Veertig procent van de overheidsorganisaties richt tegen 2028 een speciale TrustOps-afdeling op

Overheidsorganisaties moeten volgens Gartner dringend vertrouwenscapaciteiten ontwikkelen om zich te verdedigen tegen deepfakes. Deze bedreigingen uiten zich in de vorm van openbare desinformatiecampagnes, onder meer met behulp van deepfakes van managers die misleidende verklaringen afleggen. Denk echter ook aan aanvallen op interne systemen, onder meer gericht op het compromitteren van geautomatiseerde biometrische authenticatie (stem of gezicht) of het gebruik van social engineering om medewerkers te manipuleren tot schadelijke acties.

'Deepfakes ondermijnen digitale identiteiten'

“Deepfakes kunnen het begrip digitale identiteit ondermijnen of zelfs wapenen, en de geloofwaardigheid van de staat zelf aantasten”, aldus Daniel Nieto, senior directeur analist bij Gartner. “Als burgers niet kunnen onderscheiden of een aankondiging van een legitieme premier of een veilige belastingportaal echt is of een replica, stort de fundamentele architectuur van de waarheid in.”

Gartner adviseert CIO's daarom over te stappen van het reactief controleren van feiten naar een proactieve vertrouwensarchitectuur. Deepfakes vereisen volgens Gartner een gecoördineerde, snelle en ondernemingsbrede verdediging. “Het deepfake-fenomeen dreigt een digitale regressie teweeg te brengen; het keert de ROI van digitale transformatie om door een terugval naar hoogfrictie, papieren en persoonlijke interacties af te dwingen,” voegde Nieto toe.

Voorbereiding van overheidsorganisaties op desinformatie

Overheidsorganisaties mogen deepfakes niet uitsluitend als een IT-probleem behandelen. Het is een kruisfunctionele crisis die executieve coördinatie en een langdurige, continue opleiding van de beroepsbevolking en het publiek vereist. Er is geen enkele eigenaar in een traditionele organisatiestructuur. Daarnaast moeten organisaties vermijden afhankelijk te zijn van reactieve verwijderingen. Zodra een deepfake viraal gaat, kunnen ze deze niet meer inhalen. Organisaties moeten de informatieruimte eerst verzadigen met de waarheid.

Ten slotte mogen ze niet te veel vertrouwen op het bewustzijn van burgers. Hoewel voorlichting noodzakelijk is, moet de last van verificatie verschuiven van de eindgebruiker naar de institutionele architectuur via cryptografische herkomst.

Om deze doelen te bereiken adviseert Gartner overheidsorganisaties op korte termijn prioriteit te geven aan:

• De oprichting van een vertrouwensraad: een toezichthoudende rol coördineren in overleg met de belangrijkste stakeholders (IT, juridisch, communicatie, HR). Deze capaciteit moet digitale identiteitskwesties beheren en inwaartse en uitwaartse desinformatieactiviteiten aansturen.
• Het versterken van bedrijfsprocessen: identificeer en audit subsequent hoogrisico administratieve workflows, zoals financiële uitkeringen. Implementeer beveiligingsmaatregelen die meerdere goedkeurders en authenticatie op applicatieniveau vereisen om kwetsbaarheden met een enkel falend punt, die kunnen worden uitgebuit door stemgekloneerde leidinggevenden, te elimineren. Vervolgens moeten formele gegevens- en beveiligingsgovernancestrategieën en -programma's worden aangenomen die zich eerst richten op deze hoogrisico workflows en vervolgens uitbreiden naar andere waar nodig.
• Het ontwikkelen van deepfake-verificatieprocedures: ontwerp standaardwerkprocedures (SOP's) die stap-voor-stap handleidingen gebruiken om technologie in te zetten voor het testen van verdachte digitale interacties en het blootleggen van inhoud die mogelijk synthetisch is gecreëerd door AI-agents.

Op lange termijn kunnen overheidsorganisaties overwegen om oplossingen zoals het C2PA-protocol te implementeren, aldus Nieto. “Zij moeten uitgaande inhoudsverankering afdwingen door het C2PA-protocol te adopteren, waarbij onvervalste cryptografische metadata in alle officiële digitale media wordt ingesloten. Zij kunnen ook het gebruik van inhoudsherkomst aan belastingbetalers en stakeholders promoten om vertrouwen te bevestigen.”

Analisten van Gartner delen op Gartner Security & Risk Management Summits de laatste inzichten voor security- en riskmanagementleiders. Gartner Security & Risk Management Summits vinden plaats op 1-3 juni National Harbor, MD, 22-24 juli in Tokyo, 4-5 augustus in Sao Paulo en 22-24 september in London.