BT güvenliğinin ne kadar yeterli olduğu sorusunu sormak, bir ipin uzunluğunu sorgulamak kadar faydalıdır. Cevap, duruma bağlı”. Ancak kesin olan şey, tehdit ortamının değiştiğidir. Yapay zeka (AI) riskler ve fırsatlar sunuyor ve Orta Doğu ve Ukrayna’daki savaşlar, Batı’daki kritik ulusal altyapının ve büyük işletmelerin hedef alınma olasılığını artırdı.
Operasyonel Teknoloji Siber Güvenlik Bilgi Paylaşımı ve Analiz Merkezi yönetim kurulu başkanı Steven Sim Kok Leong, fidye yazılımı saldırılarının, veri ihlallerinin ve dolandırıcılığın boyutunun artmaya devam etmesini bekliyor. Dünya Ekonomik Forumu’na işaret ediyor Küresel riskler raporu 2024Siber güvensizliğin yanı sıra yanlış bilgi ve dezenformasyonun önümüzdeki iki yıl için sırasıyla en büyük ve dördüncü riskler olacağını öngörüyor.
Sim Kok Leong, 2024’ün gelişen tehdit ortamına bakarak şunları söylüyor: “Üretken yapay zeka sayesinde bulutun (yapay zeka) giderek daha fazla benimsenmesiyle saldırı yüzeyi her zamankinden daha karmaşık hale geliyor [GenAI]Nesnelerin İnterneti [internet of things] ve bağlantı. Bilgisayar korsanları, yatırım getirilerini artırmak için halihazırda ortak yazılım ve hizmet konsantrasyonlarına saldırıyor.”
İşletmeleri artan riske hazırlamak
Ocak ayında Bilim, Yenilik ve Teknoloji Bakanlığı (DSIT), işletmelerin siber güvenliği yönetmesine yardımcı olacak bir davranış kuralları taslağı yayınladı. Endüstri direktörleri, siber ve yönetişim uzmanları ve Ulusal Siber Güvenlik Merkezi (NCSC) ile ortaklaşa tasarlanan kod, şirketlerin olası siber olaylara müdahale etmek ve bu olaylardan kurtulmak için ayrıntılı planlara sahip olmasını sağlayan önlemler içeriyor. Müdahale planının mümkün olduğu kadar sağlam olduğundan emin olmak için düzenli olarak test edilmesi ve olayların raporlanmasına yönelik resmi bir sistemin de mevcut olması gerekir.
Önlemler, risklerin daha iyi yönetilmesi ve tedarik zincirleri boyunca iletilmesiyle yazılımın güvenli bir şekilde geliştirilmesini ve sürdürülmesini sağlamayı içeriyor. Hükümet, önerilen paketin temelini oluşturacak yazılım tedarikçileri için bir uygulama kuralları geliştirmekten profesyonellere yönelik siber güvenlik eğitimlerine kadar bu önerileri daha da geliştirmek için endüstriyle birlikte çalışıyor.
Güvenlik becerileri açığı
Çok uluslu şirketler, en azından bilgisayar korsanlarıyla aynı oyun alanını eşitlemek için çaba gösterecek kaynaklara sahip olsa da Sim Kok Leong, küçük ve orta ölçekli işletmelerin (KOBİ’ler) ve bireylerin, kaynakların ve uzmanlığın kıt olduğu ve bütçeye uygun olmadığı yerlerde mücadele ettiği konusunda uyarıyor ve her ekonomik krizde insan gücü kesintileri yapılıyor.
Becerilere bakıldığında, Turnkey Consulting’in kıdemli yöneticisi Harshini Carey, şirketleri siber tehditlerden korumak için devam eden vasıflı personel ve uzman eksikliğinin yaygın bir küresel endişe olmaya devam ettiğini belirtiyor. Örneğin, Birleşik Krallık’ta işletmelerin %50’sinde temel siber güvenlik becerileri açığı bulunurken, %33’ünde ileri düzey beceri açığı bulunuyor.
Defans oyuncusu eksikliğinin birçok nedeni var. Carey, siber güvenlik rollerinin son derece stresli doğasının birçok profesyonelin sektörden ayrılmasına neden olduğuna dikkat çekiyor. Geçtiğimiz yıl Gartner, siber güvenlik liderlerinin neredeyse yarısının 2025 yılına kadar işlerini değiştirmeyi planladığını ve bu sayının yarısının güvenlik sektöründen kalıcı olarak ayrılacağını söylediğini bildirdi.
“Stres, beceri eksikliğini artırmanın yanı sıra siber güvenlik uzmanlarının rollerini daha az etkili hale getiriyor” diye ekliyor. Stresin etkilerini inceleyen 2023 tarihli bir rapor, ABD ve Birleşik Krallık’taki CISO’ların %65’inin stresin kuruluşlarını koruma becerilerini tehlikeye attığını hissettiğini ortaya çıkardı.
Güvenlik şefleri için risk
Sim Kok Leong, 2024’te CISO sorumluluğu, sigorta ve sendikalaşmaya daha fazla odaklanılmasını bekliyor. “Uber ve SolarWinds vakaları CISO’nun sorumluluğu sorusunu tetikledi” diyor.
Sim Kok Leong, büyük bir siber güvenlik sorunu olduğunda CISO’nun durum tespitinin sorgulandığını söylüyor. Sonuç olarak, CISO’ların daha iyi ücret ve/veya iş güvenliği sigortası talep etmesini bekliyor.
“Yapısal çatışma ve güvenlik tiyatrosuna yakalanan CISO’lar, kötü haberciliği küçümseme konusunda ikinci kez düşünecek” diye ekliyor. “CISO’lar ayrıca güç, destek, içgörü ve zeka kaynakları olarak CISO ağlarına güvenecek meslektaşlarını giderek daha fazla arayacak.”
Sim Kok Leong, şirket yönetim kurulu üyelerinin ve CISO’ların hesap verebilirlik ve sorumluluğu netleştirmelerini tavsiye ediyor. “Yönetim kurulunun hesap verebilirliği ve siber güvenliğe odaklanma, revize edilen SEC aracılığıyla giderek daha fazla vurgulanıyor ve detaylandırılıyor. [Securities and Exchange Commission] tüzük. Dayanıklılık ve üçüncü taraf riskleri üzerindeki incelemeler daha fazla kamuoyuna duyurulan ihlallerle birlikte arttıkça, kurullar da risk/güvenlik ölçümlerinin bağımsız güvencesini ve görünürlüğünü talep edecekler” dedi.
Onun deneyimine göre, CISO’ya sorumluluğun ötesinde siber güvenlik konusunda giderek daha fazla sorumluluk veriliyor. Bu, CISO’ların siber kararlar almak için daha fazla yetkiye ihtiyaç duyacağı anlamına geliyor.
Yapay Zeka: 2024 için yeni bir tehdit
BT güvenlik şeflerinin daha önce deneyimlediği risklerin ötesinde, yapay zekanın yarattığı büyüyen tehditler ve fırsatlar da var.
Turnkey’den Carey, yapay zekanın hızla daha karmaşık hale geldiğini, bu nedenle antivirüs yazılımı, güvenlik duvarları ve kötü amaçlı yazılım önleme motorları gibi geleneksel siber güvenlik tekniklerinin, makine öğrenimi destekli saldırıların ürettiği tehditlere karşı koruma sağlamak için artık yeterli olmadığını belirtiyor.
Yapay zeka destekli tehditler yelpazesi, BT ortamına hızlı bir şekilde uyarlanabilen, kötü amaçlı yazılım enjeksiyonları kullanılarak düzenlenen derin sahte sosyal mühendislik girişimlerini içerir.
Carey, bu saldırıların pek çok biçimde olabileceği konusunda uyarıyor. Örneğin, güvenilir kişiler gibi davranan failler, birisini hassas bilgileri açığa çıkaran, ağlarına kötü amaçlı yazılım yükleyen veya gelişmiş kalıcı tehdidin (APT) ilk aşamasını yürüten bir e-posta bağlantısına tıklaması için kandırabilir. Saldırıyı oluşturmak için kısa mesajlar ve sesli çağrılar da kullanılabilir; ayrıca insanları bilgisayar korsanının web sitesine yönlendiren ve etkileşimde bulunduklarında hassas verileri çalan arama motoru optimizasyonu (SEO) manipülasyonu da kullanılabilir.
Sonuç, kullanıcıları kurumsal sistemlere yetkisiz erişim vermeleri yönünde yönlendiren sosyal mühendislik saldırılarının artması olacaktır. Bu tür saldırıların zeka ve gelişmişlik nedeniyle tespit edilmesinin de son derece zor olduğunu söylüyor.
Jeopolitik gerginlik siber saldırıları tetikliyor
Yapay zeka hem bir tehdit hem de bir fırsattır. Siber suçluların jeopolitik gerilimi kullanarak büyük kuruluşları ve kritik ulusal altyapıyı hedef almaları muhtemeldir. Analist firma Forrester, GenAI’ya artan ilginin bir sonucu olarak, 2024’te, yapay zeka tarafından oluşturulan kodlardan kamuya açık olarak suçlanan en az üç veri ihlalinin yaşanmasının muhtemel olduğunu tahmin ediyor.
Ancak BT güvenlik sağlayıcıları, savunmalarını yapay zeka destekli araçlarla güçlendiriyor. Yapay zekanın siber güvenlik araçlarına entegrasyonu hızla artıyor. Siber güvenlikte yapay zeka pazarının 2026 yılına kadar 38,2 milyar dolara ulaşması bekleniyor.
Quorum Cyber’ın CEO’su ve kurucusu Federico Charosky, bu kuruluşları savunmakla görevlendirilenlerin, saldırganların onu kötülük için kullanmasından daha hızlı bir şekilde yapay zekayı iyilik için kullanma konusunda eşsiz bir fırsata sahip olacağına inanıyor.
“Yapay zekayı çalıştırmak için oldukça büyük bir bilgi işlem gücüne ihtiyaç var ve bu, tedarik zinciri sorunları ve müşterilerini nitelendirebilecek hiper ölçekleyiciler tarafından iyi bir şekilde kontrol ediliyor” diyor.