Küresel şirketlerin% 80’inden fazlası iş operasyonlarını iyileştirmek için AI kullanıyor. AI ayrıca sohbet botları, ses asistanları veya öngörücü arama teknolojileri ile etkileşime girdiğimiz için bireylerin günlük yaşamlarının bir özelliği haline geldi. Ancak AI difüzyonu büyüdükçe, özellikle casusluk, siber saldırılar ve tedarik zinciri uzlaşmasıyla uğraşan ulus devlet aktörleri tarafından kötüye kullanımı ile ilişkili riskler de öyle.
Şubat ayının AI Eylem Zirvesi, Başkan Trump’ın yürütme emri ve İngiltere hükümetinin AI Fırsatları Eylem Planı gibi son gelişmeler iki temel temayı ortaya koymaktadır. Birincisi, ulusal çıkar hükümet AI stratejilerinin merkezindedir ve ikincisi, AI birçok ulusal savunma stratejisinin açık bir odağı haline gelmiştir. Bu nedenle, Deepseek’in R1 gibi güçlü modellerin ortaya çıkmasının endüstriyel casuslukla ilgili endişeleri yenilemesi şaşırtıcı değildir.
Bununla birlikte, belirli modellere, satıcılara veya eyaletlere odaklanmak daha geniş bir noktayı kaçırıyor: AI, hedef endüstrileri ve sırlarını gösteren keşif ve kaynak geliştirme de dahil olmak üzere siber saldırı taktiklerini desteklemek için zaten silahlandırılıyor. Baş Bilgi Güvenliği Görevlileri (CISOS) ve güvenlik liderleri için, AI’nın tehdit manzarasını nasıl değiştirdiği ve buna göre nasıl yanıt verileceğidir. Yeni başlayanlar ve teknoloji odaklı endüstriler için, ulus devletlerin teknolojinin son teknolojilerini hedefledikleri gösterildiğinden, bu daha da acil. Bu nedenle, siber güvenlikteki insanların, süreçlerin ve teknolojinin rollerinde yapılan ayarlamaların AI tehditlerine stratejik olarak yanıt vermesi gerekmektedir.
AI-Augmented Siber Operasyonlar
Ulus-devlet aktörleri, verimliliği, otomasyonu ve hassasiyeti artırmak için Genai’yi siber saldırılara giderek daha fazla entegre ediyorlar. Ulus devletlerine bağlı 57’den fazla gelişmiş kalıcı tehdit (APT) grubu siber operasyonlarda AI kullanılarak gözlenmiştir. AI araştırmayı otomatikleştirebilir, içeriği çevirebilir, kodlamaya yardımcı olabilir ve siber operasyonları ilerletmek için kötü amaçlı yazılım geliştirebilir.
En çok ilgili zorluklardan biri, AI’nın son derece ikna edici kimlik avı mesajlarının hazırlanmasında, siber saldırıların hem hızını hem de ölçeğini artırmasıdır. Büyük dil modelleri (LLM’ler), bireylere ve kuruluşlara hedeflenen son derece akla yatkın mesajlar oluşturabilir. Suçlular, sosyal mühendislik kampanyalarını geliştirmek için inandırıcı, kişiselleştirilmiş AI tarafından üretilen derin peynir videoları, ses ve görüntüler kullanıyor. Derin birleşme ‘CFO’ sonucunda 25 milyon dolar kaybeden tasarım ve mühendislik firması Arup örneği, AI-özellikli operasyonların şirketlere ne kadar anlamlı erişim elde edebileceğini gösteriyor.
Tedarik zinciri güvenlik açıkları
Doğrudan siber saldırıların ötesinde, tehdit aktörleri de donanımdan yazılıma AI tedarik zincirlerini hedefliyor. Kötü şöhretli Solarwinds Sunburst Attack, sofistike ulus devlet aktörlerinin tedarik zincirlerini hedefleyerek kurumsal ağlara nasıl sızabileceğini gösterdi. Risk AI yazılımına da uzanır. Güvenlik açıklarını imalat veya geliştirme aşamasına yerleştirerek, rakipler ölçek ekonomilerinden kazanç sağlayan çok çeşitli rakipleri hedefleyebilir.
Tedarik zinciri güvenlik açıkları, siber güvenliğe hakim olan önemli bir eğilimdir. Endüstri ve Güvenlik Bürosu, belirli ülkelerden bağlantılı araçlar için donanım veya yazılımın ithalatı ve satışı hakkındaki son yasağı, ABD’nin artan endişesini vurgulamaktadır. Kötü niyetli aktörler, Chatgpt ve Claude gibi LLM’ler için tarayıcı verilerini, ekran görüntülerini ve oturum belirteçlerini hasat edebilen kötü amaçlı yazılımlar sunmak için Python paketlerini hedeflediler. AI sistemlerini ve bileşenlerini temin edenlerin hem AI’nın nereden geldiğini hem de kullanıcıların onunla nasıl etkileşime gireceğini düşünmeleri gerekir.
AI yönetişim ve güvenlik çerçeveleri
AI-AIGMENTED NUTN-ESTATE tehditlerine karşı savunmak için güvenlik liderleri, AI yönetişim çerçeveleri, hedeflenen eğitim, sağlam veri koruma önlemleri, üçüncü taraf risk yönetimi süreçleri ve proaktif tehdit zekası gibi bir dizi stratejiyi benimsemelidir.
NIST AI RMF, ISO 42001 ve Güvenlik, OWASP ve Güvenlik için NCSC gibi yönetişim için en iyi uygulamalarla hizalanan AI çerçeveleri yapılandırılmış bir savunmanın temelini oluşturur. Yapay zeka için açık roller ve hesaplanabilirlikler, kabul edilebilir ve kabul edilemez kullanımı tanımlayan politikalar ve izleme ve denetime yönelik sağlam yaklaşımlar oluşturarak, çerçeve hassas bilgileri ortaya çıkarmaya karşı savunmaları uygulayabilir.
İnsanların ve kültürün rolü, yapay zeka risklerine yanıt olarak değişmelidir. Temel yapay zeka farkındalığını ve güvenlik üzerindeki etkisini kapsayacak yapay zeka okuryazarlığı ile başlayan eğitim, personeli AI siber tehditleri tespit etmeye, meydan okumaya ve azaltmaya güç verebilir. AI sistemlerinin bir envanteri AI yönetişiminin temel bir parçasıdır. Cisos, AI’nın işletme genelinde nerede ve nasıl kullanıldığını bilmeli ve teknoloji şirketlerinin eleştirel varlıklarının ne ve nerede olduğunu bilmeleri gerekiyor.
Veri Koruma Önlemleri
Veri erişim kontrolleri, rakiplerin tescilli sırları dışarı atma yeteneğini sınırlayabilir. Veri segmentasyonu Yapay zeka modelleri, hassas verilerin işlenmesinden, şifreleme gibi gizliliği artıran teknolojilerin ve yetkisiz kurumsal veri kaybı için izleme sistemlerini kısıtlamak için ulus devletlerin değerli zekayı çıkarmasını zorlaştırır. Minimasyon, amaç sınırlaması ve depolama sınırlaması gibi veri koruma ilkelerinin uygulanması hem güvenlik hem de sorumlu yapay zeka hedeflerini daha da ileriye taşıyabilir.
AI tedarik zincirlerini güvence altına almak
Bu arada, tedarik zinciri risk yönetimi, tehlikeye atılmış AI araçlarının sızmasını önler. Önemli adımlar arasında, üçüncü taraf AI satıcıları için güvenlik değerlendirmeleri yapılması, AI modellerinin güvenlik açıkları getirebilecek yabancı API’lere güvenmemesini ve bağımlılıkları izlemek ve riskleri tespit etmek için yazılım faturalarını (SBOM) belgelemesini içerir.
AI güdümlü tehdit tespiti ve yanıt
Son olarak, AI’nın kendisi AI ile çalışan tehditlere karşı savunmak için bir araç olabilir. Yapay zeka odaklı anomali tespiti, şüpheli davranışları veya veri kaybı kalıplarını tanımlayabilir, güvenlik açıkları için kurumsal AI sistemlerini test etmek, AI tarafından üretilen kimlik avı için izlemeyi arttırmak ve kontrollerin etkinliğini değerlendirmek için düşmanca AI kullanabilir. AI özellikli siber saldırılar insan tepki yeteneklerinin ötesinde hızlandıkça, makine hızında güvenlik açıklarının kullanılmasını önlemek için otomatik izleme ve savunma sistemleri gereklidir.
Açıkçası, yapay zeka destekli ulus devlet tehditlerinin yükselişi güvenlik liderlerinden proaktif ve stratejik bir yanıt gerektirir. Yapay zeka yönetişim çerçevelerini benimseyerek, katı veri yönetişimi uygulayarak, tedarik zincirlerini güvence altına alarak ve AI odaklı tehdit tespitinden yararlanarak, işletmeler endüstriyel casusluğa karşı savunmalarını güçlendirebilir.
Elisabeth Mackay PA Consulting’de Siber Güvenlik Uzmanı