Cybersäkerhet har alltid varit ett hett ämne inom IT-världen, men på senare år har det gått från att vara ett nischat område till en avgörande aspekt av alla verksamheter. Strategierna som cyberbrottslingar använder har blivit mer avancerade och svårhanterliga. Nu har AI-vågen passerat, och bråtet den fört med sig har gett brottslingarna nya vapen.
Särskilt utsatta är mindre organisationer med begränsad säkerhetsbudget som inte själva har möjlighet att dra nytta av den senaste tidens teknologiska utvecklingar. De flesta småföretag saknar IT-avdelning, vilket kräver att man implementerar externa och automatiserade lösningar.
För bara några år sedan var tanken på att det skulle finnas deepfake-bedrägerier absurd. Tyvärr är det inte längre enkelt att skilja på falskt och genuint innehåll. Att skapa digitala kloner av nyckelindivider inom en given verksamhet (till exempel högt uppsatta chefer) kan vara en effektiv inkörsport för bedragare.
Om du får ett videosamtal från din chef kommer du som anställd antagligen att lyssna på dennes uppmaningar. Eftersom både röst och video går att klona genom AI-verktyg kan man inte längre förlita sig på detta som en bekräftelse och verifikation. För att kunna verifiera någon måste man använda specifika säkrade och officiella kommunikationskanaler eller helt enkelt boka ett fysiskt möte.
De flesta bedrägerier förlitar sig på svagheter i människans psykologi för att fungera. Allting handlar i grund och botten om manipulation, vilket är en konst i sig. Påtryckningar i form av brådskande uppmaningar med en auktoritär ton som inger förtroende är den vanligaste formen av manipulation. Om bedrägeriet tar för lång tid eller på annat sätt ger offren anledning att tänka till en extra gång kommer det naturligtvis inte att fungera lika effektivt.
AI skapar nya möjligheter i form av deepfake-bedrägerier, men det förbättrar också befintliga bedrägerimetoder som nätfiske. Bedragare har möjlighet att både specialinrikta och mer effektivt automatisera sina nätfiskeförsök genom att dra nytta av AI:ns inbyggda språkliga kapacitet. Textbaserade AI-modeller (LLMs) har stor variation när det gäller typen av text de har möjlighet att generera. Om man dessutom har insikt i en verksamhets protokoll kan man skapa otroligt välkonstruerade bedrägerier.
AI-verktyg används nu flitigt i hela näringslivet. Många företag har snabbt anammat teknologin. Chatbottar, diverse generativa modeller och specialiserade verktyg som nyttjar AI har blivit en allt vanligare företeelse. Dessa verktyg kommer dock med sin egen uppsättning säkerhetsutmaningar som kräver närmare granskning. De kan till exempel oavsiktligt läcka känsliga kunddata eller intern företagsinformation.
Även om AI:in inte direkt skickar kundinformation kan mönster i användningen innebära att känslig information hamnar i fel händer. Det behöver inte nödvändigtvis vara illasinnade aktörer. Företag tar gladeligen emot information oavsett vart den kommer ifrån.
Även data som används för att träna interna AI-modeller kan potentiellt läcka. Majoriteten av dessa nya AI-verktyg använder stora mängder data, vilket nästan alltid är en känslig angelägenhet. Datan måste lagras, överföras och behandlas på rätt sätt för att förhindra läckage.
Om man inte är försiktig med vad man tränar AI:n till att göra kan det också leda till att en potentiell användare kan prompta fram känslig information. Att sätta spärrar på vad den får och inte får säga räcker långt, men det finns nästan alltid sätt att kringgå detta. Om AI:n matats med känslig information kan du vara ganska säker på att informationen kan fås fram med skicklig prompting. Man kan alltså inte bara “slänga allt man har” på AI:n och hoppas på det bästa.
Att ha väletablerade rutiner inom företag är väsentligt för att undvika denna kategori av hot. Om en av företagets “chefer” plötsligt ringer och ber om banköverföringar eller brådskande ändringar bör man vara på sin vakt. Vanligtvis har man officiella protokoll i ett företag för hur kommunikation mellan anställda bör ske. Stora förändringar eller överföringar sker sällan på måfå. Se till att alltid bekräfta allting i andra hand. Boka ett möte, skicka ett mejl eller be om underskrift. Det krävs inte mycket för att avslöja bedrägerier som använder AI. Sekundära verifikationsmetoder är vanligtvis mer än tillräckligt.
I övrigt är det god praxis att aldrig dela känslig information utan väldigt god anledning. Även om det är en till synes oskyldig fråga, kan det vara bedragare som ligger bakom. Tänk alltid till en extra gång och gör det till en vana att alltid verifiera att den du pratar med faktiskt är legitim.
Alla har inte möjlighet att implementera interna säkerhetslösningar och verktyg. Många (speciellt småföretag) måste förlita sig på externa lösningar. En av de viktigaste verktygen är VPN-tjänster där man har en stor uppsättning välrenommerade alternativ att välja mellan (som dessutom inte kostar skjortan). Gå igenom utbudet som finns online för att hitta den bästa VPN-tjänsten för Windows, Linux eller Mac.
Överväg också att investera i e-postfiltrering, specialiserade nätverkslösningar och andra konventionella säkerhetsverktyg. Vad gäller AI-baserade verktyg finns det många att välja mellan. I vissa fall kan forensiska verktyg användas för att identifiera falska video- eller röstklipp och på annat sätt hjälpa filtrera inkommande meddelanden eller kommunikation inom företaget.
Alla företag måste ha väletablerade planer för hur säkerhetshot ska hanteras. Mycket handlar om företagskulturen och hur utbildade de anställda är när det kommer till säkerhet. Simulerade övningar, flera utbildningstillfällen och konstanta påminnelser om vikten av säkerhet är att rekommendera. Proaktiva medel räcker långt, men att ha stabil incidenthantering är också viktigt.
info@bolagsplatsen.se 
070 - 282 16 66
