Overdreven tro på egne ferdigheter er noe av årsaken til at IT-personell er mer sårbare for slike nettangrep.

­­– Når IT-personell vet de skal være med på kampanjer, som for eksempel under sikkerhetsmåneden oktober eller ved andre kortvarige nettsikkerhets-kampanjer, gjør de det gjerne dårligere enn vanlige folk, sier forsker Ricardo Gregorio Lugo ved Høgskolen i Østfold (HiØ).

Sammen med andre forskere fra HiØ og Albstadt-Sigmaringen University i Tyskland har han publisert en vitenskapelig artikkel i tidsskriftet Lecture Notes in Computer Science.

Deepfakes og phishing

I studien har de sett spesielt på IT-personells evne til å gjenkjenne såkalt «deepfakes» og «phishing» under kortvarige kampanjer.

Deepfakes utnytter ifølge Medietilsynets kunstig intelligens for å lage videoer og lydinnhold det er svært vanskelig å avsløre som falskt, inkludert etterligning av andres identitet.

Phishing er en form for sosial manipulering hvor en angriper forsøker å lure noen til å utføre en handling, for eksempel åpne et e-postvedlegg, klikke på en lenke eller betale en falsk regning.

Gjennom datainnsamlingen via nettplattformen Google Forms, ble intervjuobjektene som både var IT-personell og ikke-IT-personell blant annet presentert for ulike deepfake-videoer.

Deltakerne ble bedt om å vurdere ferdighetene sine for gjenkjenning av deepfakes og hvor sikre de var på sin mening om egne ferdigheter.

IT-folk blir overmodige

– Under normale omstendigheter er ikke IT-ansatte dårligere til å gjenkjenne tegn til nettsikkerhetsangrep enn andre. Men de er rett og slett mer overbevist om at de kommer til å gjøre det bedre under en kampanje og at deres kunnskap og ferdigheter innenfor IT skal beskytte dem. Derfor senker de garden, sier Lugo.

Han forklarer at det handler om å underprestere på ferdigheter som man egentlig har.

Overmot ved egne ferdigheter er noe som også er kjent fra andre områder. For eksempel kan et dyktig fotballag som vet de skal spille mot et svakere lag, gjøre det dårlige enn forventet.

Her slår de samme mekanismene inn i form av at spillerne tar for gitt sine egne ferdigheter og presterer derfor dårligere enn forventet.

Deepfakes er et økende problem

– Takket være lett tilgjengelig og stadig bedre programvare på internett ser vi en økende grad av mer overbevisende deepfakes brukt i kriminell sammenheng i form av video og som stemmeforvrengning i en telefonsamtale, forteller Lugo.

Ett eksempel på en deepfake-video er den som florerte på nett våren 2022 som viser den ukrainske presidenten Volodymyr Zelenskyy som ber ukrainske soldater overgi seg.

– Slike videoer koster lite å produsere og formidle ut og er i stor grad drevet av kunstig intelligens, forteller forskeren.

Og legger til:

– Selv om du kjenner til teknologien, så er den blitt mer avansert enn den var bare for bare tre til fire år siden slik at det blir vanskelig å avsløre hva som er galt med videoen.

Lugo viser til at taktikken som ofte benyttes av de kriminelle, er å vekke emosjonelle reaksjoner eller magefølelser som fører til impulsiv beslutningstaking hos dem de «angriper».

– I slike situasjoner blir vi mindre kritiske og derfor mer sårbare, forklarer Lugo.

Opplæring er helt nødvendig

Vi har nylig lagt bak oss det vi kaller Sikkerhetsmåneden oktober, en kampanje for å øke engasjementet, bevisstheten og kunnskapen om digital sikkerhet, både i befolkningen og i virksomheter.

Mange bedrifter kjører i denne sammenheng korte sikkerhetskurs for sine ansatte, med blant annet foredrag, bevisstgjørings-mailer og ulike kampanjer.

Men ifølge forskning hjelper det ikke å tro at jobben er gjort med bare korte kampanjer.

– Slike kortvarige sikkerhetskampanjer har vist seg å ha liten langsiktig effekt. For å holde oppe folks årvåkenhet må det jobbes konstant med denne bevisstgjøringen, forteller Lugo.

Forskerne konkluderer i studien med at ulike ferdigheter i å gjenkjenne både video og tale-deepfakes kan forbedres ved å kartlegge kompetansen og gi opplæring på bakgrunn av individuelle behov.

Dette gjelder også opplæring for IT-personell.

– Skreddersydd opplæring er det som har best effekt, og som bør skje over tid i alle profesjoner, uansett hvor du jobber og på hvilket nivå du er i en virksomhet, sier Lugo.

Referanse:

Stefan Sütterlin mfl.: The Role of IT Background for Metacognitive Accuracy, Confidence and Overestimation of Deep Fake Recognition Skills. Lecture Notes in Computer Science (LNCS), 2022. Doi: 10.1007/978-3-031-05457-0_9.

Artikkelen er produsert og finansiert av Høgskolen i Østfold

Høgskolen i Østfold er én av over 80 eiere av forskning.no. Deres kommunikasjonsansatte leverer innhold til forskning.no. Vi merker dette innholdet for å tydelig skille formidling fra uavhengig redaksjonelt stoff.
Her kan du lese mer om ordningen.

Les også disse sakene fra Høgskolen i Østfold:

• 

  Løsningen for behandling av depresjon finnes kanskje bare et tastetrykk unna

• 

  Forskere bruker kunstig intelligens for å avdekke blodpropp

• 

  Krav til digitalisering setter barnevernsansatte i skvis

• 

  Hva skal til for å sette personer med både psykiske lidelser og rusavhengighet i stand til å leve et bra liv?

• 

  Alle borgerlige regjeringer etter 1945 har ønsket en aktiv stat i Nord-Norge

• 

  Ny anbefaling: Unngå veiing av unge idrettsutøvere

Les flere saker fra Høgskolen i Østfold her.

forskning.no vil gjerne høre fra deg!
Har du en tilbakemelding, spørsmål, ros eller kritikk? TA KONTAKT HER