Nicole van der Meulen SURF’te siber güvenlik inovasyon lideridir. Daha önce Europol’deki Avrupa Siber Suç Merkezi’nde (EC3) Kıdemli Stratejik Analist ve Strateji ve Geliştirme ekibinin Başkanı olarak çalıştı. Ayrıca Hollanda Bankacılık Birliği, RAND Europe, Amsterdam VU Üniversitesi ve Hollanda Güvenlik ve Adalet Bakanlığı’nda siber suçlar ve siber güvenlik alanında çeşitli görevlerde bulundu. Tilburg Üniversitesi’nden hukuk doktorası ve Amsterdam VU Üniversitesi’nden karşılaştırmalı siyaset ve uluslararası ilişkiler alanlarında uzmanlıkla birlikte siyaset bilimi alanında yüksek lisans derecesine sahiptir. Başlıca yayınları dijital kimlik hırsızlığı ve siber güvenlik politikası ile ilgilidir.
Siber suçlar ve siber güvenlik konusundaki geçmişinizden, özellikle de Europol’deki önceki göreviniz hakkında biraz bilgi verebilir misiniz? Deneyimleriniz, özellikle kimliğe bürünme dolandırıcılığıyla ilgili olmak üzere siber güvenlik sorunlarına yönelik mevcut yaklaşımınızı nasıl şekillendirdi?
Kimlik hırsızlığı üzerine çalışmaya başladım ve farklı toplumsal aktörlerin dolaylı olarak kimlik hırsızlığını nasıl kolaylaştırdıklarını, suçlulara bunu gerçekleştirmeleri için dolaylı olarak nasıl fırsatlar yarattıklarını araştırmaya başladım. Hollanda hükümeti için başlangıçta Bilgisayar Acil Durum Müdahale Ekibi olan ve daha sonra Ulusal Siber Güvenlik Merkezi haline gelen bir kurumda çalıştım. 2011 yılında ilk siber güvenlik tehdit değerlendirmesini yaptığımız bilgi ve uzmanlık merkezindeydim. Tehditlere daha geniş bir açıdan bakmaya başladım ve ana odak noktam bu oldu: Tehditler nasıl gelişiyor, suçlular yöntemlerini mevcut duruma göre nasıl uyarlıyor? toplumda oluyor. Daha sonra kendimi Europol’de buldum; burada tehdit değerlendirmesine odaklandım ancak buna kolluk kuvvetleri perspektifinden yaklaştım, IO çalışmalarını, organize suç tehdit değerlendirmesini ve endüstri ortaklarını inceledim. Dört yıl sonra, stratejik düzeyde meydana gelen değişikliklerin o kadar da önemli olmadığı sonucuna vardım. Her yıl aynı tehditlerle karşı karşıyayız. Ve kolluk kuvvetleri en sonda yer alıyor; çünkü çoğu zaman birisi zaten mağdur olduktan sonra olaya müdahale ediyorlar. Erişimleri sınırlıdır; çok önemli işler yaparlar ancak bu çok küçük bir parçadır.
Yapay zekadaki ilerlemelere rağmen yeni tehdit diye bir şeyin olmadığını, yalnızca aynı tehditleri yürütmenin yeni yollarının olduğunu söylediniz. Bu bakış açınızı detaylandırabilir misiniz? Kuruluşların siber güvenlik stratejileri açısından bu durum ne anlama geliyor?
Yaklaşık 10 yıl önce Cambridge’de RAND Europe için çalışırken, Avrupa Parlamentosu’nun LIBE komitesi için bu çalışmayı yaptım ve orada farklı tehdit değerlendirmeleri üzerine karşılaştırmalı bir çalışma yapmak zorunda kaldım ve yapabileceğiniz bu modeli oluşturdum. Her tehdidi CIA – Gizlilik, Bütünlük ve Erişilebilirlik modeline bağlayın; her şey bununla başlar; bunun harici erişim veya içeriden gelen tehditler gibi farklı çeşitlerine sahip olabilirsiniz. Bir noktada yeni bir şey görmedim. Günün sonunda suçlular bir hesaba, bir sisteme ya da bilgiye erişim sağlamak istiyorlar ama bu aynı kalıyor. Ve sürekli olarak bunu arayacaklar. Değişiklikler çoğunlukla bu erişimi nasıl elde ettiklerine ve sonrasında ne yapacaklarına ilişkin metodoloji açısından gerçekleşiyor. Ancak çekirdek temelde değişmeyecek. Geçmişte yeni bir şey düşünüyorduk çünkü bu bir bakıma devrim niteliğindeydi; fidye yazılımının şifreleme unsuru ve gerçek sahibini dışarıda bırakması nedeniyle biraz devrim niteliğinde olduğunu düşünüyorum. Benim için bu son yeni şeydi. İlerledikçe bunu görmek ilginç olurdu; tabii ki rakip makine öğrenimini öngörüyoruz. Bu, öngörülemeyen sonuçlar açısından yeni olabilir. Ancak bunun dışında, konuyu esaslara indirgeyecek olursak, yine de daha önce gördüklerimizle aynı olduğunu görüyoruz. Özellikle son beş yılda şaşırtıcı bir şey görmedim. Ve bazen, bir yanıt alamadığımızı haklı çıkarmak için bir şeye yeni veya karmaşık bir şey demek isteriz.
Bazı kimliğe bürünme dolandırıcılığı vakaları, bir bireyin veya kuruluşun kamuoyundaki imajını ve hatta siyasi gündemlerini manipüle etmek gibi parasal kazancın ötesinde karmaşık nedenlere sahiptir. Şu anda hangi türlerin en yaygın olduğuna inanıyorsunuz ve sizce hangileri en tehlikeli?
Neyin yaygın olduğunu söylemek zor – farklı kaynaklar var – ama derin sahte pornografinin ana tehlike olacağını söyleyebilirim – utanç unsuru nedeniyle birey için tehlikeli. Halihazırda var olan sorunlara (seks şantajı ve gençlere yönelik şantaj gibi) bakarsanız, gençlerin canına kıyan vakalar var. Yani eğer hayati tehlikeden bahsedersek, asıl meselenin bu olduğunu düşünüyorum. Derin sahte pornografinin bireyler üzerindeki etkisi nedeniyle, bunu okullarda büyük bir derin sahte pornografi dalgasının olduğu Güney Kore’de de gördük. İkinci açı siyasetçiler ve seçimlerdir. Bu çok tehlikeli çünkü gerçeğin temelde kaybolduğu bir etkiye sahip. Bu güvene gider; topluma güven, söylenenlere güven. İnsanlar sahte bir videoya inanırlarsa farklı bir gerçeklikte yaşamaya başlarlar ve artık dürüst bir tartışma ya da dürüst bir konuşma yapamazsınız. Ve bu tehlikelidir çünkü güveni nasıl geri getirirsiniz? Buna bir cevabım yok.
Deepfake teknolojisi ilerlemeye devam ettikçe, orijinal ve sahte içerik arasında ayrım yapmanın giderek zorlaştığı bir zaman gelebilir. İnsanların şu anda derin sahtekarlıkları ne kadar iyi (ve nasıl) tanıdığını düşünüyorsunuz ve bireyler bu tür içerikleri, bunun neredeyse imkansız hale geldiği bir noktaya ulaşmadan önce tespit etmek için hangi stratejileri veya araçları kullanabilirler?
İnsanlar, eller veya gözlerdeki ayrıntılar gibi, yapay zeka tarafından üretilmiş olarak ayırt edebileceğiniz bazı şeyler olduğunu söylüyor. Yani bazı unsurlar var ama bu aynı zamanda insanların hangi araçları kullandığına da bağlı. Bu aynı zamanda “ucuz sahte” fikridir ve hala amatörce olanları bulabilirsiniz, ancak araçlar zaten çok iyi. Yani “Yapay Zekayı bu unsurlardan tanımak” – bence bu zaten modası geçmiş bir tavsiye. Bunu eleştirel ve bağlamsal olarak değerlendirmeniz gerekiyor; bu doğru olabilir mi, bu kişi bunu söylemiş olabilir mi, bu gerçek mi? Ve sonra soru şu; bunu toplumun geneline sorabilir misiniz? Herkeste bu kapasite yok, belki bazıları yapmak istemiyor. Ve başkaları tarafından şaşırdığınızda bazı şeyler olur, dolayısıyla “bu kişi bunu söylemezdi” gibi bir ifadenin mutlaka %100 güvenilir olması gerekmez. Ve diğer taraftan, insanlar aynı zamanda gerçek bağlamı ve gerçek video kanıtlarını da inkar etmeye başlayabilirler. Orijinal içeriği tanımlamak için filigranlamalı mıyız yoksa bir şeye yerleştirmeli miyiz? Düşünce süreci budur, ancak silahlanma yarışının tamamı budur.
Bahsettiğiniz ‘ters ispat yükü’ kavramı oldukça kasvetli. Masumiyeti kanıtlamanın zor olabileceği bu tür durumlardan kendilerini korumaları için kişi ve kuruluşlara ne gibi önerileriniz var?
Kuruluşlar için bir soruşturma sürecinin olması çok önemlidir. Elbette bazı kişiler, durum böyle olmadığı halde masum olduklarını iddia edebilirler ancak masum olan insanlar da olabilir ve onları araştıran ve onlara yardımcı olan bir sürece sahip olmanız gerekir. Bireyler olarak bu tür şeyleri önlemenin çok zor olduğunu düşünüyorum; dolandırıcılıkların veya kendi bilgilerinizin kötüye kullanılmasının farkına varılması gibi nelere dikkat edilmesi gerektiği konusunda pek çok tavsiye var. Çevrimiçi paylaştıklarınız üzerinde tam kontrole sahip olabilirsiniz ancak aynı zamanda devlet ve şirket sistemlerinde de çok sayıda veriniz var ve üzerinde hiçbir kontrolünüz olmayan sürekli ihlaller var. Yapabileceğiniz tek şey uyanık olmak ve mevcut hesapların kötüye kullanılıp kullanılmadığını görmek. Bir ihlalden sonra geçici bilgi olarak kabul edilen şifreler, kredi kartı numaraları gibi bazı bilgileri değiştirebilirsiniz ancak kalıcı olan pek çok bilgi vardır – adınız, sosyal güvenlik numaranız vb. sınırlı. Tek “kurtarıcı lütuf” muhtemelen o kadar da ilginç olmamanızdır çünkü bir kişiden ne kadar kazanabilirsiniz. Saldırı, sizin de gruptan biri olduğunuz büyük ölçekte yapılmadığı sürece. Ancak bunun üzerinde hiçbir kontrolünüz yok.
Dolandırıcılar sıklıkla aciliyet duygusundan yararlanıyor ve yapay zekadaki ilerlemelerle birlikte gerçek zamanlı derin sahtekarlıklar giderek daha ikna edici hale geliyor. Sosyal medyada paylaştığımız bilgilerin dolandırıcılara karşı savunmasızlığımıza ne ölçüde katkıda bulunduğunu düşünüyorsunuz ve bireyler bu bağlamda kendilerini nasıl daha iyi koruyabilirler?
Dolandırıcılık söz konusu olduğunda psikolojik unsur gerçekten derindir çünkü bu şekilde sizi normalde yapmayacağınız bir şeyi yapma pozisyonuna sokarlar. Ve ilginç olan şu ki, çoğu zaman insanlar geriye dönüp baktığında “Garip bir şeyler olduğunu düşündüm” diyor. Yani sezgisel olarak, insanlar her zaman olmasa da birçok kez biliyorlar ama bu sezgiyi takip etmiyorlar. Sorun bunun nedenidir. Aciliyet olabilir ama aynı zamanda bir ilişki gibi başka bir baskı unsuru da olabilir. Bazen bir hiyerarşi olabilir, örneğin bir şirkette, bu nedenle daha üst düzeydeki birinin size ne yapmanız gerektiği konusunda talimat vermesi nedeniyle ek bir baskı unsuruna sahip olursunuz. Yani insanlar bir şeylerin yolunda gitmediği hissini görmezden geliyorlar. Dolandırıcılar psikolojik unsurları ve duyguları farklı şekillerde kullanırlar. Flört dolandırıcılıklarına bakarsak, güvenlik açıklarından yararlanıyorlar ve bundan yararlanıyorlar. Flört dolandırıcılığı ile yatırım dolandırıcılığının birleşimi olan ‘domuz katliamı’ bir bakıma COVID-19’dan ortaya çıktı. Corona yeni tehditler getirmedi ama yeni hedefler sundu. İnsanlar daha çok bağlantı kurmak için internete giriyordu. Ve birçoğu dirençli değildi ya da bariyerlerini indirdiler. Sosyal medya açısından, dolandırıcılara bağlam ve giriş yolu sağlar. Hakkınızda kullanabilecekleri şeyleri bilirler; dolayısıyla dolandırıcılığa karşı savunmasızlığınızı artırır. İnsanların sosyal medyada konum, ilgi alanları, arkadaşlarının kim olduğu gibi konularda çok fazla paylaşım yaptığını düşünüyorum. Yani bir dolandırıcı olarak, eğer istersen tutunabileceğin bir sürü küçük kancan var. Ve bu unsurlara tutunarak, bir miktar güven duygusu yaratırsınız veya diğer kişinin ilgisini çekersiniz. Ve insanlar, birisinin kendileri hakkında tüm bunları sadece sosyal medyadan öğrenebileceğinin farkında değiller.
Paket servis olarak söylediniz. “İnsanların kitlesel olarak gerçek olmayan bir şeye inandırıldığı ve asla gerçekleşmemiş bir şeyin videosuyla güçlendirildiği bir kültür.” —Kimliğimiz tehlikeye girdiyse… Onu nasıl geri alabiliriz?
Bunu geri alabileceğimizi sanmıyorum. Maalesef böyle bir şeyin psikolojik etkisi çok büyük oluyor ve kişiyi oldukça paranoyak bir birey haline getireceğini düşünüyorum. Yıllar önce kimlik hırsızlığıyla ilgili ilk araştırmayı yaptığımda, Amerika Birleşik Devletleri’nde kredi işleyişinden ve farklı eyaletlerin olmasından dolayı çok daha fazla sorun vardı. Kredi raporlama kuruluşları, birisi talep ettiğinde kişinin kredi profilini sağlar. Ve birisi sizin adınıza bir hesap açmaya veya yeni bir kredi kartı almaya çalıştığında, kredinizin dondurulması nedeniyle bunun gerçekleşmemesi için kredinin dondurulmasını talep edebilirsiniz. Ancak sistem düzgün çalışmıyordu. Yani sonuçta tam kontrol bizde değil; yalnızca hasarı azaltabiliriz. Ama kurumlara da ihtiyacımız var. Güvenliğe bakarsak – önleme, koruma, olaylara müdahaleye bakabiliriz – ama aynı zamanda mağdurların iyileştirilmesi için bütçenin ve tedbirlerin hangi kısmını ayırdığımız da genellikle göz ardı edilir. Ve özellikle bireyler için – artık kuruluşlara çok fazla ilgi var ve anlıyorum ki ana hedef onlar olduğundan ve çok daha fazla para söz konusu olduğundan, ama aynı zamanda bireylere de yardım etmeliyiz.
