Bu Help Net Security röportajında, Ping Identity’nin Baş Mimarı Patrick Harding, deepfake ile ilgili artan dolandırıcılık tehdidini ve bunun finansal güvenlik üzerindeki etkisini tartışıyor. Ayrıca dijital bankacılıkta gözden kaçan güvenlik açıklarını tartışıyor ve kuruluşların önümüzdeki yıllarda kendilerini dolandırıcılıktan korumaları için tavsiyeler sunuyor.
Deepfake ile ilgili dolandırıcılığın endişe verici bir oranda artması bekleniyor. Finansal dolandırıcılığın geleceğini şekillendiren bu eğilimi nasıl görüyorsunuz?
Yalnızca geçtiğimiz yıl şirketlerin %92’si deepfake nedeniyle mali kayıp yaşadı. İster bireylerin finansal bilgilerini paylaşmalarını sağlamak için sesi manipüle eden kötü aktörler, ister büyük miktarlarda para aktarmak veya almak için şirket liderliğini taklit eden deepfake bir video olsun, deepfake’ler finansal dolandırıcılık riskini büyük ölçüde artırdı.
Yapay zeka teknolojisi daha karmaşık hale gelmeye devam ediyor, dolayısıyla kuruluşların sistemlerinin zayıf noktalarını anlamaları, bu tehditlere ilişkin farkındalıkları ve bunlarla mücadele edecek teknolojilerin son derece ciddiye alınması gerekiyor. Bu nedenle sıfır güven mimarisi, gelecekteki mali dolandırıcılıkların engellenmesinde çok önemli olacak; bir sisteme giren her kullanıcının kimliğinin doğrulanmasını ve çalışanların kimlik avı veya kimliğe bürünme gibi dolandırıcılıkların kurbanı olmaması için uygun eğitimin verilmesini sağlayacak.
Siber suçluların dijital bankacılık sistemlerinde istismar ettiği, en çok gözden kaçan güvenlik açıkları nelerdir?
Dijital bankacılık, kullanıcıların deneyimlerini güvence altına alma konusunda sayısız yeni zorluk ortaya çıkardı. En göze çarpan şey, dijital ve çevrimiçi bankacılığın yüz yüze doğrulamadan yoksun olması, siber suçluların müşteri gibi davranmalarına ve bankaların hiç de akıllı olmadığı halde hesapları ele geçirmelerine olanak sağlamasıdır. Ayrıca dijital bankacılık, müşterilerin bankacılık işlemlerine mobil cihazlarından erişmesini kolaylaştırdı. Çoğu zaman kullanıcılar, hesaplarına güvenli bir ağa bağlı olmayan çeşitli konumlardan mobil cihaz üzerinden erişir ve bu da kötü aktörlerin ağ üzerinden geçip kritik verilere erişmesine kapı açabilir.
Dijital bankacılık sistemlerinin sıklıkla gözden kaçırılan ve kötüye kullanılabilen bir yönü de bankaların üçüncü tarafları kullanması ve API’lere güvenmesidir. Üçüncü taraf hizmetleriyle ve iş ortaklarıyla bağlantı kurmak, müşterilerin bankacılık deneyimlerinden daha fazla yararlanmasını sağlayabilirken, bu sağlayıcılar aynı güvenlik standartlarına sahip olmayabileceği veya yapay zeka gibi yeni ortaya çıkan teknolojilere karşı uygun şekilde güvence altına alınmayabileceği için bankaları savunmasız hale getiriyor. Eğer bu üçüncü taraflar hacklenirse banka ve kullanıcıları da hacklenebilir.
Dolandırıcılık ortamından bunalmış hisseden profesyonellerle hangi mesajı paylaşmak istersiniz?
Deepfake ve AI teknolojisinin hızlı gelişimi göz korkutucu olabilir, ancak siber suçlular daha karmaşık hale geldikçe, bu tehditlerle mücadele etmek için doğru güvenlik teknolojisi de öyle. Bir sistemin hacklenebileceği veya bir kimliğin çalınabileceği tüm yöntemler karşısında bunalıma girmek kolaydır, ancak kuruluşlar bu fikirlere kapılmak yerine, bu sorunlar ortaya çıkmadan önce uygun altyapıya sahip olduklarından emin olmak için harekete geçebilirler.
Kurumsal açıdan bakıldığında liderler, işlerinin özel ihtiyaçlarına göre uyarlanmış, dayanıklı bir sıfır güven mimarisi oluşturmak için doğrulanabilir kimlik bilgilerinin, biyometrik sistemlerin ve katmanlı zekanın dağıtımı konusunda rehberlik sağlamak için her zaman dış ortaklara güvenebilirler.
Bunalmış bireysel profesyonellere, benzer bir “hiçbir şeye güvenme, her şeyi doğrula” felsefesini takip etmelerini ve kimlik avı ve sosyal mühendislik gibi tehditlerin kurbanı olmaktan kaçınmak için tetikte olmalarını öneriyorum.
Ayrıca bankalar dijital etkileşimlerine aktif olarak “eğitim ve uyarı bilgileri” ekliyor. Buna SMS mesajlarında yer alan, kullanıcılara bankanın asla telefonda tek kullanımlık şifre istemeyeceğini hatırlatan veya ödemenin dolandırıcılık nedeniyle yapılmış olabileceği konusunda müşterileri uyaran uyarılar da dahildir. Dolandırıcılık ortamını daha az bunaltıcı hale getirmek için tüketicilerin uyarılara dikkat etmesi kritik önem taşıyor.
Finansal kuruluşlara 2025’te dolandırıcılık riskini azaltmaları için tek bir tavsiye verebilseydiniz bu ne olurdu?
Finansal kuruluşlara tavsiyem kimlik doğrulamaya öncelik vermeleri olacaktır. Daha önce de vurguladığım gibi finansal dolandırıcılık genellikle sadece finansal kayıplara değil aynı zamanda marka güveni ve itibar kayıplarına da yol açan bir kimlik sorunudur. Bir kuruluş, yüksek kaliteli dijital kimlik doğrulama araçlarını uygulayarak kendisini ve müşterilerini korurken, kullanıcıların kendilerini hem mutlu hem de korunmuş hissetmelerini sağlayan sorunsuz bir müşteri deneyimi sunabilir. Bu araçlar, tek kullanımlık şifreler, kimlik belgelerinin doğrulanması, biyometri yoluyla kimlik doğrulama ve kullanıcıların hesaplarına giriş yaparken konumlarını doğrulamak için coğrafi konum belirleme şeklinde olabilir.
Kimlik, hesap açılışından banka havalelerine, çek bozdurmaya ve kredi başvurusuna kadar tüm bankacılık yaşam döngüsüne nüfuz eder. Bir finansal kuruluşun yapabileceği en iyi şey, kimlik doğrulama altyapısının bu süreçleri hem sorunsuz hem de güvenli hale getirecek kadar sağlam olduğundan emin olmaktır.
Önümüzdeki birkaç yılda dolandırıcılıkla mücadelede düzenlemeler ve politika güncellemeleri nasıl bir rol oynayacak?
Düzenlemeler ve politikalar, bankaların güvenlik çerçevelerinin yüksek standartlarda tutulmasını ve müşteri verilerinin korunmasını sağlamada kesinlikle güçlü bir rol oynamaktadır. Örneğin, Tüketici Mali Koruma Bürosu (CFPB) yakın zamanda tüketicilere açık bankacılıkta mali verileri üzerinde daha fazla kontrol sağlayacak yeni bir kural (Kişisel Mali Veri Hakları Kuralı) oluşturdu. Bunun gibi politikalar herkes için daha güvenli ve daha emniyetli bir finansal geleceğe öncülük etmeye yardımcı olacaktır.
Yapay zekanın benimsenmesi gelişmeye devam ettikçe, kuruluşların tehditlerle mücadele etmek için uygun donanıma sahip olmalarını ve müşterilere gizli mali verilerinin güvende kalacağına dair güvenle söz verebilmelerini sağlayacak güçlü düzenlemelerin ortaya çıktığını göreceğiz.