Kronikker gir uttrykk for skribentens meninger.
Deepfake – teknologien som muliggjør manipulasjon av stemmer og videoer – har utviklet seg i en rasende fart. Det øker svindelfaren for både enkeltpersoner og virksomheter.
Det fikk en finansmann i Hong Kong bittert erfare i fjor. Intetanende utbetalte han 250 millioner kroner fra arbeidsgiverens konto til svindlere.
«Kollegene» på møtet var deepfakes
Det hele startet med en epost, angivelig fra selskapets økonomisjef i Storbritannia. Finansmannen ble mistenksom fordi eposten anmodet ham om å utføre en uregelmessig transaksjon. Men så skjedde noe som fikk ham til å senke “guarden”.
Innkalt til et videomøte så han kolleger han kjente igjen, både av utseende og stemmer, som tilsynelatende bekreftet transaksjonen. Først etter at pengene var blitt betalt ble det klart at “kollegene” i møtet var deepfakes.
"Deepfakes er blitt enkle å lage. Kun ett enkelt stillbilde og 60 sekunder med taleopptak trengs for å få hvem som helst til å si og gjøre hva som helst."
Her hjemme ble DNB nylig utsatt for et angrep av samme type som under raidet i Hong Kong i fjor. Fremstøtet var mindre sofistikert, og det lyktes banken å stanse det. Men i en tid da deepfake-teknologien blir stadig kraftigere, samt mer tilgjengelig og brukervennlig, har vi et godt råd.
Mot slik kriminalitet finnes nemlig et enkelt og effektivt beskyttelsestiltak som foreløpig er lite brukt. Løsningen kalles en signeringsnøkkel og er et digitalt fingeravtrykk som er unikt for deg og umulig å kopiere.
Umulig å oppdage med det blotte øye
Forskning viser at mennesker ikke lenger klarer å gjenkjenne deepfakes med det blotte øye. KI-basert stemmekloning er også blitt mer troverdig, ja flinkere til å lure folk enn det profesjonelle stemmeimitatorer er.
Deepfakes er også blitt enkle å lage. Kun ett enkelt stillbilde og 60 sekunder med taleopptak trengs for å få hvem som helst til å si og gjøre hva som helst.
Med alt dette som bakteppe: Hvordan kunne nettopp en signeringsnøkkel ha avverget deepfake-svindelen som den ansatte i Hongkong ble offer for?
Unik digital signatur
En slik nøkkel kan komme i flere former. Deriblant en fysisk enhet som ligner på en USB-minnepinne. Men nøkkelen kan også være lagret trygt på mobiltelefonen din, eller som en beskyttet fil på datamaskinen.
Uansett form inneholder den din unike digitale signatur som ingen andre kan kopiere.
Teknologien bak nøklene er også helt frakoblet KI-kappløpet. De vil derfor fungere like godt uansett hva som skjer rent geopolitisk.
Signeringsnøkkelen har to deler: én hemmelig og én offentlig. Billedlig forklart virker den sånn: «Hei sjef. Bruk den hemmelige delen av nøkkelen til å signere det du ba om på videomøtet. Så kan jeg bekrefte at du faktisk ber om dette, siden jeg har den offentlige delen av nøkkelen din».
Oppskrift som ville avslørt svindelen
Hvis finansmannen i Hong Kong hadde hatt den offentlige delen av nøkkelen til økonomisjefen, ville det hele ha stoppet der. Da kunne han enkelt bedt om en signert bekreftelse på overføringen. Omtrent som å be om at en signert kontrakt overføres lynraskt digitalt.
Svindlerne ville ikke hatt tilgang til økonomisjefens private signeringsnøkkel. Derfor kunne de ikke gitt finansmannen bekreftelsen, og svindelen ville blitt avslørt.
Det krever ikke mange timer for kompetente medarbeidere å lære seg digital signering. Kostnaden for tidsbruken blekner mot det mulige tapet ved en svindel.
Vær bevisst på din «digitale tilstedeværelse»
Som forskere jobber vi nå med å bevisstgjøre folk om hvor kraftig og tilgjengelig deepfake-teknologien har blitt. Vi kartlegger også i hvor stor grad dagens deteksjonalgoritmer kan hjelpe oss å oppdage deepfakes på norsk.
Men for å avverge manipulerte betalingsordre, som i Hong Kong-saken, kommer man altså langt uten så avanserte metoder.
Mange bedrifter har prosedyrer som krever dobbel godkjenning for store overføringer. Ved å inkludere krav om digital signering, får selskapet et ekstra sikkerhetsnivå som er motstandsdyktig mot deepfake-svindel. Dette er spesielt viktig når overføringen haster og ved forslag om endringer i betalingsrutiner – to klassiske kjennetegn på svindelforsøk.
Et annet grep du kan ta, er å være bevisst på din «digitale tilstedeværelse». Om angripere ikke får tak i opptak av stemmen din, kan de heller ikke «deepfake» den. Men så lenge et videoklipp av deg ligger et eller annet sted på nett, er du i teorien utsatt.
Å være bevisst på hva du legger ut på nett er derfor viktigere enn noen gang.
Lær opp familien din
Hvis bilder av deg og dine allerede ligger på internett, så lær opp familien til å signere digitalt. Det kan lønne seg den dagen du får et videoanrop fra barnet ditt. Hen er på vennetur og ber deg om penger fordi lommeboken er mistet.
Men er det barnet ditt? Eller er det en deepfake?
Når vi nå ikke lenger kan stole på våre egne øyne og ører, er det verdt å ha alt dette i pannebrasken. I en slik verden kan en gjennomtenkt tilnærming til digital sikkerhet gjøre en reell forskjell.
Dette innlegget ble først publisert i Dagens Næringsliv og gjengis her med DNs tillatelse.