Yapay zeka siber güvenlik alanında yeni değil – çoğu otomatik güvenlik aracı bir ölçüde yapay zeka ve makine öğrenimine dayanıyor – ancak üretken yapay zeka herkesin konuşmasına ve endişelenmesine neden oluyor.
Siber güvenlik profesyonelleri, üretken yapay zekanın güvenlik etkilerini henüz ele almamış olsalar bile, çoktan geride kalmışlardır.
SlashNext CEO’su Patrick Harr, San Francisco’daki RSA Konferansı 2024’te yaptığı konuşmada “Tren istasyondan çoktan ayrıldı” dedi.
Darktrace tarafından yürütülen bir araştırmaya göre yapay zeka tarafından oluşturulan tehditler halihazırda kuruluşların dörtte üçünü etkiledi, ancak %60’ı yapay zeka tabanlı saldırılarla başa çıkmaya hazır olmadıklarını itiraf etti.
Yapay zeka destekli siber saldırılar, siber güvenlik yeteneklerinin kullanılabilirliğindeki boşlukları ortaya çıkarıyor. Kuruluşlar, özellikle bulut bilişim, sıfır güven uygulaması ve AI/ML yetenekleri gibi alanlardaki beceri açığından halihazırda endişe duymaktadır.
ISC2 CEO’su Clar Rosso, RSAC izleyicisine yaptığı konuşmada, yapay zekanın oluşturduğu tehditlerin artmasıyla birlikte siber güvenlik ekiplerinin bu yetenek boşluklarını doldurmak için artık birkaç yıl bekleme lüksüne sahip olmadığını söyledi.
ISC2 araştırmasına göre şu anda siber güvenlik profesyonellerinin %41’inin yapay zekayı güvence altına alma konusunda çok az deneyimi var veya hiç yok ve %21’i endişeleri azaltmak için yapay zeka hakkında yeterince bilgi sahibi olmadıklarını söylüyor.
O halde aynı profesyonellerin 2025 yılına kadar yapay zekanın sektörün en büyük sorunu olacağını söylemesi hiç de şaşırtıcı değil.
Güvenlik sektörü neden henüz hazır değil?
Kuruluşlar yıllardır siber tehditleri tespit etmek için yapay zekayı kullanıyor. Ancak konuşmayı değiştiren şey üretken yapay zekadır.
Yapay zekayı düşünmek ilk kez kurumsal ağın ve tehdit aktörünün ötesine geçiyor; artık müşteriyi de kapsıyor.
Kuruluşlar, sohbet robotları gibi araçlar aracılığıyla tüketici etkileşimi için yapay zekaya güvenirken, güvenlik ekiplerinin, yapay zeka ile üçüncü taraf son kullanıcı arasındaki etkileşimleri merkeze alan güvenlik algılama ve olay müdahalesine yönelik yaklaşımlarını yeniden düşünmesi gerekiyor.
Sorun, üretken yapay zeka etrafındaki yönetimdir. Siber güvenlik ekipleri ve genel olarak kuruluşlar, hangi verilerin yapay zeka üzerinde eğitildiğine, bu eğitim modüllerine kimlerin erişebildiğine ve yapay zekanın uyumluluğa nasıl uyum sağladığına dair net bir anlayışa sahip değil.
Geçmişte, üçüncü bir taraf şirket hakkında hassas sayılabilecek bir bilgi isteseydi kimse bunu vermezdi; potansiyel bir güvenlik riski olurdu. Artık bu bilgi yapay zeka yanıt modeline dahil edilmiştir ancak bu bilginin yönetiminden kimin sorumlu olduğu tanımlanmamıştır.
Siber güvenlik ekipleri tehdit aktörlerini nasıl engelleyeceklerine odaklanırken isteyerek paylaştıkları verilerle ilgili riskleri gözden kaçırıyorlar.
“Güvenlik açısından bakıldığında, bir teknolojiyi güvenli bir şekilde benimsemek için ML modelinin ne olduğunu, verilere nasıl bağlandığını, önceden eğitilip eğitilmediğini, sürekli öğreniyor mu, önemi nasıl artırdığınızı anlamamız gerekiyor?” Darktrace’in stratejik siber yapay zekadan sorumlu başkan yardımcısı Nicole Carignan, RSAC’daki bir konuşma sırasında şöyle konuştu:
Güvenlik ekibinin uzmanlığını oluşturmak
Üretken yapay zekanın yalnızca bir tür yapay zeka olduğunu ve evet, kullanım durumlarının sınırlı olduğunu hatırlamak önemlidir. Yapay zeka araçlarının hangi konularda iyi olduğunu bilmek, güvenlik ekiplerinin yapay zeka tehdit ortamını ele alacak beceri ve araçlar geliştirmeye başlamasına yardımcı olacaktır.
Ancak organizasyonların gerçekçi olması gerekiyor. Sırf ihtiyaç var diye beceri açığı iki ya da beş yıl içinde sihirli bir şekilde azalmayacak.
Güvenlik ekibi ihtiyaç duyduğu becerileri yakaladıkça, yönetilen hizmet sağlayıcılar devreye girebilir. Yapay zeka güvenliğini yönetmek için MSP kullanmanın avantajı, tek bir kuruluşun ağının ötesini görebilme yeteneğidir. Yapay zeka tehditlerinin farklı ortamlarda nasıl manipüle edildiğini gözlemleyebilirler.
Ancak kuruluşlar yine de kendi iç yapay zeka sistemlerini eğitmek isteyecektir. Zendata CEO’su Narayana Pappu, bu durumda güvenlik ekibinin sentetik verileri kullanarak bir sanal alanda başlamasının en iyisi olduğunu söyledi. Bu, güvenlik uygulayıcılarının yapay zeka sistemlerini güvenli verilerle test etmelerine olanak tanıyacak.
Kurumdaki beceriler ne olursa olsun, sonunda yapay zeka tehditlerini yönetmek, yapay zekanın güvenlik araç setlerinde nasıl kullanıldığına bağlı olacaktır. Güvenlik profesyonellerinin, temel güvenlik hijyeni uygulamalarını uygulamaya yardımcı olması ve uyumluluk düzenlemelerinin karşılandığından emin olmak için yönetim katmanları eklemesi için yapay zekaya güvenmeleri gerekecek.
“Yapay zeka hakkında hâlâ öğrenecek çok şeyimiz var. Kendimizi eğitmek bizim işimiz” dedi Rosso.