Hızla gelişen siber güvenlik dünyasında, ortaya çıkan tehditlerin önünde kalmak ve son teknolojiyi kullanmak çok önemlidir. BAE’deki önde gelen ticari bankalardan birinde Bilgi Güvenliği, Veri Gizliliği ve Koruması ve BT GRC Programları (CISO/DPO/CPO) Başkanı olan Vimal Mani, bu kritik alanda liderlik ve inovasyona örnek teşkil ediyor.
Güçlü siber güvenlik çerçevelerinin uygulanması ve gelişmiş teknolojilerin entegre edilmesi konusunda zengin deneyime sahip olan Vimal, bankanın güvenlik duruşunu iyileştirmek için Yapay Zeka’nın (YZ) kullanılmasında ön saflarda yer almaktadır.
The Cyber Express ile yaptığı bu özel röportajda Vimal, özellikle bankacılık sektöründe olmak üzere siber güvenlikte yapay zekanın dönüştürücü rolüne ilişkin görüşlerini paylaşıyor. Tehdit tespiti ve yanıtlama için yapay zeka odaklı teknolojilerin etkili bir şekilde konuşlandırılması, temel yapay zeka yönetimi, risk ve uyumluluk (GRC) standartları ve yapay zekayı siber güvenlik uygulamalarına dahil ederken karşılaşılan önemli zorluklar hakkında konuşuyor.
Ayrıca Vimal, etik hususlara, veri gizliliği ve güvenlik arasındaki dengeye ve sektörü etkilemesi beklenen AI’daki gelecekteki trendlere derinlemesine iniyor. Stratejik yaklaşımı ve pratik çözümleri, AI’nın güvenli bir bankacılık ortamı yaratmak için nasıl kullanılabileceğine dair kapsamlı bir anlayış sunuyor.
TCE: Yapay zekanın siber güvenlikteki, özellikle bankacılık sektöründeki rolünün nasıl gelişeceğini düşünüyorsunuz?
Küresel bankacılık sektörü şu anda analitik ve nihai olarak yapay zeka destekli olacak bir geçiş aşamasındadır. Küresel bankacılık sektörü, siber güvenlik risk yönetimini, operasyonel verimliliği ve HNI müşterilerine varlık yönetimi tavsiyesi sağlamada gelişmiş analitik, bilişsel analitik gibi yapay zeka destekli teknolojileri kullanmaya başlamıştır.
TCE: Tehdit tespiti ve yanıtını geliştirmede hangi yapay zeka destekli teknolojileri en etkili buldunuz?
Operasyonel Siber Tehdit İstihbaratı (CTI), kuruluşların etkili siber tehdit tespiti ve önlemesine yardımcı olan nispeten yeni bir AI destekli teknolojidir. Ayrıca, AI Teknolojileri dijital veri analizi, desen tanıma türü karmaşık siber güvenlik mühendisliği faaliyetlerinde dijital adli tıp ekiplerini destekler.
TÇE: Yapay zekayı siber güvenlik çerçevenize entegre etmek için önemli olduğunu düşündüğünüz Yapay Zeka Yönetimi, Risk ve Uyumluluk (GRC) standartlarını ayrıntılı olarak açıklayabilir misiniz? Bu standartlara uyumu nasıl sağlıyorsunuz?
AI, diğer yeni çağ teknolojileri gibi hem iyi hem de kötü amaçlar için kullanılabilir. AI algoritmalarındaki önyargılar ve peşin hükümler sıkıntıya yol açacaktır. AI Teknolojileri giderek daha fazla benimsenmeye başladıkça, veri gizliliği AI Teknolojilerini benimseyen insanlar ve şirketler için giderek daha fazla endişe kaynağı haline gelecektir. Buna ek olarak önemli miktarda yasal sorun da olasıdır.
Şu anda, veri veya tüketici koruması gibi diğer GRC çerçeveleri aracılığıyla ele alınan AI Teknolojisi odaklı sistemleri düzenlemek için belirli bir GRC Çerçevesi bulunmamaktadır. Şimdi, ABD, Çin gibi küresel ülkeler ve gelişmiş ülkeler, AI Teknolojisi kullanımından kaynaklanan risklerin uygun şekilde belirlenmesini ve azaltılmasını sağlamak için yeni GRC Yasaları ve düzenlemeleri uygulamaya koymaya başlamıştır.
TCE: Yapay zekayı siber güvenlik uygulamalarınıza dahil ederken karşılaştığınız en önemli zorluklardan bazıları nelerdir? Başarılı bir uygulama sağlamak için bu zorlukları nasıl azalttınız?
Algoritmik Önyargı ve Adalet Endişeleri, Açıklanabilirlik Sorunları, Yorumlanabilirlik Sorunları, Hesap Verebilirlik ve Etik Sorunlar, Şeffaflık Eksikliği, Tehdit Tespitinde Yanlış Pozitif ve Yanlış Negatifler gibi Zorluklar, Yapay Zeka teknolojilerini Siber Savunma mekanizmamıza dahil etmeye çalışırken karşılaşılan kritik zorluklardan bazılarıdır.
Bu zorlukların üstesinden gelmek için uygun ve mümkün olduğu ölçüde aşağıdaki teknikler kullanılmaktadır:
1) Önyargılardan kaçınmak için çeşitli ve temsili eğitim verilerinin kullanılması
2) Adalet-farkında model mimarilerinin kullanımı ve optimizasyonu
3) Önyargıların sürekli izlenmesi ve denetlenmesi
4) Doğal olarak yorumlanabilir AI modelleri geliştirmek (GenAI)
5) Post-hoc açıklamaların ve görselleştirmelerin kullanımı
6) Yorumlanabilirlik için Etkileşimli makine öğrenimi, İşbirlikli karar alma vb. gibi İnsan-döngü yaklaşımlarının kullanımı
7) GenAI Modelleri dağıtımı için rolleri ve sorumlulukları tanımlama
TCE: Deneyiminize göre, AI bankacılık sektöründe veri gizliliği ve siber güvenliğin katı gerekliliklerini dengelemeye nasıl katkıda bulunuyor? Bu dengeye dair belirli örnekler verebilir misiniz?
Siber güvenlikte AI Teknolojilerinin kullanılması, önyargı endişeleri olmasına rağmen çağdaş siber güvenlik uygulamalarının ve politikalarının şekillendirilmesine yardımcı olacaktır. AI Teknolojisi odaklı bilgi sistemleri, bireylerin hassas veri faaliyetlerini kendilerine yönelik saldırı girişimlerinden korumalarına yardımcı olabilir. Ancak, AI Teknolojisi odaklı sistemlerin kullanımından kaynaklanan riskler ve ödüller arasında bir denge kurmak için aşağıdaki müdahalelerin dikkate alınması gerekir:
- Yapay Zeka Teknolojilerinin kullanımının riskleri ve ödülleri konusunda yeterli düzeyde farkındalık oluşturmak
- Siber güvenlik uygulamalarında Yapay Zeka Teknolojisinin geliştirilmesi ve dağıtımı için sağlam GRC standartları geliştirmek ve kılavuzları desteklemek.
- Çeşitli yenilikçi müdahaleler yoluyla yapay zeka destekli siber güvenliğin geleceğini iyileştirme ve şekillendirmede insanların katılımını teşvik etmek
- Yapay Zeka Teknolojilerinin siber güvenlikte dağıtımının etkilerini sürekli olarak izlemek ve bu Yapay Zeka teknolojilerinin iş hedefleriyle tam olarak uyumlu olmasını sağlamak
TCE: Yapay zeka sistemlerinin tarafsız, şeffaf ve tehdit tespiti ve yanıtında etkili kalmasını sağlamak amacıyla bunları düzenli olarak değerlendirme ve denetleme görevine nasıl yaklaşıyorsunuz?
Dağıtılan AI Modellerinin performansını ve adaletini değerlendirmek için periyodik denetimler yapmak ve bu AI Modelleri yardımıyla alınan kararlara itiraz etmek, bu AI Modellerinin güvenilirliğini ve performansını şekillendirmeye yardımcı olacak ve daha kesin doğru tahminler ortaya koyacak ve tehdit tespitinde tarafsız, şeffaf ve etkili olacaktır. Farklı etki analizi, hassasiyet analizi ve etik matris analizi gibi önyargı ve adalet denetimleri yürütmek bu konuda faydalı olabilir.
TCE: Yapay zekadaki gelecekteki hangi eğilimlerin bankacılık sektöründe siber güvenliği en çok etkileyeceğini öngörüyorsunuz? Bu yeni ortaya çıkan teknolojileri mevcut siber güvenlik stratejinize entegre etmek için nasıl hazırlanıyorsunuz?
Küresel Bankacılık sektöründe önümüzdeki dönemde Yapay Zeka Odaklı Siber Güvenlik Trendlerinin şunlar olacağını öngörüyorum:
- Gerçek Zamanlı Dolandırıcılık Tespiti
- AI destekli uç nokta güvenliği
- Tahmini Siber Güvenlik Analitiği
- Otomatik Olay Müdahalesi (EDR/MDR)
Bankamızın mevcut Siber Güvenlik Mimarisi’ni, çeşitli Yapay Zeka Destekli Siber Güvenlik Teknolojilerinin Kavram Kanıt Çalışmalarını yaparak düzenli olarak yeniden gözden geçiriyoruz.
TCE: Siber güvenlik uygulamalarınızda, özellikle de AI’nın daha etkili olduğu görevlerde veya süreçlerde AI’yı uygulayarak gözlemlediğiniz belirli faydaları ve kullanım durumlarını paylaşabilir misiniz? Ayrıca, AI’nın bankanızda tehdit algılama ve azaltmayı önemli ölçüde iyileştirdiği bir olaya örnek verebilir misiniz ve bu deneyimden elde edilen temel çıkarımlar nelerdi?
Bankacılık sektörünün Siber Dayanıklılığını artırma potansiyeline sahip, başarılı Yapay Zeka destekli Siber Güvenlik kullanım örnekleri şunlardır:
- Yapay Zeka destekli Güvenlik Operasyon Merkezi
- Siber güvenlik kararlarını etkinleştirmek için Yapay Zeka destekli Uzman Sistemler
- Sensörler aracılığıyla düşman hareketini tanıyan ve takip eden bağımsız bir varlık olan akıllı bir ajanın konuşlandırılması
- Siber saldırılarla mücadele etmek için önceden tanımlanmış bir dizi AI algoritmasını takip edecek AI destekli güvenlik uzman sisteminin dağıtımı
- Derin öğrenme AI algoritmaları olarak bilinen Sinir Ağlarının Kullanımı
TCE: Siber güvenlik ekibinizin AI teknolojileriyle çalışmak için yeterli eğitime sahip olduğundan ve hazır olduğundan nasıl emin oluyorsunuz? Bu entegrasyonda insan unsurunu ele almak için hangi adımları atıyorsunuz?
Ekiplerimiz için siber güvenlikte AI Teknolojilerinin en son kullanımına ilişkin eksiksiz içgörüler edinme amacıyla odaklanmış güvenlik farkındalığı ve eğitim programları yürütmeye devam ediyoruz. Ayrıca ekip üyelerimizi, çözüm sağlayıcılarının bankacılık sektörü tarafından kullanılabilecek yeni AI destekli siber güvenlik çözümlerini sergilediği Teknoloji Fuarlarına ve sergilerine göndermeye devam ediyoruz.
TCE: Yapay zekayı siber güvenliğe uygularken, özellikle veri gizliliği ve koruması konusunda hangi etik hususlar önemlidir? Yapay zeka sistemlerinizin bu etik standartları desteklediğinden nasıl emin oluyorsunuz?
Yapay Zeka Modellerini dağıtmanın yasal, etik komplikasyonlarının ve Siber güvenlik operasyonlarımızda tetikleyebileceği güvenlik ve gizlilik risklerinin farkındayız. Bunu, Bankacılık sektörü için mevcut olan Yapay Zeka GRC yönergelerinin ve diğer Yapay Zeka GRC En İyi Uygulamalarının desteğiyle yönetiyoruz. Bu, bu Yapay Zeka destekli Siber Güvenlik Teknolojilerinin yasal, etik bakış açılarından periyodik denetimlerini içerecektir.
TCE: Bankacılık sektöründe yapay zekayı siber güvenlik çerçevelerine entegre etmek isteyen CISO’lar ve DPO’lar için, sorunsuz ve etkili bir geçiş sağlamak amacıyla hangi temel faktörleri ve en iyi uygulamaları önerirsiniz?
Yeni başlayan ve deneyimli CISO’lar ve DPO’lara şunları öneriyorum:
- Çağdaş AI düzenlemelerini, gelişmiş ülkelerin eylemlerini anlamak
- Yapay zeka destekli siber güvenlik operasyonlarına yönelik araştırmalara yatırım yapıyoruz
- Saldırı yüzeyini anlamak ve AI destekli azaltma stratejilerine öncelik vermek
- Siber suçluların TTP’lerini (Araçlar/Teknikler/Süreçler) tasarlarken yapay zekayı nasıl kullandıklarını anlamak
- Yapay Zeka tarafından yönlendirilen Otomatik ve artırılmış olay müdahalesinin uygulanması
- Kullanılan AI Uygulamalarında üçüncü taraf risk potansiyelinin belirlenmesi ve azaltılması
- Yapay Zeka destekli Siber Güvenlik Teknolojileri etrafında Sürekli Eğitim ve Öğrenme