Criminelen zetten AI in om deepfakes te maken. Dat vormt niet alleen een risico in het kader van phishing, maar kan ook een impact hebben op het vertrouwen in je onderneming. Dat digitale vertrouwen dien je volgens ISACA nochtans goed te beschermen.
Deepfakes kom je al lang niet meer alleen tegen in de krochten van sociale media. Door AI gemanipuleerde beelden zijn vandaag uitgegroeid tot een acuut businessrisico. Hyperrealistische nepvideo’s en door AI-nagebootste stemmen zetten boekhoudteams, supportlijnen en zelfs directieleden op het verkeerde been.
Intern en extern risico
Het probleem is niet helemaal nieuw. ISACA waarschuwt al geruime tijd voor AI-gedreven bedreigingen. De organisatie stipte vorig jaar nog de risico’s van overtuigende phishing tot deepfakes aan. Digitaal vertrouwen is nochtans de kapstok voor audit, security, privacy en compliance. Frameworks en certificeringen kunnen organisaties helpen processen te standaardiseren.
lees ook
Isaca lanceert Digital Trust Ecosystem Framework
De dingen vormen niet alleen een intern risico. Eén overtuigend fragment is al genoeg om klantvertrouwen onderuit te halen. Volgens ISACA groeit de kloof tussen het belang van digitaal vertrouwen en de operationele paraatheid van organisaties. Helaas is dat precies de ruimte waar deepfakes floreren.
Van incident tot crisis in 60 minuten
Organisaties zien vandaag al het effect: valse video-instructies van een “CEO”, gemanipuleerde advertenties en valse helpdesks. De financiële én reputatieschade kan zich snel opstapelen. De tijd om te reageren is beperkt volgens ISACA: het eerste uur bepaalt of een incident uitgroeit tot een crisis.
Data van onderzoek uitgevoerd door ISACA benadrukt de urgentie van het probleem: 82 procent van Europese IT- en businessprofielen vindt dat digitaal vertrouwen in de komende vijf jaar nóg belangrijker wordt, maar bijna driekwart zegt dat hun bedrijf er geen training over aanbiedt; 64 procent koppelt vertrouwensverlies meteen aan reputatieschade.
Nu al een probleem
“Deepfakes zijn vandaag al een bedrijfsprobleem, geen toekomstmuziek”, benadrukt Chris Dimitriadis, Chief Global Strategy Officer bij ISACA. “Voeg detectie en herkomstcontroles toe aan je mediaprocessen, actualiseer crisisscripts voor synthetische media, en behandel deepfakes binnen je bredere fraude- en securityprogramma, niet als los risico,”.
Deepfakes zijn vandaag al een bedrijfsprobleem, geen toekomstmuziek.
Chris Dimitriadis, Chief Global Strategy Officer ISACA
AI-detectors die lip-sync, micro-expressies of lichtval analyseren zijn nuttig, maar onvoldoende als ze niet ingebed zijn in processen. Het verschil maak je volgens Dimitriadis met governance: wie escaleert, hoe snel, welk bewijs bewaar je, en wie spreekt publiek wanneer? “Zonder governance reageer je ad hoc en blijf je kwetsbaar. Even belangrijk is training: iedereen, van bestuur tot frontlinie, moet deepfake-signalen herkennen en weten hoe te handelen,” aldus Dimitriadis.
De EU AI Act en transparantieplichten rond synthetische media verhogen de ondergrens, maar vervangen geen interne discipline. Bedrijven moeten beleid vertalen naar werkbare controls zonder innovatie te smoren. In de publieke sector bijvoorbeeld is AI-geletterdheid een expliciete verplichting geworden: mensen die AI gebruiken, moeten de technische, praktische en juridische bagage hebben om dat verantwoord te doen.
Praktisch verdedigingsplan
Organisaties mogen zich niet laten afschrikken. Dimitriadis deelt praktische stappen waarmee ieder bedrijf zich nu al kan wapenen tegen de risico’s van deepfakes.
- Integreer detectie: Voeg AI-detectie toe in media-workflows (PR, social, webcare) en check waar mogelijk metadata. Combineer automatische detectie met mens-in-de-lus-reviews. Dit voorkomt dat valse content via je eigen kanalen tractie krijgt.
- Breid incidentrespons uit met synthetische media: Werk playbooks uit voor: snelle triage (binnen 15–30 min), forensische borging van bewijs, juridische check (portretrecht, merkinbreuk), en eerste communicatie (fact-checking in wording, “we onderzoeken en blokkeren proactief”). Benoem woordvoerders en escalatielijnen op voorhand.
- Koppel deepfakes aan bestaande fraudeprocessen: Plaats deepfakes niet in een silo. Zet limieten op betalingsautorisaties via stem/video, voer call-back-verificaties in buiten de initiële keten, en log afwijkingen centraal voor threat-intel en post-mortems.
- Train breed: Skills en training zijn de frontlinie. Bouw digitale geletterdheid en een cultuur van gezonde scepsis: even pauzeren vóór je klikt, deelt of handelt.
Wie detectie, governance en skills slim combineert, draait de asymmetrie om. Aanvallers hebben maar één overtuigende clip nodig; verdedigers hebben één goed geoefend proces nodig om schade te beperken en vertrouwen te winnen. Dimitriadis vat samen: “Je beschermt digitaal vertrouwen niet met beleid of training alleen, maar met een bedrijfsbrede inspanning die beide koppelt.”
Op de ISACA 2025 Europe-conferentie, die van 15 tot en met 17 oktober plaatsvindt in Londen, organiseert ISACA een sessie om het probleem te illustreren, inclusief een live demonstratie met een synthetische versie van de presentator. Geïnteresseerden leren er hoe ze AI-misleiding kunnen detecteren, en wat ze ertegen kunnen doen. Meer details over de conferentie en de sessie vind je hier.