AI har allerede demonstreret, hvordan den kan booste produktiviteten. Men det gælder desværre også for cyberkriminelle, der allerede nu udnytter AI på måder, som vil sprænge rammerne for, hvad effektiv corporate IT-sikkerhed omfatter.

AI har gjort deepfake mainstream. For ganske små beløb og med indhold fra kanaler som TikTok, Instagram, Facebook eller virksomheders websites kan cyberkriminelle fx nemt skabe kloner af din, min, vores kollegaers og børns stemmer, som er stort set umulige at skelne fra de samme personers virkelige stemmer.

Tidligere i år blev den fremgangsmåde udnyttet på groveste vis, da amerikanske Jennifer DeStefano modtog et anonymt opkald, hvor en person sagde, at han havde kidnappet hendes 15-årige datter. Han krævede 1 mio. USD i løsesum. Ifølge DeStefano kunne hun høre sin datter i baggrunden. 

Hun græd og råbte om hjælp. Efter forhandling blev løsesummen reduceret til 50.000 USD, men inden DeStefano nåede at betale, lykkes det hende heldigvis på anden vis at konstatere, at hendes datter var i sikkerhed, og det gik op for hende, at stemmen, hun havde hørt i baggrunden, var fake.

Selvom DeStefano slap med skrækken, illustrerer den virtuelle kidnapning, at moderne AI kan udnyttes til at skabe konstruerede situationer, som opleves så ægte, at ens dømmekraft nemt kan sættes ud af spil, fordi man eksempelvis er overbevist om, at ens barn er blevet kidnappet. Før AI var et lignende angreb stort set utænkeligt.

Direktørsvindel på helt nyt niveau
Der er ingen tvivl om, at vi i den nærmeste fremtid vil se angreb, som ligner DeStefano-sagen, men blot i corporate sammenhæng. Angrebene vil formentlig være mindre ekstreme, men lige så overbevisende. 

Velkendte scams som fx direktørsvindel vil blive flyttet op på et helt nyt niveau, når de ikke længere kun er baseret på tekst i en e-mail, men benytter sig af stemme- og videooptagelser af fx virksomhedens CFO eller revisor.

Den type af AI-boostede scams er traditionelle corporate IT-sikkerhedssystemer slet ikke gearede til at håndtere. Stemme- og videodata lukkes ud og ind af virksomhedernes netværk i enorme mængder og danner baggrund for både store og små beslutninger – uden at nogen betvivler ægtheden af det, de hører eller ser.

Sager som DeStefanos tvinger os derfor til at se på effektiv IT-sikkerhed med nye øjne. Vores identitet går i dag langt ud over vores navn, e-mailadresse og foto. Den omfatter også vores stemme, hænder og ansigt. Vores IT-sikkerhedssystemer skal derfor gentænkes, så de bliver bevidste om den enkelte medarbejders komplette identitet. 

Men også, så IT-sikkerhedssystemerne er i stand til at skelne den ægte identitet fra AI-skabte kloner. Et aktuelt tiltag i den retning er fx World ID, hvor scanninger af personers øjne danner grundlag for et digitalt pas, som skal sikre, at vi kan skelne mennesker fra robotter.

Det bliver en både stor og svær opgave at opgradere virksomhedernes IT-systemer, så de kan modstå AI-boostede deepfakes, fordi vi er vant til, at vi kan stole på det, vi hører og ser. Men efterhånden som vi ser flere angreb, der ligner DeStefano-sagen, vil vi heldigvis blive klogere på, hvordan vi forsvarer os imod de nye AI-trusler. 

Vi vil kunne analysere angrebene og udvikle sensorer, der med stadig større præcision kan spotte tegn på, om det, vi ser og hører, er ægte. Første skridt er imidlertid, at vi alle bliver mere bevidste om de nye risici, som AI fører med sig, og begynder at udvise en nødvendig kritisk sans over for ting, som vi indtil for nylig blot tog for givet.