Sınırsız tehdit ekosistemi dünya çapındaki şirketler ve hükümetler için yeni zorluklar oluşturduğundan, CISA’nın 2025-2026 Uluslararası Planı bu sorunu çözmeyi amaçlıyor. CISA’nın planı, işletmelerin, hükümetlerin ve tüketicilerin karşılaştığı karmaşık, küresel siber güvenlik sorunlarını ele alarak, sınırlar ötesinde entegre siber savunma çağrısında bulunuyor.
Birçok sektörde uluslararası işbirliğine ihtiyaç duyulacak. Benzer şekilde, kurumsal kuruluşların da önümüzdeki yılda yeni tehditler ve zorluklarla mücadeleye karşı dayanıklı ve hazır olmaları gerekiyor. 2025’e ilişkin aşağıdaki üç tahmin, geleceğe dair bir fikir veriyor:
Yapay zeka, ‘Q-Day’ ve uyumluluk zorlukları
CISO’nun 2025 için temel öncelikleri arasında yeni teknolojileri entegre etmek ve yeni trendlere uyum sağlamak ve bir yandan da kuruluşun güvenlik duruşunu güçlendirmek yer alacak. Kötü aktörler sürekli olarak yazılım tedarik zincirlerinde, ağlarda ve uç noktalarda güvenlik açıkları veya güncelliğini yitirmiş kodlar arıyor ve bu zayıflıklardan yararlanmanın yollarını arıyor. Bu arada yapay zekanın yaygınlaşması, kimlik avı dolandırıcılıklarını, sosyal mühendislik için deepfake kullanımını hızlandıracak ve daha yıkıcı kötü amaçlı yazılım saldırılarını otomatikleştirecek:
- Kötü aktörler, daha etkili saldırılar başlatmak için kişisel verilerden ve yapay zekadan yararlanacak: 2024’te gerçekleşen Ulusal Kamu Verileri ve MC2 ihlalleri, siber suçluların, 2025’te daha gerçekçi ve etkili kimlik avı ve hedef odaklı kimlik avı kampanyaları başlatmak için yapay zeka tarafından oluşturulan “derin sahtekarlıklar” ile birlikte çok daha fazla kişisel veriden yararlanmasına olanak tanıyacak.
İnsan unsuru en “hacklenebilir” unsur olmaya devam ettiğinden, bu saldırılar muhtemelen daha fazla veri ihlaline ve/veya kontrol sistemlerinin tehlikeye atılmasına yol açacaktır. Hedef odaklı kimlik avı saldırıları başarılı olduğunda, çalışanların genellikle hassas verilere, finansal işlemlere ve fiziksel kontrol sistemlerine ayrıcalıklı erişime sahip olduğu göz önüne alındığında yıkıcı sonuçlara yol açabilir.
Bu arada, CISO’ların göz önünde bulundurması gereken, ortaya çıkan başka zorluklar da var; bunlar arasında, kuantum hesaplama geliştikten sonra şifrelemenin artık sunduğu koruma katmanını sağlayamama potansiyeli de var:
- “Q Günü” yaklaşırken kuruluşların hazırlıklara başlama zamanı geldi: Kuantum sonrası kriptografiye yönelik NIST standartlarının Ağustos ayında yayınlanmasıyla birlikte, henüz yeni standardı uygulamak için çalışmaya başlamamış kuruluşlar için “gitme zamanı” geldi. Tam dağıtım zaman alacak ve önümüzdeki on yıl içinde “Q-Day” (kuantum bilgisayarların mevcut şifreleme standartlarını aşma yeteneği) ile ilgili bazı tahminlerin gelmesiyle birlikte, kuruluşların hazırlıksız yakalanmamak için hazırlıklı olmaları gerekecek.
Dahası, işletmelerin ve bireylerin, bazı düşmanların ve düşman ulus devletlerin “şimdi topla, sonra şifresini çöz” stratejilerine dayalı olarak veri ihlallerini öngörmeleri gerekecektir. Bu senaryonun tam etkisini henüz bilmiyoruz ancak fidye yazılımı, gasp, hedef odaklı kimlik avı ve diğer saldırılarda artışa yol açabilir. Önceki bir olaya ait hassas bilgilerin kamuya açıklanmaması, bunun gelecekte gerçekleşmeyeceği anlamına gelmez. Tam da bu nedenle 2025’teki Q-Day’e hazırlanmak CISO’lar için en önemli öncelik olmalıdır.
Son olarak, 2025’te CISO’lar, ülkeden ülkeye ve ABD’de eyaletten eyalete değişen, giderek karmaşıklaşan ve tutarsızlaşan veri koruma ve gizlilik yasaları nedeniyle uyumluluk konusunda mücadele etmeye devam edecek:
- ABD veri gizliliği yasalarında giderek artan yamalar, yeni uyumluluk yükleri yaratacaktır: ABD genelinde çoğu benzer ve örtüşen veri gizliliği düzenlemelerinin giderek artan yama yapısı, 2025 yılında hassas verileri oluşturan, işleyen, saklayan ve ileten kuruluşların uyumluluk yüklerini artırmaya devam edecek.
Kaliforniya’nın, daha sonra Kaliforniya Gizlilik Hakları Yasası ile değiştirilecek olan Kaliforniya Tüketiciyi Koruma Yasası’nı kabul etmesinden bu yana, 20’den fazla eyalet kapsamlı gizlilik yasalarını kabul etti. Bunların birçoğu halihazırda yasalaştı ancak 2026 ve sonrasında sürekli olarak yürürlüğe girecek.
Uyum felcinin üstesinden gelmek için kuruluşların yüksek düzeyde organize ve verimli olmaları gerekecektir. Olgun yönetişim (yönetim kurulundan aşağıya), tekrarlanabilir süreçler ve araçlar (Yönetişim, Risk ve Uyumluluk platformları dahil) uyumlulukla ilgili riskleri en aza indirmek için kritik öneme sahip olacaktır.
Geçmişi göz önünde bulundurarak geleceğe hazırlanıyoruz
Kuruluşların 2025 yılı için stratejik siber güvenlik planı, proaktif risk yönetimi, gelişmiş tehdit algılama ve uyarlanabilir yanıt mekanizmalarını entegre ederek hem yapay zeka kaynaklı hem de geleneksel tehditleri ele almalıdır. İş dünyası ve kamu sektörü kuruluşları, daha karmaşık ve zarar verici siber saldırılara ve veri ihlallerine hazırlanırken, anormal davranışları izlemek için yapay zeka ve makine öğrenimi araçlarından yararlanarak mümkün olan en sağlam araçları benimsemelidir.
Kuruluşlar, çalışanların varlıkların korunmasındaki rollerini anlamalarını sağlayarak bir siber güvenlik farkındalığı kültürünün geliştirilmesine öncelik vermelidir. CISO’lar aynı zamanda kuruluşlarının ilgili veri gizliliği yasalarına ve düzenlemelerine uymasını sağlamak için dış uzmanlardan yararlanmaya devam etmeli ve aynı zamanda kapsamlı, geleceğe dayanıklı bir siber güvenlik stratejisi için gerekli olan bir olay müdahale çerçevesi oluşturmalıdır.