Slik avslører og håndterer du AI og direktørsvindel

Du blir litt overrasket over at han ringer deg på Teams, men svarer selvsagt umiddelbart.

«Hei, jeg trenger at du gjennomfører en hastebetaling på 850 000 kroner så raskt som mulig,» sier han alvorlig. «Det haster, så vi kan ikke diskutere det nå, men jeg sender deg betalingsdetaljene på e-post rett etter samtalen».

Som IT-sikkerhetsdirektør i Atea-konsernet, og med over 20 år i bransjen, har jeg sett hvor utrolig lett det er å bli lurt når slike forespørsler kommer brått og troverdig.

Når AI gjør svindelen mer troverdig

Men allerede her er det mange røde flagg, i hvert fall for oss som jobber med IT-sikkerhet på fulltid. Jeg har sett det gang på gang gjennom mine år i bransjen, både som sikkerhetsdirektør i Atea og i møte med virksomheter over hele landet. Men kvaliteten og kreativiteten på det som kalles direktørsvindel er i en enorm utvikling. Mye takket være hjelpen nettkriminelle får fra kunstig intelligens (AI).

Direktørsvindel, også kalt CEO-svindel eller BEC-svindel (Business Email Compromise), innebærer at en ansatt med myndighet til å foreta betalinger lures til å betale en falsk faktura eller foreta en uautorisert overføring fra bedriftens konto.

AI manipulerer både video og lyd

Allerede i 2021 ble det første svindelforsøket med AI-manipulering av både videobilde og lyd utført, og siden den tid har omfanget spredt om seg. Nylig fikk DNB omtale etter at deres toppledere ble misbrukt i et falskt videomøte, der målet var å få DNB-ansatte til å utbetale 24 millioner kroner til svindlerne. DNB gikk ikke på limpinnen, men det finnes mange eksempler der nettkriminelle lykkes også.

For eksempel da en finansarbeider i et multinasjonalt selskap ble lurt til å overføre totalt 25,6 millioner dollar. Fremgangsmåten var ganske likt som hos DNB, da offeret ble lurt inn i en videokonferanse hvor han trodde han snakket med selskapets finansdirektør og flere kollegaer. Alle deltakerne i videomøtet viste seg å være «deepfakes» av både ansikter og stemmer skapt ved hjelp av kunstig intelligens.

Tenk kritisk i møte med uvanlige forespørsler

Som påpekt i den siste trusselvurderingen fra Nasjonal Sikkerhetsmyndighet (NSM), blir generativ kunstig intelligens i økende grad brukt til å lage falsk informasjon, inkludert bilder, videoer, lyd og tekst. Dette gir angripere muligheten til å forvirre, manipulere og påvirke både enkeltpersoner og organisasjoner, noe som øker risikoen for svindel og cyberangrep. Kombinasjonen av å oppleve at man prater med virksomhetens leder, og vårt iboende ønske om å være gode ansatte som hjelper virksomheten ut av en knipe, skaper en skummel situasjon.

Dette vet de IT-kriminelle.

Vi må derfor begynne å utfordre ledere som kontakter oss utenom satte rutiner for å få gjennomført oppgaver som kan ha konsekvenser for selskapet.

Dette er ikke nytt

Avanserte og manipulerende svindelforsøk er ikke noe nytt. Svært mange, både ledere og ansatte, kommuniserer med kompromitterte identiteter på e-post daglig. Men AI gir nye strenger å spille på og gjør det fort vanskeligere å skille. Likevel er det fortsatt slik at grunnleggende sikkerhetstiltak er nødvendige for å senke risikoen her også. Vellykkede svindelforsøk i alle varianter handler først og fremst om at de IT-kriminelle har kommet seg inn i systemet, og har tilgang til virksomhetens egne kommunikasjonskanaler og informasjon.

Hvordan avslører du AI?

Dagens teknologi er knallbra, men vi kan raskt avdekke AI ved å for eksempel stille spørsmål ingen med normal grunnkunnskap klarer å svare på. Dette kan være kompliserte regnestykker, eller mer kuriøse spørsmål som: Hva kona til den femte presidenten i USA heter, eller hvilke land som har vunnet de siste 10 Melodi Grand Prix-konkurransene. Kommer disse svarene kjapt, er det stor sannsynlighet for at du snakker med AI.

Ikke vær redd for at din leder eller samarbeidspartner opplever at du mistror dem. Om det skulle være en reell samtale, vil de sannsynligvis gi deg ros for å være våken og forsiktig med virksomhetens midler og informasjon.

Les mer om "Lederens guide til NIS2"

Slik setter du smarte retningslinjer og prosedyrer

Utover å bevisstgjøre de ansatte, så vil det være vesentlig å sette retningslinjer for hva som er forventet oppførsel, særlig knyttet til utbetalinger av penger. Retningslinjene må kommuniseres ut, og ansatte må få lov å utfordre uten at ledere tar seg nær av det.

Alle virksomheter bør etablere en bekreftelsesprosedyre for pengeoverføringer, spesielt der beløp overstiger et visst nivå.

Når en IT-kriminell kontakter offeret på kanaler som ikke normalt blir brukt av virksomheten, eksempelvis «Messenger», «FaceTime» og lignende, vil de aller fleste reagere på dette, og sjansen for å lykkes med svindelen synker betraktelig. Når det derimot kommer henvendelser på intern e-post eller Teams fra ledere, har allerede hackerne tilliten i dialogen, og dette gjør sjansen for å lykkes betydelig høyere.

Opplæring av ansatte

De ansatte er definitivt virksomhetens viktigste middel i kampen mot IT-kriminelle, men for å kunne holde tritt med et dynamisk trusselbilde og hackere som til stadighet finner nye svindelmetoder, er kontinuerlig kursing et «must». Det finnes mange forskjellige kurs og opplæringsmodeller til dette formålet. Selv foretrekker jeg korte sesjoner med videoklipp og quiz som alle må gjennomføre fortløpende. Gjerne i kombinasjon med «falske» e-poster som sendes ut til de ansatte for å teste at de får med seg innholdet i kursene og holder de på «alerten». Mange av disse kursene tilpasses virksomhetens drift, slik at eksemplene blir relevante og verdifulle for kursdeltagerne.

Hva virksomheter bør ha på plass

Å få på plass grunnleggende sikkerhetshygiene er ingen umulig oppgave, men krever at virksomhetene har en oversikt over egen IT-løsning sett opp mot dagens trusselbilde.I Norge bruker vi gjerne grunnprinsippene fra Nasjonal Sikkerhetsmyndighet som rettesnor for hvilke tiltak en virksomhet bør ha på plass. I EU bruker man blant annet cybersikkerhetsdirektivet NIS2, og den kommende sikkerhetsloven i Norge vil sannsynligvis være preget av en kombinasjon av disse to.

Eksempler på tiltak alle virksomheter bør ha på plass er gode patche-rutiner, kontroll på alle autoriserte og uautoriserte enheter i nettet og flerfaktorautentisering (MFA) på alle systemer, særlig e-post og økonomisystemer.

«Zero Trust»: Skifte mot total verifisering og sikkerhet

Flere og flere virksomheter innfører også «Zero Trust»-prinsippet, noe jeg anbefaler på det sterkeste. Dette går i all enkelhet ut på at man istedenfor å tro at alt bak bedriftens brannmur er trygt, antar «Zero Trust»-modellen brudd og verifiserer hver forespørsel som om den kom fra et ukontrollert nettverk. Uansett hvor forespørselen kommer fra eller hvilken ressurs den får tilgang til, lærer «Zero Trust»-modellen oss å aldri stole på, og alltid verifisere. «Zero Trust»-beskytter brukerkontoer, enheter, applikasjoner og data uansett hvor de befinner seg.

Med «Zero Trust» går du bort fra et tillit-ved-standard (som de kriminelle benytter i dag) til et tillit-ved-unntak-perspektiv. Du kan lettere oppdage trusler, reagere på trusler, og forhindre eller blokkere uønskede hendelser på tvers av organisasjonen.

Ja, det kunne skjedd deg

Jeg får ofte spørsmålet «om dette kunne skjedd i min virksomhet», fra bekymrede virksomhetslederes som har lest en artikkel i nyhetene om noen som har blitt kompromittert og hacket av kriminelle.
Svaret er dessverre «Ja», dette kunne skjedd de aller fleste».

Selv om utviklere av sikkerhetsløsninger som skal stoppe hackerne er utrolig dyktige, ligger vi ofte hakket bak de kriminelle. Særlig i møte med oss naive nordmenn, som utpeker oss som et av de mest tillitsfulle folkeslagene i verden.

En av de største bekymringene Kripos peker på i sin ferske rapport, er at sanntidsgenererte «deepfakes gjør det vanskeligere å avsløre svindel. Nettopp fordi ofre har mindre tid til å vurdere om en videokonferanse eller telefonsamtale er ekte, men også fordi kvaliteten har blitt så god at det er umulig å skille mellom ekte og falsk.

Som alltid er mitt beste råd: Stopp, tenk og ager.

Det er bedre å bli oppfattet som lettere paranoid enn å bli lurt.