Gransking og AI: Økonomisk kriminalitet i en ny teknologisk tid

Vi ser en rask utvikling i bruken av AI-generert lyd og bilde for å etterligne ledere og ansatte.

I 2024 ble ansatte i økonomiavdelingen til det britiske selskapet Arup lurt til å overføre 25 millioner dollar etter å ha mottatt et videoanrop fra det som så ut til å være selskapets økonomidirektør. (Scammers siphon $25M from engineering firm Arup via AI deepfake ‘CFO’)

Videoen var en «deepfake», laget for å etterligne økonomidirektørens utseende og stemme. Denne type handlinger utnytter den iboende tilliten til lyd og bilde, og medfører at tradisjonelle sikkerhetsmekanismer ikke kan stoles på.

AI kan kopiere stemmen til en person basert på noen få sekunder med lydopptak, for eksempel et intervju eller foredrag som har blitt lagt ut på internett.

Svindlere kan bruke stemmekopiering til å etterligne personer med beslutningsmyndighet med formål om å godkjenne transaksjoner eller andre handlinger som krever stemmegodkjenning.

Dette er en modus som internkontrollen i det fleste virksomheter ennå ikke har tilpasset seg. 

Generative AI-verktøy blir brukt til å lage overbevisende e-poster som kopierer skrivemåten til utvalgte ledere og ansatte.

Til forskjell fra tradisjonelle «phishing»-forsøk, er disse meldingene kontekstuelle, grammatisk korrekte og målrettede. Meldingene kan til og med inneholde referanser til nylige møter eller hendelser i virksomheten.

Maskinlæringsalgoritmer kan analysere store datasett og avdekke unormale transaksjoner eller bruksmønstre.

Denne type modeller er ikke styrt av forhåndsdefinerte regler, men modellene lærer å identifisere signaler fra tidligere datasett som kanskje ikke er synlige for et menneske.

For eksempel kan avvik i betalinger til leverandører eller overlappende utleggsrefusjoner bli flagget i sanntid for nærmere kontroll.

AI kan brukes til å bygge profiler for typisk adferd for særskilt utsatte funksjoner basert på faktorer som tilgangsstyring, transaksjonshistorikk eller epostaktivitet.

Når en brukers adferd avviker signifikant fra det vanlige bruksmønsteret, går det en anonymisert varsellampe i systemet. Samtidig, kan teknologien også effektivisere oppfølgingen av alarmene ved at de undersøkes av AI på et lavere nivå, og granskere kan prioritere tiden sin på nærmere og mer omfattende undersøkelser.

På denne måten kan en virksomhet monitorere risikoen for innsidetrusler eller brudd på interne retningslinjer i nær sanntid. 

Granskere må ofte gjennomgå store mengder dokumentasjon og kommunikasjon fra ulike plattformer.

Språkmodeller kan analysere eposter, chat-logger, regnskap og intervjureferater for så å trekke ut relevant informasjon som kan belyse saken.

På denne måten kan granskere raskt peke ut viktige personer, hendelser og tidslinjer uten å lene seg på enkelte nøkkelord. 

Så lenge AI-verktøyene benyttes ansvarlig kan verktøyene brukes til å oppsummere rapporter, organisere dokumenter og triangulere observasjoner.

Granskere kan bruke AI til å lage koblinger mellom datapunkter som tilsynelatende ikke er relaterte til hverandre, og på den måten avdekke skjulte forbindelser.

Ved å bruke AI-teknologi kan granskere forbedre kvaliteten og redusere tidsbruken i arbeidet. Dette vil krevere investeringer i opplæring og infrastruktur, samt klare retningslinjer for hvordan AI kan brukes på en forsvarlig måte.