Hemen hemen her CISO bu senaryonun nasıl ilerleyeceğini biliyor: Yönetim kurulunu bilgilendirmek için çağrıldıklarında şu sorulur: “Peki bu konuda ne yapıyoruz (en son tehdidi, sorunu veya teknolojiyi buraya ekleyin)?”
Bu yıl konu neredeyse her zaman yapay zeka (AI) ile ilgili olacak. Çevresindeki belirli tehditler nelerdir – aynı zamanda güvenlik için bundan nasıl yararlanabiliriz?
Evet, sorun var. Yapay zeka o kadar hızlı değişiyor ki, CISO’ların teknolojiye ilişkin 2024 planlarını anlamalarını zorlaştırıyor. Yapay zeka sürekli geliştiği için somut planlar çoğu zaman anlaşılması zor oluyor.
Danışmanlık firması CG Infinity’nin başkanı Saurajit Kanungo, “Bu, CISO’ların/CIO’ların portföylerini bir kuruşla yeniden düzenlemesini çok zorlaştırıyor” diyor. “Yapay zeka, 2024 yıllık planlamalarında en büyük sıkıntı haline geldi. CISO’ların/CIO’ların çoğu, yapay zeka, özellikle de üretken yapay zeka ile ilgili yüksek riskli stratejiler önerecek bir start-up zihniyetine sahip değil.”
Ama neden olmasın? AI kesinlikle yepyeni bir teknoloji değil, ancak ChatGPT’nin ana akıma tanıtılması onu geçen yılın en önemli konusu haline getirdi. Kanungo, bir tarafta CISO’ların ve CIO’ların, her gün yapay zekanın potansiyelini okumayı ve duymayı bırakamayan paydaşlara (CEO, yönetim kurulu üyeleri ve üst düzey yöneticiler) sahip olduğunu söylüyor. Bu kilit paydaşlar “Yapay zeka işimiz için ne yapabilir?” sorusuna bir yanıt bekliyorlar.
Öte yandan, CISO’lar ve CIO’lar şunu biliyor: Yapay zekanın vaadi belki de aşırı abartılmış ve erkendir.
“CIO’lar ve CISO’lar konumlarının ne olması gerektiği konusunda biraz ikilem içindeler” diyor. “Risk kartını oynayıp muhafazakar mı kalıyorlar, yoksa yapay zekaya tam gaz verip yüksek riskli, yüksek ödüllü bir oyun mu oynuyorlar? [they] Riskten kaçınan bir kurumsal zihniyetle büyürken, bir startup zihniyeti geliştirmeleri bekleniyor.”
Gelişen Tehdit Ortamı Yapay Zekayı da İçeriyor
Yapay zeka söz konusu olduğunda, CISO’ların bütçeleme ve planlamanın ötesinde ne yapmak için işe alındıklarını da dikkate almaları gerekir: şirketi korumak. Bu yılın başındaki sonuçlar Team8’in “2023 CISO Köy Araştırması” 130 küresel CISO’ya çeşitli endişeleri sorulan anket, %48’inin risk yönetimi söz konusu olduğunda yapay zeka güvenliğinin karşılaştıkları en ciddi sorunlardan biri olduğunu düşündüğünü ve mevcut çözümlerin yapay zekanın ihtiyaçlarını ve risklerini karşılamakta başarısız olduğunu ortaya çıkardı.
Başkan Yardımcısı ve küresel dolandırıcılık başkanı Michael Jabbara, “Sosyal mühendislik teknikleri ve yapay zeka destekli ses ve e-posta mesajları gibi yapay zekanın mümkün kıldığı hızla gelişen ve karmaşık taktikler, liderlerin önümüzdeki yıl için güvenlik protokolleri geliştirmesini daha da zorlaştırıyor” diyor. Visa’daki hizmetler.
Üretken yapay zekanın mevcut aşaması ve devam eden evrimi, onun etkisinin tahmin edilmesini kolaylaştırıyor ve Tehdit aktörlerinin bunu nasıl kullanacağı – bunların hepsi daha zor. Ironscales yönetim kurulu danışmanı ve LPL Financial’ın eski CISO yardımcısı Matthew Martin, güvenlik liderlerinin hem potansiyel faydalardan yararlanmak hem de ortaya çıkan tehditlere karşı korunmak için çevik kalması gerektiğini söylüyor.
Martin, “Yapay zekanın, özellikle de üretken yapay zekanın hızlı gelişimi, CISO’lar ve CIO’lar için 2024 planlarını hazırlama konusunda zorluklar yaratıyor” diyor. “Değişikliklere ayak uydurmak esnek bir yaklaşım gerektirir ve kuruluşlar dirençli kalırken yapay zekanın faydalarından yararlanmaya çalışırken uzun vadeli planlamayı daha karmaşık hale getirir.”
Diğer yandan, üretken yapay zeka insanlara da yardımcı olabilir güvenlik açıklarını tespit edin Tehdit aktörlerinin kullandığı yeni taktikleri veya kalıpları etkili bir şekilde fark edin. Teknoloji yatırımları planlanırken bunun da dikkate alınması gerekiyor.
Resilience’ın CISO’su Justin Shattuck, “CISO’ların hızla değişen yapay zeka ortamının hem riskini hem de potansiyelini kabul etmesi gerekiyor” diyor. “Bilgisayar korsanları, sosyal mühendislik saldırıları için büyük dil modelleri kullanabilir ve bu da kendine özgü zorluklar ortaya çıkarabilir.”
Snyk’in CISO’su Myke Lyons’a göre, belirsizlik karşısında CISO’lar iyi tanımlanmış politikalar ve yönergeler yoluyla bir miktar kontrol elde etmeye çalışabilirler. Zorlu olsa da yapay zeka inovasyonunun yıkıcı hızından, birlikte çalışabilen araçlar ve güçlü güvenlik uygulamaları benimsenerek etkili bir şekilde yararlanılabilir.
Lyons, “Yapay zekanın kuruluşlar için bir zorunluluk haline gelmesiyle birlikte, 2024 için CISO planlamasının politikalar ve yönergeler yoluyla kontrolü ele geçirmeyi hesaba katması gerekiyor” diyor. “Yapay zeka inovasyonunun yıkıcı hızı, planlama açısından zorluklar yaratıyor, ancak geniş çapta birlikte çalışabilen yapay zeka araçlarını benimsemek ve güvenli yapay zeka en iyi uygulamalarını benimsemek, kuruluşların gelişen ortamda yön bulmasına yardımcı olabilir.”
Yapay Zeka ile Belirsiz Bir Geleceğe Yönelmek
Yapay zekanın gidişatını çevreleyen belirsizlik, 2024 ve ötesini CISO’lar için zorlu hale getiriyor. Peki önümüzdeki birkaç yıl için planlama yaparken bir CISO veya CIO ne yapmalıdır?
CG Infinity’den Kanungo, “Yapay zeka için çok yıllı bir strateji geliştirmek daha akıllıca bir yaklaşım olacaktır” diyor. “Amaç, yapay zekanın içerdiği riskler ile yapay zekanın sunduğu fırsatlar arasında denge kurmaktır. Örneğin, yapay zeka tabanlı gelişmiş teklifler sunan mevcut bulut yazılım sağlayıcıları varsa, bunları kısa vadede değerlendirmeliler.”
Aynı zamanda CIO’ların/CISO’ların yapay zeka yatırımlarına yönelik çok yıllı bir strateji geliştirmek için iş ortaklarıyla işbirliği yapabileceklerini söylüyor. Planlanması karmaşık olsa da bunu dışarıda bırakmanın da iyi bir fikir olmadığını belirtiyor.
Kanungo, “Yapay zekadan yararlanmak için %100 riskten kaçınan bir strateji sunmak, kilit paydaşların hoşuna gitmeyecek ve paydaşlar, yapay zeka uzmanlarını dışarıdan aramaya daha yatkın olacak” diyor.
Elbette kilit nokta, belirsizliğin ortasında dengeyi bulmak, hem yapay zekanın potansiyelini kucaklayan hem de gelişen risklere karşı koruma sağlayan bir rota çizmek olacak.