AI-understøttet cyber-kriminalitet vil i høj grad ramme SMV’erne
IT-kriminelle har set magien i ”kunstige intelligenser” som ChatGPT, som benyttes i stor stil til at udtænke kreative strategier for at ramme dig og din virksomhed – og det går særligt ud over de små og mellemstore virksomheder.
Dette er et debatindlæg: Finans bringer løbende indlæg fra specialister og meningsdannere. De er alle udtryk for den pågældende skribents egen holdning.
ChatGPT blev lanceret i november 2022 af OpenAI, en AI- og forskningsvirksomhed, og er et AI-baseret værktøj, der er understøttet med uendelige mængder tekst og data og giver brugeren mulighed for at have menneskelignende samtaler – fuldstændig som en chatbot som Siri.
Forskellen er bare, at den nye generation af chatbots rent faktisk lyder og nærmest tænker som et menneske. De fleste, som har prøvet ChatGPT eller en tilsvarende next-gen AI, vil i hvert fald opleve en vis form for ”uncanny Valley”-følelse – at det næsten føles for ægte.
For de nye chatbots er i stand til at forstå kontekst og relevans. Selvom det fungerer bedst ved hjælp af det engelske sprog, kender det mindst 95 naturlige sprog og en række programmerings- og kodesprog som Python og JavaScript.
Og selvom ChatGPT har mange nyttige evner for både virksomheder og private – Microsoft er allerede ved at indføre ChatGPT i Office-pakken – er det et også kraftfuldt værktøj for cyberkriminelle, der ønsker at udvide omfanget og effektiviteten af deres cyberangreb. Det kan hurtigt blive katastrofalt for en virksomheds it-sikkerhedsforsvar.
Selvom ChatGPT ikke har muliggjort nogen nye angrebsmetoder, hjælper den kunstige intelligens den kriminelle til at udvikle angreb på en bedre og hurtigere måde med mere automatisering. Og det er så let, at selv autodidakte it-kriminelle, altså ufaglærte it-kriminelle, kan komme ind i spillet.
De nye AI-angrebsmetoder går ikke kun efter de store, pengetunge virksomheder: Tværtimod tyder alt på, at det stadig er SMV’erne, som står for skud, når robotterne kommer.
Robotterne hjælper hackerne
ChatGPT giver dybest set angribere mulighed for at være hurtigere og mere automatiserede til at skrive phishing-tekst. Det skaber i øjeblikket ikke sofistikeret ny malware, og det vil heller ikke ændre trusselslandskabet væsentligt bortset fra at øge frekvensen, men hackere kan stadig bruge det som en effektiv kodemæssig idegenerator til at bryde igennem et specifikt it-forsvar.
Ligeledes har vi også set eksempler på, at de it-kriminelle benytter kunstig intelligens til automatiserede chatbots til eksempelvis ”romance” eller LinkedIn-scams, for du tror, du taler med et menneske, men reelt set bliver snydt af en veltalende bot.
Ligeledes ser vi it-kriminelle allerede nu benytte ChatGPT og lignende til at skabe mere troværdige, mere korrekte og ikke mindst mere lokkende tekster til phishing-materiale – hackernes mest benyttede redskab til at bryde igennem.
ChatGPT bliver altså primært benyttes til at snyde folk til selv at åbne døren op til deres bankkonti eller virksomheds netværk. Vi ser, at over 90 procent af succesfulde it-angreb sker, fordi nogen klikkede på et link i en email – og er de it-kriminelle først inde, ser vi stadig at ransomware er det mest yndede våben.
Her bliver it-kriminelle også stadig mere kreative, og laver to-tre afpresningsforsøg: Både i forhold til de krypterede data og ved at afkræve penge for ikke at afsløre hacket offentligt (udskammelse og potentiel GDPR-bøde) samt det seneste: At hackerne ringer eller skriver til den hackede virksomheds kunder.
SMV: Beskyt dig selv
Mange tænker nok, at det kun er de store virksomheder, som står for skud, men nej: SMV-segmentet har oftest drastisk undervurderet vigtigheden af og underprioriteret it-sikkerhedsløsninger og it-sikkerhedstræning af de ansatte, og der er et massivt skyggetal: I USA estimeres det, at 75 procent af alle angreb mod SMV’er aldrig bliver offentliggjort.
Et tal som næppe er helt misvisende for et digitalt SMV-land som Danmark, og nye tal fra PwC viser da også, at 73 procent af danske virksomheder har oplevet cyberkriminalitet inden for det seneste år. Ligeledes ser vi også stadig flere SMV’er rykke mod skyen og dermed konsolidere deres data og services, hvilket kun udsætter dem yderligere for fare. En investering i it-sikkerhed er en investering i virksomhedens overlevelse.
Så hvad skal man gøre for at beskytte sig mod de ondsindede AI’s? Man skal styrke de ansattes sunde fornuft over for spear phishingmails og lære dem at spotte de ”tells,” der er i falske mails. Det vigtigste redskab er altid at være skeptisk: Klik ikke på links i mails, du ikke stoler på og tjek op via anden kommunikation med afsenderen, hvis du er i tvivl om ægtheden ved en mail.
Cyber-sikkerhedssoftware kan og vil beskytte din virksomhed, men den menneskelige firewall – dine ansatte – er en afgørende brik i dit cyber-sikkerhedsforsvar.
