The Deepfake Threat Is Here: Det er på tide å begynne å bygge det inn i Enterprise Risk Management

The Deepfake-trusselen er her: Det er på tide å begynne å bygge det inn i Enterprise Risk Management

Av Phil Muncaster • 5 september 2023

Da den britiske forbrukerrettighetsmesteren Martin Lewis tok til sosiale medier for å promotere en ny "Quantum AI"-investeringsplan, ble mange overrasket over flyttingen. Tross alt hadde Lewis bygget opp tillit hos publikum over mange år ved å nekte å støtte kommersielle prosjekter av noe slag. Faktisk videoannonsen med Lewis viste seg å være en deepfake. Kvaliteten på likheten ble stemplet som "skremmende" for mannen selv, som advarte om at slike forfalskninger kunne "ødelegge liv".

Det er utvilsomt sant. Men når den brukes ondsinnet, utgjør teknologien ikke bare en svindeltrussel for forbrukere, den utgjør en enorm økonomisk risiko og omdømmerisiko for bedrifter. Det er en risiko som et forsvarlig styringssystem for informasjonssikkerhet (ISMS) kan bidra til å redusere.

Hva er Deepfake Tech?

Deepfakes bruker en type AI-teknologi kjent som deep learning for å lage forfalsket video og lyd av mennesker som er vanskelig å skille fra ekte innhold. Den kan brukes til å syntetisere tale og effektivt manipulere ansiktsuttrykk for å få det til å se ut som en person sier noe de ikke er. Mens det er legitime bruksområder for teknologien, for eksempel i filmindustrien, blir den i økende grad utplassert for ondsinnede formål.

Martin Lewis falske er en av de første gangene en video har blitt brukt på den måten for å fremme investeringssvindel. Deepfake lyd har imidlertid eksistert i noen år og brukes til å lure mottakere til å overføre midler til kontoer som tilhører svindlere. Denne teknikken lurte en brite administrerende direktør til å tro en dypt falsk lyd av den tyske sjefen hans som ber ham om å koble over $240,000 XNUMX til en tredjepartskonto. Og det lurte en japansk manager til å tro at direktøren for morselskapet hans hadde bedt om en overføring på 35 millioner dollar.

Hva er de potensielle truslene?

De ovennevnte sakene er et slags riff på svindelen med forretningse-postkompromiss (BEC), en type svindel med forhåndsgebyr der svindleren lurer ofrene til å foreta store overføringer til sistnevnte. Det er imidlertid andre nye trusler mot bedrifter. Disse inkluderer:

Superladende phishing-taktikker: En dypfalsk lyd eller video av en pålitelig enhet i selskapet, si lederen for IT eller en forretningsenhet, kan lure offeret til å utlevere legitimasjon eller sensitiv forretningsinformasjon. FBI har allerede advart ansatte i dypfalsk lyd brukt i forbindelse med videokonferanseplattformer.

Søk uredelig på eksterne jobber: Det har FBI også advart av deepfakes brukt med stjålet personlig informasjon til hjelpe svindlere med å vinne fjernarbeidsjobber. Bedriftsnettverkstilgang kan deretter brukes til å stjele sensitiv kunde- og bedriftsinformasjon.

Omgå identitetskontroller: Ansikts- eller stemmegjenkjenning er en stadig mer populær måte for organisasjoner å autentisere brukere, spesielt kunder. Som detaljert av Europol, kan deepfakes distribueres for å lure disse systemene til å gi kontotilgang. Selv om dette ikke er en direkte trussel mot bedriftens sikkerhet, kan det ha en alvorlig innvirkning på omdømme og økonomisk risiko.

Bedrager kunder direkte: Som Taniums sjefsikkerhetsrådgiver Timothy Morris hevder, kan lyddeepfakes brukes som en oppfølging av smishing (phishing-tekst)-kampanjer, der kunder blir bedt om å ringe et nummer hvis de ikke gjenkjenner en spesifikk belastning på kontoen deres.

"Hvis du ringer, venter en vennlig deepfake som representerer banken din på å ta legitimasjonen din og pengene dine," forklarer han til ISMS.online. "Lignende metoder kan bruke deepfakes for teknisk støtte og romantikksvindel."

Spre desinformasjon om selskapet: For eksempel kan et selskap ønske å påvirke konkurrentens salg og aksjekurs ved å legge ut en falsk video av en administrerende direktør som hevder at selskapets produkter er defekte.

"Sirkulasjonen av dypt falskt innhold rettet mot å ærekrenke organisasjoner eller nøkkelpersonell kan forårsake betydelig skade på omdømmet," sier Incode-sjef Ricardo Amper til ISMS.online. "Ved å manipulere offentlig oppfatning kan deepfakes ha vidtrekkende samfunnsmessige implikasjoner, påvirke markedsoppfatning, kundetillit og til og med politiske miljøer."

Hvordan kan en ISMS hjelpe?

Heldigvis er det ting som organisasjoner kan gjøre på en systematisk måte for å redusere risikoen som deepfakes utgjør, ifølge Eze Adighibe, ISO-konsulent hos Bulletproof.

"Deepfakes er assosiert med forskjellige cyberrisiko som et effektivt styringssystem for informasjonssikkerhet (ISMS), via et samsvarsrammeverk som ISO 27001, kan støtte for å redusere. Eksempler på disse risikoene inkluderer sosiale ingeniørangrep, svindel, identitetstyveri, falske profiler og automatisert feilinformasjon, sier han til ISMS.online.

"En ISMS krever en omfattende risikovurdering av informasjonssikkerhet med en analyse av påvirkning og valg av kontroller for å behandle identifiserte risikoer. Derfor bør organisasjoner vurdere å inkludere dype forfalskninger i sine risikovurderingsaktiviteter med tanke på trusselen de utgjør i dag."

Spesifikt kan en ISMS bidra til å redusere risikoen for deepfake på tre områder, ifølge Adighibe:

Øke bevisstheten om deepfake-relatert risiko blant ansatte
Implementering av de riktige tekniske kontrollene for å oppdage og forhindre deepfakes
Utvikle hendelsesrespons/håndteringsprosedyrer for håndtering av dypfalske angrep

Han forklarer at kontrollene som er oppført i ISO 27001 som kan hjelpe her, er sikkerhetsopplæring/phishing-simuleringer, sterke tilgangskontroller og sikkerhetsovervåkingsverktøy. Andre dekker personvern og beskyttelse av PII, sletting av informasjon, rapportering av sikkerhetshendelser og trusseletterretning.

"Organisasjoner som er godt kjent med å dempe nye trusler, vil allerede ha tiltak på plass for å takle deepfakes, men det er på høy tid at alle virksomheter, uansett størrelse, tar oversikt over risikoene og implementerer de riktige sikkerhetskontrollene," sier Defense.com-sjef Oliver Pinson. Roxburgh sier til ISMS.online.

Han har rett. Deepfake lyd/video er ikke bare stadig mer realistisk. Det blir rimeligere for flere individer med ondsinnede hensikter. Der er også tegn at disse egenskapene tilbys som en tjeneste på undergrunnen av nettkriminalitet. Det er en sikker måte å demokratisere det til enda mer ondsinnede aktører.

Phil Muncaster

Phil Muncaster har vært IT-journalist i 20 år. Han startet som reporter på IT-bedriftstittelen IT Week i 2005 og gikk videre til rollen som nyhetsredaktør før han dro for å satse på en frilanskarriere. Siden den gang har Phil skrevet for titler inkludert The Register, hvor han jobbet som Asia-korrespondent mens han hadde base i Hong Kong i over to år, MIT Technology Review, SC Magazine, Infosecurity Magazine og andre.

Les mer fra Phil Muncaster

Cyber sikkerhet 20 januar 2026

Å lukke gapet i styring av kunstig intelligens med ISO 42001

Storbritannia har et problem med styring av kunstig intelligens. Dette var kanskje ikke et problem for noen år siden, da prosjekter var spredte i de fleste organisasjoner. Men i dag...

Phil Muncaster

Cyber sikkerhet 6 januar 2026

Fem sikkerhets- og samsvarstrender å se etter i 2026

Fem sikkerhets- og samsvarstrender å se opp for i 2026

Hvordan kan de kommende 12 månedene se ut for fagfolk innen cybersikkerhet og samsvar? Vi har gransket nyhetene og absorbert spådommene fra bransjen...

Phil Muncaster

Cyber sikkerhet 11 desember 2025

Er et sikkerhetsbrudd på agentbasert AI uunngåelig i 2026?

Er et sikkerhetsbrudd knyttet til agentisk AI uunngåelig i 2026?

Det kan være tre år siden lanseringen av ChatGPT startet et nytt teknologisk våpenkappløp, men alle øyne er nå rettet mot agent-AI. Forkjempere hevder at den vil...

Phil Muncaster