deepfakes blog

Den Deepfake-trussel er her: Det er tid til at begynde at bygge den ind i Enterprise Risk Management

Da den britiske forbrugerrettighedsmester Martin Lewis tog til sociale medier for at promovere en ny 'Quantum AI' investeringsordning, var mange overraskede over flytningen. Lewis havde trods alt opbygget tillid til offentligheden gennem mange år ved at nægte at støtte kommercielle projekter af nogen art. Faktisk videoannoncen med Lewis viste sig at være en deepfake. Kvaliteten af ​​ligheden blev stemplet som "skræmmende" for manden selv, som advarede om, at sådanne forfalskninger kunne "ødelægge liv".

Det er uden tvivl rigtigt. Men når den bruges ondsindet, udgør teknologien ikke kun en svindeltrussel for forbrugerne, den udgør en massiv økonomisk og omdømmemæssig risiko for virksomheder. Det er en risiko, som et sundt informationssikkerhedsstyringssystem (ISMS) kan hjælpe med at afbøde.

Hvad er Deepfake Tech?

Deepfakes bruger en type AI-teknologi kendt som deep learning til at skabe spoofet video og lyd af mennesker, som er svære at skelne fra ægte indhold. Det kan bruges til at syntetisere tale og effektivt manipulere ansigtsudtryk for at få det til at se ud som om en person siger noget, de ikke er. Mens der er legitime anvendelser af teknologien, for eksempel i filmindustrien, bliver den i stigende grad implementeret til ondsindede formål.

Martin Lewis falske er en af ​​de første gange, en video er blevet brugt på den måde til at fremme investeringssvindel. Deepfake lyd har dog eksisteret i nogle år og bruges til at narre modtagere til at overføre penge til konti, der tilhører svindlere. Denne teknik narrede en brite CEO til at tro en deepfake lyd af hans tyske chef, der fortæller ham at overføre over $240,000 til en tredjepartskonto. Og det snød en japansk manager til at tro, at direktøren for hans modervirksomhed havde anmodet om en overførsel på $35 mio.

Hvad er de potentielle trusler?

Ovenstående sager er en slags riff på business email compromise (BEC) fidus, en form for svindel med forskudsgebyrer, hvor svindleren narrer ofrene til at foretage store overførsler til sidstnævnte. Der er dog andre nye trusler mod virksomhederne. Disse omfatter:

Supercharge phishing-taktik: En deepfake lyd eller video af en betroet enhed i virksomheden, f.eks. IT-chefen eller en forretningsenhed, kunne narre offeret til at udlevere deres legitimationsoplysninger eller følsomme forretningsoplysninger. Det har FBI allerede advaret medarbejdere af deepfake lyd, der bruges i forbindelse med videokonferenceplatforme.

Ansøg svigagtigt om fjernjob: Det har FBI også advaret af deepfakes brugt med stjålne personlige oplysninger til hjælpe svindlere med at vinde fjernarbejde. Virksomhedens netværksadgang kunne derefter bruges til at stjæle følsomme kunde- og virksomhedsoplysninger.

Omgå identitetskontrol: Ansigts- eller stemmegenkendelse er en stadig mere populær måde for organisationer at autentificere brugere på, især kunder. Som detaljeret af Europol, kunne deepfakes implementeres for at narre disse systemer til at give kontoadgang. Selvom dette ikke er en direkte trussel mod virksomhedens sikkerhed, kan det alvorligt påvirke omdømmemæssige og økonomiske risici.

Bedrager kunder direkte: Som Taniums chefsikkerhedsrådgiver Timothy Morris hævder, kan lyddeepfakes bruges som en opfølgning på smishing-kampagner (phishing-tekster), hvor kunder bliver bedt om at ringe til et nummer, hvis de ikke genkender en specifik debitering på deres konto.

"Hvis du ringer, venter en venlig deepfake, der repræsenterer din bank, på at tage dine legitimationsoplysninger og penge," forklarer han til ISMS.online. "Lignende metoder kan bruge deepfakes til teknisk support og romantik-svindel."

Spredning af desinformation om virksomheden: For eksempel vil en virksomhed måske påvirke sin rivals salg og aktiekurs ved at poste en falsk video af en administrerende direktør, der hævder, at deres virksomheds produkter er defekte. 

"Cirkulationen af ​​dybt falsk indhold, der er rettet mod at bagvaske organisationer eller nøglepersoner, kan forårsage betydelig skade på omdømmet," siger Incode CEO Ricardo Amper til ISMS.online. "Ved at manipulere offentlig opfattelse kan deepfakes have vidtrækkende samfundsmæssige konsekvenser, påvirke markedsopfattelsen, kundernes tillid og endda politiske miljøer."

Hvordan kan en ISMS hjælpe?

Heldigvis er der ting, som organisationer kan gøre på en systematisk måde for at mindske de risici, som deepfakes udgør, ifølge Eze Adighibe, ISO-konsulent hos Bulletproof.

“Deepfakes er forbundet med forskellige cyberrisici, der er et effektivt informationssikkerhedsstyringssystem (ISMS), via en overholdelsesramme såsom ISO 27001, kan støtte i at afbøde. Eksempler på disse risici omfatter social engineering-angreb, svindel, identitetstyveri, falske profiler og automatiseret misinformation,” siger han til ISMS.online.

“En ISMS kræver en omfattende risikovurdering af informationssikkerhed med en analyse af påvirkning og udvælgelse af kontroller til at behandle identificerede risici. Derfor bør organisationer overveje at inkludere deepfakes i deres risikovurderingsaktiviteter i betragtning af den trussel, de udgør i dag."

Specifikt kan en ISMS hjælpe med at mindske deepfake-risikoen på tre områder, ifølge Adighibe:

  • Øge bevidstheden om deepfake-relaterede risici blandt medarbejdere
  • Implementering af de korrekte tekniske kontroller for at opdage og forhindre deepfakes
  • Udvikling af hændelsesrespons/styringsprocedurer til håndtering af deepfake-angreb

Han forklarer, at de kontroller, der er anført i ISO 27001, der kunne hjælpe her, er træning i sikkerhedsbevidsthed/phishing-simuleringer, stærke adgangskontroller og sikkerhedsovervågningsværktøjer. Andre dækker privatliv og beskyttelse af PII, sletning af oplysninger, rapportering af sikkerhedshændelser og trusselsefterretninger.

"Organisationer, der er velbevandret i at afbøde nye trusler, vil allerede have foranstaltninger på plads til at tackle deepfakes, men det er på høje tid, at alle virksomheder, uanset størrelse, gør status over risiciene og implementerer de rigtige sikkerhedskontroller," siger Defense.com CEO Oliver Pinson. Det fortæller Roxburgh til ISMS.online.

Han har ret. Deepfake audio/video er ikke kun mere og mere realistisk. Det bliver mere overkommeligt for flere personer med ondsindede hensigter. Der er også tegn at disse kapaciteter bliver tilbudt som en service på cyberkriminalitet under jorden. Det er en sikker måde at demokratisere det til endnu mere ondsindede aktører.

 

Forfatter

Phil Muncaster

Phil Muncaster har været it-journalist i 20 år. Han startede som reporter på virksomhedens IT-titlen IT Week i 2005 og gik videre til rollen som nyhedsredaktør, før han rejste for at forfølge en freelancekarriere. Siden da har Phil skrevet for titler, herunder The Register, hvor han arbejdede som Asien-korrespondent, mens han havde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Se alle indlæg af Phil Muncaster

Relaterede indlæg

SOC 2 er her! Styrk din sikkerhed og opbyg kundernes tillid med vores kraftfulde overholdelsesløsning i dag!