer—fra AI-genererte CV-er med deepfake video-intervjuer til malware-frie intrusjoner som lever helt i skyen.

Forsvarere står overfor trusler som tilpasser seg og består med minimalt menneskelig tilsyn. Angripere har automatisert i år; AI satte bare deres arbeidsflyt på hyperdrive.

For å holde pace, er det høyt tid å la gå av gamle, checklist-drevne tilnærminger til compliance og cybersikkerhet. Å lete etter en sølvkule med det siste verktøyet på markedet er ikke svaret. Det sagt, dette er en unik mulighet til å gå tilbake til grunnleggende prinsipper.

Slutt å spørre “Er vi compliant?” Start å spørre “Er vi resiliente?”

Selv om AI omdefinerer landskapet, skjer de fleste brudd fortsatt fordi grunnleggende prinsipper blir forsømt. Ja, CEOens stemme ble klonet, men den virkelige feilen var sannsynligvis en brutt finansiell godkjennelsesprosess. AI var bare det siste steget i en rekke av forsømte grunnleggende prinsipper.

AI trenger ikke å finne en zero-day-utnytting når det kan finne en fem år gammel upatchet server eller en utvikler med admin-rettigheter til alt. Å kjøpe et annet AI-drevet sikkerhetsverktøy vil ikke fikse en brutt kultur. AI bør styrke sterke prosesser, ikke erstatte dem.

Dette er der ledelsen ofte får det galt. Jeg har vært i styremøter hvor spørsmålet var “Er vi compliant?” Det bedre spørsmålet er “Gjør vårt sikkerhetsprogram vår bedrift sterkere?”

Compliance blir en checkbox-øvelse. Produktteam sprinter fremover, ingeniører blir gitt sikkerhetsoppgaver uten ressurser, og ledere antar at en ren audit betyr at bedriften er trygg. Det gjør det ikke. Løsningen er ikke flere verktøy; det er sterkere rammeverk fra topp til bunn. Sikkerhet må være direkte knyttet til bedriftsvekst og produktintegritet.

En pragmatisk playbook for AI-æraen

Fortune 500 kan kaste penger på dette problemet. Mid-markedsbedrifter må være smartere. Så, hva gjør du aktuellt?

1. Fix din grunnleggende første. Før du kjøper et annet verktøy, sikre deg at du har en solid inventar av din data, kulpett aksesskontroll og en oppdateringsprosess som faktisk fungerer.
2. Plasser AI på dagsordenen. Kjør bordssimulatorer basert på AI-drevne angrep. Gjør det til en fast del av styremøterapportering så det behandles som en bedriftsrisiko, ikke et IT-problem.
3. Fokus på atferd, ikke bare statiske signaler. Prioriter verktøy som spotter merkelig aktivitet—som en brukerkonto som plutselig aksesserer en database den aldri berører—over verktøy som bare jakter på kjent malware.

AI er ikke fienden—selvtilfredshet er

AI er ikke et toegget sverd; det er et forstørrelsesglass. Det gjør gode prosesser mer effektive og dårlige prosesser katastrofale.

Angripere vil alltid ha nye verktøy. Det virkelige spørsmålet er om din sikkerhetsstrategi er bygget på en solid grunn av resiliens eller bare jakter etter det neste skinnende objektet. Æraen med set-it-and-forget-it-sikkerhet er over. Organisasjoner som bygger en kultur av sikkerhet og spikker grunnleggende prinsipper vil vinne, selv i tiden med autonome trusler.