Intervju med Anton Lif
Anton Lif är senior rådgivare cybersäkerhet och totalförsvar verksam på Combitech. Han talar på konferensen Nationell mötesplats för säkerhetsskydd den 18 april. Vi ställde några frågor till Erik inför att han ska hålla i sin föreläsning.
Anton Lif är senior rådgivare cybersäkerhet och totalförsvar verksam på Combitech. Han talar på konferensen Nationell mötesplats för säkerhetsskydd den 18 april. Vi ställde några frågor till Erik inför att han ska hålla i sin föreläsning.
Hur kan du beskriva läget i stort när det kommer till vilseledande och felaktig information?
Informationsmiljön kan liknas vid en spelplan utan linjer, domare och regler. Och för varje år så blir den alltmer komplex och svårnavigerad. Idag är det svårt att särskilja legitim opinionsbildning , inklusive satir, lobbyism, sälj- och marknadsföring, med illasinnade kommunikation i form av exempelvis falska gräsrotsrörelser, statliga medier och proxy-aktörer, medvetna och omedvetna. Som bonus har vi algoritmer som kan ”premierar det dåliga”, alternativt manipuleras.
Idag är desinformation, avsiktligt vilseledande eller manipulerad information, tyvärr en betydande faktor inom de flesta områden. Det används av antagonister och andra illasinnade aktörer inom politiken, näringslivet, media , spel, skolan, religion och akademin liksom i det allmänna samtalet.
Utvecklingen avseende omfattning och spridning av desinformation och möjligheterna att manipulera innehåll i exempelvis sociala medier är enorm. Idag finns det en global industri för ogrundad information. I princip vem som helst kan genomföra en storskalig och avancerad påverkanskampanj. Informationspåverkan och desinformation är perfekta vapen, det är billigt, effektivt, anonymt och som oftast lagligt(!)?
Vilken skada kan vilseledande information orsaka den egna verksamheten?
Digitaliseringen driver förändringar över hela samhället och det finns ett växande behov av beredskap och skydd, eftersom framsteg medför både möjligheter och risker. Trots att det gått över 15 år sedan sociala medier blev stort så är det som att vi yrvaket försöker hantera en situation som ingen riktigt kunnat förutse. Det bästa med internet och sociala medier, är samtidigt det värsta. Möjligheterna att ta del av all världens information, sprida sina budskap och hitta jämlikar är ju dessvärre något som även gäller för antagonister. Ett aktuellt exempel är hur grovt kriminella ”marknadsför” sitt våldskapital i sociala medier.
Informationspåverkan begränsar sannolikt många organisationers förmåga att utföra sina uppdrag, leverera sina varor och tjänster. Liksom varumärkeskador. Det kan exempelvis vara negativ påverkan avseende förtroende och tillit liksom risker till självcensur, men även mer direkta ekonomiska risker.
Några risker och hot kopplat till syntetisk media?
Det finns studier som påvisar riskerna med syntetiska bilder i form av satellitfoto. Tänk dig scenarier där en antagonist kan manipulera flygfoto- eller satellitfoto för att påverka ett förlopp eller ett samhälle.
Användning av deepfakes för att ta sig förbi biometriska spärrar, exempelvis att manipulerade ansikten kan kringå ansiktsigenkänning. Ett forskningsteam i Japan har visat hur AI-modeller kan användas för att extrahera fingeravtryck från “selfies” på sociala medier, som potentiellt skulle kunna användas för att kapa någons identitet.
Data-förgiftning – AI system kan angripas och vilseledas?
Svårigheten med förstärkare – ”Sound boxes”. Kombinationen av allt mer trovärdiga deepfakes och annan ny teknik såsom 5G, och snart 6G, skapar förutsättningar för att både snabbt generera högkvalitativt innehåll och sedan sprida det med hög hastighet och i enorm skala. Hur ska ett förtag hantera en situation där alla anställda blir uppringa samtidigt av vad de tror är deras chef men det är i själva verket ett storskaligt deep voice-angrepp?
Den tekniska utvecklingen leder oss mot en immersive, uppslukande, verklighet eller XR, eXtended Reality. Potentiella risker och utmaningar är bland annat att vi kommer dela med oss av alltmer personliga data. I XR kan det vara möjligt att utifrån faktorer som kroppsspråk, puls, pupillrörelser och hudrodnad med mera genomföra allt mer skräddarsydd påverkan. Dessutom, hur ska vi se skillnad på vem som är människa och vem som är robot?
Det handlar i stor omfattning om pengar – vi måste begränsa medveten och omedveten finansiering av lögner. Det vedertagna begreppet follow the money, som syftar på att om man vill lösa brottet ska man följa pengarna är verkligen relevant när det kommer till att identifiera och möta desinformation. Ett problem bland många är att stora välkända varumärken oavsiktligt betalar enorma summor för reklam på “desinformationssidor”.
Hur känner du igen vilseledande informationspåverkan, kan du göra det?
Att navigera i dagens informationsmiljö är oerhört svårt och det kräver både tålamod, systematik och teknisk expertis.
Källkritik är tyvärr inte någon magisk silverkula, såsom många får det att framstå. Du och jag, som enskilda, kan som oftast inte avgöra om exempelvis en video, bild eller text är syntetisk eller på manipulerade. I en tid då både underrättelseexperter såväl som public service och våra främsta fact-checkers har stora utmaningar med att ta reda på vad som är vad, då kan vi inte ställa så höga förväntningar på den enskilde.
Samtidigt, att individer ska bli mer (käll)kritiska är inte den stora utmaningen. Utan, för offentliga och privata verksamheter, för media, för alla så är den största utmaningen att upprätthålla förtroende, för den egna verksamheten, och tillit individer emellan. Fundamentala byggstenar i det demokratiska samtalet, för en fungerade rättsstat och välfärdssamhälle.
Ska vi uppmuntra den enskilde till något? så är det snarare att öka sin allmänna medie- och informationskunskap, med fokus på källtilit!
Hur kan man tänka och agera för att öka den egna organisationens motståndskraft?
Organisatorisk motståndskraft uppnås genom att identifiera vilka värden som är i fara, och i vilken grad, och ta itu med säkerhetskedjan för respektive värde. Att bygga motståndskraft är inte enbart en resursfråga. Snarare är det en strukturfråga och en förståelsefråga. Önskvärd målbild uppnås inte av enbart av fler anställda, men möjligtvis av bättre anställda som förstår utmaningarna.
Förtroende är allt. Identifiera vilka målgrupper som är särskilt sårbara och/eller kritiska för att verksamheten ska fungera. Betrakta medarbetare, varumärke och förtroende som kognitiva skyddsobjekt och bygg förtroende inom och utanför er verksamhet innan en incident uppstår.
Arbeta strategisk och proaktivt med kommunikation. Vilka är våra målgrupper, vad är deras behov och intressen. Vilka kommunikationsarenor bör vi vara verksamma på och vilka bör vi bevaka?
Säkerställ analysförmåga. Etablera, upprätthåll och vidareutveckla en egen förmåga till omvärldsanalys och hotunderättelser inkl. OSINT (online-undersökningar), IT-forensik och webbanalys.
Utbilda er personal och bygg personliga brandväggar. Genomför informations- och utbildningsinsatser för att höja medvetenheten, så ökar er motståndskraft.
Öva ofta. Öva enkelt och öva avancerat. Från korta scenariodiskussioner till systematiskt “Red Teaming”
Samarbeta och möts i nya konstellationer. Bidra till att skapa förutsättningar för dialog och samverkan mellan offentlig sektor, näringsliv och universitet/högskola men också med civilsamhällets tongivande individer, entreprenörer, startups, ideella organisationer och eldsjälar. Det genererar innovation och kunskap. Bygg motståndskraft tillsammans.
Går detta att stoppa? Kommer vi någonsin ligga före de cyberkriminella?
Nej, men vi kan göra mycket för att stärka vår motståndskraft, där även små åtgärder kan ha effekt. När det gäller det allmänna kunskapsläget om informationspåverkan så det på motsvarade nivå som kunskapsläget kring cyberhot var på för 10 år sedan!? Coronapandemin med tillhörande infodemi (som alltjämt verkar tillta) liksom Rysslands krig mot Ukraina har verkligen höjt det allmänna kunskapsläget. Men fortsatt så är kunskapen alldeles för låg.
För att förstå påverkanskampanjer och dess asymmetri så behöver du förstå informationsmiljön. Den fysiska, den digitala och den kognitiva domänen är tätt sammanflätande och vi behöver tänka mer ekosystem.
Vi har lagar och den främsta expertisen – men vi använder oss inte av dess fulla potential. Alldeles för få myndigheter och näringslivsaktörer använder, eller är ens medvetna om alla de fantastiska ramverk och verktyg som finns. Några exempel:
- CORE_comprehensive_resilience_ecosystem.pdf (hybridcoe.fi)
- DISARM Foundation
- beam (beamdisinfo.org)
- Semi-automatisk datadriven webbanalys: detektion av fabricerad media, trovärdighetsbedömning och cyberhotsbevakning (foi.se)
- Rättsligt ramverk för bemötande av informationspåverkan (foi.se)
- Handbok i debunkning 2020 – Vetenskap och Folkbildning (vof.se)
Vi bygger inte heller motståndskraft genom att ”möta eld med eld” – vi behöver i stället använda våra andra verktyg, smart. Jag anser att vi saknar en nationell förmåga när det gäller strategisk kommunikation. Alla verksamheter behöver fokusera mer på proaktiv kommunikation och vi som land behöver bygga och vidmakthålla, starka, gemensamma berättelser. Som förklarar varför det är viktigt med demokrati, mänskliga fri- och rättigheter liksom tillit människor emellan.
Ta reda på mer om informationspåverkan och säkerhetsskydd på konferensen Nationell mötesplats för säkerhetsskydd den 18 april.
Intervjun är gjord av Lars-Ola Lundqvist på Ability Partner
Dela: