.png)
AI, deepfakes och dokumentbedrägerier. Vi har frågat experterna vad de anser vara de mest oroande säkerhetshoten under de kommande månaderna och åren. Var uppmärksam. Deras insikter kan spara din organisation tid, pengar och värdefull infrastruktur.
Möt experterna:
Jan Olsson är kriminalkommissarie vid Nationellt cybersäkerhetscenter på Nationella operativa avdelningen (NOA). Han har arbetat inom svensk polis i över 30 år, varav 15 år med särskilt fokus på internetrelaterad brottslighet och specialkompetens inom bedrägeri och komplex cyberbrottslighet.
Carl Heath är seniorforskare och fokusområdeschef för det strategiska området Robusta informationssystem vid RISE (Research Institutes of Sweden). Han strävar efter att stärka förutsättningarna för ett säkert och resilient samhälle i en digital tidsålder. Carls forskning kretsar kring samhällets strukturella digitala omvandling, framför allt kring frågor om demokrati, digital resiliens, innovation och lärande. Han har varit riksdagens särskilda rådgivare för skydd av demokratisk dialog och är i dag ledamot i ett tankesmedja för Nordiska rådet om demokrati och teknik.
Ulf Gustavsson är generalsekreterare för European Organization for Quality, EOQ. Tidigare uppdrag inkluderar lednings- och styrelsepositioner vid Svenska Föreningen för Kvalitet (SFK), telekomföretaget Millicom, Qvalify och IKEA. Under åren 1993 till 2000 var Ulf militärofficer vid Lapplandsbrigaden i Kiruna och han är fortfarande en del av Försvarsmakten som officer i Hemvärnet.
Anna Schneider är grundare av säkerhetsföretaget Afactor, som specialiserar sig på informationssäkerhet och medarbetarsäkerhet. Anna har en polisbakgrund från olika roller och befattningar vid Säkerhetspolisen och Ekobrottsmyndigheten.
Per Lagerström är kommunikations- och marknadschef på Junglemap, som sedan 2006 använder nanolärande inom informationssäkerhetsmedvetenhet, integritet och GDPR. Junglemaps nanometod fokuserar på beteendelärande som håller över tid, med fokus på praktisk handling.
Jimmy Åberg är underrättelsechef på SRS Security, vars huvudsakliga arbete består av att proaktivt övervaka säkerhetssårbarheter hos företag och privatpersoner, och sedan bedöma lösningar. Jimmy har arbetat inom polisen i 22 år och ägnade 14 år uteslutande åt avancerat underrättelsearbete.
Jan Olsson: "Under de senaste tre åren har utpressningsprogram tagit täten. Om vi bara tittar på siffror kan vi se att nätfiskeattacker också ökar kraftigt. Av alla dataintrång som sker i världen ansvarar nätfiske för ungefär 80 procent av dem. Vi ser också att Office 365-sviten har blivit särskilt sårbar för attacker."
Carl Heath: "Den ryska invasionen av Ukraina är ett tydligt tecken på en ny era, både för näringsliv och offentlig sektor. Den allt mer auktoritära utvecklingen i Kina förstärker en dystrare bild av den rådande världsordningen, där demokrati och öppna samhällen sätts på allt hårdare prov. Vi lever återigen i en tid där geopolitiken spelar en avgörande roll för affärsliv och säkerhet. Cybersäkerhetsfrågor, informationspåverkan och desinformation, industrispionage och organiserad brottslighet är några exempel på säkerhetshot som blir alltmer utmanande."
Ulf Gustavsson: "Jag ser de stora hoten i de vardagliga saker som till en början kan verka helt ofarliga. Det kan vara ett oskyldigt e-postmeddelande som i själva verket är en trojansk häst och startar en kedja av händelser. Ett oaktsamt klick som kan leda till förödande konsekvenser. Eller ett olämpligt samtal på tåget, där för mycket information delas och fel person lyssnar. Ett annat exempel kan vara en borttappad dator eller mobiltelefon. Den tekniska utvecklingen går så fort att de hot vi är vana vid i dag kan anta helt andra former i morgon. Slutligen tror jag att vi kan komma att se allt mer sofistikerade hot med hjälp av AI framöver."
Anna Schneider: "Framför allt ser vi ett ökat hot från statsaktörer som försöker tränga in i svenska myndigheter och organisationer för att samla information om vårt nationella försvar. Industrispionage är också ett problem, inklusive utländska makter som tillskansar sig teknik på otillåtna sätt. Forskning och innovation värd miljarder stjäls i Sverige."
Per Lagerström: "Pandemin innebar att organisationer och företag tog ett jättekliv när det gäller distansarbete. Ett steg som i sin tur möjliggjordes tack vare snabb och omvälvande digitalisering. Det innebar också att vår digitala sårbarhet och antalet säkerhetsrisker ökade dramatiskt. Den senaste tidens kraftiga ökning av nätfiske- och utpressningsattacker beror till stor del på denna förändring. De som ägnar sig åt cyberbrottslighet fick plötsligt en mycket större marknad att verka på. Utvecklingen har inneburit att cybersäkerhet och underrättelsearbete prioriteras högt av många företag och organisationer, med en ökad insikt om att de mänskliga brandväggarna är helt avgörande för att skapa en väl fungerande cybersäkerhet."
Jimmy Åberg: "Vi är generellt sett alltmer beroende av digitala tjänster för att kunna göra våra jobb. Vi har insett att digitalisering medför fantastiska möjligheter, men också ett ökat hot. Företag har fått möjligheter att förbättra sin verksamhet, men samtidigt har kriminella många fler verktyg att arbeta med."
Carl Heath: "Jag tror att de säkerhetshot vi ser i dag kommer att fortsätta vara utmanande under många år framöver, samtidigt som tekniken utvecklas snabbt inom flera områden, där AI kanske har blivit det mest uppenbara och mest omtalade."
Ulf Gustavsson: "Det blir problematiskt att alltid ha tillräcklig och aktuell medvetenhet och planer för potentiella säkerhetshot, och samtidigt låta kunder och framför allt medarbetare arbeta så effektivt som möjligt. Att arbeta hemifrån ställer andra krav på medarbetarnas säkerhetsmedvetenhet jämfört med när man är på arbetsplatsen, där det finns passerkort, nycklar och säkrare brandväggar. Det är inte lätt att hitta balansen mellan delad data och systemtillgång, för kunder eller medarbetare, och att göra det med tillräcklig säkerhet."
Per Lagerström: "Den senaste generationens AI innebär, för att citera Microsoft, att säkerhetslandskapet 'ritas om för alltid'. Attackerna kommer att bli vanligare, mer sofistikerade, och de kommer också att utvecklas och förändras allt snabbare."
Jan Olsson: "I mina föreläsningar försöker jag alltid lyfta vikten av hur vi lagrar våra data. Stora och små företag vänder sig till molntjänster i stället för interna IT-avdelningar, eftersom det ofta är billigare och mer flexibelt. Vi rekommenderar molntjänster, eftersom de investerar mycket tid och pengar i sin säkerhet, men det är ett verkligt problem att så mycket data samlas på ett ställe. Molntjänster är sammantaget ett stort framtida hot. Även om molntjänster redan är normen bör vi vara medvetna om att de bästa och mest sofistikerade hackarna riktar in sig på stora molntjänster snarare än på enskilda små företag. Framöver, och redan i dag, är identifiering avgörande. Jag vet inte om legitimationer fortsatt kommer att vara 'fysiska dokument' eller 'digitala certifikat', men något måste hända."
Jimmy Åberg: "Den största sårbarheten finns hos oss människor, inte i tekniken. Att utnyttja den mänskliga faktorn kommer alltid att vara den enklaste vägen för en angripare. Sextio till 85 procent av alla datastölder och företagsbedrägerier börjar med ett mänskligt misstag. Många företag lägger mycket pengar på att bygga robusta och säkra digitala system som kan stå emot tekniska attacker, men det spelar ingen roll när den människa som redan finns innanför murarna är den som attackeras."
Anna Schneider: "Att validera information kommer att bli ett problem, och vi behöver tillräcklig teknik för att hjälpa oss att göra det på ett smart och säkert sätt."
Den snabba utvecklingen av verktyg baserade på artificiell intelligens kan potentiellt hjälpa bedragare. Hur stort är det här hotet?
Carl Heath: "Det finns exempel på hur AI-baserade språkmodeller som ChatGPT används för att identifiera sårbarheter i system, som sedan kan attackeras lättare. Verktyg för att skapa bilder, videor och ljud används för informationspåverkan eller för bedrägerier. Samtidigt innebär framväxten av ny teknik som används för att begå brott att organisationer behöver stärka sin motståndskraft. Kontinuerlig utbildning och utveckling hjälper, och samarbete med andra är också mycket viktigt."
Ulf Gustavsson: "Som jag nämnde kan AI vara till stor hjälp i många sammanhang, men det kan också, om det används fel, bli en vändpunkt för en individ eller ett företag. Det senaste exemplet jag hörde om var AI som kunde imitera en persons röst och lura anhöriga att genomföra pengaöverföringar. Ett annat hot att vara medveten om är när AI används som intrångsverktyg för att få tillgång till information och sedan sammanställa den."
Per Lagerström: "AI kommer att spela en helt avgörande roll i utvecklingen av cyberhot. Men detsamma gäller för lösningarna. Med hjälp av AI kan vi stärka cybersäkerheten. En av utmaningarna ligger i att både attacker och försvar bygger på samma teknik. Vi vet egentligen inte vad effekterna av det kommer att bli, men det är uppenbart att vi inte kan släcka en eld med bensin. Avancerad teknik räcker inte för att motverka förstärkta IT-attacker. Tvärtom behöver vi fokusera mer på hur vi människor agerar. Att förebygga mänskliga impulser och få människor att stanna upp, tänka och våga ställa frågor kommer att bli viktigare i ett hotlandskap drivet av automatiserade verktyg."
Anna Schneider: "Ur ett politiskt perspektiv kan dessa verktyg få stora konsekvenser. De kan användas av statsaktörer för att sprida desinformation på ett trovärdigt sätt. Om det når 'rätt' mottagare kan upphovsmännen stärka sin ställning i frågor, eller försvaga sin motståndare. För bedrägeriändamål blir det lättare för redan sofistikerade bedragare att utge sig för att vara exempelvis chefer för att få falska fakturor betalda."
Jan Olsson: "Jag följer utvecklingen kring deepfakes mycket noga. Det finns redan fall där bedragare ringer upp företag med fabricerade röster, och det är helt omöjligt att avgöra om det är en verklig kollega eller ett verktyg som låtsas vara en. Jag har sett exempel på att sådana telefonsamtal fungerar perfekt. Ett handlade om ett mindre företag, där en anställd fick ett samtal från en 'kollega' om att skicka inloggningsuppgifter. Och med ett enda samtal var bedragarna inne i företagets Office 365-svit.
Just nu är dessa verktyg ganska långsamma och dyra. Men tänk dig om tre år. Det är en evighet i det här sammanhanget. De kommer att vara helt gratis och bättre och snabbare än vi kan föreställa oss. Det kräver att vi alla, på global nivå, ställer krav på tillverkare av telefoner och deras operativsystem. Det kommer att vara svårt, men det måste göras. Om bara några år tror jag att det kan komma lagstiftningsmässiga krav på teknikföretagen."
Jimmy Åberg: "Dessa verktyg kan vara fantastiskt bra på att utnyttja våra känslor. Så fort du väcker en känsla kopplar människor bort sitt logiska tänkande. Ju starkare känslan är, desto starkare är incitamentet att agera snabbt. Det största hotet, och det som med störst sannolikhet lyckas, är att kartlägga en persons beteenden, intressen och känslomässiga svagheter.
Med olika program i dag är det möjligt att snabbt skaffa sig kunskap om medarbetare på ett företag. Man kan till exempel titta på ett företags LinkedIn-sida och sedan gå igenom de anställdas sociala medier för att få en fullständig bild av personens intressen. Om en medarbetare älskar en specifik artist, ett specifikt fotbollslag eller en specifik maträtt kan ett program sammanställa detta och sedan skräddarsy en nätfiskeattack. Jag har sett sådana attacker redan i år."
Hur hotar falska CV:n, certifikat och fakturor ett företags säkerhet, trovärdighet och ekonomi?
Carl Heath: "Dokumentbedrägerier kan utgöra en allvarlig säkerhetsrisk för företag, eftersom det kan leda till ekonomiska förluster och skada ett företags trovärdighet. Kriminella aktörer, både enskilda individer och företag, kan utföra arbete och sälja produkter och tjänster utan tillräckliga kvalifikationer. Det kan leda till ekonomiska förluster och utsätta organisationer för både risk och skada, samt skada dess anseende och förtroende."
Ulf Gustavsson: "Ju mer äkta ett dokument anses vara, desto svårare är det att upptäcka förfalskningen. För detta ändamål är jag övertygad om att teknik som blockkedja kan vara till hjälp. Men det bygger fortfarande på att utfärdaren har en hög grad av trovärdighet. Det kommer alltid att vara viktigt."
Per Lagerström: "Allt fler ledningsgrupper lyfter dessa problem som direkta hot, eftersom de påverkar hela verksamheten. Det är ett enormt problem som också bromsar den digitala omvandling vi befinner oss i. Sett ur ett positivt perspektiv får dessa frågor strategisk tyngd. Säkerhet är inte längre bara en IT-fråga, det är ett strategiskt ämne för hela företaget och dess ledning."
Anna Schneider: "Den mänskliga faktorn är viktig här. Med framväxten av ny teknik blir det mycket lättare att förfalska exempelvis diplom och certifikat. Att anställa personer som inte har den utbildning eller de kompetenser de påstår sig ha kan få förödande konsekvenser för ett företag. En dålig rekrytering kan kosta mycket tid, pengar och energi, och den kan skada förtroendet för en verksamhet, vilket tar tid att återuppbygga och är svårt att sätta ett pris på."
Jan Olsson: "Falska dokument har varit ett stort globalt problem i många år. Människor får jobb på universitet eller i myndigheter och hamnar sedan i positioner med ansvar och makt som påverkar hela samhällen. Det är viktigt att kunna styrka individers behörighet. Det är ytterst viktigt att den som står bakom ett dokument, vare sig det är en organisation, ett företag eller en statlig myndighet, ska finnas sätt att digitalt autentisera det. Man ska inte behöva spåra dokument bakåt. Vissa företag tar emot över 1 000 dokument och fakturor om dagen. Digital verifiering bör vara ett krav, särskilt för myndigheter som anställer personer med maktpositioner i vårt samhälle."
Jimmy Åberg: "I en värld där det blir allt viktigare att veta vem man gör affärer med och vem man anställer, kommer det att vara ytterst viktigt att verifiera officiella dokument. Stora affärsuppgörelser bygger helt på förtroende. När det förtroendet saknas tar affärerna längre tid eller uteblir helt. Det leder naturligtvis till stora ekonomiska förluster."
Carl Heath: "Det är viktigt för företag att ha en tydlig säkerhetspolicy på plats, något som används operativt för att skydda ett företags olika värden. Det är också viktigt att kontinuerligt höja kunskapen hos nyckelpersoner och hela företaget för att upprätthålla en hög säkerhetsmedvetenhet. Företag behöver följa utvecklingen av nya digitala hot och hålla system och verksamhet uppdaterade för att möta dessa hot."
Ulf Gustavsson: "Den mänskliga faktorn är den starkaste faktorn i förebyggande arbete, men kan också vara den svagaste länken i ert säkerhetsarbete. Framöver kan det sammanfattas i ett ord: kompetens. Jag anser att kompetens innebär att man har kunskap, förmåga och motivation att agera. Med andra ord behöver man ha kompetens inom dessa frågor för att skydda sig på bästa sätt.
För mindre företag kan lösningen vara att anlita en konsult med rätt kompetens, som kan säkerställa att det finns ett tillräckligt grundskydd anpassat till organisationens behov. Det är också viktigt att påminna sig själv och alla medarbetare om behovet av att utveckla ett grundläggande säkerhetsmedvetande, ett sätt att vara uppmärksam i det dagliga arbetet. Med det på plats har man tagit ett stort steg."
Anna Schneider: "De största riskerna är vi, individerna. Om fel person får tillgång till ett system spelar det ingen roll hur många lås, larm eller brandväggar man har. Säkerhetsutbildning bör vara en löpande faktor i alla faser under anställningen. Och börja med att genomföra tillförlitliga bakgrundskontroller där diplom, certifikat och annan dokumentation kontrolleras för äkthet."
Per Lagerström: "Jag skulle säga att företag bör göra tre saker:
Jan Olsson: "AI i kombination med kvantdatorer är ett enormt kommande hot. Vissa kanske säger att vi då kan använda samma teknik som stöd. Men skillnaden är att alla företag och myndigheter måste ta hänsyn till lagstiftningen först. Brottslingar behöver inte vänta på lagstiftning. De kommer alltid att ligga steget före eftersom de tillåts experimentera.
Därför måste företag ta större ansvar. Det kan vara besvärligt, dyrt och tidskrävande, men det är viktigt att arbeta förebyggande. För den genomsnittlige medarbetaren är det svårt att alltid tänka på säkerhetsfrågor i alla delar av arbetet, och en policy och enkla verktyg att följa är mycket välbehövliga.
Ett gott exempel är från 2018 när nio iranska hackare skickade nätfiskemejl till 100 000 forskare vid 144 olika amerikanska universitet. Fem tusen av forskarna delade forskning och dokument som inte var tillgängliga för allmänheten. Om några av de skarpaste hjärnorna i samhället faller för sådana attacker, gör också den genomsnittlige medarbetaren det. Vi behöver ge oss själva några extra sekunder för att kontrollera dokument och e-post efter hot.
Jag vill understryka att företag inte bör fokusera för mycket enbart på tekniska lösningar. Svaret finns hos de människor som använder tekniken. Det är genom medvetenhet, utbildning och kontroller som företag kan förbereda sig. Det är oftast vi människor som utgör den största sårbarheten i ett företag. Var naturligtvis medveten om att de digitala attackerna också måste bekämpas, men verktygen och systemen är mest sårbara på grund av den mänskliga faktorn."
Spara tid, öka trafiken och insikten och bygg förtroende genom att uppgradera till blockchain-säkrade diplom och kurscertifikat, som är älskade av mottagare och alltid verifierbart autentiska.
Boka en demoInte säker på var du ska börja? Låt oss hjälpa till!
Betrodda av ledande organisationer världen över
