Yazan: Eric Jacksch, Siber Güvenlik Danışmanı
Yapay zeka (AI) araçlarının ortaya çıkmasıyla birlikte siber güvenlik tehdit ortamı hızla değişiyor. Herkes gibi bilgisayar korsanları da verimliliklerini artırmak için bu araçları benimsiyor.
Kimlik avı, vishing ve diğer sosyal mühendislik türlerini daha kolay ve ölçeklenebilir hale getirmek için yapay zekadan yararlanılabilir. Doğal dil işleme, dolandırıcılık e-postalarının kulağa daha hoş gelmesini ve çok daha güvenilir görünmesini sağlayabilir. Sesler bile ikna edici bir şekilde taklit edilebilir ve parola sıfırlama talebinde bulunmak veya hassas bilgileri çalmak için kullanılabilir.
Salesforce’a göre BT liderlerinin üçte ikisi üretken yapay zekayı işlerine entegre etmek istiyor, ancak daha büyük bir yüzde güvenlik risklerinin artmasından korkuyor. Kuruluşlar yapay zekayı günlük iş akışlarına entegre etme konusunda hızlı adımlarla ilerlerken, ilgili güvenlik risklerini ele almamız gerekiyor.
Bunu yapmanın bir yolu, suçluların insanların zayıflıklarından yararlanma konusunda giderek daha iyi hale geldiklerini kabul etmektir. Kendinizi bilgisayar korsanlarının yerine koyun, nasıl düşündüklerini anlayın ve bir anda siber güvenlik eğitimine yaklaşımınız çok farklı görünecektir. Bir bilgisayar korsanı gibi düşünme konusunda siber güvenlik eğitiminizi daha etkili hale getirecek üç önemli ders buldum.
Yapay Zeka: Farklı Bir Bakış Açısıyla Eğitim
Stajyerlere sorulacak en güçlü sorulardan biri şudur: “Eğer bir suçlu olsaydınız sisteminizi nasıl tehlikeye atardınız?” Bu soru genellikle hiç düşünmediğiniz güvenlik açıklarını ortaya çıkarır. İnsanlar bir sistemden nasıl yararlanacaklarını anladıklarında, bu taktiklerin kendilerine karşı kullanıldığını anlama olasılıkları daha yüksektir.
Çalışanların kendi kimlik avı e-postalarını oluşturmaları veya sosyal mühendislik saldırılarında rol oynamaları gibi kapsamlı eğitim tekniklerini kullanın; böylece hem saldırganın hem de savunucunun bakış açılarını görebilirler. Bu vishing örneğini düşünün (sesli talep). Müşteri hizmetleri temsilcisi sempatik bir hilenin kurbanı oluyor ancak saldırıyı eylem halinde görerek tehdidin psikolojisini ve kendinizi nasıl koruyacağınızı anlayabilirsiniz.
Uygun Bir Şekilde Eğitim Alın
Programlar hem şirketinize hem de çalışanlarınıza uygun olmalı ve her zaman tehdit modelinizi (kuruluşunuzun karşı karşıya olduğu tehditler ve güvenlik açıklarının belirli birleşimi) dikkate almalıdır. Örneğin bir hastanenin sağlık bilgilerini HIPAA uyumlu standartlara göre koruması gerekirken bir mühendislik firmasının bu durumu olmayabilir.
Eğitimin başarılı olması için onu çalışanın organizasyon içindeki benzersiz rolüne uygun hale getirin. Bir muhasebeciyle güvenlik duvarı kuralları hakkında konuşmak, bir ağ mühendisiyle maaş bordrosu yönlendirme dolandırıcılıkları hakkında konuşmak kadar anlamlıdır. İnsanlar bilginin kendi rolleriyle nasıl ilişkili olduğunu göremezse, zamanlarını boşa harcadığınızı algılarlar.
Eğitimin aynı zamanda çalışanların kişisel yaşamlarıyla da alakalı olması gerekir. “Kişisel” ve “iş” arasında artan bir örtüşme var, dolayısıyla insanların iş dışında siber saldırılardan kaçınmasına yardımcı olmak, eğitimi onlar için daha uygun hale getiriyor. Bir çalışanın telefonunun güvenliği ihlal edilirse bu durum hem kişisel bilgileri hem de şirket bilgilerini etkileyebilir.
Sürekli Eğitim
Siber güvenlik eğitiminin tek seferlik bir dersin ötesine geçmesi gerekiyor. Tehdit ortamı sürekli değişiyor ve çalışanlarınızın becerilerini keskin tutmak için pratik yapması gerekiyor. Sürekli eğitim ne kadar önemli? Ankete katılan çalışanların yüzde yetmiş altısının şirketlerinde kalma olasılıkları daha yüksek. Çalışanlar kendilerine yatırım yapan şirketlere yatırım yaparlar.
Oyun benzeri başarılar geliştirerek onu taze ve heyecanlı tutun. Çalışanlar ek eğitim için geri döndüklerinde, başarılar tekrarlama yerine ilerleme duygusu yaratır. Uzmanları çekin ve bir siber güvenlik uzmanıyla bir web semineri düzenlemeyi düşünün; böylece çalışanların başka bir bakış açısıyla öğrenmesine ve canlı olarak soru sormasına olanak tanıyın.
Çalışanlarınızın uyanık ve güncel kalmasına yardımcı olmak için elinizdeki tüm araçları kullanın. Sürekli farkındalığı teşvik edin; çalışanlarınızın devam eden ve gelişen siber güvenlik riskleri konusunda zihinlerini keskin tutmak için güncellemeleri Slack veya e-posta yoluyla gönderin. Mümkün olduğunda çalışanlara somut örnekler verin. Bu ay maaş bordrosu bilgilerini değiştirmek için dört kez hileli girişimde bulundunuz mu? Çalışanlarınıza söyleyin. Onu gerçek kılıyor.
Sanal gerçeklik (VR), sürükleyici bir deneyim yaratmak için de güçlü bir araç olabilir. VR kulağa “sadece” bir video oyunu gibi gelebilir ancak cerrahi eğitim gibi kritik alanlarda bile işe yarıyor. Çalışanlarınızın farklı düşünmesine yardımcı olmaya çalışıyorsunuz ve VR onları bir bilgisayar korsanının yerine koyabilir, böylece risksiz bir ortamda güvenlik becerilerini geliştirebilirler.
Nereden Başlamalısınız?
Bir bilgisayar korsanının bakış açısına göre kişisel bilgiler en kazançlı hedeflerden biridir. Eğitiminiz, çalışanların parolaların temellerinden başlayarak, kişisel bilgilerin korunmasına ilişkin aşağıdaki üç kritik güvenlik alışkanlığını geliştirmelerine yardımcı olmalıdır:
- İyi şifreler kullanın. Bilgisayar korsanları, insanların güvenli bir parolanın anahtarı olan rastgelelik yaratma konusunda berbat olduğu gerçeğinden yararlanıyor. Uzun, benzersiz parolalar oluşturmak ve bunları unutulmaz kılacak hikayeler oluşturmak için parola yöneticinizdeki parola oluşturma aracını veya Diceware gibi bir aracı kullanın.
- Mümkün olduğunda çok faktörlü kimlik doğrulamayı (MFA) kullanın. Bilgisayar korsanları yalnızca kullanıcı adı ve parolayla hesaplara erişmeyi severler. Mümkün olduğunda donanım anahtarlarını kullanın. SMS’ten kaçının.
- İyi bir şifre yöneticisi kullanın ancak MFA kimlik bilgilerini, yedek kodları, kripto para birimi tohum ifadelerini veya diğer hassas bilgileri burada saklamayın. Bilgisayar korsanları tek bir başarısızlık noktasını tercih ederler. Güvenliğinizi bölümlere ayırın.
Yapay zeka, yüzeye çıkardığı siber güvenlik tehditleriyle birlikte daha da güçlü hale gelecek. Çalışanlar, tipik siber güvenlik eğitimi anlatımını değiştirerek bilgisayar korsanlarının bir adım önünde kalabilir, kişisel ve iş bilgilerini onların gazabından koruyabilir.