Gapet i styret: Hvorfor CISOer sliter med å snakke om deepfakes — og hvordan de kan ramme det

Cybersikkerheten går inn i et avgjørende øyeblikk, drevet av den omfattende bruken av AI av bedrifter, myndigheter og enkeltpersoner. Med 82% av selskapene i USA enten bruker eller undersøker bruken av AI i sin virksomhet, åpner organisasjonene opp for nye effektiviteter, men også for angripere. De samme verktøyene som driver innovasjon, muliggjør også at trusler kan generere syntetisk innhold med alarmerende lettighet og realisme. Denne nye virkeligheten har introdusert betydelige utfordringer, inkludert evnen til å lage syntetisk innhold (bilder, lyd og video) og skadelige deepfakes (manipulert lyd, video eller bilde brukt til å ligne en ekte person) med utenkelig hastighet og sofistikasjon. Med bare noen få klikk, kan noen med tilgang til en datamaskin og internett manipulere bilder, lyd og videoer, og introdusere mistro og tvil i informasjons-etosen. 

I en tid hvor selskaper, myndigheter og medieorganisasjoner avhenger av digital kommunikasjon for sin eksistens, er det ingen plass for feil i å undervurdere risikoen deepfakes, syntetisk identitetsjuks og impersoneringsangrep utgjør. Disse truslene er ikke lenger hypotetiske – finansielle tap fra deepfake-aktivert bedriftsjuks overså 200 millioner dollar i Q1 2025 alene, og understreker omfanget og急heten av problemet. En ny trusselslandskap krever en ny tilnærming til cybersikkerhet, og CISOer må handle raskt for å sikre at selskapet deres forblir trygt. Imidlertid kan det være vanskelig å be om ny kapital og å kommunisere en organisasjonens trussel-exponering til en styre med varierende kunnskapsnivå om alvorligheten av deepfake-truslene. Ettersom deepfake-angrep fortsetter å utvikle seg og ta form, må hver CISO være i forkant av å bringe denne samtalen til styret. 

Under er et rammeverk for CISOer og ledere for å fasilitere interessent-samtaler på styre-, organisasjons- og samfunnsnivå. 

Bruk kjente rammeverk: Deepfakes som avansert sosial ingeniring

Styrer er kondisjonert til å tenke på cybersikkerhet i kjente termer: phishing-e-post, ransomware-angrep og den kommende spørsmålet om hvorvidt deres selskap vil bli angrepet. Denne holdningen former hvordan de prioriterer trusler og hvor de allokerer sikkerhetsbudsjett. Men når det kommer til AI-generert innhold, spesielt deepfakes, er det ingen innebygd referansepunkt. Å ramme deepfakes som en selvstendig, ny trussel ofte fører til forvirring, skepsis eller inaktivitet.

For å bekjempe dette, bør CISOer ankre samtalen i noe styrer allerede forstår: sosial ingeniring. I kjernen er deepfake-trusselen ikke helt ny; det er en utviklet, farligere form for phishing som har eksistert innen bransjen i årevis og fortsetter å være den viktigste angrepsvektor for sosial ingeniring. Styrer anerkjenner allerede phishing som en troverdig risiko, og de er komfortable med å godkjenne ressurser for å forsvare mot det. I mange henseender representerer deepfakes en mer overbevisende, mer skalerbar og mer kapabel form for sosial ingeniring, som målretter både organisasjoner og enkeltpersoner med ødeleggende presisjon. 

Å ramme deepfakes på denne måten tillater CISOer å trekke på eksisterende utdanning, budsjettlinjer og institusjonell muskelminne. I stedet for å be om nye ressurser, kan de omforme forespørselen til en utvikling av allerede godkjente sikkerhetsinvesteringer. Jo mer CISOer kan læne seg mot denne narrativen, jo mer sannsynlig er det at de vil bli tildelt ressurser for å håndtere dette større, umiddelbare problemet. 

Ankre risikoen i realisme, ikke sensasjonalisme

Å peke på virkelige eksempler er en god måte å fremme styrets forståelse av virkningene deepfake-truslene kan ha på organisasjoner. Imidlertid er det viktig å vurdere hvilke eksempler CISOer setter frem for styrer, da de kan ha den motsatte effekten. Berømte historier som den 25 millioner dollar store bedragsaksjonen i Hong Kong, gjør for gode overskrifter, men de kan backfire i styret. Disse ekstreme eksemplene føles ofte fjerne eller urealistiske, og skaper en følelse av at “noe så katastrofalt kunne aldri skje med oss”. Forutinntakten setter inn umiddelbart og fjerner følelsen av急het til å investere i beskyttelse. 

I stedet bør CISOer bruke mer relatable scenarier for å vise hvordan denne risikoen kan spille ut internt, som eksempelvis executive-impersonering eller intervju-juks.

I ett tilfelle Nord-Koreanske trusler skapte en falsk Zoom-samtale med AI-genererte ekskjutiver for å lure en kryptohandler til å laste ned malware for å få tilgang til sensitive selskapsopplysninger med intensjonen å stjele kryptovaluta. Til slutt kunne hackerne ikke få tilgang, men trusselen disse angrep utgjør for en merkevarens integritet, bør være en vekker til styrer innen bedriftene. 

En annen voksende taktikk inkluderer falske jobbsøkere som bruker AI-genererte identiteter og deepfake-legitimasjoner for å infiltrere bedriftsorganisasjoner. Disse personene handler ofte på vegne av USA-fiender som Russland, Nord-Korea eller Kina, og søker å få tilgang til sensitive systemer og data. Denne trenden tømmer interne ressurser og eksponerer organisasjoner for nasjonale sikkerhetstrusler og finansiell utnyttelse. 

Ofte flyr disse truslene under radaren. For hvert eksempel i nyhetene, går dusinvis ubemerket, og gjør det vanskelig å omfattende forstå omfanget av denne trusselen. Jo mer hverdagslig angrepet er, jo mer foruroligende – og relatable – blir det. Ved å dele eksempler som disse – realistiske, relatable og nærmere hjemme – kan CISOer grunnlegge deepfake-samtalen i hverdagslige bedriftsoperasjoner og forsterke hvorfor denne utviklende trusselen krever alvorlig oppmerksomhet på styrenivå.

Knytt deepfake-forsvar til eksisterende resiliens-målinger

CISOer blir stadig spurt de samme spørsmålene fra sine styrer: Hva er vår sannsynlighet for å bli angrepet? Hvor er vi mest sårbare? Hvordan kan vi redusere risikoen? Mens phishing, ransomware og dataangrep fortsatt eksisterer, er det viktig å vise til den fundamentale skiftningen som har skjedd innen disse sårbarhetene og hvordan de nå går langt utenfor tradisjonelle angrepsflater. 

HR-, finanse- og innkjøpslag – roller som ikke tradisjonelt sees på som frontlinjeforsvarere – er nå ofte mål for syntetisk impersonering, og den gjennomsnittlige menneskelige evnen til å oppdage disse truslene er ekstremt lav. Faktisk kun 1 av hver 1000 personer kan nøyaktig oppdage AI-generert innhold. CISOer er nå oppnevnt til å håndtere kravet om avansert sosial ingeniering-utdanning og større cybersikkerhet over hele organisasjonen, ettersom alle i organisasjonen må bli trent, testet og gjort oppmerksomme for å hjelpe med mitigasjon. 

Deepfake-forsvar må bli en utvidelse av bedriftsvid resiliens og krever kontinuerlig utdanning på samme måte som lag blir trent via phishing-simuleringer, oppmerksomhetstrenings- og rød-lag-øvelser. CISOer bør bruke målinger fra trenings- og simuleringer for å hjelpe med å ramme problemet i målinger som styret forstår. Hvis et styre allerede har kjøpt inn i resiliens som en strategisk prioritet for organisasjonen, blir deepfakes en naturlig neste front. 

AI-genererte trusler kommer ikke. De er allerede her. Det er på tide vi sikrer at styret er klar til å lytte og lede. Takket være tilpasningen av AI, har omfanget og hyppigheten av deepfake- og identitetsbaserte angrep forvandlet trusselslandskapet til et som er uforutsigbart og evoluerende. 

Men styrer trenger ikke en introduksjon til deepfakes eller stemme-kloning. De trenger en klar forretningskontekst og en større forståelse av truslene de utgjør for sine organisasjoner. CISOer bør grunnlegge samtalen i risiko, kostnad og operasjonell kontinuitet. De som justerer sin deepfake-narrativ til kjente paradigmer – phishing, sosial ingeniring, resiliens – gir styret et rammeverk og en kontekst hvor de kan handle, ikke bare reagere.