Güvenlik farkındalığı eğitimi kavramı geleneksel olarak çevrimiçi eğitim ve testleri, kimlik avı simülasyonlarını ve posterler ve görüntüler gibi fiziksel unsurları içeren statik prosedürlerden biridir.
Bunların hepsi uyum açısından pratiktir, ancak bu kavram zamana ayak uyduruyor mu? Yapay zekanın kral olduğu bir dünyada farkındalık eğitimi bu teknoloji trendine nasıl uyuyor? Yakın zamanda KnowBe4’ün Londra’daki kullanıcı konferansına katıldım; burada şirketin yapay zekaya dayalı yönelimi daha ayrıntılı olarak anlatıldı.
Ajanlarda artış
CEO Bryan Palma, “Yapay zeka bizi daha üretken kılıyor” diyerek yapay zekanın kişi ve temsilci sayısında artışa yol açacağını ve siber güvenlikte görevlendirilen aracı sayısının artacağını öngörüyor. Bu daha az kişinin istihdam edilmesiyle sonuçlanabilir; ancak KnowBe4’ün tutumu, insan ya da makine olmasına bakılmaksızın iş gücünü eğitmektir.
“Bizim umurumuzda değil çünkü sonuçta kuruluşunuzu ve iş gücünüzü doğru bir şekilde eğitilmeye ve pazarda size avantaj sağlamaya hazırlayacağız” diyor. “Şimdi muhtemelen %100 insan yetiştiriyoruz ve sıfır ajan var; yarın 60 insan ve 65 ajan olabilir; umursamayacağız.”
Temsilcilere yönelik bu hareket ve çalışanlar kadar onları da desteklemek, yapay zeka tabanlı seçeneklerin benimsenmesi arttıkça özellikle ileriye yöneliktir. Palma, ajanlara verilen desteğin benimsenmesinin “güvenlik kültürüyle ilgili olduğunu ve bizim de oluşturmaya çalıştığımız sonucun bu olduğunu” iddia ediyor.
Şöyle diyor: “Gerçek şu ki, ajanlar güvenlik kültürünüzün bir parçası olacak ve botlar da dünyanızın bir parçası olacak. Eğer zamanı birkaç yıl ileri alırsak, sizin için çalışan birden fazla bota sahip olacaksınız ve onlara bir şeyler yapmalarını söyleyeceksiniz ve onlar bağımsız çalışacaklar ve yalnızca insanları yönetmek yerine botları da yönetmeniz gerekecek.”
Bu hareketin tamamen kültürle ilgili olduğunu ve ajanların “tıpkı insanlar gibi” bu kültürün bir parçası olması gerektiğini açıklıyor.
İşgücü güven yönetimi
Palma, şirketin yönünün, orijinal güvenlik farkındalığı eğitiminin bir uzantısı olan ve daha yaygın olarak kullanılan “insan risk yönetimi” terimi olan “işgücü güven yönetimi” kavramına doğru olduğunu belirtiyor.
İşgücü güven yönetiminin, hem insanları hem de yapay zeka temsilcilerini yöneten ve eğiten özerk güvenliği dikkate aldığını, çünkü iş gücünün çeşitli olacağını açıklıyor: “Her biri bir güvenlik açığı olabileceğinden hepsini korumanız gerekiyor.”
Otomatik işlevler
Aklımdaki soru, yapay zeka ve otomatik işlevlerin hem iş gücü güven yönetimini hem de KnowBe4’ün temel farkındalık ve eğitim misyonunu nasıl değiştirdiğiydi. Palma ile otururken ona otomasyona yönelik bu hamleyi ve KnowBe4 teknolojisinin çalışma biçiminde otomatikleştirilmiş görevlerin uygulamaya konulması konusunda yeterli bilgi olup olmadığını sorma fırsatım oldu.
Palma, şirketin bunu düşündüğünü ve onun etrafında geliştiğini, daha sonra şirkete katıldığında hem yaptığı diğer şeylerden bunun etkisini hem de bu gelişmeyi hızlandırma ihtiyacını fark ettiğini söylüyor.
“Buna daha fazla odaklandım; arkasına daha fazla yatırım koyuyorum. Yaptığımız işi hızlandırmak istiyorum, ancak piyasada altı temsilcimiz var; bunu zaten yapıyorduk ve bu kritik hale geliyor çünkü sistemimizin daha iyi çalışmasına olanak sağlıyor” diyor.
Müşteri açısından bakıldığında, Palma’ya iş gücü güven yönetimi teklifinde müşterilerden bu tür otomasyona yönelik daha fazla talep olup olmadığını sordum. Temsilcilerinden birinin, BT ve siber güvenlik ekiplerinin sürekli olarak kimlik avı testlerinin yeni sürümlerini oluşturması için zaman kazanmak amacıyla bir kimlik avı açılış sayfası oluşturduğunu açıklıyor.
Autoglass ve Safelite’ın ana kuruluşu olan Belron’un bilgi güvenliği eğitimi ve farkındalık yöneticisi Donna Huggett, Computer Weekly’ye kimlik avı simülasyonları için KnowBe4’ü kullandığını söylüyor. Yapay zeka destekli teknoloji “aslında oldukça büyük bir iş yığınını büyük ölçüde azaltmamıza yardımcı oluyor”, çünkü daha önce şablonlar geliştirmeye ve kullanılacak doğru olanı seçmeye zaman harcanmıştı, AIDA teknolojisindeki seçenekler bu işi sizin için yapıyor.
Ayrıca bunun, daha fazla zorlanması gereken ve biraz daha zor e-postalar alacak olan bir çalışana gönderilecek kimlik avı mesajının düzeyini belirlediğini söyledi. “Ve artık bunların hepsi otomatik, yani bu çok büyük bir yardım” diyor.
Poundland perakendecisinde siber güvenlik mühendisi olan Paul Maxwell, esas olarak kimlik avı simülasyonu için KnowBe4’ü kullandığını ve 115 şablon kullandığını ancak bazılarının artık çalışmadığını tespit ettiğini söylüyor. Bu, yeni şablonların oluşturulmasını gerektiriyordu ve kullanıcılar bilgi sahibi oldukça iş yüküne “ayda 35 saat ekleniyordu” ve yeni e-postalar oluşturması gerekiyordu.
“Geceleri birkaç saatimi ‘Bu iyi bir şey, insanları yakalayacak’ diye düşünerek geçirdim. Bu tür şeylerde yarım yamalak gidemezsiniz, gerçekten onları yakalamaya çalışmalısınız” diyor. “Çünkü onları yakalamazsanız öğrenmelerine yardımcı olmazsınız.”
En etkili seçeneklerin, yıllık izin talep etmek için tıklamak gibi İK’dan gelen seçenekler ve Windows 11’e güncelleme de dahil olmak üzere finans ve BT sorunları olduğunu açıklıyor. Ancak, personel katılımında bildirilen kimlik avı saldırılarında bir artış görüldü. Maxwell her uyarının araştırılmasının zaman aldığını kabul etse de platformun gerçekten faydalı olduğunu kabul ediyor.
“Tam olarak ihtiyacım olan şey bu: öncelikle iş dünyasında güvenliği ileri taşımama yardımcı olmak, aynı zamanda bir adım geriye çekilip odaklanmam gereken diğer alanlara bakabilmek” diye ekliyor.
Otomatik aracılar
Otomatik aracılar açısından Palma’ya yukarıdaki örnekleri mümkün kılmak için makine öğrenimi ekleme niyetinin olup olmadığını sordum ve çalışanlar için doğru kampanyayı belirleyerek uygulayıcının farkındalık eğitimi yapma ihtiyacının yerini alabilecek düzeye gelebilir mi diye sordum.
Palma, insanların bu bağlantıyı gözden kaçırdığını ve doğrudan yapay zekaya yöneldiğini, oysa insan bağlantısının hayati önem taşıdığını açıklıyor; makine öğrenimi söz konusudur. “Herkes GenAI’yi düşünmek istiyor, herkes gelecek nesli düşünmek istiyor: Uzun zamandır çok sayıda makine öğrenimi ve düzenli sıradan AI kullanıyoruz ve bu hala çok anlamlı ve bu hala çok iş yapıyor, ancak kavramsal olarak kesinlikle ‘Hey, bunlar yaptığınız hatalar’ veya ‘Bunlar sistemin yaptığı hatalar’ ve bunu nasıl çözersiniz diyecektir.”
Palma, acentelerin gelişiminin geçtiğimiz yıl arttığını ve “e-postamızın, eğitimimizin, uyumluluğumuzun hepsinin tek bir platformda olacağı” ve KnowBe4’ün ilerledikçe bileşenler ve yetenekler eklemesine olanak tanıyacağı bir gelecek gördüğünü söylüyor.
Farklı büyüklükteki işletmeler
Kullanıcılar açısından, Palma’ya müşteri tabanının nerede olduğunu sordum ve 1990’lardan bu yana güvenliği geriye dönük olarak inşa eden büyük bir kuruluşla karşılaştırıldığında küçük ve orta ölçekli işletmelerin değişen teknoloji konseptine daha kolay uyum sağladığını mı buldu?
Palma, “Bence büyük organizasyonlarda daha fazla insan var, daha fazla süreç var ve daha yavaş hareket ediyorlar” diyor. “Küçük organizasyonlar çok verimli olacak; birçok KOBİ’mizin bir CISO’su ve bilgi güvenliği departmanı yok.
“Şimdi, eğer onlara iş gücü güveni konusunda yardımcı olabilecek üç veya dört temsilci varsa, bundan gerçekten memnun olacaklar. Dolayısıyla pazarın bu kısmında benimsenmenin giderek daha hızlı olacağını düşünüyorum.”
Otomatik teknolojiler sunmaya yönelik bu hamle, şirketin zamana ayak uydurabileceği bir hamledir, ancak asıl soru, uygulayıcıların bu basit görevi yerine getirmek için bu yeni teknoloji biçimine ne kadar uyum sağlayabildikleridir? Kimlik avı şablonları oluşturmak zaman alıcıdır ve yeni e-postalar oluşturmak zaman ve çaba gerektirir ve kimlik avı simülasyonu sonuçlarını filtrelemek için gereken enerjiyi henüz dikkate almaya başlamadık.
Daha yeni çalışma yöntemlerinin bu şekilde benimsendiğini görmek ilginçtir ve belki de uygulayıcıların bir sonraki adım, etken bir yaklaşıma yönelmeleri olacaktır. Hantal bir görevi üstlenebilmek ve saatlerce ekstra çalışma yapmadan sonuçları görebilmek kesinlikle çabaya değer olacaktır.