Lästid: 2 minuter
Senast redigerad:
Så slipper du bli lurad av deepfake-kandidater i IT-rekrytering
”Handlar om IT-säkerhet rakt igenom”
Kan du avslöja en deepfake-kandidat? Troligtvis inte. För tack vare generativ AI blir tekniken med deepfakes och identitetskloning ett växande säkerhetsproblem. Inte minst inom IT-rekrytering där remote-medarbetare är vanligare, liksom tillgången till känslig information. Tack och lov finns det knep att ta till för att motverka riskerna. Här är 7 tips om IT-säkerhet och deepfake-kandidater från oss på Ada Digital!
Nyligen lyfte vi på Ada Digital och TNG fram den skenande trenden om AI-genererade deepfakes videos och voice cloning. Och hur den innovativa tekniken har kommit att bli det nya IT-hotet i rekrytering. Till och med FBI:s Internet Crime Complaint Center i USA har gått ut och varnat arbetsgivare för den ökade risken med deepfakes i digital rekrytering, där IT-rekrytering är mest utsatt.
Kortfattat handlar det om cyberkriminella som lyckats få jobb inom programmering, IT-support eller databashantering. För att sedan stjäla affärskritisk data, installera ransomware och planera utpressningsaktiviteter – ibland redan första dagen som anställd.
Så här går bluffen till:
- En bedragare spanar in jobbannonser och plockar ut de tjänster som erbjuder tillgång till finansiell information, interna databaser och annan känslig data. Tänk distansarbete inom programmering, IT-support eller databasdrift.
- Sedan plockar skurken ut en perfekt kandidat för jobbet, kanske genom en snabb sökning på Linkedin, och skickar in en ansökan i den intet ont anande specialistens namn.
- När kallelsen till jobbintervjun landar, kickar bedragaren igång sin lookalike-process med deepfake-teknik i den digitala anställningsintervjun.
- Väl anställd och med inlogg till viktiga system har bedragaren ett smörgåsbord av potentiell förödelse framför sig. Ska hen plantera ransomware? Stjäla affärskritisk data? Sabotera viktiga projekt? Eller läcka personuppgifter från kunder och medarbetare?
Hot som inte tas på allvar
Även om tekniken är busenkel att använda och knappast kräver en skicklig skådespelare till bedragare, är det många som fortfarande avfärdar detta som science fiction. Som tänker att ”detta drabbar inte mig”. Eller så har man så fullt upp med sin grundaffär att man missar den ökade risken för deepfake-kandidater.
Därför saknar många verksamheter både skyddsmekanismer som ska förhindra rekrytering av cyberkriminella och mekanismer för att spåra skumma beteenden från befintlig personal. Vilket bland annat den internationellt kända HR thought-leadership-profilen och professorn John Sullivan lyfter i sin artikel Deepfake Candidates – Yes, A Single Deepfake New-Hire Will Cost You Millions.
Ändå är detta ett reellt IT-hot. Och ett säkerhetsproblem som bör engagera såväl säkerhetschefer som personalchefer och linjechefer. Ja, egentligen alla som arbetar med rekrytering av nya medarbetare eller ansvarar för organisationens IT-säkerhet.
Så vad kan man göra?
7 tips för att stoppa bedragare
- Se över rekryteringsprocessen och fokusera särskilt på rekryteringen av tjänster som är 100 % remote. I en tid då kandidatbristen inom IT är ett faktum är det fantastiskt att kunna anställa medarbetare från en annan del av landet eller världen. Men eftersom detta också är den lättaste vägen in för de kriminella är det bra att säkra upp med identitetskontroll i flera urvalssteg och till exempel satsa på intervjufrågor som bara den rätta kandidaten ska kunna besvara.
- Utbilda alla chefer med personalansvar i hur deepfake-tekniken fungerar och öka bolagets medvetenhet om hur otroligt svårt det är att avslöja bluffen med ett mänskligt öga eller öra.
- Kontrollera att telefonnumret på ansökan är registrerat i kandidatens namn. Det är svårare med utländska sökande än svenska, där du snabbt kan söka upp namn och nummer i svenska register.
- Ta referenser och säkerställ referenternas identitet. Lita inte på mobilnumret som du får av kandidaten utan sök upp referenten via växeln på nuvarande arbetsplats. Är referenten svensk finns det även digitala referenslösningar där referenten måste legitimera sig med bank-id. Stäm gärna av när referenten hade kontakt med din kandidat senast och ifall hen var medveten om att kandidaten letade nytt jobb.
- Be kandidaten visa upp ID-kort under pågående videointervju direkt i webbkameran utan förvarning. Eller säg att ni kräver en personlig intervju längre fram i processen, vilket brukar skrämma bort bedragare.
- Köp in programvara för deepfake detectoring. Notera att ingen teknik är 100 % säker och utvecklingen av deepfake-AI går framåt i samma takt som all annan AI. Men mjukvaran kan vara ett första filter som stöttar chefer och rekryterare i sin rekryteringsprocess.
- Satsa på bakgrundskontroller och juridisk bevakning av medarbetare i nyckelpositioner. Förlita dig inte på Polisens belastningsutdrag, utan gör en ordentlig bakgrundskontroll som både kontrollerar personens identitet, ekonomi och juridiska bakgrund, liksom pågående ärenden i rättsväsendet. De bästa tjänsterna inom bakgrundskontroll inhämtar även tillstånd från kandidaten, vilket ger dig ytterligare en kvalitetssäkring.
Välj rätt rekryteringspartner
Uppenbarligen handlar ingen av lösningarna om att du ska sluta rekrytera, inte ens avbryta tillsättningar med remote-personal. Istället handlar det om att rekrytera med hjärnan påkopplad. Att inte bara köra på, utan tänka till kring riskerna med deepfake-kandidater och fatta kloka beslut längs med vägen.
Känns det övermäktigt? Dyrt? Krångligt? Se då till att anlita en rekryteringspartner som har koll!
På Ada Digital är vi specialiserade på rekrytering, konsultuthyrning och interim för organisationer som vill stärka sin digitala affär. Det ger oss stor erfarenhet av att rekrytera allt från utvecklare till säkerhetsspecialister, samt hyra ut konsulter inom IT. Men också genomföra tillsättningarna med säkra metoder. Dessutom samarbetar vi med ToFindOut, som är ledande i Norden på bakgrundskontroller för kvalitetssäkring inom rekrytering och personalområdet.
Så. Vill du också undvika deepfakes i rekrytering utan att tumma på vare sig kvalitet eller effektivitet? Eller vill du anlita en säkerhetsexpert som kan navigera dagens och morgondagens utmaningar inom informationssäkerhet? Hör då av dig till oss på Ada Digital!