Yazan: Michael Marcotte, artius.iD Kurucusu ve CEO’su
Deepfake’lerin ortaya çıkışı, siber güvenlikte silahlanma yarışını başlatan silahı ateşledi. Etkilerine ilişkin paranoya, siyasi yanlış bilgilendirme, sahte haberler ve sosyal medya manipülasyonu da dahil olmak üzere bir dizi alana yayıldı.
Deepfakes, kamusal alanda güven ve iletişim üzerinde zaten var olan ciddi baskıyı daha da yoğunlaştıracak. Bu, haklı olarak düzenleyicilerin ve politika yapıcıların dikkatini çekecektir. Ancak bu odaklanma nedeniyle, deepfake’lerin kurumsal dolandırıcılık, dolandırıcılık ve hırsızlıkta oynayacağı rol gözden kaçırılan risklerdir.
Şirketler, derin sahte kimlik belirleme ve korumayı merkezi hükümetlere ve kamu kurumlarına devretme konusunda kendilerini haklı hissedecekler; güya ön safların çizildiği yer burası. Eğer bu bölgeyi devlete bırakırlarsa, kendilerini deepfake destekli kurumsal sahtekarlığa tamamen maruz bırakacaklar.
Aslında bu zaten oluyor. Şubat ayında bir çalışan, dolandırıcıların bir video konferansta (The Guardian) firmanın CEO’su gibi davrandığı derin sahte bir video dolandırıcılığına kanmasının ardından kötü niyetli aktörlere 25 milyon dolarlık şirket fonu göndermek üzere kandırılmıştı.
Bu saldırı kömür madenindeki kanaryadır; bilgisayar korsanları cephaneliklerini genişletti ve siber güvenlik silahlı çatışmalarına deepfake’ler getiriyor. Şirketler koruma konusunda hükümete güvenmeyi göze alamaz; çok yavaşlar. Artık kendi çok katmanlı savunma stratejilerini geliştirmeleri gerekiyor.
Peki bu neye benziyor?
Temel taşı uyumluluk olmalıdır. Tek başına asla yeterli değildir, ancak çalışanlarınız düzenli olarak bilgisayar korsanlarına kapıyı ardına kadar açık bırakıyorsa, yeni teknolojilere ne kadar harcadığınızın bir önemi yoktur.
Bu nedenle şirketlerin, çalışanlarını deepfake’lerin oluşturduğu tehdit ve bunun nasıl azaltılacağı konusunda eğitmeye ve bilgilendirmeye yatırım yapması gerekiyor. Bir e-posta bülteni bunu kesmeyecektir; düzenli, zorunlu eğitim oturumları olmalıdır. Bunlar, deepfake’lerle simüle edilmiş kimlik avı egzersizlerini veya çalışanların tehlike işaretlerini tespit etmek üzere eğitildiği etkileşimli atölyeleri içerebilir. Çalışanların bir tehdit tespit edilir edilmez uzman BT ekiplerine ulaşabilmesi için hızlı dahili raporlama mekanizmalarının olması gerekir.
Çalışanları bu konuda bilgilendirmek hiç de küçük bir başarı olmayacaktır. Ne yazık ki, herhangi bir BT uzmanının da bildiği gibi, sektör dışındaki çoğu çalışanın siber güvenlik temelleri konusunda kronik bir eksikliği var. Yanlışlıkla şirketi ifşa etmemelerini sağlamak için düzenli, proaktif önlemler alacaktır. Ancak başarılı bir şekilde yapılırsa, iyi eğitimli, uyanık bir iş gücü, kapsamlı bir siber savunmanın temelidir.
Şirketlerin eğitim personelinin yanı sıra en son kimlik doğrulama ve doğrulama teknolojisini de benimsemesi gerekiyor. En yeni savunma sistemlerine yatırım yapmamak, şirketleri taş devrinde bırakıyor; yapay zeka ve derin sahtekarlıkların parmaklarının ucunda olduğu bilgisayar korsanlarıyla karşı karşıya kalıyor.
Bunlar, manipüle edilmiş medya içeriğini tanımlamak için makine öğrenimi ve görüntü işlemeyi kullanan gelişmiş adli analiz araçlarını içerebilir. Kimliklerin doğrulanması için biyometrik kimlik doğrulamanın gelişmiş yüz ve ses tanıma özelliğiyle güçlendirilmesi gerekiyor. Çalışanlar için orijinal içeriği işaretlemek amacıyla dijital filigranlama kullanılabilir.
Bu teknolojiler günümüzde şirket uygulamalarına hızla entegre edilebilmektedir. Daha uzun vadeli teknolojik savunmalar, sahte içerikleri tespit etmek için orijinal görüntülerden ve derin sahtekarlıklardan oluşan veri kümeleri üzerinde eğitilmiş makine öğrenimi algoritmalarını kullanan yapay zeka destekli derin sahte tespit araçlarını içerebilir. Ancak bunların oluşturulması önemli miktarda zaman, veri ve uzmanlık gerektirecektir.
Bu ilk iki strateji önleyici olsa da, bir ihlal meydana gelmesi durumunda hasar sınırlamasının uygulanması da çok önemlidir. İşletmenin alt seviyelerindeki başarılı bir dolandırıcılığın, yüksek seviyeli fikri mülkiyet ve ticari sırların kaybolmasıyla sonuçlanmaması için, şirketlerin hassas bilgilere yönelik sağlam erişim kontrollerine sahip olması gerekir.
En az ayrıcalık ilkesine dayanan katı ve tanımlanmış ağ ayrımı da çok önemlidir. Kötü niyetli aktörlerin bir çalışan aracılığıyla bir ağa erişmesi durumunda, bu onların işin diğer alanlarına yönelmelerine izin vermemelidir. Buna ek olarak, sınırlama önlemleri, sahte medyanın şirket genelinde yayılmasını önleyebilir. Yayından kaldırma bildirimleri, içerik filtreleri ve yukarıdan aşağıya şeffaf iletişim, ilk ihlalden sonra yangının söndürülmesine katkıda bulunabilir.
Üst düzey yönetimin firmalarını uygun şekilde yalıtmak için yapması gereken çok şey var ve bu da genel olarak siber güvenliğe daha fazla yatırım yapılmasını gerektirecek. Ancak bu yönetim için zor bir satış olmamalı. Tehditler arttı ve risk katlanarak arttı.
Deepfake ihlalleri itibar, mali ve mevzuat açısından önemli sonuçlara yol açacaktır. Hiçbir CEO bir sonraki yüksek profilli deepfake dolandırıcılığının başında olmak istemeyecektir. Bu yüzden artık harekete geçmeleri ve kendilerini savunmak için adımlar atmaya başlamaları gerekiyor. Riskler hükümetin onlar adına bunu yapmasını beklemek için çok yüksek.
yazar hakkında
Michael Marcotte artius.iD’nin kurucusu ve CEO’sudur. ABD’nin önde gelen siber güvenlik yöneticilerinden biridir. 2006 yılında katıldıktan sonra Michael, milyarlarca dolarlık uydu iletişim devi EchoStar’da Global CIO, Global CDO ve Başkan (Hughes Cloud Services) olarak görev yaptı. Büyük bir uluslararası şirkette Dijital Direktörü olarak görev yapan ilk kişilerden biriydi. Michael, 2014 yılında EchoStar’dan ayrıldı ve uzmanlığını teknoloji, siber güvenlik ve risk sermayesi alanlarındaki bir dizi firmaya uyguladı. artius.iD’nin yanı sıra inovasyon laboratuvarı yazılımı ve risk sermayesi şirketi Artius Global Holdings ile siber güvenlik şirketi Praelium Systems’in kurucusu, başkanı ve CEO’sudur. Michael bir dizi kamu danışmanlığı pozisyonuna sahiptir. Ulusal Siber Güvenlik İstihbarat Merkezi’nin (NCC) kurucu ortağıdır ve NCC’nin Hızlı Müdahale Merkezi Yönetim Kurulu’nun kurucusu ve başkanıdır. Çeşitli devlet başkanları ve ABD Senatörleri için kıdemli danışman olarak görev yaptı. Aynı zamanda Ekonomik Kalkınma ve Uluslararası Ticaret Ofisi’nin (OEDIT) yönetim kurulu üyesidir. Michael’a LinkedIn’den ulaşılabilir.