Yazan: Matt Lindley, NINJIO’nun COO’su ve CISO’su
Geçtiğimiz yıl yaşanan yapay zeka çılgınlığı birçok açıdan aydınlatıcı oldu. Talep üzerine geniş bir yaratıcı içerik kütüphanesi üretebilen üretken yapay zeka araçları gibi heyecan verici yeni teknolojilerin ortaya çıkmasına rağmen, yapay zekanın karanlık tarafı da sergileniyor. OpenAI’nin GPT-4’ü gibi büyük dil modelleri (LLM’ler), kullanıcıların gerçeklerden ayırt edemeyeceği yalanlar üretme alışkanlığına sahiptir. Üretken yapay zeka modellerini çalıştırmak için gereken devasa veri toplama, yaratıcılarını davalara maruz bıraktı. Güvenilirlikten şeffaflığa kadar yapay zeka zorluklarında hiçbir eksiklik yok.
Bu zorlukların en acil olanı yapay zeka destekli siber saldırı tehdididir. Yapay zekalı şifre korsanlarının kullanımından Yüksek Lisans tarafından oluşturulan kimlik avı içeriğine ve çalışanları her zamankinden daha kolay kandırabilen, hızla gelişen deepfake teknolojisine kadar yapay zekanın ortaya çıkışı, şirketinizin siber güvenliğinin durumu üzerinde çok kapsamlı sonuçlar doğuracaktır. Yapay zeka siber tehditlerinin ortaya çıkışı, siber saldırıları önlemek ve hafifletmek için yapay zeka tabanlı tespit çözümlerinin ve diğer araçların yaratılmasına yol açmış olsa da, şirket liderleri bu dijital silahlanma yarışında ne olacağını görmek için oturup beklememeli. Harekete geçmenin tam zamanı.
Siber suçlular bu teknolojiyi halihazırda en güvenilir ve yıkıcı taktiklerinden biri olan sosyal mühendisliği geliştirmek için kullanıyor. Yapay zeka çağına girerken şirketlerin, kuruluş genelinde kişiselleştirilmiş ve ilgi çekici siber güvenlik farkındalığı eğitimine (CSAT) öncelik vererek bu tehdide direnmeleri gerekiyor. Ancak o zaman halkları bu mücadeleye hazır olacak.
Yapay zeka siber saldırılarının artan risklerini değerlendirmek
Siber saldırıların daha sıklaştığı ve mali açıdan yıkıcı hale geldiği bir dönemde yapay zeka, şirketleri daha da büyük risklere sokan bir güç çarpanıdır. Siber suçlular, amaca yönelik kötü amaçlı yazılımlar geliştirmek, daha ikna edici kimlik avı içeriği üretmek ve diğer sosyal mühendislik saldırılarını başlatma yeteneklerini geliştirmek için yapay zekayı kullanıyor. 2023’te yapılan bir anket, kıdemli siber güvenlik uzmanlarının dörtte üçünün geçen yıl saldırılarda artış olduğunu bildirdiğini ortaya çıkardı; bunların yüzde 85’i bu artışı üretken yapay zeka kullanan kötü aktörlere bağlıyor. Bu uzmanların neredeyse yarısı yapay zekanın kuruluşlarının saldırılara karşı savunmasızlığını artıracağına inanıyor.
Karanlık ağda sosyal mühendislik saldırıları başlatmak için LLM’lerin kullanılmasına ilişkin tartışmalar ve geniş ölçekte daha etkili kimlik avı mesajları oluşturmak için yapay zekanın konuşlandırılması gibi, yapay zeka siber tehditlerinin yükselişte olduğuna dair birçok başka gösterge de var. Tespit edilemeyen kimlik avı saldırıları riskinin, siber güvenlik uzmanları tarafından belirtilen en önemli üç endişeden biri olması mantıklıdır; IBM, kimlik avının en yaygın ilk saldırı vektörü ve mali açıdan en zararlı olanlardan biri olduğunu ve ihlal başına ortalama 4,76 milyon dolara mal olduğunu bildiriyor. LLM’lerin ChatGPT öncesi versiyonlarının bile kimlik avı mesajları oluşturmada insanlardan daha iyi olduğu kanıtlanmıştır.
Gelecekteki yapay zeka siber tehditlerinin tam olarak nasıl bir biçim alacağını bilmek imkansız olsa da, siber suçluların bu teknolojiyi sosyal mühendislik saldırılarını artırmak için kullanacakları zaten açık. Yapay zeka devrimi ivme kazandıkça CSAT’ın temel stratejik odak noktası olmasının nedeni budur.
Bilgisayar korsanları yapay zekayı psikolojik manipülasyon için kullanıyor
En son Verizon Veri İhlali Araştırma Raporu, ihlallerin neredeyse dörtte üçünün insan unsurunu içerdiğini ortaya çıkardı. Sosyal mühendislik saldırılarının istismar ettiği çeşitli psikolojik zayıflıklar vardır: korku, itaat, açgözlülük, fırsat, sosyallik, aciliyet ve merak. Siber suçlular, çalışanları kandırmak ve davranışlarını manipüle etmek için bu güvenlik açıklarından nasıl yararlanılabileceğinin son derece farkındadır ve yapay zeka, onların psikolojik taktiklerini daha da etkili hale getirme potansiyeline sahiptir.
Siber suçluların psikolojik cephaneliğindeki en güçlü silahlardan biri korkudur. Örneğin, birçok kimlik avı dolandırıcılığı, kurbanları, emirlere uymamaları halinde ciddi sonuçlarla tehdit ederek korkutmaya çalışır. Siber suçlular, bir çalışanın hesap bilgilerini sağlamaması, para aktarmaması veya başka yasa dışı eylemlerde bulunmaması durumunda hassas bilgileri sızdıracaklarını, şirketin operasyonlarını aksatacaklarını veya daha geniş saldırılar başlatacaklarını söylüyor. Ancak siber suçlular aynı zamanda aldatma yoluyla çalışanların korkusundan da yararlanıyor. Kimlik avı saldırılarının çoğunun IRS temsilcilerinin, emniyet görevlilerinin ve diğer otorite figürlerinin kimliğine bürünülmesinin nedeni budur (korku ve itaat çoğu zaman aynı anda devreye girer).
Yapay zekanın sahte “resmi” iletişimleri daha inandırıcı ve korkutucu hale getirebilmesinin ötesinde, deepfake teknolojisi, siber suçluların kurbanları sahte acil durumların gerçekleştiğine ikna etmek için sevdiklerinin veya güvenilir kişilerin kimliğine bürünmek gibi daha sinsi hileler benimsemelerine olanak tanıyor. Tehlikede olan bir aile üyenizden veya acil yardıma ihtiyacı olan bir meslektaşınızdan son derece gerçekçi bir çağrı aldığınızı hayal edin. Çalışanlar zaten psikolojik manipülasyona açık durumda ve yapay zeka bu sorunu daha da kötüleştirecek.
Tehdidi karşılamak için insan zekasını geliştirmek
Siber suçlular, sosyal mühendislik saldırılarının fark edilmesini zorlaştırmak için yapay zekayı kullanmaya devam ederken, şirketlerin güvende kalmak için ihtiyaç duydukları insan zekasını oluşturan güçlü bir siber güvenlik farkındalığı eğitim platformunu benimsemeleri hiç bu kadar önemli olmamıştı. CSAT’ın önemli bir avantajı uyarlanabilirliktir; çalışanlar, LLM kaynaklı kimlik avı saldırıları gibi yeni siber tehditleri ortaya çıktıkça tespit etmek üzere eğitilebilirler. CSAT ayrıca her çalışanın kendine özgü psikolojik risk faktörlerini, davranış kalıplarını ve öğrenme stillerini hesaba katacak şekilde kişiselleştirilebilir.
Yakın zamanda yapılan bir McKinsey anketi, şirketlerin yalnızca yüzde 38’inin yapay zekanın oluşturduğu siber güvenlik risklerini hafiflettiğini ortaya çıkardı. Bu endişe verici derecede düşük bir oran ve şirketlerin yapay zeka siber tehditlerini ciddiye almadan önce ciddi bir ihlale uğramayı beklememeleri gerekiyor. Çalışanlar yapay zeka çağında iş yeri geliştirme ve eğitimin önemli olacağının farkında olduğundan, şu an CSAT’yi düşünmek için özellikle iyi bir zaman.
Çalışanların değişen ekonomiye uyum sağlaması gerektiği gibi, CISO’lar ve diğer şirket liderleri de siber güvenlik stratejilerini sürekli değişen siber tehdit ortamına göre ayarlamak zorundadır. Siber suçlular, çalışanları manipüle etmek ve şirketlere sızmak için yapay zeka gibi teknolojilerden yararlanmanın yeni yollarını icat etmekten asla vazgeçmeyecekler; yapay zeka şifre kırmadan (saldırı vektörü sıklığında kimlik avının ardından ikinci sırada çalınan kimlik bilgileri) yapay zeka destekli sosyal mühendislik planlarına kadar. CSAT programınızın bu saldırıların bir adım önünde kalabilmesi için gelişmesi gerekiyor.
Bu, CSAT içeriğinin kişiselleştirilmiş, ilgi çekici ve alakalı olmasını sağlamak anlamına gelir; çalışanların en büyük psikolojik zayıf noktalarını belirlemek; ve kimlik avı testleri ve diğer değerlendirmelerde hesap verebilirliğe öncelik verilmesi. Şirketler bu özelliklere sahip CSAT programları oluşturduklarında yapay zeka çağında kendilerini savunabilecek donanıma sahip olacaklar.
Reklam