Yazan Eric Jacksch, CPP, CISM, CISSP, ELB Öğrenme Siber Güvenlik Danışmanı
Yapay zekanın hızla yayılması, bize vermeye devam eden bir hediye gibi görünen bir şeyle şereflendirdi. Sözlerimizi sanat eserlerine dönüştürebildik, zahmetsizce içerik üretebildik ve sıradan görevleri otomatikleştirebildik.
Ayrıca bazı şeylerin gerçek olamayacak kadar iyi olduğunu da öğrendik. CyberCatch tarafından hazırlanan bir rapora göre yapay zekadan kaynaklanan beş önemli risk var: gölge, güvenlik, önyargı, yanlışlık ve halüsinasyon. Bunların arasında güvenlik, ardışık sonuçların ortaya çıkma potansiyeli nedeniyle en önemli olanıdır. Küçük bir güvenlik sorunu veya küçük sorunlardan oluşan bir koleksiyon, hızla büyük bir güvenlik veya gizlilik ihlaline dönüşebilir. Tıpkı meşru işletmelerin yapay zekanın avantajlarından yararlanmaya çalıştığı gibi, suçlular da yapay zeka ile ilgili web sitelerini tehlikeye atarak, sahte siteler oluşturarak, kötü amaçlı yazılımlar oluşturarak ve daha fazlasını yaparak ilgideki artıştan yararlanacak.
Çalışanlar, yapay zekanın güvenlik ve gizlilik açısından sihir gibi görünse de, bunun yalnızca verileri işlemenin başka bir yolu olduğunu anlamalıdır. Ve veriler, özellikle de özel veriler, bilgisayar korsanları için son derece çekicidir.
Çalışanlarınızın farkında olmayabileceği yapay zeka ile ilgili yaygın siber güvenlik risklerinden birkaçına ve onları siber saldırıları engellemek için silahlandırmanın yollarına daha yakından bakalım.
Veri ve Gizlilik Kaygıları
Bireyler yapay zekayı günlük iş akışlarına dahil ettikçe çoğu zaman düşündüklerinden daha fazla bilgi paylaşıyorlar. Tarayıcılara ve diğer uygulamalara yapay zeka eklentileri eklemek, verilerin açığa çıkma potansiyelini ve fikri mülkiyet haklarına ilişkin riskleri artırır. Çalışanlar ne kadar bilginin nereye gönderildiğinin farkında olmayabilir.
Bir makine öğrenimi modelinin eğitilmesi büyük miktarda veri gerektirir ve geçerli kullanım koşulları, yapay zeka şirketlerinin yeni modelleri güncellemek veya eğitmek için kullanıcılar tarafından sağlanan bilgilerden yararlanmasına olanak tanıyabilir. Bu da gizli kişisel veya ticari bilgilerin beklenenden çok daha uzun süre saklanmasına neden olabilir.
Buna ek olarak, açık kaynaklı yapay zeka projelerinin ve API’lerinin artan popülaritesi, suçluların kendi yapay zeka web sitelerini veya uygulamalarını oluşturmasını ve kendisine gönderilen tüm bilgileri toplamasını giderek daha kolay hale getiriyor.
Bu senaryolar, şirket verilerinin üçüncü taraflara ifşa edilmesini içeriyor ve bunun bazı yansımalarını şimdiden görüyoruz. İyi haber şu ki, bunlar halihazırda alıştığımız gizlilik ve veri risklerine (üçüncü taraf dosya paylaşım hizmetlerinin kullanılması gibi) çok benziyor ve aynı politika ve yönetim yaklaşımları da geçerli.
Son zamanlarda OpenAI, chatbot tarafından kullanılan açık kaynaklı bir kitaplıkta bir hata keşfettikten sonra ChatGPT’yi geçici olarak devre dışı bıraktı. Hata, bazı kullanıcıların diğer aktif kullanıcıların sohbet geçmişindeki içeriği görmesine ve bazı ChatGPT Plus abonelerinin ödeme bilgilerinin açığa çıkmasına olanak tanıdı. Ayrıca, Group-IB’nin yakın tarihli bir raporu, 101.000’den fazla ele geçirilmiş ChatGPT oturum açma bilgilerinin karanlık web pazaryerlerinde satışta olduğunu paylaştı.
Hedefler ve Araçlar
Kötü amaçlı yazılımlar ve fidye yazılımları yıllardır BT sistemleri için büyük bir tehdit oluşturuyor ve artık yapay zeka platformları suçlular için hem bir hedef hem de bir araç haline geldi.
Yapay zeka, kimlik avı ve kötü amaçlı yazılım dağıtımı gibi farklı saldırıları otomatikleştirmek ve geliştirmek için kullanılabilir. Önceden, birçok sahte e-postanın dilbilgisi, yazım ve biçimsel hatalar nedeniyle fark edilmesi kolaydı. Artık yapay zeka, sahte web siteleri, e-postalar, sosyal medya gönderileri ve daha fazlasını oluşturmak ve kullanıcıları gizli bilgileri (giriş kimlik bilgileri dahil) sağlamaya veya düşmanca içerik indirmeye ikna etmek için kullanılabilir. Üretken yapay zeka, kusursuz bir dil, bağlam ve kişiselleştirme sunarak bilgisayar korsanlarının saldırılarını çok daha inandırıcı hale getirmesine yardımcı oluyor ve böylece kimlik avının birçok belirgin işaretini ortadan kaldırıyor.
Yanlış bilgi ve kimlik hırsızlığı arttıkça, “deepfake”lerin (birinin benzerliğini ikna edici bir şekilde bir başkasınınkiyle değiştirmek için dijital olarak manipüle edilmiş medya) yükselişi büyük bir endişe kaynağı haline geliyor. Bilgisayar korsanları, kullanıcıları tuzaklarına düşürme umuduyla bir sesi, videoyu veya görüntüyü manipüle edebilir. Bu, iş arkadaşlarınızın kimliğine bürünmek, gizli bilgileri elde etmek ve şifre sıfırlama talebinde bulunmak için kullanılacaktır. Ayrıca deepfake’ler şantaj için çok daha karanlık bir şekilde de kullanılabilir.
Yapay zekadaki ilerlemeler gerçeği sahteden ayırmayı zorlaştırıyor ve aynı zamanda suçluların ölçeklenmesine de yardımcı oluyor. İnandırıcı kimliğe bürünme, özellikle kimlik avı, kötü amaçlı yazılım ve genel olarak sosyal mühendislik gibi alanlardaki güvenlik açıklarından yararlanma şanslarını artırır.
Çalışanlarınızı Bir Hacker Gibi Düşünmeleri İçin Eğitin
Siber saldırılarda ilk savunma hattınız çalışanlarınızdır. Diğer teknolojilerde olduğu gibi politikaların, yönergelerin ve eğitimlerin de düzenli olarak güncellenmesi ve çalışanların rolleriyle uyumlu hale getirilmesi gerekir.
Çalışanların, tehditleri nasıl tanıyacakları ve bunlara nasıl tepki verecekleri konusunda kendilerini eğiten siber güvenlik farkındalığı eğitimine ihtiyaçları var. Bu, uyum oluşturmak ve soruların canlı olarak sorulmasına izin vermek için bir siber güvenlik uzmanıyla çevrimiçi eğitim ve yüz yüze veya video oturumlarının bir karışımını içermelidir. E-posta, Slack veya Teams güncellemeleri yoluyla sürekli farkındalık oluşturmak, çalışanların devam eden ve gelişen siber güvenlik endişeleri hakkında bilgi sahibi olmasını sağlar.
Çalışanlarınızı siber güvenlik tehditleri konusunda bilinçli tutmanın en etkili yollarından biri, onları bir bilgisayar korsanı gibi düşünecek şekilde eğitmektir. Kapsamlı eğitim teknolojileri, çalışanların şüpheli durumları doğrudan deneyimin içine yerleştirerek tespit etmelerine ve bildirmelerine yardımcı olarak siber güvenlik riskini daha iyi yönetmemize olanak tanıdı.
CyberCatch ve ELB Learning tarafından oluşturulan HackOps, kapsamlı bir siber güvenlik risk azaltma çözümüdür. Oyunlaştırılmış sanal gerçeklik kursu, gerçek bilgisayar korsanlarının ve yaygın siber saldırıların davranışlarını taklit eder.
Çalışanlar “kötü adamlardan” birinin kimliğini üstleniyorlar. Ağ güvenlik duvarlarını aşmak, verileri çalmak veya değiştirmek ve kötü amaçlı yazılım ve fidye yazılımı yüklemek için taktikleri, teknikleri ve prosedürleri öğrenirler.
Siber güvenlikle ilgili belgeleri pasif bir şekilde okumak o kadar etkili değildir. Ebbinghaus’un Unutma Eğrisi’ne göre, kullanılmadığında bir günde öğrenilen bilgilerin %50’sini, bir haftada öğrenilen bilgilerin ise %90’ını unutursunuz. Öğrencilere kimlik avı e-posta kampanyaları hazırlama veya verileri çalmak için kötü amaçlı yazılım yükleme görevi verildiğinde, bilgileri kendileri güvenli bir şekilde koruyabilirler.
Yapay zeka ortadan kaybolmuyor; yalnızca daha güçlü ve yaygın hale gelecek. Ve bununla birlikte güvenlik ve gizlilik risklerinde de artış meydana geliyor. Yapay zeka araçlarını kullanırken bir güvenlik kültürünü teşvik etmek günümüzde bir öncelik olmalıdır. Çalışanlarınızın bir bilgisayar korsanı gibi düşünmesini sağlayın, böylece işletmenize yönelik tehditleri çok geç olmadan tespit edip bildirebilirler.
Reklam