Denne artikkelen er produsert og finansiert av Høgskolen i Østfold - les mer.

Kortvarige sikkerhetskampanjer har vist seg å ha liten langsiktig effekt. Ifølge forsker må det jobbes konstant med denne bevisstgjøringen.

Korte kampanjer for nettsikkerhet har liten eller ingen effekt

Og IT-personell er dårligere enn andre til å gjenkjenne nettangrep under slike kampanjer.

Overdreven tro på egne ferdigheter er noe av årsaken til at IT-personell er mer sårbare for slike nettangrep.

­­– Når IT-personell vet de skal være med på kampanjer, som for eksempel under sikkerhetsmåneden oktober eller ved andre kortvarige nettsikkerhets-kampanjer, gjør de det gjerne dårligere enn vanlige folk, sier forsker Ricardo Gregorio Lugo ved Høgskolen i Østfold (HiØ).

Sammen med andre forskere fra HiØ og Albstadt-Sigmaringen University i Tyskland har han publisert en vitenskapelig artikkel i tidsskriftet Lecture Notes in Computer Science.

– Jobben med nettsikkerhet er ikke gjort med bare korte kampanjer, sier forsker Ricardo Gregorio Lugo.

Deepfakes og phishing

I studien har de sett spesielt på IT-personells evne til å gjenkjenne såkalt «deepfakes» og «phishing» under kortvarige kampanjer.

Deepfakes utnytter ifølge Medietilsynets kunstig intelligens for å lage videoer og lydinnhold det er svært vanskelig å avsløre som falskt, inkludert etterligning av andres identitet.

Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning.

Gjennom datainnsamlingen via nettplattformen Google Forms, ble intervjuobjektene som både var IT-personell og ikke-IT-personell blant annet presentert for ulike deepfake-videoer.

Deltakerne ble bedt om å vurdere ferdighetene sine for gjenkjenning av deepfakes og hvor sikre de var på sin mening om egne ferdigheter.

IT-folk blir overmodige

– Under normale omstendigheter er ikke IT-ansatte dårligere til å gjenkjenne tegn til nettsikkerhetsangrep enn andre. Men de er rett og slett mer overbevist om at de kommer til å gjøre det bedre under en kampanje og at deres kunnskap og ferdigheter innenfor IT skal beskytte dem. Derfor senker de garden, sier Lugo.

Han forklarer at det handler om å underprestere på ferdigheter som man egentlig har.

Overmot ved egne ferdigheter er noe som også er kjent fra andre områder. For eksempel kan et dyktig fotballag som vet de skal spille mot et svakere lag, gjøre det dårlige enn forventet.

Her slår de samme mekanismene inn i form av at spillerne tar for gitt sine egne ferdigheter og presterer derfor dårligere enn forventet.

Deepfakes er et økende problem

– Takket være lett tilgjengelig og stadig bedre programvare på internett ser vi en økende grad av mer overbevisende deepfakes brukt i kriminell sammenheng i form av video og som stemmeforvrengning i en telefonsamtale, forteller Lugo.

Ett eksempel på en deepfake-video er den som florerte på nett våren 2022 som viser den ukrainske presidenten Volodymyr Zelenskyy som ber ukrainske soldater overgi seg.

– Slike videoer koster lite å produsere og formidle ut og er i stor grad drevet av kunstig intelligens, forteller forskeren.

Og legger til:

– Selv om du kjenner til teknologien, så er den blitt mer avansert enn den var bare for bare tre til fire år siden slik at det blir vanskelig å avsløre hva som er galt med videoen.

Lugo viser til at taktikken som ofte benyttes av de kriminelle, er å vekke emosjonelle reaksjoner eller magefølelser som fører til impulsiv beslutningstaking hos dem de «angriper».

– I slike situasjoner blir vi mindre kritiske og derfor mer sårbare, forklarer Lugo.

Opplæring er helt nødvendig

Vi har nylig lagt bak oss det vi kaller Sikkerhetsmåneden oktober, en kampanje for å øke engasjementet, bevisstheten og kunnskapen om digital sikkerhet, både i befolkningen og i virksomheter.

Mange bedrifter kjører i denne sammenheng korte sikkerhetskurs for sine ansatte, med blant annet foredrag, bevisstgjørings-mailer og ulike kampanjer.

Men ifølge forskning hjelper det ikke å tro at jobben er gjort med bare korte kampanjer.

– Slike kortvarige sikkerhetskampanjer har vist seg å ha liten langsiktig effekt. For å holde oppe folks årvåkenhet må det jobbes konstant med denne bevisstgjøringen, forteller Lugo.

Forskerne konkluderer i studien med at ulike ferdigheter i å gjenkjenne både video og tale-deepfakes kan forbedres ved å kartlegge kompetansen og gi opplæring på bakgrunn av individuelle behov.

Dette gjelder også opplæring for IT-personell.

– Skreddersydd opplæring er det som har best effekt, og som bør skje over tid i alle profesjoner, uansett hvor du jobber og på hvilket nivå du er i en virksomhet, sier Lugo.

Seks råd fra Lugo om hvordan du kan beskytte deg mot nettangrep

  1. Still alltid kritiske spørsmål.
    Gi aldri fra deg informasjon uten å være kritisk til hvorfor. Hvorfor har jeg fått denne mailen? Hvorfor kontakter de meg?
  2. Vær kritisk til kilden.
    Stopp opp og vurder nøye før du klikker på noe. Har du fått noe fra banken som du er usikker på om faktisk er fra dem, ring heller banken og spør. Og sjekke nøye både e-postadressen og url-adressen til en nettside du mottar.
  3. Bruk datamaskin fremfor mobil.
    Har du mulighet, så bruk PC istedenfor mobil for å sjekke kilder. Der får du bedre oversikt. Enkelte ting kan være vanskeligere å oppdage på mobil, da vi ikke alltid ser hele kilden (url-en).
  4. Mobilapper sporer deg i større grad enn webapplikasjoner.
    Ved å laste ned og godkjenne vilkår på en app gir du samtidig godkjenning til at appen samler inn informasjon om deg. Mange apper skanner også de andre appene for informasjon om din adferd.
  5. Vær klar over at Google og Siri samler inn data om deg og gir deg tilpasset informasjon tilbake.
  6. Og sist, men ikke minst, hver kritisk til det du deler i sosiale medier.
    Gjennom delinger og likes og hva vi føler på sosiale medier, legger vi igjen spor som kan brukes mot oss i for eksempel nettangrep.

Referanse:

Stefan Sütterlin mfl.: The Role of IT Background for Metacognitive Accuracy, Confidence and Overestimation of Deep Fake Recognition Skills. Lecture Notes in Computer Science (LNCS), 2022. Doi: 10.1007/978-3-031-05457-0_9.

Powered by Labrador CMS