Al in 2019 – wat nu aanvoelt als honderd jaar geleden – publiceerde Moody's een officiële onderzoeksaankondiging waarin de dreiging van deepfakes voor organisaties en individuen werd belicht. Hoewel het rapport destijds grotendeels werd genegeerd, lijken veel van de voorspellingen die erin werden gedaan nu griezelig actueel.
In het rapport wordt er met name op gewezen dat deepfakes voor veel meer kunnen worden gebruikt dan alleen het namaken van video's van politici. Ze kunnen ook worden gebruikt om de geloofwaardigheid van een bedrijf, en dus zijn financiële gezondheid, aan te tasten, om nog maar te zwijgen van het gebruik van nepvideo's om ‘slimme’ fysieke beveiligingssystemen te vervalsen.
Dit is natuurlijk geen nieuwe zorg. Deepfakes kwamen voor in onze voorspellingen voor cyberbeveiliging in 2021 en alleen al in de afgelopen maanden hebben we gezien dat het opsporen ervan een aanzienlijke last legt op de gezondheidsindustrie. Maar desondanks zijn veel beveiligingstechnici nog steeds niet voorbereid op een toekomst waarin deepfakes het zoveelste hulpmiddel voor hackers zijn. In dit artikel bekijken we waarom dat zo is en wat u kunt doen om uw organisatie te beschermen.
Deepfakes Pro
Laten we eerst een mythe ontkrachten: deepfakes vormen een reële bedreiging voor de cyberbeveiliging van consumenten en ondernemingen. Helaas is de technologie tot nu toe vooral voor ‘plezier’ gebruikt. Het resultaat is dat zelfs ervaren veiligheidsanalisten de echte dreiging die erin schuilt, vaak over het hoofd hebben gezien.
Een andere reden voor deze onderschatting van het gevaar van deepfake video's is dat netwerktechnici zo gewend zijn te zoeken naar complexe, netwerkgerichte bedreigingen dat ze de meest voor de hand liggende manieren om systemen te compromitteren over het hoofd kunnen zien. De meeste cyberaanvallen beginnen niet met exotische, zelfversleutelende malware, maar met een geslaagde phishingpoging. En deepfakes brengen de mogelijkheid om te phishen naar een hoger niveau.
Dit gevaar werd in feite al voorzien in het verslag van Moody's dat ik hierboven reeds heb genoemd. “Stel je een nep maar realistisch ogende video voor van een CEO die racistische opmerkingen maakt of opschept over corrupte daden”, schreef Leroy Terrelonge, AVP-Cyber Risk Analyst bij Moody's. “Vooruitgang in kunstmatige intelligentie zal het makkelijker maken om zulke deepfakes te maken en moeilijker om ze te ontkrachten. Aanvallen met desinformatie kunnen een ernstige negatieve invloed hebben op de kredietwaardigheid van de bedrijven die er het slachtoffer van zijn.”
Met andere woorden, de waardevolle activa van een bedrijf in de echte wereld kunnen in gevaar komen door een aanval van digitale pixels. Het zou kunnen gebeuren. Stel je een deepfake aanval voor die niet (of slecht) wordt bestreden en die kan leiden tot merkverval, een verkoopdaling, dalende aandelenkoersen en nog veel meer.
Het spreekt voor zich dat dit soort dreiging – waarbij een ‘deepfake’ wordt gebruikt om het vertrouwen van de markt te ondermijnen, in plaats van een systeem te hacken – niet het soort dreiging is waarmee beveiligingsexperts gewoon zijn om te gaan. Daarom moeten organisaties, om dit gevaar te bestrijden, een meer holistische visie op beveiliging hanteren en inzien hoe groot de dreiging van deepfakes is.
Totale dreiging
Academici en analisten beginnen nu pas te beseffen wat er met deepfake video's kan worden bereikt. In een vorig jaar gepubliceerd rapport heeft het Brookings Institution een overzicht gegeven van de risico's die verbonden zijn aan deepfakes. Hun conclusies waren vrij apocalyptisch. Deepfakes kunnen, zo schreven ze, worden gebruikt om “het democratisch debat te verstoren, verkiezingen te manipuleren, het vertrouwen in instellingen aan te tasten, de journalistiek te verzwakken, sociale verdeeldheid te verergeren, de openbare veiligheid te ondermijnen en de reputatie van prominente personen, waaronder verkozen functionarissen en kandidaten voor een ambt, schade toe te brengen die moeilijk te herstellen is”.
Vanuit het perspectief van bedrijven is het scala aan risico's even breed. Op het meest elementaire niveau kunnen ‘deepfakes’ worden gebruikt om de gezichtsherkenningssoftware te misleiden waarop veel consumenten en bedrijven vertrouwen voor toegangscontrole. Dit maakt deepfakes tot een van de grootste bedreigingen voor cloudbeveiliging. Als je bedenkt hoeveel smart home gadgets er in de gemiddelde woning aanwezig zijn, en hoeveel van deze woningen afhankelijk zijn van beveiligingscamera's met gezichtsherkenning, is het ook duidelijk dat we deepfakes tot de grootste bedreigingen voor consumentengegevens in het algemeen moeten rekenen.
Op het breedste niveau kan de impact van deepfakes nog verder gaan. Tenzij we een doeltreffende manier vinden om deze video's te bestrijden, dreigen ze het vertrouwen te ondermijnen dat aan de basis ligt van alle soorten communicatie – niet alleen die tussen politici en kiezers, maar ook die tussen CEO's en aandeelhouders, het grote publiek en merken. Zonder een manier om deepfakes doeltreffend op te sporen en hun impact te beperken, staan veel bedrijven voor een existentiële bedreiging.
Voorbereiden op de toekomst
Op dit ogenblik zijn de beschikbare hulpmiddelen om deepfakes op te sporen echter vrij beperkt. Hoewel deskundigen hebben betoogd dat deze hulpmiddelen centraal moeten staan in het onderzoek, en ondanks enkele veelbelovende vorderingen bij het gebruik van AI om de video's te reverse-engineeren, blijven de meeste deepfake video's gevaarlijk overtuigend.
Voor de meeste organisaties betekent dit dat ze zich moeten voorbereiden op de komst van het ‘deepfake-tijdperk’ door cyberbeveiligingsprocessen te integreren met bredere management- en PR-teams. In het jargon van onze tijd kan dit uiteindelijk de oprichting betekenen van DevSecPR-teams, die het volgende kunnen:
- CEO's en andere leidinggevenden opleiden over de gevaren van deepfakes en hen strategieën aanreiken om hierop te reageren
- Identificeren wanneer en waar uw organisatie in de media wordt genoemd en de aanpak van schadelijke incidenten in real time plannen
- De hulpmiddelen inzetten die beschikbaar zijn voor de opsporing van deepfakes, om ervoor te zorgen dat de daarin vervatte informatie kan worden ontkend en beheerd
- Reactieplannen opstellen voor het beheer van incidenten met deepfakes, waarin de voornaamste belanghebbenden worden genoemd en wordt aangegeven hoe en wanneer informatie over het incident zal worden vrijgegeven
Alleen door op deze holistische manier te werken, kunnen organisaties hopen de groeiende dreiging van deepfakes te beperken, want het wordt snel duidelijk dat dit risico veel verder gaat dan eenvoudige phishingaanvallen.
Conclusie
Het kan natuurlijk zijn dat sommige van deze voorspellingen niet uitkomen en dat we niet in een tijdperk terechtkomen waarin deepfakes gemeengoed zijn. Misschien komt er een waterdichte manier om deze video's te detecteren en verdwijnt hun dreiging. Tot die tijd moeten organisaties deze dreiging echter serieus nemen – niet alleen door ervoor te zorgen dat ze hun gegevensbeveiliging verbeteren, maar ook door de sociale en financiële gevolgen van deepfake video's op te vangen.