Üretken yapay zekayla ilgili en büyük endişelerden biri bizi manipüle etme yeteneğidir, bu da onu sosyal mühendislik saldırıları düzenlemek için ideal kılar. Birinin dijital ayak izini araştırmaktan son derece ikna edici hedef odaklı kimlik avı e-postaları oluşturmaya, vishing ve derin sahte videolara olanak tanıyan ses yakalamaya kadar GenAI, ikna edici saldırılar oluşturma açısından çıtayı önemli ölçüde yükseltiyor.
Bu tür saldırılar artık tamamen teorik değil. Şubat ayında, Hong Kong’daki bir finans çalışanının, video konferans görüşmesinde CFO’nun sahtekarlığıyla 25 milyon dolar aktarması için kandırıldığına dair raporlar ortaya çıktı. Gizli bir işlem yapmasını talep eden bir kimlik avı e-postası aldıktan sonra başlangıçta şüpheci davrandı, ancak bir grup görüşmesine katıldığında ve internette gördüklerini tanıdığında bunun meşru olduğuna ikna oldu. Aslında onlar onun meslektaşları değildi; görüşmedeki herkes bu insanların deepfake versiyonuydu.
Bu tür durumlar artık gördüklerimize ve duyduklarımıza güvenemeyeceğimizi ortaya koyuyor. Bu saldırılar, BEC ve CFO dolandırıcılığı durumunda, talebin gerçek olup olmadığını kontrol etmek için ilgili kişiyle konuşmak şeklindeki olağan tavsiyeye göre yapılır. Kötü bir şekilde ifade edilmiş kimlik avı e-postalarının yanıltıcı hediyeleri geçmişte kalacak, özellikle de artık genellikle meşru alanlardan gönderildikleri için.
Aslında bu saldırılar, sahip olduğumuz güvenlik farkındalığı eğitimlerinin çoğunu geçersiz kılıyor. Peki, GenAI çağında işletmeyi savunmak için kullanıcıları nasıl eğitebiliriz?
GenAI farkındalığına ilişkin hususlar
Öncelikle temellere dönmemiz gerekiyor. Sosyal mühendislik temel olarak psikolojiyle ve mağduru karar verme konusunda baskı altında hissedeceği bir duruma sokmakla ilgilidir. Bu nedenle, aciliyet hissi veren ve alışılmadık bir talepte bulunan her türlü iletişimin (e-posta, çağrı, sohbet veya video) işaretlenmesi, hemen yanıtlanmaması ve sıkı bir doğrulama sürecine tabi tutulması gerekir.
Sıfır güven kavramına benzer şekilde “asla güvenme, her zaman doğrula” yaklaşımı olmalı ve eğitim süreci olağandışı bir talep sonrasında atılması gereken adımları özetlemelidir. Örneğin, CFO dolandırıcılığıyla ilgili olarak, muhasebe departmanının ödemeler için belirlenmiş bir limiti olmalı ve bu limitin aşılması bir doğrulama sürecini tetiklemelidir. Bu, personelin isteğin meşru olduğunu doğrulamak için jeton tabanlı bir sistem veya kimlik doğrulayıcı kullandığını görebilir.
İkinci olarak kullanıcıların aşırı paylaşıma karşı dikkatli olması gerekiyor. Bilgilerin telefonda ifşa edilmesini önleyecek bir şirket politikası var mı? Bir saldırganın yararlanabileceği şirket fotoğraflarının yayınlanmasına ilişkin kısıtlamalar var mı? Sosyal medya gönderileri şifreleri veya bir kişinin güvenlik sorularını tahmin etmek için kullanılabilir mi? Bu tür adımlar, dijital ayrıntıların çıkarılması olasılığını azaltabilir.
Ancak, daha yüksek profile sahip olanların (örneğin iş dünyası liderleri), kamuya açık alanda varlıklarını sürdürmek zorunda oldukları için görüntülerinin çalınması ve seslerinin kopyalanması riskinin daha yüksek olduğunu unutmayın. Kıdemli liderlerin deepfake’lerini gösteren simülasyonlar çalıştırmak, mesajın amacına ulaşmasını sağlayabilir.
Bu da bizi üçüncü noktaya getiriyor; güvenlik farkındalığı eğitimi için GenAI’dan yararlanmaya çalışmamalıyız. Örneğin, simüle edilmiş kimlik avı egzersizleri, bireysel ve şirket kaynaklarından elde edilen verilerle kişiselleştirilerek yapay zeka tarafından hazırlanmış bir saldırının taklitini yapmalıdır. Aslında GenAI, güvenlik eğitimini daha iyiye doğru dönüştürmeyi vaat ediyor.
Güvenlik farkındalığı eğitimi nasıl değişecek?
Bugün, genel eğitici bilgisayar tabanlı eğitim, düzenleme ve uyumluluk taleplerini karşılamak için periyodik olarak kullanılmaktadır, ancak riski azaltma ve en iyi uygulamaları artırma konusunda çok az şey yapmaktadır.
İşi yansıtan ve çalışanlara uygun eğitim sağlamak çok daha etkilidir ancak geçmişte bunu üretmek zordu ve işin risk profiline göre uyarlanmış eğitim modüllerinin geliştirilmesini gerektiriyordu. GenAI ile kullanıcıya, kuruluş içindeki rolüne ve benzersiz davranış kalıplarına bağlı olarak daha da derin bir özelleştirme düzeyi elde edilebilir.
Aslında Gartner, GenAI’yi güvenlik davranışları ve güvenlik kültürü programlarıyla birleştiren işletmelerin 2026 yılına kadar çalışanların neden olduğu olaylarda %40 daha az karşılaşacağını öngörüyor. Analist grubu, güvenlik eğitimine yönelik geleneksel yaklaşımların yerini GenAI’nin kolaylaştırdığı davranış değişikliğini ölçen sistemlere bırakacağını belirtiyor. Sonuç olarak, siber güvenlik kontrol çerçeveleri, insan riskini azaltmak amacıyla bugün gördüğümüz uyum temelli eğitimden somut davranış temelli ölçüme geçiş yapacak.
Gerçek anlamda bu, her kullanıcının duyarlılıklarını tespit eden ve hatalı karar verme olasılığını azaltmaya yardımcı olan, kendi özel hazırlanmış eğitimini almasını bekleyebileceğimiz anlamına gelir.
Geleceğe bakıldığında GenAI, kullanıcıları doğru seçimler yapmaya teşvik ederek ve potansiyel olarak riskli eylemleri sorgulayarak günlük karar vermede daha fazla yol gösterici bir güç haline gelecektir. Örneğin Microsoft Copilot’a bakarsak, çeşitli bağlamlarda önerilerde bulunmak ve sonraki adımları önermek için zaten kullanılıyor.
Dahili kullanım eğitimi
Elbette, GenAI’yi bir işyeri aracı olarak karışıma dahil etmek aynı zamanda iş gücünü bunun güvenli kullanımı konusunda eğitmemiz gerektiği anlamına da geliyor. ISO 22989 ve ISO 42001, NIST’in Yapay Zeka Risk Yönetimi Çerçevesi veya diğer seçenekler gibi bir yönetişim çerçevesi uygulamaya konmalıdır.
Çerçeve, daha sonra GenAI politikasına dönüştürülmesi gereken kontrollerin ana hatlarını çiziyor ve sorumlu kullanımı, raporlama prosedürlerini kapsıyor ve mevcut güvenlik ve veri koruma politikalarıyla uyumlu. Kullanıcıların yapay zekanın nerede kullanıldığını ve onu güvenli bir şekilde nasıl kullanabileceklerini anlamalarını sağlamak çok önemli.
Örneğin kullanıcılar, Windows 11’in Önizleme işlevinde GenAI’nın kullanıldığının farkında olmayabilir, dolayısıyla hassas verilerin kopyalanması ve yapıştırılması, verilerin gelecekte başka bir yerde yeniden görünmesini sağlayabilir.
Çözüm
GenAI’nin kötü amaçlı yazılım oluşturmak için kullanılmasının tehlikesi hakkında çok şey söylendi, ancak asıl tehdit bu veri sızıntısı potansiyeli ve insanları kandırmada yatıyor. Kod oluşturmak için kullanıldığı doğru; araştırmacılar yakın zamanda kimlik avı kampanyalarında kullanılan bilgi hırsızlığını ortadan kaldıran bir Powershell komut dosyasının ChatGPT tarafından yazıldığını keşfettiler. Ancak kod, bir insan tarafından oluşturulmuş olduğundan daha karmaşık değildi ve bu tür kötü amaçlı yazılımlar, otomatik algılama kullanılarak kolayca tespit edilebiliyordu.
Zamanla, GenAI’nin tehdit aktörlerinin yeteneklerini ölçeklendirerek saldırıların sayıca artmasını ve daha hızlı gelişmesini sağlaması bekleniyor. Ancak şu anda en büyük tehdidi oluşturan şey GenAI’nin gerçekliği çarpıtma yeteneğidir ve buna karşı en iyi savunma etkili güvenlik eğitimidir.
Aklımızı her zamankinden daha fazla tutmamız, daha fazla sorgulamamız ve hiçbir şeyi göründüğü gibi kabul etmememiz gerekiyor.