Selv om værktøjer som firewalls og kryptering kan hjælpe i forsvaret mod cyberangreb, hjælper de ikke meget mod en af de største trusler mod cybersikkerheden: mennesker! 

Antallet af angreb gennem social engineering – altså manipulation af enkeltpersoner til at videregive følsomme oplysninger – vokser kraftigt til trods for, at virksomheder og organisationer i stigende grad uddanner og træner medarbejdere i cybersikkerhed. Men selv om social engineering allerede i dag udgør en betydelig udfordring og sikkerhedstrussel, kan kunstig intelligens (AI) gøre det endnu værre. 

Den menneskelige faktor har længe været en væsentlig faktor i forhold til virksomhedernes sårbarhed. Medarbejdere misbruger netværksrettigheder. De kan give oplysninger væk til ondsindede aktører. De kan lave fejl, de kan blive manipuleret. Den seneste udgave af den store IT-sikkerhedsundersøgelse ’Data Breach Investigations Report (DBIR)’ viser, at den menneskelige faktor spiller en rolle i næsten tre fjerdedele (74 procent) af brud på IT-sikkerheden, og at social engineering udgør en stor del af dem.

Social engineering vokser i høj grad takket være pretexting, hvor en opdigtet historie eller påskud bruges til at narre en bruger til at afsløre følsomme oplysninger. Antallet af pretexting-angreb er næsten fordoblet det seneste år og tegner sig for næsten halvdelen af alle social engineering hacks. Og der er tre grunde til, at den igangværende udvikling af generativ AI kan accelerere antallet af pretexting-angreb endnu mere: 

1. AI kan gøre pretexting mere troværdige. Eftersom effektiviteten af pretexting afhænger af, hvor autentisk påskuddet virker på modtageren, kan den generative AI’s stadig mere sofistikerede og naturlige sprogbehandlingsevner gøre denne form for hacking endnu mere realistisk. For eksempel kan generativ AI bruges til at efterligne skrivestile hos betroede virksomheder eller enkeltpersoner. 

2. Kraftig opskalering af pretexting-angreb. Samtidig har generativ AI sandsynligvis potentialet til så at sige at industrialisere pretexting-angreb – angreb i stor skala baseret på evnen til at producere tekst, der fremtræder flydende på en lang række forskellige sprog. 

3. De fleste hacks foregår manuelt, hvilket gør angreb i stor skala tidskrævende og arbejdskrævende. Men med AI har en trusselsaktør bedre mulighed for at undersøge en virksomhed for dens svagheder – eller sagt på en anden måde: Med AI kan en ensom hacker fremover udgøre den samme trussel som et helt team af hackere kan i dag. 

Disse typer af hacks udgør en stadig større omkostning for mange virksomheder, og det sker samtidig med, at den øverste ledelse, som har adgang til de mest følsomme oplysninger, kan udgøre en stor cyber-sikkerhedsrisiko. Der er eksempler på, hvordan CEOs er undtaget fra at overholde de samme strenge sikkerhedsstandard, når legitimationsoplysninger skal oprettes og opdateres, som gælder for andre i virksomheden. Der er også eksempler på, hvordan fx en CFO får lov til at bruge sin foretrukne enhed, selvom det betyder, at der rykkes frem og tilbage mellem personlige og professionelle enheder. 

AI kan effektivisere angrebene – men også forsvaret 

Mange virksomheder har investeret betydeligt i træning og beskyttelse af deres medarbejdere, men den indsats undermineres, hvis nøglemedarbejderne forbliver sårbare, og derfor er der al mulig grund til at prioritere sikkerheden hos den øverste ledelse. 

Løsningen begynder med at sørge for, at nøglemedarbejderne overholder de samme sikkerhedsstandarder, som gælder for alle i virksomhedens netværk. AI kan øge truslen, men AI kan samtidig styrke virksomhedens forsvar ved at gøre opdagelsen af trusler og responsen på dem smartere og mere automatiseret. AI kan effektivisere hacking, men også effektivisere virksomhedens cyber-forsvar. 

Pointen er, at AI er kun så god eller så ondsindet som de mennesker, der bruger den. Problemet starter måske hos mennesker, men det gør løsningen også.