Desinformation har blivit en cybersäkerhetsfråga – ”vi har alltid ljugit”

Falsk information är inget nytt vapen. Det har alltid använts för att skada konkurrenter eller fiender.

Men nu har det skett ett trendskifte – desinformation räknas in bland cybersäkerhetshoten.

– Vi har alltid ljugit, men tekniken har blivit mer sofistikerad, säger Anton Lif, rådgivare i krisberedskap och civilt försvar, specialiserad på påverkansoperationer på Combitech som deltog på Computer Swedens event Security Day i dagarna.

I takt med teknikutvecklingen tar sig också desinformationen fram på nya vägar och på nya sätt – det kan handla om manipulerad spridning på internet, deepfakes, manipulering av metadata eller dataförgiftningsattacker och mycket annat.

Trendskifte

Det innebär ett trendskifte där desinformation i dag räknas in bland de största cyberhoten.

Det blev tydligt förra året när EU:s cybersäkerhetsbyrå Enisa lade in desinformation som ett av de nio största hoten vid sidan av bland annat ransomware, skadlig kod och attacker mot leveranskedjan.

– Och nu ser vi hur även Microsoft och stora cybersäkerhetsföretag som Recorded Future och Trend Micro och andra börjar tala allt mer om desinformation som ett hot, säger Anton Lif.

Han beskriver ett antal saker som driver på desinformation och som kan utnyttjas av illasinnade aktörer.

En sådan sak är att internet och sociala medier skapar en miljö där våra åsikter och bilder av verkligheten möts på ett annat sätt än tidigare.

– Det kan exempelvis handla om sådant som om vi tycker att Sverige är ett bra land eller ett land i förfall. Starka åsikter på båda sidor kan leda till polarisering.

Brist på ekokammare

Kan man då skapa falsk uppmärksamhet kring en fråga genom att exempelvis manipulera fram spridning så kan polariseringen förstärka det. Och det här handlar inte om att vi sitter i våra egna ekokammare utan snarare tvärtom.

– Det är inte ekokammare utan snarare bristen på ekokammare som driver på konflikterna i samhället.

Förr satt vi hemma och diskuterade med våra likar – nu möter vi de andra åsikterna på nätet.

Och alla som tar ställning, det må handla om Ukraina, feminism eller värdegrund – får räkna med att möta konflikt.

I nästa steg kan konflikterna ta sig fysiska uttryck. Anton Lif tar som exempel på hur några få spred myten om att 5G sprider covid-19. När det sedan får spridning så landar det utanför internet.

– Telekomtorn i Europa sattes i brand – det digitala bruset blev till fysisk skada och till ett arbetsmiljöproblem när de anställda på företagen utsattes för hot. Och så måste plötsligt säkerhetschef och hr-chef hantera konsekvenserna av en myt på nätet.

Normaliseras

Samtidigt som konflikterna förstärks och utnyttjas så pågår det också en slags normalisering för de här metoderna anser Anton Lif som pekar på hur även kommersiella företag använder sig av samma tekniker för att påverka och sprida sina budskap.

– Det kan handla om hur de rekryterar och säljer där exempelvis en säljare kan ha flera olika avatarer som kan användas mot olika grupper – ”om alla gör så här kan vi också göra det”.

På samma sätt som det går köpa följare och likes för att sprida felaktig information kan man göra likadant för att marknadsföra sitt eget varumärke – och det finns också exempel där personer som inte finns skrivit under namninsamlingar.

– När det skulle stiftas en lag om nätneutralitet i USA, köpte de stora telekomoperatörerna lobbyister som köpte miljoner falska kommentarer för att påverka opinionen, bland annat skickades 500 000 falska kommentarer direkt till politiker. Köpta kommentarer, eller från påhittade personer – sådana som inte fanns och eller personer som gått bort.

Svårt avgöra

Med syntetisk media, så kallade deepfakes – film, bild, text eller ljud – så blir det ännu svårare att avgöra vad som är sant och inte..

– Det kan handla om att både manipulera redan befintliga personer som säger eller gör något eller om att ta fram personer som är helt visar forskning dessvärre att vi föredrar ”skapade” ansikten framför autentiska, säger Anton Lif.

Ett möjligt framtidsscenario utifrån teknikutvecklingen avseende syntetisk media och 5G är en helt ny dimension av så kallad spear phishing, riktat nätfiske, eller ”kognitiva överbelastningsattacker”.

Man kan exempelvis tänka sig att alla anställda på ett företag får ett videosamtal från sin närmsta chef samtidigt, men det är inte chefen utan en syntetisk kopia, styrd av cyberkriminella.

– Även om den enskilde lyckas genomskåda kopian, så blir det sannolikt ganska mycket brus att hantera för it-säkerhetsavdelningen, hr och kommunikationsavdelningen, sannolikt många timmars elände, säger han.

– Men den största utmaningen står nog rättsväsendet inför när de ska avgöra vad som är ett riktigt bevis och ett falskt.

Skapa förtroende

Så hur vet vi att våra data är korrekta? Tänk om satellitdata manipuleras så vi tror att exempelvis en frontlinje i ett krig går på ett annat sätt än i verkligheten eller om en patients journalanteckningar manipuleras.

– Riktigheten måste in i verksamheten. I grunden handlar det om förtroende – att kunder och medarbetare litar på dig.

Det är också viktigt att ta in det här perspektivet i säkerhetsskyddsanalysen och att samordna olika avdelningar som arbetar med frågan från olika håll – förutom it-säkerhetsfolket så måste också hr, kommunikationsavdelningen och juristerna involveras.

– Alla arbetar med frågan på olika sätt men har olika verktygslådor – så inventera vilka förmågor, program, tjänster som finns på respektive avdelning i företaget.

Sannolikt kan de verktyg som It-säkerhetsavdelningen använder vara till nytta för även kommunikations- eller hr-avdelningen och så vidare.

Dela med er så att de kan använda det ni använder och tvärtom. Prata om hur ni ska rapportera allt ifrån små händelser till stora rykten.

Talar olika språk

Också språket är olika – ofta pratar man om samma sak men med olika ord.

Exempelvis använder sig cio:er och it-säkerhetschefen kanske av begrepp som social ingenjörskonst, eller social engineering, ddos och liknande. I MSB:s handbok – ”Att möta informationspåverkan” – finns i stället begrepp som teknisk manipulation och symboliska handlingar.

Där kan man ta med sig att teknisk manipulation och social ingenjörskonst i stor utsträckning är detsamma och att en ddos-attack kan syfta till kognitiv påverkan – exempelvis att sänka förtroende för en verksamhet och den blir således en symbolisk handling. Så det är viktigt att vi förstår varandras språk så att inte orden skapar konflikt.

Anton Lif ser också hur arbetet med desinformation börjat ta sig in på allvar i säkerhetsarbetet ute på myndigheter och företag – och framför allt våra beredskapsmyndigheter driver på bra.

– De har gått från inspirationsföreläsningar till workshop till övning – man vill bygga förmåga. Medan många av de privata verksamheter jag jobbar med är mer på mognadsnivån inspirationsföreläsningar, säger han.

Läs också: Så jobbar försvarsjätten Saab med cybersäkerheten – ”måste få kosta”

Tror dina medarbetare på konspirationsteorier? Då kan de vara en säkerhetsrisk.