FS-ISAC'a göre üretken yapay zeka, finans şirketlerine dikkat çekici bir iş ve siber güvenlik hizmeti sunsa da, finansal hizmetlerde GenAI ile ilgili siber tehditler sürekli bir endişe kaynağı.
Siber suçlular veri hırsızlığı için yapay zekadan yararlanıyor
Siber güvenlik topluluğunun mevcut fikir birliği, saldırgan kullanımın öncelikle geniş ölçekte ikna edici kimlik avı tuzaklarının oluşturulmasıyla ilgili olduğu yönünde. Bununla birlikte, tehdit aktörleri, kötü amaçlı yazılım yazmak için üretken yapay zekayı kullanabilir ve daha yetenekli siber suçlular, GenAI'yı eğiten büyük dil modellerinden (LLM'ler) bilgi sızdırabilir veya kirli verileri bu modellere enjekte edebilir. Bozuk GenAI çıktılarının kullanılması finansal kurumları ciddi yasal, itibari veya operasyonel sonuçlara maruz bırakabilir.
Yapay zeka risklerinin tümü kötü niyetli değildir. GenAI'yi eğiten LLM'ler genellikle ayrıcalıklı bilgiler (kredi kartı numaraları gibi) veya önyargılı veriler içerebilen, kamuya açık kaynaklardan yararlanan devasa veri kümeleri kullanır. Bu tür çıktıların sorumsuzca veya etik olmayan bir şekilde kullanılması, finansal şirketlerin düzenleyicilerin, tüketicilerin ve yatırımcıların güvenine zarar verebilir.
FS-ISAC CEO'su Steven Silberstein, “Her yıl, finansal hizmetler sektörünün hafifletme stratejilerinin, tehdit aktörlerinin taktikleriyle aynı hızda, hatta daha hızlı ilerlemesini gerektiren yeni bir dizi tehdit gün yüzüne çıkıyor” dedi. “Gelişen teknoloji ve artan jeopolitik gerilimlerle dolu kritik bir yıla girerken, sektörün bütünlüğünü, güvenliğini ve güvenini korumanın en iyi yolu küresel bilgi paylaşımından geçiyor.”
Dünya çapında beş ulusal seçim gerçekleşirken, tehdit aktörlerinin devam eden jeopolitik çatışmalardan ve “süper seçim” yılından yararlanarak kritik altyapılara yönelik yanlış bilgilendirme kampanyaları ve DDoS saldırıları başlatması bekleniyor. DDoS saldırılarının boyutu, kapsamı ve karmaşıklığı artmaya devam ediyor; 2023 yılında tüm DDoS saldırılarının %35'i finansal hizmetler sektörünü hedef alacak.
Tehdit aktörleri fidye yazılımı kampanyalarında mevzuatı silah haline getirecek
Tehdit aktörleri, temel mevzuatın 2023'te uygulamaya konacağını kaydetti ve 2024 ile 2025'te beklemede olan küresel düzenlemeleri izleyerek taktiklerini buna göre ayarlıyor. Siber suçlular, şirketleri gerekli raporlama son tarihinden önce gasp taleplerini yerine getirmeye zorlayarak yeni açıklama gerekliliklerini silah haline getirebilir.
Son kuantum hesaplama ve yapay zeka gelişmelerinin yerleşik kriptografik algoritmalara meydan okuması bekleniyor. Buna yanıt olarak finansal hizmetler sektörünün, temel sistem altyapısını değiştirmeden hızla benimsenebilecek yeni şifreleme yöntemleri geliştirmeye daha fazla odaklanması gerekiyor.
Sağlayıcılara yönelik saldırılar, sektör genelinde takas, ticaret, ödemeler ve arka ofis hizmet operasyonları gibi çeşitli sistemleri bozduğundan, tedarik zincirindeki sıfır gün güvenlik açıkları sektörü korumasız bırakmaya devam ediyor.
Buna cevaben sektör, olaylara müdahale için iletişim kanalları oluşturmak ve tedarikçilerin daha iyi siber güvenlik duruşunu desteklemek için tedarikçilerle yakın çalışmalıdır.
FS-ISAC'ın Baş İstihbarat Sorumlusu ve EMEA Genel Müdürü Teresa Walsh, “Tehdit aktörleri, kritik altyapıdaki güvenlik açıklarından yararlanacak ve sistemlerimizin güvenliğine olan güveni yok etmek için mevcut her türlü aracı kullanacak” dedi. “Sektöre duyulan güveni sürdürmek için şirketlerin, bir saldırı karşısında operasyonel dayanıklılığı sağlamak amacıyla proaktif siber hijyene öncelik vermesi gerekiyor.”