Çağdaş teknolojik manzarada, gelişmiş yapay zeka (AI) sistemlerinin cazibesi genellikle teknoloji sektörünün ve ötesinin kolektif hayal gücünü ele geçirir. Son zamanlarda bir CEO’nun sanal bir görüşme sırasında tehlikeli şeyler söylediği ve karmaşık AI ile tasarlandığı olay gibi deepfake hikayeleri kaygıları ve hayranlıkları körükler. Ancak, bu tür senaryolar manşetlere çıkarken ve dijital güvenliğin geleceği hakkında korkular uyandırırken, çok daha sıradan ve acil bir tehditten dikkati uzaklaştırır: temel siber hijyen eksikliği.
En son Verizon 2024 Veri İhlali Araştırmaları Raporu’na (DBIR) göre, doğrudan yapay zekaya atfedilebilen ihlallerin yüzdesi %0’dı. Doğru duydunuz. Sıfır. Doğrudan güvenlik açıklarının istismarına atfedilebilen ihlallerin yüzdesi %15’ti ve önceki on iki ayda %180 arttı. Diğer iki büyük katkıda bulunan: kimlik bilgisi hırsızlığı ve kimlik avı. Sadece veri ihlallerinin ötesine bakıldığında, Ponemon Enstitüsü siber saldırı mağdurlarının %57’sinin bir yama uygulanmasının saldırıyı önleyeceğini belirttiğini buldu. %34’ü saldırıdan önce güvenlik açığından haberdar olduklarını söylüyor. Bu istatistik, kurumsal öncelikler ve kaynak tahsisinde kritik bir kopukluğu ortaya koyuyor. Şirketler, yüksek teknolojili yapay zeka tehditlerinin hayaletine o kadar kapılmış durumda ki çoğu siber tehdide karşı koruma sağlayan temel uygulamaları göz ardı ediyorlar: yama yönetimi. DBIR, kimlik bilgisi kaybı veya yama uyumluluğuyla yakından ilgilenen C Seviyelerinin yüzdesiyle ilgili verilere sahip olmasa da, bunun riskle eşleştiğinden şüpheliyim.
Yama yapmak göz alıcı değildir. Son teknoloji veya devrim niteliğinde algoritmalar içermez. Bunun yerine, kaynakların özenli ve sürekli tahsisini ve rutine disiplinli bir bağlılığı gerektirir. Başka bir deyişle, bir eziyettir. Ancak cazibesinin olmamasına rağmen, yama yapmak siber saldırılara karşı en etkili savunmalardan biridir. Düzenli güncellemeler güvenlik açıklarını kapatır ve saldırganlar tarafından istismar edilebilecek hataları düzeltir. Yapay zeka kullananlar bile. Yama yapmak, arabanızın yağını değiştirmek ve lastiklerini döndürmekle eşdeğerdir. Black Hat’in son araba hack’ini tartışmak iyi bir akşam yemeği sohbeti olabilir ancak bu iki konuşma birbirini dışlamamalıdır. “Tatlım, OTA güncellemelerini önlemek için garajımızı metal örgü çitle yükselttim.” “Harika, canım. Yağı değiştirdin mi? 30.000 mil oldu.” “Bu OTA güncellemelerini durdurmayacak!”
Yapay zekanın tehlikelerine vurgu yapmak, kuruluşları tehdit eden gerçek risklerden zaman ve odak çalar. Örneğin, sahte konuşmalar ve sanal katılımcılar içeren yapay zeka tarafından oluşturulan sanal bir toplantıda bir CEO’nun yer aldığı yakın tarihli deepfake olayını ele alalım. Böyle bir olay sansasyonel olsa ve yanlış bilgi ve güvenlik üzerindeki etkileri derin olsa da, yama uygulanmamış sistemler tarafından kolaylaştırılan günlük veri ihlalleri ve saldırılarıyla karşılaştırıldığında çok nadir görülen, ölçeklenmesi zor bir saldırıdır. Temel siber güvenlikten günün tehdidine dikkati çekmek, risk yönetiminin temel bir ilkesini gözden kaçırmaktır. Risk, etkiyle çarpılan olasılıktır. Şu anda, doğrudan bir yapay zeka olayı olasılığı neredeyse sıfırken, yama uygulanmamış güvenlik açıkları nedeniyle bir ihlal olasılığı önemli ölçüde daha yüksektir.
Gerçek riske odaklanmak yerine hayali riske odaklanmak için, üst düzey liderler kendilerini siber güvenliğin temellerine adanmış bir komiteye atamalıdır. Bu komite, düzenli güncellemelerin ve yamaların derhal uygulanmasını sağlayan politikaların geliştirilmesine ve uygulanmasına öncelik verecektir. Yeterli kaynak tahsisini sağlayacaktır. Bakım pencereleri gibi planlı iş kesintilerini destekleyecektir. Varlık yaşam döngüsü yatırımlarını savunacaktır. “SaaS uygulamalarımızı nasıl güvence altına alıyoruz?”, “üçüncü taraflarımızı değerlendiriyor muyuz?” ve “ürünlerimiz güvenli mi?” gibi sorular soracaktır. Bu komite ayrıca, personelin bir saldırının belirtilerini tanıması ve güncellemelerin önemini anlaması için eğitimini denetleyecek ve kuruluşun her seviyesine nüfuz eden bir güvenlik kültürü yaratacaktır.
Siber hijyende pratik ve acil iyileştirmelere odaklanarak şirketler çoğu siber tehdide, iş kesintisine, yatırımcı endişelerine ve düzenleyici tehlikeye karşı savunmasızlıklarını önemli ölçüde azaltabilirler. Odaktaki bu değişim, yapay zeka ve diğer ortaya çıkan teknolojilerin oluşturduğu potansiyel riskleri görmezden gelmek anlamına gelmez, ancak burada ve şimdi önemli bir etkiye sahip olabilecek riskleri ele almak anlamına gelir. Olayları bildirmeyle ilgili SEC kuralları veya riskleri yanlış bildirdikleri için CISO’lara karşı açılan davalar hakkındaki tüm son tartışmaları düşünün. Bu potansiyel tuzaklar, kuruluşların günlük operasyonlarında mevcut olan gerçek risklerde kök salmıştır.
Deepfake CEO’nun hikayesi, modern organizasyonların karşı karşıya olduğu ikili tehditlerin çarpıcı bir hatırlatıcısı olarak hizmet ediyor: elle tutulur ve teorik. Geleceğe hazırlanmak ve potansiyel tehditlerin önünde kalmak için yenilik yapmak gerekli olsa da, bu mevcut ve yaygın riskleri ele alma pahasına olmamalıdır. Yama yönetimi manşetlere çıkmayabilir, ancak dijital bir dünyada güvenliği sürdürmenin temel bir yönüdür. Organizasyonlar yapay zeka sincabını kovalamayı bırakmalı ve eldeki temel görevlere odaklanmalıdır. Bunu yaparak organizasyonlarını daha iyi koruyabilir, paydaş değerini garantileyebilir ve daha dayanıklı bir dijital ortam yaratabilirler.
yazar hakkında
Craig Burland, Inversion6’nın CISO’sudur. Craig, Inversion6’ya onlarca yıllık ilgili sektör deneyimini getiriyor; en son Fortune 200 Şirketi için bilgi güvenliği operasyonlarını yönetme rolü de buna dahil. Ayrıca, Northeast Ohio Cyber Consortium’un eski Teknik Eş Başkanı ve Solutionary MSSP, NTT Global Security ve Oracle Web Center’ın eski Müşteri Danışma Kurulu Üyesidir. Craig’e LinkedIn’den ve şirketimizin web sitesi http://www.inversion6.com adresinden çevrimiçi olarak ulaşılabilir.