Styrerommets gap: Hvorfor IT-sjefer sliter med å snakke om deepfakes – og hvordan man skal ramme det inn

Nettsikkerhet går inn i et avgjørende øyeblikk, drevet av den utbredte bruken av kunstig intelligens av bedrifter, myndigheter og enkeltpersoner. 82% Av selskaper i USA som enten bruker eller utforsker bruk av kunstig intelligens i virksomheten sin, låser organisasjoner opp for nye effektivitetsmuligheter, men det gjør også angripere. De samme verktøyene som driver innovasjon, gjør det også mulig for trusselaktører å generere syntetisk innhold med alarmerende letthet og realisme. Denne nye virkeligheten har introdusert betydelige utfordringer, inkludert muligheten til å lage syntetisk innhold (bilder, lyd og video) og ondsinnede deepfakes (manipulert lyd, video eller bilde som brukes til å etterligne en ekte person) med enestående hastighet og raffinement. Med bare noen få klikk kan alle med tilgang til en datamaskin og internett manipulere bilder, lyd og videoer, og dermed introdusere mistillit og tvil til informasjonsetosen. 

I en tid der bedrifter, myndigheter og medieorganisasjoner er avhengige av digital kommunikasjon for å leve, er det ikke rom for feil i å undervurdere risikoen dypfalsk, syntetisk identitetssvindel og etterligningsangrep utgjør. Disse truslene er ikke lenger hypotetiske – økonomiske tap fra dypfalsk-aktivert bedriftssvindel overskrides 200 millioner dollar bare i første kvartal 1, noe som understreker omfanget og hvor viktig problemet er. Et nytt trussellandskap krever en ny tilnærming til cybersikkerhet, og IT-sjefer må handle raskt for å sikre at bedriften deres forblir sikker. Det kan imidlertid være skremmende å be om ny kapital og tydelig kommunisere en organisasjons trusseleksponering til et styre med varierende kunnskapsnivå om alvorlighetsgraden av trusselen fra deepfakes. Etter hvert som deepfake-angrep fortsetter å utvikle seg og ta form, må alle IT-sjefer være i forkant av å bringe denne samtalen til styrerommet. 

Nedenfor er et rammeverk for IT-sjefer og ledere for å legge til rette for interessentsamtaler på styre-, organisasjons- og samfunnsnivå. 

Bruk kjente rammeverk: Deepfakes som avansert sosial manipulering

Styrer har blitt betinget til å tenke på nettsikkerhet i kjente termer: phishing-e-poster, ransomware-angrep og det truende spørsmålet om hvorvidt bedriften deres vil bli hacket. Denne tankegangen former hvordan de prioriterer trusler og hvor de fordeler sikkerhetsbudsjetter. Men når det gjelder AI-generert innhold, spesielt deepfakes, finnes det ikke noe innebygd referansepunkt. Å fremstille deepfakes som en frittstående, ny trussel fører ofte til forvirring, skepsis eller passivitet.

For å bekjempe dette bør IT-sjefer forankre samtalen i noe styrer allerede forstår: sosial manipulering. I kjernen er ikke deepfake-trusselen helt ny; det er en utviklet og farligere form for phishing som har eksistert i bransjen i årevis og fortsatt er den vanligste. angrepsvektor av sosial manipulering. Styrer anerkjenner allerede phishing som en troverdig risiko, og de er komfortable med å godkjenne ressurser for å forsvare seg mot den. På mange måter representerer Deepfakes en mer overbevisende, mer skalerbar og mer kapabel form for sosial manipulering, som retter seg mot både organisasjoner og enkeltpersoner med knusende presisjon. 

Framing deepfakes På denne måten kan IT-sjefer benytte seg av eksisterende utdanning, budsjettlinjer og institusjonell muskelhukommelse. I stedet for å be om nye ressurser, kan de omformulere forespørselen til en videreutvikling av allerede godkjente sikkerhetsinvesteringer. Jo mer IT-sjefer kan ta hensyn til denne fortellingen, desto mer sannsynlig er det at de får tildelt ressursene til å håndtere dette større, umiddelbare problemet. 

Forankre risikoen i realisme, ikke sensasjonalisme

Å peke på eksempler fra den virkelige verden er en fin måte å styrke et styres forståelse av hvilken innvirkning deepfake-trusler kan ha på organisasjoner. Det er imidlertid viktig å vurdere hvilke eksempler IT-sjefer presenterer for styrene, da de kan ha motsatt effekt. Beryktede historier som Banksvindelhendelsen på 25 millioner dollar i Hong Kong skaper gode overskrifter, men de kan slå tilbake i styrerommet. Disse ekstreme eksemplene føles ofte fjerne eller urealistiske, og skaper en følelse av at «noe så katastrofalt aldri kan skje med oss». Skjevheten slår inn umiddelbart og fjerner følelsen av at det haster med å investere i beskyttelse. 

I stedet bør IT-sjefer bruke mer relaterbare scenarier for å vise hvordan denne risikoen kan utspille seg internt, for eksempel lederutgivelse eller intervjusvindel.

I ett tilfelle, Nordkoreanske trusselaktører opprettet en falsk Zoom-samtale med AI-genererte ledere for å lure en kryptoansatt til å laste ned skadelig programvare for å få tilgang til sensitiv bedriftsinformasjon med den hensikt å stjele kryptovaluta. Til slutt klarte ikke hackerne å få tilgang, men trusselen disse angrepene utgjør for et merkevares integritet bør være en vekker til styrer i bedriften. 

En annen voksende taktikk involverer falske jobbkandidater bruker AI-genererte identiteter og deepfake-legitimasjon for å infiltrere bedriftsorganisasjoner. Disse personene opptrer ofte på vegne av amerikanske motstandere som Russland, Nord-Korea eller Kina, og søker tilgang til sensitive systemer og data. Denne trenden tapper interne ressurser og eksponerer organisasjoner for nasjonale sikkerhetsrisikoer og økonomisk utnyttelse. 

Ofte går disse truslene under radaren. For hvert eksempel i nyhetene, blir dusinvis ikke rapportert, noe som gjør det vanskelig å forstå omfanget av denne trusselen på en fullstendig måte. Jo mer hverdagslig angrepet er, desto mer urovekkende – og relaterbart – blir det. Ved å dele eksempler som disse – realistiske, relaterbare og nærmere hjemmet – kan IT-sjefer forankre deepfake-samtalen i den daglige forretningsdriften og forsterke hvorfor denne utviklende trusselen krever seriøs oppmerksomhet på styrenivå.

Knytt Deepfake Defense til eksisterende robusthetsmålinger

IT-sjefer blir stadig stilt de samme spørsmålene fra styrene sine: Hva er sannsynligheten for at vi blir utsatt for datainnbrudd? Hvor er vi mest sårbare? Hvordan reduserer vi risikoen? Selv om phishing, ransomware og datainnbrudd fortsatt eksisterer, er det viktig å vise frem det grunnleggende skiftet som har endret seg innenfor disse sårbarhetene, og hvordan de nå strekker seg langt utover tradisjonelle angrepsflater. 

HR-, finans- og innkjøpsteam – roller som tradisjonelt ikke blir sett på som frontlinjeforsvarere – er nå hyppige mål for syntetisk etterligning, og gjennomsnittsmenneskets evne til å oppdage disse truslene er ekstremt lav. Faktisk, bare 1 av hver 1,000 personer kan nøyaktig oppdage AI-generert innhold. IT-sjefer har nå i oppgave å håndtere behovet for avansert utdanning innen sosial manipulering og større cyberrobusthet i hele organisasjonen, ettersom alle i organisasjonen må læres opp, testes og gjøres oppmerksomme for å bidra til å redusere risikoen. 

Deepfakes-forsvar må bli en forlengelse av bedriftsomfattende robusthet og krever kontinuerlig opplæring på samme måte som team trenes via phishing-simuleringer, bevisstgjøringstrening og øvelser for røde team. IT-sjefer bør bruke målinger fra opplæringer og simuleringer for å bidra til å ramme inn problemet i målinger som styret deres forstår. Hvis et styre allerede har kjøpt inn robusthet som en strategisk prioritet for organisasjonen, blir deepfakes en naturlig neste grense.

AI-genererte trusler kommer ikke. De er allerede her. Det er på tide at vi sørger for at styrerommet er klare til å lytte og lede. Takket være bruken av AI har omfanget og hyppigheten av deepfake- og identitetsbaserte angrep forvandlet trussellandskapet til et som er uforutsigbart og i stadig utvikling. 

Men styrer trenger ikke en innføring i deepfakes eller stemmekloning. De trenger en klar forretningskontekst og en større forståelse av truslene de utgjør for organisasjonene sine. ITSO-er bør forankre samtalen sin i risiko, kostnader og driftskontinuitet. De som tilpasser deepfake-narrativet sitt til kjente paradigmer – phishing, sosial manipulering, robusthet – gir styret et rammeverk og en kontekst der de kan handle, ikke bare reagere.