Fejkade videoklipp där kända personer rekommenderar spelsajter och investeringar sprids sedan en tid i annonser på bland annat Facebook. Med hjälp av deepfake-teknik manipuleras ansikten och röster på ett sätt som kan vara svårt att genomskåda. Hotet stannar inte vid kändisar, utan berör även småföretag.
Många har sett annonser på sociala medier som ser ut att vara riktiga nyhetsinslag. I ett uppmärksammat fall användes nyligen en kvinnlig polis i ett fejkklipp där hon påstods ha vunnit stora summor pengar. Videon var manipulerad men tillräckligt trovärdig för att lura människor på pengar.
Enligt Marcus Nohlberg, docent som forskar i cybersäkerhet vid Högskolan i Skövde, är detta bara början. Dessutom är riskerna för företag kraftigt underskattade.
– Det är anmärkningsvärt att plattformar som Facebook ofta framställer det som att de står maktlösa. De har betydligt större möjligheter att begränsa den här typen av bluffannonser än vad som ibland sägs, menar han.
För företagare innebär deepfakes i praktiken två typer av risker.
Den första handlar om direkta attacker mot företaget. Det kan röra sig om falska telefonsamtal, manipulerade röstmeddelanden eller fejkade videomöten där någon utger sig för att vara chef, kollega eller samarbetspartner.
– I dag är det ganska enkelt att manipulera röster och ansikten i digital kommunikation, säger Marcus Nohlberg. Därför kan man inte helt lita på identitet och autenticitet i digitala kanaler.
Den andra risken är mer indirekt, men lika allvarlig. Med hjälp av deepfakes går det att sprida falsk information om ett företag eller dess företrädare, antingen offentligt eller riktat till nyckelpersoner. I samband med exempelvis upphandlingar skulle beslutsfattare kunna utsättas för manipulerade klipp eller påståenden som utmålar en anbudsgivare som oseriös eller kriminell.
– Man behöver inte påverka hela opinionen. Det räcker att rikta sig till några få personer som fattar beslut för att rasera ett företags framtid, säger Marcus Nohlberg.
För att minska risken behöver företag arbeta mer systematiskt med rutiner. Ett exempel är att ha tydliga principer för hur viktiga beslut verifieras och hur identiteter säkerställs vid känslig kommunikation. Ett annat är att alltid bekräfta viktiga beslut via mer än en kommunikationskanal.
Samtidigt krävs en bredare diskussion.
– Vi har pratat alldeles för lite om riskerna med deepfakes. Branschorganisationer behöver ta upp frågan, skapa etiska riktlinjer och gemensamma spelregler. När tekniken är så här kraftfull kan inget enskilt företag skydda sig helt på egen hand.
Text: Stefan Hedner
Bild: Rebecka Thor, Högskolan i Skövde