Nieuws & blogs

Cybercrime is een wapenwedloop zonder einde geworden. Een recente ontwikkeling gaat het in de toekomst lastiger maken in één oogopslag te zien of de identiteit van uw (digitale) gesprekspartner klopt. Ik heb het over deepfakes.

Wat is een deepfake?
Deepfake is grof gezegd de term voor beeld of geluidsmanipulatie waarbij op basis van bestaande fragmenten een computer middels machine learning nieuw beeld of geluid maakt. De computer analyseert alles, kijkt naar gelaatstrekken, intonatie, beweging en maakt hier een model van wat vervolgens alles kan zeggen en doen. Een bekend voorbeeld hiervan is comedian Jordan Peele die in een deepfake Barrack Obama laat uithalen naar fake news.

De stem was toen nog die van hem, maar inmiddels is ook dat met machine learning op te lossen. Het is een truc die tot voor kort alleen aan Hollywood was toebedeeld, maar Hollywood inmiddels is ontstegen en beschikbaar is voor het grote publiek in de vorm van apps. De kwaliteit is wellicht vandaag de dag nog niet overtuigend genoeg om iemand echt voor de gek te houden, maar geef het een jaar, wellicht korter…

Waarom zijn deepfakes gevaarlijk voor de juridische sector?
Er zijn legio voorbeelden te bedenken waarom deze ontwikkelingen spannend zijn. Wetgeving zoals de WWFT, ondermijning, afpersing er zijn risico’s te over. Als deze techniek een paar jaar doorontwikkeld, dan kan het zoals Google telefonisch een afspraak voor je maakt bij de kapper, met een gefingeerde stem iemand telefonisch opdracht geven om een financiële transactie te doen (denk aan CEO-fraude) of geheime dossiers te delen.

Dus als je even je fantasie de vrije loop laat, hoe weet je dan straks dat de cliënt aan de andere kant van de lijn wel echt je cliënt is? En wat adviseer je als je cliënt zelf afgeperst wordt met bijvoorbeeld een deepfake sextape en daarmee gedwongen wordt geld wit te wassen? Als het goed is hebben kantoren regels en processen die dit soort zaken kunnen controleren, maar het risico zit niet in de techniek.

De factor mens
Het risico zit in de menselijke factor. Gemakzucht, volgzaamheid, blind vertrouwen, allemaal menselijke gedragingen die criminelen kunnen uitbuiten. In cybercrime wordt dit ook wel social engineering genoemd, mensen zo manipuleren of sturen dat ze per ongeluk toch een wachtwoord delen of handeling uitvoeren.

Een bekend voorbeeld hiervan is CEO-fraude, waarbij een nep e-mail uit naam van de directeur naar de financiële administratie wordt gestuurd om een groot geld bedrag met grote spoed over te maken. Nu gaat dat per e-mail, maar er komen dus technieken beschikbaar waarmee we stemmen kunnen namaken en wellicht in de toekomst zelfs wel het beeld van een live Skype gesprek kunnen manipuleren. Straks mailt de “directeur” niet meer, maar belt ie.

Techniek slechts deel van de oplossing
Zoals ik al zei is het een wedloop. Net zo goed als dat er techniek beschikbaar komt om deepfakes te maken, is er evengoed techniek om deepfakes te herkennen. En deze zullen met elkaar blijven wedijveren. Daarom is techniek maar een deel van de oplossing. Mensen moeten samen nieuwe manieren zoeken om elkaar te valideren.

Zoals we nu twee factor authenticatie hebben als extra beveiliging naast een wachtwoord, kan je je voorstellen dat opdrachten in tweevoud te laten bevestigen of af te spreken dat financiële transacties alleen in real life mogen worden geaccordeerd een mogelijke uitkomst biedt. Kantoren zullen een soort governance of beleid moeten gaan ontwikkelen om te voorkomen dat ze misleid gaan worden.

Terechte angst?
U merkt, ik gebruik een hoop fantasie in mijn voorbeelden. Maar dat de dag gaat komen, of het nu over 1 jaar, 5 jaar, of 10 jaar is, dat we iemand met een app real time kunnen nadoen staat buiten kijf. Sterker nog, wie goed zoekt, kan waarschijnlijk de eerste (redelijk) werkende versies al vinden. En dat criminelen hier gebruik van gaan maken vraagt ook weinig inbeeldingsvermogen.

Ik vraag u dus niet vandaag te stoppen iedereen te vertrouwen, maar wel om te beginnen met het ontwikkelen van een zesde zintuig voor misleiding (zoals u nu al voor phishing zou kunnen hebben) en op kantoor eens een discussie te starten over hoe u elkaar hierbij gaat helpen.