Fidye yazılımlarının ilk günlerinde, siber suçlular, kurbanların sistemlerine veya sistemlerinin içeriğine erişmelerini ve talep ödemelerini engellemek için kötü yazılı kimlik avı mesajları, smaçlama mesajları ve spam e -postaları da dahil olmak üzere kaba yöntemler kullandılar. Zarar verirken, bu saldırıların uygun eğitim ve güvenlik araçlarıyla tespit edilmesi ve durdurulması nispeten kolaydı. Ancak, son yıllarda tehdit keskin bir dönüş yaptı. Yapay zeka (AI) ve makine öğrenimi, bir zamanlar siber güvenliğin gümüş mermileri olarak müjdelendiğinde, fidye yazılımı saldırılarını daha hızlı, daha hedefli ve çok daha ikna edici hale getirmek için siber suçlular tarafından kaçırılıyor.
Bu gelişme, kötü niyetli yazılım tekniklerindeki bir ilerlemeden daha fazlasıdır, ancak aynı zamanda tüm tehdit ortamındaki bir değişimi temsil eder ve AI yanlış beyanının, veri etiği başarısızlıklarının ve yönetişim kör noktalarının istenmeyen sonuçları hakkında önemli bir uyarı olarak görev yapar. Bu nedenle, bizi korumak için güvendiğimiz aynı teknolojilerin, doğru uygulanmadığı takdirde dijital yaşamlarımızı tehdit edebilecek araçlar olabileceğini ima eder.
Siber güvenlikte, AI temelde nötr olduğu ve davranışı öğrendiği veriler ve takip etmek için eğitildiği hedefler tarafından şekillendirildiği için bir oyun değiştirici olmuştur. Makine öğrenimi tarafından desteklenen araçlar anormallikleri tespit eder, şüpheli davranışı işaretler ve tehdit yanıtlarını insan analistlerinin eşleşemeyeceği şekilde otomatikleştirir.
Bununla birlikte, bir AI sistemi yeterince korunmadığında, AI’nın güçlü yönlerini güvenlik açıklarına dönüştürmeyi öğrenen tehdit aktörleri tarafından manipüle edilebilecek bir araç haline gelir. Örneğin, büyük bir çokuluslu şirket, çalışanlarından biri, kuruluşun baş finans memurundan (CFO) kaynaklandığına inanılan bir görüntülü görüşmenin ardından fon aktarmaya aldatıldıktan sonra 2013 yılında 25 milyon doların üzerinde kaybetti. Çağrı gerçek gibi görünse de, kötü niyetli aktörler tarafından benimsenen derin peynir teknolojisi, sofistike bir fidye yazılımı gasp kampanyasının bir parçası olan AI tarafından üretildi. Son derece gerçekçi görünen Deepfores’a rağmen, oluşturulan videolar veya ses kayıtları değildi.
Başka bir örnekte, AI tarafından oluşturulan kimlik avı e-postaları gerçek zamanlı olarak kullanıcı davranışlarına, dil kalıplarına ve duygusal ipuçlarına uyum sağlar. Bunlar geçmişin jenerik “Nijeryalı Prens” dolandırıcılığından çok daha ikna edicidir. Bunlar bağlam farkındadır, dilbilgisi açısından doğrudur ve ortalama çalışanın tespit etmesi neredeyse imkansızdır. Çalışanlar kötü niyetli bağlantıları tıklamak veya ekleri açmaya kandırıldığında, fidye yazılımı hızla yayılır, dosyaları şifreleyerek ve sakat işlemleri.
Yanlış beyan, AI’da artan tehdidin en önemli nedenlerinden biridir. Bu, AI’nın güvenilir görünen ancak temelde yanıltıcı bir şekilde kullanılmasıdır. AI araçları genellikle yanılmaz, nesnel olarak teşvik edilir ve insan yargısının yerini alabilir. Siber güvenlik sistemlerinde kullanıldığında, kullanıcılar ve yöneticiler arasında yanlış bir güvenlik duygusu gelişebilir; Sonuç olarak, AI manipüle edilebilir, önyargılı veya kusurlu olabilir. Veri yanlılığı, bir AI sisteminin eğitilmesinde kullanılan veriler daha geniş popülasyonun temsil edilmemesi veya tarihsel önyargılar içerdiğinde, AI modelinin çıkarım sırasında bu sapmaları sürdürmesine ve hatta güçlendirmesine yol açtığında ortaya çıkan bir algoritmik sapmadır. Örneğin, bir işe alım AI aracının öncelikle tarihi endüstri demografisini yansıtan önceki çalışanların verileri üzerinde eğitildiğini varsayalım. Bu durumda, araç bu dengesiz temsil nedeniyle azınlık başvuranlarını haksız bir şekilde dezavantajlı olabilir. Normalde ve çoğu durumda, AI modelleri, yeterince temsil edilmeyen gruplara karşı sonuçları çarpıtabilen tarihsel verilerden sapmalar miras alır.
Bu özellikle fidye yazılımı savunmasında tehlikelidir. Eski veya sınırlı veriler konusunda eğitilmiş AI sistemleri yeni tehditleri tespit edemeyebilir. Bazı kuruluşlar, kararların nasıl verildiğine dair görünürlük olmadan “Kara Kutu” AI araçlarını dağıtıyor, ancak daha sonra sistemin kötü niyetli bir ihlal sırasında alarmı yükseltemediğini keşfetmek için.
Saldırganlar, yapay zeka tabanlı tespiti atlayarak, algoritmaları kandıran düşmanca girdileri besleyerek fidye yazılımlarını test eder ve ayarlar, böylece bu kör noktadan yararlanırlar. Bu arada, iç ekipler AI sistemlerinin güvenli olduğunu varsayar, çünkü AI sistemlerinin sonucu hiçbir anormallik veya sorun bildirmez.
Her AI modelinin sadece eğitildiği veriler kadar iyi olduğunu belirtmek gerekir. Bununla birlikte, AI sistemlerinin hızlı bir şekilde benimsenmesi nedeniyle, birçok kuruluş genellikle veri etiğini ihmal eder, verilerin sorumlu bir şekilde toplanmasını, kullanılmasını ve korunmasını sağlayan ilkeler.
Sonuç olarak, bunlardan bazıları kötü veri uygulamalarından kaynaklandı:
- Sosyal mühendislik saldırılarında kullanılan kişisel verilerin maruz kalması.
- Hassas bilgilerin kamu AI veri kümelerine dahil edilmesi.
- Yapay zeka sistemlerinin önyargılı veya geçersiz veriler üzerinde eğitilmesi, beklenen sonuçların doğruluğunu azaltabilir ve güvenlik açıkları getirebilir.
Örneğin, dahili AI asistanını eğitmek için müşteri hizmeti sohbet günlüklerini kullanan bir şirket. Bu günlükler gizli bilgiler veya tanımlanabilir müşteri verileri içeriyorsa ve uygun şekilde anonimleştirilmiyorsa, fidye yazılımı aktörleri için yüksek değerli hedefler haline gelirler. Bu tekil ihlal, fidye ödenmedikçe hassas bilgileri ortaya çıkarma tehditlerinin yanı sıra kurumsal sistem kapatmalarına yol açabilir.
Ayrıca, AI projelerini çevreleyen etik inceleme eksikliği, AI sistemi geliştiricileri saldırganlar tarafından erişilip çalındığında verilerle neler yapılabileceğini düşünmeden performans ve maliyet tasarrufuna odaklandıkça, bu güvenlik sonuçlarının fark edilmeyebileceği anlamına gelir.
Yapay zeka ile çalışan fidye yazılımlarının yükselişi, yapay zeka veya ağ altyapıları başarısız olduğunda ve hiç kimse hesap verebilir olduğunda daha derin yapısal problemler ortaya koymuştur. Bunun nedeni, kötü niyetli saldırganların tehdit stratejilerindeki ilerlemesine rağmen, çoğu kuruluş hala siber güvenliği bir yönetişim zorunluluğu yerine BT sorunu olarak ele alıyor. Güçlü AI yönetişimi olmayan kuruluşların bazı sonuçları aşağıda vurgulanmıştır.
- AI sistemlerinin nasıl güvence altına alınması gerektiğinin uygun şekilde uygulanmasını ve benimsenmesini yöneten politikaların olmaması.
- Siber güvenlik ekipleri AI araçlarının nasıl çalıştığını veya başarısız olduğunu anlamayabilir.
- Örgütlerin üst yönetimi ile yapay zeka riskinin hafife alınması.
Yukarıdaki anlatıların anlamı, kuruluşlar içindeki fidye yazılımı olayları sırasında kritik gecikmelere yol açar. Sonuç olarak, BT güvenlik ekipleri uygun şekilde yanıt vermek için mücadele eder, hukuk departmanları ihlal bildirim gereksinimleri konusunda belirsizdir ve örgütsel liderlik karışıklığa atılır.
Bu boşluğu kapatmak için kuruluşlar, AI ve veri yönetişimini kurumsal risk yönetimi çerçevelerine finansal, yasal ve operasyonel risklere öncelik verdikleri gibi yerleştirmelidir.
Fidye yazılımının etkisi, organizasyon bilgi sistemlerine veya finansal kayıplara erişimin kilitlenmesini veya reddedilmesini aşar, ancak aynı zamanda yaşam kaybını da içerebilir. Örneğin, fidye yazılımı saldırısı hastaneleri bozabilir, okulları kapatabilir ve ulusal altyapıyı tehdit edebilir. Öğrencilerin verilerinin tehlikeye atıldığı ve kurumun iç sistemlerinin kapatıldığı Los Angeles Birleşik Okul Bölgesi’ndeki 2022 fidye yazılımı saldırısı bir örnektir. Araştırmalar, zayıf kimlik doğrulama protokolleri ve okul güvenlik altyapısında AI gözetiminin eksikliğini ortaya koydu.
İngiltere’de NHS, bazıları düşük yönetilen AI teşhis sistemleri tarafından potansiyel olarak daha da kötüleşen artan fidye yazılımı tehditleriyle karşı karşıya kaldı. Bazı durumlarda, AI araçları, modası geçmiş ekipmanı merkezi sistemlere bağlayarak ağ maruziyetini yanlışlıkla arttırdı. Bu tür ihlallerin sonuçları, ameliyatlar ve randevu iptalleri, hizmet sunumunda gecikmeler, gizlilik ihlalleri ve bazı aşırı durumlarda hayat kaybı gibi farklı endüstriler üzerinde olumsuz bir etkiye sahip olabilir.
AI özellikli fidye yazılımı saldırıları riskini azaltmak için kuruluşlar üç temel boyutta hareket etmelidir:
- AI şeffaflığı ve denetlenebilirlik: Bu, AI sistemlerinin açıklanabilir olmasını ve doğruluk ve önyargı açısından düzenli olarak denetlenmesini sağlamaktır. Bu nedenle, risk değerlendirmesini imkansız kılan “kara kutular” dağıtımlarından her ne pahasına olursa olsun önlenmelidir.
- Etik Veri Yönetişimi: Kuruluşlar, veri toplama, etiketleme, depolama ve AI eğitim amaçları için paylaşım konusunda rehberlik sağlayacak politikalar geliştirmelidir. Ayrıca, gizlilik riskleri için veri kümelerinin düzenli olarak test edilmesi ve gereksiz kişisel bilgilerin kaldırılması periyodik olarak gerçekleştirilmelidir.
- Liderlik Taahhüdü: Liderlik, AI yönetişimini zirvede bir öncelik haline getirir. Kurul ve C-suite, AI riskleri, model performansı ve siber güvenlik hazırlığı hakkında düzenli brifingler almalıdır. Siber ve yapay zeka riski, sadece teknik raporlar değil, kurumsal risk panolarının bir parçası olmalıdır.
Yönetici kurulları ve C-suite liderleri gibi örgütsel liderlik öncelik vermeli ve yapay zeka ile ilgili kalkınma, riskler, model performans metrikleri ve siber güvenlik hazırlığı hakkında rutin olarak bilgilendirilmelidir. Ayrıca, AI ve siber güvenlik riskleri, teknik veya operasyonel raporlama kanallarıyla sınırlı olmak yerine kuruluşun risk yönetimi kontrol paneline entegre edilmelidir.
Yapay zeka ve siber güvenlik arasındaki karşılıklı bağımlılık giderek daha belirgin hale gelirken, AI’nın siber savunma mekanizmalarıyla sunduğu kazanımlar ve fırsatlar, kontrolsüz ve dengesiz AI dağıtımıyla kolayca aşınabilir. Her ne kadar AI siber güvenliği dönüştürmek için muazzam bir potansiyele sahip olsa da, etik ve yönetişim sorumluluklarının tehlikeye atılmaması veya ihmal edilmemesi gerektiğini belirtmek gerekir. Sonuç olarak, üretkenlik, tespit ve siber saldırılara yanıtları için AI’yi konuşlandıran veya dağıtmakla ilgilenen kuruluşlar, adalet, gizlilik, güven ve şeffaflık kavramlarının küresel düzenleyici çerçevelere uygun olarak AI çözümlerine eşit olarak benimsenmesini ve gömülmesini sağlamalıdır.
Bu nedenle, sağlam gözetim, etik çerçeveler ve operasyonel şeffaflığın olmaması, kötü niyetli saldırganlar tarafından kötü niyetli amaçlar için AI teknolojilerini yeniden kullanmak için kullanılabilir. Yapay zeka ile ilgili fidye yazılımı saldırılarındaki son artış, bu zorlukların teknik sorunları aştığını ve aynı zamanda yönetişim yapılarındaki eksiklikleri, etik hesap verebilirliği ve kamu güvenini yansıttığını vurgulamaktadır.
Son olarak, işletmeler AI sistemlerinin eşlik ettiği ortaya çıkan riskler ve toplumsal beklentilerle karşı karşıya kaldıkça, etik yönetişimi kucaklamak, bunları AI güdümlü bir ekonomide liderlik edecek. Aksi takdirde, inovasyon ve sömürü arasındaki çizginin tehlikeli bir şekilde zayıfladığı ve yapay zekanın sadece kötü niyetli saldırganları tespit etmediği, aynı zamanda saldırganların sömürülme nesnesi haline geldiği bir dünyada yaşamayı riske atıyoruz.
