Gelişen jeopolitik ortam bu yıl Avrupa’da siber güvenliği etkileyerek, kritik altyapıların ve hassas verilerin korunması konusunda belirli zorluklar ortaya çıkardı.
Ukrayna savaşı ve Gazze’deki çatışma hacktivizmde artışa yol açtı ve fidye yazılımı çeteleri birçok kuruluşta ilk erişim elde etmek için yeni kritik güvenlik açıklarından hızla yararlanma konusunda başarılı oldu.
Tehdit aktörlerinin çeşitli otomasyon araçlarına daha fazla erişime sahip olmasıyla bu durum daha da kötüleşiyor; hazır komut ve kontrol (C2) araç kitleri, hedef odaklı kimlik avı çabalarını desteklemek için üretken yapay zeka (GenAI) veya Dark Web’den ticari olarak temin edilebilen fidye yazılımı. .
Darktrace ürün sorumlusu Max Heinemeyer’e göre bu, kritik altyapının saldırganların hedefinde her zamankinden daha fazla olduğu anlamına geliyor.
“Son birkaç yıldır Avrupa NIS2 direktifi ve Almanya’daki BT güvenliği yasası 2.0 gibi yerel mevzuat da dahil olmak üzere mevzuatın çeşitli bölümlerinin bunu kabul ettiğini görmek güzel” diyor.
Hacktivizm ve Kritik Altyapı
Ukrayna’da çatışma yılın ilk yarısında hakimiyet kurdu ulus devlet siber saldırıları ve potansiyel olarak savaş alanından sahaya kaçan karşı saldırılar daha geniş Avrupa siber ekosistemiOntinue’nun CISO’su Gareth Lindahl-Wise diyor.
“Kritik altyapı hem propaganda hem de gerçek aksama amaçları için hedef olmaya devam edecek” diyor. “Hassas veriler, operasyonel askeri avantaj, cezai gasp amaçları ve ayrıca ulus devlet ve ticari avantaj için aktif olarak aranmaya devam edecek.”
Avrupa çapında yüksek bir ortak siber güvenlik düzeyi elde etmeye kendini adamış AB kurumu olan Avrupa Birliği Siber Güvenlik Ajansı (ENISA), siber güvenlik tehditlerine ilişkin yıllık bir analiz gerçekleştirir ve bulgularının sonuçlarını kendi raporunda yayınlar. “Tehdit Ortamı” raporları.
ENISA sözcüsü Laura Heuvinck’e göre kurum, Temmuz 2022’den Haziran 2023’e kadar olan raporlama döneminde yaklaşık 2.580 olay kaydetti.
“Bu toplama, özellikle iki veya daha fazla AB üye ülkesini hedef alan 220 olayın eklenmesi gerekiyor” diyor. “Çoğu durumda, en büyük tehditler mali kazanç, aksama, casusluk, yıkım veya hacktivizm durumunda ideoloji gibi niyetlerin bir kombinasyonu tarafından motive edilebilir.”
NIS2 Direktifi Metin, atık yönetimi ve üretim gibi sektörler de dahil olmak üzere ekonominin ve toplumun kritik sektörlerinde kullanılan dijital hizmetlere yönelik siber güvenlik gereksinimlerini artırmaya yönelik hükümler içeriyor.
Hibrit Çalışma ve Güvenlik Zorlukları
Darktrace’in raporuna göre dijital dönüşüm, savunucular için artan karmaşıklığa yol açıyor; son birkaç yılda uzaktan ve hibrit çalışma, kendi cihazını getir (BYOD) politikaları, çoklu bulutun benimsenmesi ve endüstri 4.0 trendlerinin yanı sıra daha dijitalleştirilmiş tedarik zincirlerinde önemli artışlar yaşandı. Heinemeyer.
“Bu karmaşıklıkların üstesinden gelmek kuruluşların karşılaştığı asıl zorluktur” diyor. “Risklerini anlamayı ve neyi savunmaları gerektiğini bilmeyi giderek zorlaştırıyor.”
Bu karmaşıklık, sürekli olarak hedefli kimlik avı, İnternet’e yönelik güvenlik açıkları ve tedarik zinciri ihlalleri yoluyla kuruluşlara sızmaya çalışan tehdit aktörleri tarafından hızla istismar ediliyor.
Heinemeyer, “Kuruluşlar, bu karmaşıklığı aşmak ve anormal faaliyetleri erkenden tespit etmek için yapay zekayı kullanarak ve görünürlüğü daha az cam bölmede birleştirerek uyum sağlıyor” diyor.
GDPR Etkisi ve Uygulaması
Coalfire başkan yardımcısı Andrew Barratt, AB tarafından Mayıs 2018’de uygulamaya konulan kapsamlı bir veri koruma yasası olan Genel Veri Koruma Yönetmeliği’nin (GDPR), multimilyon avroluk cezaların verilmesiyle gerçekten de düzenleyici “çekiç” haline geldiğini söylüyor.
” Dijital Hizmetler ve Dijital Pazar kanunları Eşit bir oyun alanı yaratmayı amaçlıyor ancak bazen AB’nin gerçek bir yanıt vermediği ve muhtemelen Çin’e karşı zemin kaybettiği büyük, ağırlıklı olarak ABD merkezli teknoloji firmalarına yönelik bir darbe olarak görülüyor” diye belirtiyor.
Ontinue’dan Lindahl-Wise, GDPR’nin, güvenlik fonksiyonlarında görev alan kişilerin sahip oldukları verileri, bunların nerede olduğunu, nasıl güvence altına alındığını ve kimlerle paylaşıldığını daha iyi anlamak için şüphesiz önemli miktarda odaklanma ve enerji sağladığını söylüyor.
“‘Rıza’ ve ‘kullanım hakkı’ unsurlarının dışında, bunların en başından beri veri güvenliğinin temel temelleri olması gerekirdi” diyor. “Ticari açıdan hassas ancak PII olmayan verilerin önceliklendirmede zayıf bir akraba olarak bırakılması tehlikesi var.”
Kaspersky’nin Avrupa halkla ilişkiler sorumlusu Jochen Michels, AB’nin son yıllarda Avrupa’da siber güvenliği sürdürülebilir bir şekilde güçlendirmek için çok sayıda önlem aldığını söylüyor.
Örneklerden bazıları, birlik genelinde yüksek düzeyde ortak siber güvenlik için önlemler alan, AB çapında bir yasa olan yukarıda bahsedilen NIS2 Direktifini içermektedir. Siber Dayanıklılık YasasıTüketicileri ve dijital ürünleri kullanan işletmeleri korumayı amaçlayan bu yasanın şu anda müzakere aşamasında olduğu ancak 2024’ün başlarında yürürlüğe girmesi bekleniyor.
Diğer çabalar arasında Avrupa Siber Güvenlik Becerileri Akademisi ve Avrupa Siber Güvenlik Yeterlilik Merkezi’nin oluşturulmasının yanı sıra kapsamlı bir sertifikasyon çerçevesi olan Avrupa Siber Güvenlik Planlarının geliştirilmesi yer alıyor.
Michels, “Bu girişimler temel olarak tedarik zinciri güvenliği, şeffaflık, tasarım güvenliği ve beceri geliştirme ve eğitim gibi yönlere odaklanıyor” diyor.
Heinemeyer, GDPR’nin veri gizliliği ve veri işleme konusunda giderek daha fazla inceleme yapılmasına yol açtığını (örneğin, verilerimizi kimin, nerede ve hangi amaçla kullandığını), NIS2’nin Avrupalı kuruluşları siber olgunluklarını önemli ölçüde artırmaya yönlendirdiğini ekliyor.
“NIS2, bu yıl Almanya’nın Nürnberg kentinde düzenlenen ITSA gibi Avrupa güvenlik konferanslarında önemli bir konu oldu” diye açıklıyor. “Kuruluşlar harekete geçme ve uyumluluğu sürdürme baskısını hissediyor.”
AI/ML Güvenliğinin Güvenliğini Sağlama
Michels, şu anda üçlü müzakerelerde bulunan AB Yapay Zeka Yasası aracılığıyla, AB’nin Gen Yapay Zeka ve Yapay Zeka/makine öğreniminden kaynaklanan potansiyel siber güvenlik risklerine tepki verdiğini belirtiyor. Kanun hakkında bir anlaşmaya varılması ve en azından geçici olarak kabul edilmesi 2023 yılı sonuna kadar bekleniyor.
Michels, “Bu yasada, yüksek riskli yapay zeka sistemlerinin güvenilir olmasını sağlamaya yönelik gerekliliklerin önemli bir unsuru olarak siber güvenlikten bahsediliyor” diye açıklıyor. “Ayrıca yapay zeka ve siber güvenlik konusunda da çeşitli girişimler var.”
Örneğin ENISA, yapay zeka siber güvenlik ekosisteminin haritasını çıkarmak ve öngördüğü zorluklara yönelik güvenlik önerileri sunmak için çalışıyor. Ajans ayrıca şunları yayınladı: “Yapay Zeka ve Siber Güvenlik Araştırmaları” raporuYapay zekanın siber güvenlik kullanımları ve yapay zekanın güvenliğine ilişkin araştırma ihtiyacını belirlemeyi amaçlayan bir proje.
ENISA’dan Heuvinck, “Aynı zamanda yasa koyucular bu alanda risk değerlendirmesine dayalı düzenleme önerdiler” diyor.
Özellikle önerilen AB Yapay Zeka Yasası, uyumluluğun sağlanması, risklerin belirlenmesi ve gerekli güvenlik önlemlerinin uygulanması amacıyla yüksek riskli yapay zeka sistemlerine yönelik siber güvenlik gereksinimlerini öngörmektedir.
“Sistemin tasarımı ve kullanım amacı dikkate alınarak bir güvenlik riski değerlendirmesi yapılmalıdır” diye ekliyor.
Heuvinck, yapay zekanın siber güvenlik etkisi konusunda dikkate alınması gereken iki farklı husus olduğunu belirtiyor. Bir yandan yapay zeka, beklenen sonuçları manipüle etmek için kullanılabilir. Örneğin yapay zeka, açık kaynaklardan siber güvenlik ve siber olaylarla ilgili bilgileri otomatik olarak toplayan, sınıflandıran ve sunan ENISA’nın Açık Siber Durumsal Farkındalık Makinesi’nde kullanılıyor.
Öte yandan yapay zeka teknikleri güvenlik operasyonlarını desteklemek için kullanılabilir ancak bu riskleri de beraberinde getirebilir.
“Yapay zekanın gündeme getirdiği sorular, yapay zekanın tüm potansiyelinin ortaya çıkması için siber güvenli ve sağlam hale getirilmesi amacıyla onun etkisini değerlendirme, izleme ve kontrol etme kapasitemizle ilgilidir” diyor.
Onun bakış açısına göre, son kullanıcılar için güvenilir teknoloji yaratmak amacıyla yapay zeka ekosisteminin her bölümünde siber güvenlik ve veri korumanın önemi yadsınamaz.
Heuvinck, “Yapay zeka sistemlerinin güvenilirliğini, güvenilirliğini ve sağlamlığını garanti ederken aynı zamanda daha fazla kullanıcı kabulüne, yapay zeka sistemlerinin güvenilir şekilde konuşlandırılmasına ve mevzuat uyumluluğuna olanak sağlamak istiyorsak siber güvenlik şarttır” diyor.