Die Geschäftswelt geriet Anfang des Jahres in Aufruhr, als ein Finanzmitarbeiter in Hongkong dazu verleitet wurde, 25,6 Millionen US-Dollar (200 Millionen Hongkong-Dollar) zu übergeben, nachdem er an einem Videoanruf teilgenommen hatte, zu dem ihn sein Finanzvorstand seiner Meinung nach eingeladen hatte.
Aber dieser kostspielige Fehler hätte leicht vermieden werden können. Joey Johnson, Chief Information Security Officer von Premise Health, einem Anbieter von Gesundheitsdiensten vor Ort, sagte, es gebe eine einfache Möglichkeit, Deepfake-Technologie zu erkennen – in diesem Fall eine, die interaktiv sein soll. Johnson sprach am Sonntag bei einer Podiumsdiskussion zum Thema Cybersicherheit im ENGAGE at HLTH, dem Partnerprogramm von MedCity News am HLTH.
Kommen wir zunächst zur Betrugsmasche.
Nachrichtenberichten zufolge alarmierte Arup, ein in London ansässiges Ingenieur- und Architekturbüro, Anfang des Jahres die Polizei von Hongkong, dass ein örtlicher Mitarbeiter durch ein Deepfake-Video, in dem der CFO des Unternehmens verwickelt war, getäuscht worden sei. Der aufwändige Betrug begann mit E-Mails des in Großbritannien ansässigen Finanzvorstands, in denen er diese Person aufforderte, eine geheime Transaktion zu genehmigen. Als der Mitarbeiter diese Aufforderung ignorierte, wurde er in der E-Mail des CFO aufgefordert, an einem Videoanruf mit anderen Mitarbeitern teilzunehmen.
Als der Mitarbeiter an dem Anruf teilnahm, war er erleichtert, seinen CFO und andere Mitarbeiter am Anruf vorzufinden. Anschließend genehmigte er auf Wunsch seines Chefs 15 Überweisungen über mehrere Bankkonten in Höhe von 25,6 Millionen US-Dollar. Es stellte sich heraus, dass der Videoanruf mit mehreren gefälschten Videos von tatsächlichen Mitarbeitern des Unternehmens, einschließlich der CFOs, bestückt war.
So erkennen Sie den Deepfake
Solch raffinierte Betrügereien sind mit der KI-Technologie durchaus möglich, die Johnson als eine Technologie wie Feuer beschrieb – sowohl gut (kann Ihr Essen kochen) als auch schlecht (es kann Sie auch verbrennen).
Johnson erklärte, er habe seiner Frau und seinen Kindern gesagt, dass seine digitale Persönlichkeit leicht aus schändlichen Gründen gekapert werden könnte, da er auf Konferenzen häufig Vorträge halte. Mit anderen Worten: Sowohl seine Stimme als auch sein Image sind leicht zu erlangen.
„Vielleicht sehen Sie ein Video von mir. Du könntest mich hören. Es wird meine Stimme sein. Es wird wie ich aussehen. Es wird wie ich klingen. Es wird alles sein“, sagte er dem Publikum bei HLTH.
Wie können sie also sicher sein, dass es Johnson ist, der per Video zu ihnen spricht?
„Wir müssen also ein sicheres Wort für die Familie schaffen. Es kann alles sein, was Sie wollen, aber vielleicht eine Erinnerung an einen Urlaub … damit Sie sagen können: „Hey, Papa, was ist das sichere Wort?“ Weil der Gegner das nicht wissen wird. Keine noch so große KI wird ihnen diese Antwort geben. Das ist also etwas, das Sie persönlich nutzen können. Es ist auch etwas, das wir innerhalb unserer Organisation professionell umsetzen, um zu versuchen, bestimmte Dinge zu schützen.“
Johsons Co-Diskussionsteilnehmer Chris Bowen, Gründer und Chief Information Security Officer bei ClearDATA, einem Unternehmen, das Gesundheitsorganisationen bei der Bewertung von Datenschwachstellen und beim Schutz dieser Daten unterstützt, stimmte zu, dass eine einfache Vorsichtsmaßnahme wie diese ausreichen kann, um böswillige Akteure zu erkennen.
Er gab noch einige andere Ratschläge.
Führen Sie unternehmensweite Sicherheitsbewertungen durch
Die Herausforderung bei großen Gesundheitseinrichtungen besteht darin, dass sie manchmal Tausende von Apps auf ihren Systemen und viele verschiedene Anbieter verwalten müssen. Das alles einzuschätzen und zu wissen, welche Risiken man eingehen kann, ist unbedingt erforderlich.
„Welche Art von Daten wird dieser Anbieter verarbeiten? Ich glaube, ich habe in der Anfangsphase unseres Unternehmens wahrscheinlich mehrere hundert Sicherheitsrisikobewertungen durchgeführt, und diese Kritikalitätsanalyse ist so wichtig, weil Sie von allen Ihren Vermögenswerten wissen müssen, welche für Sie am wichtigsten sind, um sie als Unternehmen zu betreiben Unternehmen, um diese Daten zu schützen“, sagte Bowen.
Wissen ist in dieser Hinsicht die halbe Miete.
„Ein kleiner Ausrutscher mit einem MFA und schauen Sie, was passiert ist, oder?“ sagte Bowen und bezog sich dabei auf den Cybersicherheitsverstoß von Change Healthcare, der das Gesundheitssystem in die Knie gezwungen hat. „Ich stimme Ihnen zu, [Johnson] Auf, lasst uns das Risiko beleuchten. Lasst uns das Licht strahlen lassen. Und desto mehr Licht können wir strahlen [the more we can] Finde die Monster, die unter dem Bett sind.“
Seien Sie gründlich und überlegt
Es ist wichtig, Ihre Risiken zu kennen, aber es ist nicht weniger wichtig, genau zu wissen, wie viel Cyber-Versicherung Sie abschließen müssen und was abgedeckt wird.
„Es ist wirklich traurig, dass Sie möglicherweise nicht abgedeckt sind, wenn Sie in Ihrem Fragebogen für Ihre Bewerbung etwas übersehen, und das könnte etwas sein, das einfach aus der CMDB verschwunden ist [configuration management database]die Datenbank, die Ihnen zeigt, wie hoch Ihr gesamtes Vermögen ist. Wenn Sie eines verpassen, haben die Versicherungsgesellschaften einen guten Ausweg …“, warnte er.
Es sei zwar wichtig zu verstehen, wo sich Ihre Daten befinden und wie man sie schützt, aber die Realität sei, dass man nicht alles abdecken könne, sagte er.
