2025, siber güvenlik açısından çılgın bir yıldı. Ortam her zamankinden daha hızlı değişiyor ve yılın en önemli siber güvenlik derslerini düşündüğümde birkaç tema öne çıkıyor.
Ulus-devlet riski sabit kalıyor. Haziran ayında ABD yetkilileri, şirketleri İran’ın siber saldırılarına hazırlanmaları konusunda acilen uyardı. Bu, içinde bulunduğumuz ortamın sadece bir örneği. Güvenlik ekiplerinin anında savunmaya hazır olması gerekiyor. Tehditler, dezenformasyon ve düşük düzeydeki bozulmayı daha gelişmiş ticari zanaatla bir araya getirecek ve bunların hepsi bir araya geldiğinde yıkıcı sonuçlara yol açabilecek.
İnsani güvenlik açığı, saldırganların favori hedefidir. Geçtiğimiz Haziran ayında sigorta sektörüne odaklanan siber suç grubu Scattered Spider’ın, klasik sosyal mühendislik tekniklerini kullanarak insanların çoğu zaman en zayıf halka olduğunu kanıtladığını görmeye devam ediyoruz. Yalnızca teknolojiye güveniyorsanız asıl noktayı kaçırıyorsunuz demektir: Saldırganlar her zaman insanlar aracılığıyla içeri girmenin bir yolunu bulacaktır.
Yapay zekanın yükselişi bizi modernleşmeye zorluyor ancak yeni boşluklar da yaratıyor. Üretken yapay zekanın kurumsal olarak benimsenmesi 2025’te arttı. Üretken yapay zeka sitelerine giden trafik %50 artarken, çalışanların %68’i ücretsiz katmanlı araçlar kullandı ve %57’si bunlara hassas veriler yapıştırdığını kabul etti. Bununla birlikte, yapay zeka tarafından oluşturulan istismarların ve yanlış bilgilerin zaten burada olduğunu hatırlamak çok önemli. Güvenlik topluluğunun, anında enjeksiyon gibi model manipülasyon tekniklerine odaklanması ve bu yapay zeka sistemlerini saldırganların gözüyle proaktif olarak test etmesi gerekiyor. Kalabalık liderliğindeki testler, yeni ve gelişen saldırı vektörlerinde bile en güçlü savunmalarımızdan biri olmaya devam ediyor. Çeşitli insan araştırmacıları başkalarının kaçırdığını yakalayabilir.
Sorumluluk artık isteğe bağlı değil. Yönetişim yetişiyor. Örnek olarak Qantas olayını ele alalım. Milyonlarca müşteri kaydının açığa çıkmasından sonra havayolu, yönetici primlerini siber güvenlik sonuçlarına bağladı. CEO’ya ödeme yapılması, güvenlik uygulamalarının finansmanı, önceliklendirilmesi ve yaygınlaştırılması sorumluluğunun CEO’ya ve üst düzey liderlik ekibine ait olduğu yönünde açık bir mesaj veriyor.
Kritik altyapı yumuşak bir hedef olmaya devam ediyor. Geçtiğimiz Eylül ayında check-in yazılımındaki bir ihlalin Avrupa havaalanlarında neden olduğu siber kesinti gibi son üçüncü taraf saldırıları, bize siber riskin insan üzerindeki etkisinin soyut olamayacağını hatırlatıyor. Kritik altyapı, siber suçlular için yumuşak bir hedeftir. Milyonlarca kişinin yararlandığı hizmetlerde yaşanan kesintiler giderek büyüyen bir tehdit oluşturuyor. Sıfır güven ve ayrıcalıklı erişim kontrolleri tüm sektörlerde, özellikle de güvenlik yığınlarının eski olduğu veya eski sistemler üzerine kurulduğu kritik altyapılarda tartışılamaz olmalıdır.
2025 yılında karşılaştığımız tehditlerin daha kişisel, daha teknik, daha bağlantılı ve sorumlulukla daha bağlantılı olduğunu gördük. İleriye baktığımda ve 2026’nın hepimiz için neler hazırladığını düşündüğümde, altı büyük trendin ortaya çıktığını veya büyümeye devam ettiğini görüyorum.
- Saldırının karmaşıklığı ve ölçeği artmaya devam edecek.
2026 yılında siber saldırıların hızı ve karmaşıklığı tahmin edilmesi giderek zorlaşan seviyelere ulaşacak. Kuruluşlar, saldırıların suç gruplarından mı yoksa ulus devlet aktörlerinden mi geldiğini belirlemeye daha az odaklanacak ve bir olay meydana geldiğinde nasıl etkili bir şekilde yanıt vereceklerine daha fazla odaklanacak.
- Kritik altyapı öncelikli hedef olmaya devam ediyor.
Kritik altyapılara yönelik saldırılar en büyük endişe kaynağı olmaya devam edecek. IoT cihazları, boru hatları ve su sistemleri de dahil olmak üzere donanım güvenliği, kuruluşların gelişen saldırı yüzeyinde koruyucu önlemlere öncelik vermesini gerektiren temel risk alanları olmaya devam edecek.
- Güvenlik kontrollerinin saldırı çeşitliliğine uyum sağlaması gerekir.
Saldırıların çeşitliliği artmaya devam edecek ve güvenlik ekiplerinin erişim ile korumayı dengeleyen esnek, etkili kontroller uygulaması gerekecek. Çalışanların tehditleri nasıl tanımlayacaklarını ve endişeleri nasıl artıracaklarını anlamalarını sağlamak, bu karmaşık ortamda dayanıklılığı korumak açısından kritik öneme sahip olacaktır.
- Yapay zeka güveni yanıltıcı olabilir.
2026’da yapay zeka tarafından üretilen çıktılar, yanlış olsa bile bilgileri güvenle sunmaya devam edecek. Kuruluşlar verimlilik için yapay zekaya güvendiğinden, tehditler veya olaylarla ilgili raporlar kesinlikle yanlış olabilir ve güvenlik ekiplerinin gerçek riskleri belirlemek için müdahale etmesi gereken gürültü yaratabilir.
- İnsan gözetimi kritik olmaya devam ediyor.
Yapay zeka destekli halüsinasyonların, derin sahtekarlıkların ve gerçekçi sentetik medyanın yükselişi, teknik bilgisi olmayan kullanıcıların yapay zeka tarafından oluşturulan içerikten gerçeği ayırt etmesini zorlaştıracak. Kuruluşların, ekiplerin yapay zekanın yeteneklerini ve sınırlamalarını anlamasını sağlayarak, insan doğrulama ve eleştirel düşünme kültürünü geliştirmesi gerekecektir.
- Güven ve doğrulama gelişecektir.
Yapay zekanın bilginin oluşturulma ve paylaşılma şeklini değiştirmesiyle birlikte bireyler ve kuruluşlar, içeriği doğrulamak için yeni yöntemlere ihtiyaç duyacak. 2026’da güvenlik ekipleri ve daha geniş paydaşlar bir kültür ve zihniyet değişimiyle karşı karşıya kalacak: Neye güvenileceğini, neyin doğrulanacağını ve yapay zeka odaklı çıktılara nasıl sorumlu bir şekilde yanıt verileceğini belirlemek.
Savunmacılar olarak insan merkezli güvenliği benimsemeli, insan içgörüsünü titizlikle test etmeli ve siber güvenliği bir iş zorunluluğu olarak ele alan liderlik talep etmeliyiz.
Dave Gerry, kitle kaynaklı siber güvenlik platformu Bugcrowd’un CEO’sudur.