Styrelserumsklyftan: Varför IT-chefer kämpar med att prata om djupförfalskningar – och hur man ska formulera den

Cybersäkerhet går in i en avgörande period, driven av det utbredda införandet av AI av företag, myndigheter och individer. 82% Av företag i USA som antingen använder eller utforskar användningen av AI i sin verksamhet, låser organisationer upp nya effektivitetsvinster, men det gör även angripare. Samma verktyg som driver innovation gör det också möjligt för hotande aktörer att generera syntetiskt innehåll med alarmerande lätthet och realism. Denna nya verklighet har infört betydande utmaningar, inklusive möjligheten att skapa syntetiskt innehåll (bilder, ljud och video) och skadliga deepfakes (manipulerat ljud, video eller bild som används för att utge sig för att vara en verklig person) med oöverträffad hastighet och sofistikering. Med bara några få klick kan vem som helst med tillgång till en dator och internet manipulera bilder, ljud och videor, vilket introducerar misstro och tvivel i informationsandan. 

I en tid där företag, myndigheter och medieorganisationer är beroende av digital kommunikation för sin försörjning finns det inget utrymme för misstag i att underskatta riskerna som djupförfalskningar, syntetiska identitetsbedrägerier och personifieringsattacker utgör. Dessa hot är inte längre hypotetiska – ekonomiska förluster från djupförfalskade företagsbedrägerier överskrids. 200 miljoner dollar enbart under första kvartalet 1, vilket understryker problemets omfattning och brådska. Ett nytt hotlandskap kräver en ny strategi för cybersäkerhet, och ITSO:er måste agera snabbt för att säkerställa att deras företag förblir säkert. Att be om nytt kapital och tydligt kommunicera en organisations hotexponering till en styrelse med varierande kunskapsnivåer om hur allvarligt hotet från deepfakes är kan dock vara skrämmande. I takt med att deepfake-attacker fortsätter att utvecklas och ta form måste varje ITSO ligga i framkant när det gäller att föra denna diskussion till styrelserummet. 

Nedan följer ett ramverk för IT-chefer och chefer för att underlätta intressentdialoger på styrelse-, organisations- och samhällsnivå. 

Använd bekanta ramverk: Deepfakes som avancerad social ingenjörskonst

Styrelser har blivit konditionerade att tänka på cybersäkerhet i välbekanta termer: nätfiskemejl, ransomware-attacker och den hotande frågan om huruvida deras företag kommer att bli intrångade. Den inställningen formar hur de prioriterar hot och var de fördelar säkerhetsbudgetar. Men när det gäller AI-genererat innehåll, särskilt deepfakes, finns det ingen inbyggd referenspunkt. Att framställa deepfakes som ett fristående, nytt hot leder ofta till förvirring, skepticism eller passivitet.

För att bekämpa detta bör IT-chefer förankra samtalet i något som styrelser redan förstår: social ingenjörskonst. I grund och botten är deepfake-hotet inte helt nytt; det är en utvecklad, farligare form av nätfiske som har funnits inom branschen i åratal och fortsätter att vara den främsta. attack vektor av social ingenjörskonst. Styrelser inser redan att nätfiske är en trovärdig risk, och de är bekväma med att godkänna resurser för att försvara sig mot den. I många avseenden representerar djupförfalskningar en mer övertygande, mer skalbar och mer kapabel form av social ingenjörskonst, som riktar sig mot både organisationer och individer med förödande precision. 

Inramning deepfakes På så sätt kan IT-chefer utnyttja befintlig utbildning, budgetposter och institutionellt muskelminne. Istället för att be om nya resurser kan de omformulera begäran till en utveckling av redan godkända säkerhetsinvesteringar. Ju mer IT-chefer kan luta sig mot denna berättelse, desto mer sannolikt är det att de får resurser för att ta itu med denna större, omedelbara fråga. 

Förankra risken i realism, inte sensationalism

Att peka på verkliga exempel är ett bra sätt att öka en styrelses förståelse för de effekter deepfake-hot kan ha på organisationer. Det är dock viktigt att överväga vilka exempel IT-chefer presenterar för styrelser, eftersom de kan ha motsatt effekt. Ökända historier som Bankbedrägeriet på värt 25 miljoner dollar i Hongkong skapar bra rubriker, men de kan slå tillbaka i styrelserummet. Dessa extrema exempel känns ofta avlägsna eller orealistiska, vilket skapar en känsla av att "något så katastrofalt aldrig skulle kunna hända oss". Denna partiskhet slår in omedelbart och tar bort känslan av att det är viktigt att investera i skydd. 

Istället bör IT-chefer använda mer relaterbara scenarier för att visa hur denna risk kan utspela sig internt, såsom chefsutövning eller intervjufusk.

I ett fall, Nordkoreanska hotaktörer skapade ett falskt Zoom-samtal med AI-genererade chefer för att lura en kryptoanställd att ladda ner skadlig kod för att komma åt känslig företagsinformation med avsikt att stjäla kryptovaluta. I slutändan kunde hackarna inte få åtkomst, men hotet som dessa attacker utgör mot ett varumärkes integritet borde vara en väckarklocka för styrelser inom företaget. 

En annan växande taktik innebär falska jobbkandidater använder AI-genererade identiteter och djupförfalskade autentiseringsuppgifter för att infiltrera företagsorganisationer. Dessa individer agerar ofta på uppdrag av amerikanska motståndare som Ryssland, Nordkorea eller Kina, i jakt på tillgång till känsliga system och data. Denna trend dränerar interna resurser och utsätter organisationer för nationella säkerhetsrisker och ekonomisk exploatering. 

Ofta går dessa hot under radarn. För varje exempel i nyheterna rapporteras dussintals inte, vilket gör det svårt att heltäckande förstå omfattningen av detta hot. Ju mer vardaglig attacken är, desto mer oroande – och relaterbar – blir den. Genom att dela exempel som dessa – realistiska, relaterbara och närmare hemmet – kan IT-chefer förankra deepfake-konversationen i den dagliga affärsverksamheten och förstärka varför detta ständigt växande hot kräver seriös uppmärksamhet på styrelsenivå.

Koppla Deepfake-försvar till befintliga motståndskraftsmått

IT-chefer får ständigt samma frågor från sina styrelser: Hur stor är sannolikheten för att vi blir intrång? Var är vi mest sårbara? Hur minskar vi risken? Även om nätfiske, ransomware och dataintrång fortfarande förekommer, är det viktigt att visa upp den grundläggande förändring som har skett inom dessa sårbarheter och hur de nu sträcker sig långt bortom traditionella attackytor. 

HR-, finans- och upphandlingsteam – roller som traditionellt sett inte ses som frontlinjeförsvarare – är nu ofta måltavlor för syntetisk imitation, och den genomsnittliga människans förmåga att upptäcka dessa hot är extremt låg. Faktum är att bara 1 av 1,000 XNUMX personer kan korrekt upptäcka AI-genererat innehåll. IT-chefer har nu i uppdrag att hantera behovet av avancerad utbildning i social ingenjörskonst och större cybermotståndskraft i hela organisationen, eftersom alla i organisationen behöver utbildas, testas och göras medvetna för att hjälpa till med begränsning. 

Deepfakes-försvar måste bli en förlängning av företagets motståndskraft och kräver kontinuerlig utbildning på samma sätt som team utbildas via phishing-simuleringar, medvetenhetsutbildning och övningar för röda team. ITSO:er bör använda mätvärden från utbildningar och simuleringar för att hjälpa till att rama in problemet i mätvärden som deras styrelse förstår. Om en styrelse redan har köpt in motståndskraft som en strategisk prioritet för organisationen blir deepfakes en naturlig nästa gränslinje.

AI-genererade hot kommer inte. De är redan här. Det är dags att vi ser till att styrelserummet är redo att lyssna och leda. Tack vare införandet av AI har omfattningen och frekvensen av deepfakes- och identitetsbaserade attacker förvandlat hotlandskapet till ett som är oförutsägbart och ständigt föränderligt. 

Men styrelser behöver ingen introduktion till deepfakes eller röstkloning. De behöver ett tydligt affärssammanhang och en större förståelse för de hot de utgör för sina organisationer. ITSO:er bör grunda sin diskussion i risk, kostnad och operativ kontinuitet. De som anpassar sin deepfake-narrativ till välkända paradigm – nätfiske, social ingenjörskonst, motståndskraft – ger sin styrelse ett ramverk och ett sammanhang inom vilket de kan agera, inte bara reagera.