Yapay Zeka ve Makine Öğrenimi
Ajans Detayları Yapay Zeka Siber Güvenlik Riskleri, Önleme, Azaltma Stratejileri
Rashmi Ramesh (raşmiramesh_) •
17 Ekim 2024
Çarşamba günü New York eyaletindeki mali düzenleyiciler, kuruluşların yapay zekayla ilgili siber güvenlik tehditlerini tespit etmelerine ve azaltmalarına yardımcı olacak bir kılavuz yayınladı.
Ayrıca bakınız: Copilot+PC’lerle inovasyonu hızlandırın – en hızlı, en akıllı Windows PC
New York Eyaleti Finansal Hizmetler Departmanı, yeni gereklilikler getirmediğini ancak düzenlenmiş finansal kurumların yapay zeka risklerini nasıl azaltabileceğine ilişkin sorulara yanıt verdiğini söyledi.
DFS Müfettişi Adrienne A. Harris, yapay zekanın tehdit tespitini ve olaya müdahale stratejilerini geliştirebileceğini ancak aynı zamanda “siber suçluların daha büyük ölçek ve hızda suç işlemesi için yeni fırsatlar” da yarattığını söyledi.
Kılavuz, sosyal mühendislik, kamuya açık olmayan bilgilerin çalınması ve tedarik zinciri bağımlılıklarından kaynaklanan artan güvenlik açıkları gibi yapay zekaya özgü risklere dikkat çekiyor. Etkisi, ölçeği ve hızı yapay zeka tarafından güçlendirilen “gelişmiş” siber saldırıları vurguluyor.
Yapay zekanın bilgileri tarama ve hızlı bir şekilde alma yeteneği nedeniyle, “tehdit aktörleri yapay zekayı hızlı ve verimli bir şekilde güvenlik açıklarını tespit etmek ve kullanmak için kullanabilir, bu da genellikle tehdit aktörlerinin daha fazla bilgi sistemine daha hızlı erişmesine olanak tanır” dedi.
Tehdit aktörlerinin sistemlere girdikten sonra kötü amaçlı yazılımları en iyi nasıl dağıtacaklarını ve verilere nasıl erişip sızdıracaklarını belirlemek amacıyla keşif yapmak için yapay zekayı konuşlandırabilecekleri belirtildi. Yapay zeka ayrıca yeni kötü amaçlı yazılım çeşitlerinin geliştirilmesini hızlandırabilir ve fidye yazılımını değiştirerek savunma amaçlı güvenlik kontrollerini atlatabilir.
Kamuya açık olmayan bilgilerin çalınması, yapay zeka kullanımının olası bir yan ürünüdür, çünkü teknolojiyi kullanan yapay zeka ürünleri bu tür verileri toplayıp işleyebilir. Tehdit aktörlerinin “mali kazanç veya diğer kötü amaçlar için NPI’yi ele geçirmek amacıyla bu varlıkları hedefleme konusunda daha büyük bir teşviki” olduğundan, halka açık olmayan bilgileri büyük miktarlarda saklayan ve yapay zeka dağıtan kuruluşlar daha büyük hedefler oluşturur.
Düzenleyiciler, AI oturum açma çözümlerinin ayrıca biyometrik verileri de depolayabileceği ve bunların çalınmasının bilgisayar korsanlarının dahili verilere erişmesine neden olabileceği konusunda uyarıyor. Saldırganlar ayrıca gerçekçi derin sahtekarlıklar oluşturmak için biyometrik verileri de kullanabilir.
Ajans, kurumlara, bir kontrolün başarısız olması durumunda diğerlerinin saldırının etkisini azaltabilmesini sağlamak için çok katmanlı siber güvenlik kontrolleri uygulamasını öneriyor. Kurumlar, güvenlik açıklarını tespit etmek ve güçlü veri yönetimi uygulamaları oluşturmak için izleme süreçlerine sahip olmalıdır. New York düzenleyicileri, üçüncü taraf satıcı yönetimi, erişim kontrolleri ve siber güvenlik eğitiminin kuruluşun güvenlik gündeminde belirgin bir şekilde yer alması gerektiğini söylüyor.