2024 sona ererken ve cömertçe şu ana kadar ‘çalkantılı’ olarak tanımlanabilecek on yılın orta noktasına ulaşırken, 2020’lerin ikinci yarısına ilişkin genel görünüme ilişkin bir pozitiflik notu eklemek istiyorum.
Beni saf ya da mantıksız derecede iyimser diyerek bir kenara atmadan önce lütfen beni dinleyin. CISO’ların ve ekiplerinin karşı karşıya olduğu siber güvenlik tehditlerinin son derece sorunlu olmadığını iddia etmiyorum. Tam tersine, tehdit aktörleri daha karmaşık ve sofistike saldırılar gerçekleştirmek için yapay zekayı benimsiyor. Bu, 2020’lerin ikinci yarısında da devam etmesini bekleyebileceğimiz bir trend.
Ancak tam da bu nedenle biz siber güvenlik profesyonelleri korku, belirsizlik ve şüphe nedeniyle hareketsiz kalmayı göze alamayız. Frank Herbert’in bilimkurgu destanından bir satır ödünç almak gerekirse Kumul“Korku aklın katilidir.” Ve daha geniş iş dünyası da felçten kaçınmalı. Açık olan şu ki, günümüzün tehdit ortamının doğası birleşik bir cepheyi gerektiriyor.
Korkuyu hafifletmeye yardımcı olmak için siber güvenlik uzmanları sağlam bir plan ve bize iyi hizmet edeceğinden emin olabileceğimiz bir stratejiler kitabı oluşturabilir. Bunu akılda tutarak, CISO’ların ve ekiplerinin 2025 ve sonrasında üç temel özelliği geliştirmeye devam etmeye odaklanmalarını öneriyorum: yenilik, içgörü ve etki.
Yenilik hayati önem taşıyor
İnovasyon, CISO’nun 2025 ve sonrası için taktik kitabının hayati bir unsurudur. Önümüzdeki beş yıl içinde, tüm analizler yapay zeka (AI) tarafından yönlendirilen siber güvenlik tehditlerinde artışa işaret ediyor ve ben kesinlikle ateşe ateşle karşılık vermemiz gerektiğine inanıyorum. Başka bir deyişle, kötü niyetli aktörlerin saldırılarını gerçekleştirmek için yapay zekayı ustalıkla silahlandırması gibi, yapay zeka da siber güvenlik ekiplerinin sağlam savunmalar oluşturmasına yardımcı olabilir.
Siber suçlular, saldırıları otomatikleştirmek, kurumsal sistemlerdeki güvenlik açıklarını belirlemek ve tespitten kaçma olasılığı daha yüksek saldırılar oluşturmak için halihazırda yapay zekayı kullanıyor. Buna yanıt olarak siber güvenlik ekipleri, herhangi bir zayıf noktayı proaktif olarak yamalamak, trafik akışları ve kullanıcı davranışlarındaki şüpheli anormallikleri tespit etmek ve bunları oldukları yerde durdurmak için yapay zekayı kullanmalıdır. Yapay zeka, güvenlik verileri ile eyleme dönüştürülebilir bilgi arasında geniş ölçekte köprü sağlar.
Kısacası akıllı siber güvenlik ekipleri yapay zekanın kendileri için çalışmasını sağlayacak. Geleneksel kurallara dayalı algılama ve manuel çabaya bağımlılığı azaltan proaktif ve uyarlanabilir stratejiler oluşturmak için analitik güçlerinden ve otomasyon yeteneklerinden yararlanacaklar.
İçgörü önemlidir
İçgörü önemlidir çünkü siber tehditlerin değiştiğini fark etmemiz ve kabul etmemiz gerekir. Fidye yazılımı, kimlik avı ve sıfır gün saldırıları ortadan kalkmadı; ancak siber güvenlik ekiplerinin, gerçek insanlarla ilgili olduğu iddia edilen sahte ancak son derece ikna edici görüntülere ve multimedya dosyalarına dayanan deepfake saldırılarına yönelik yaklaşımlarını giderek daha fazla dikkate alması gerekiyor.
Deepfake’lerin kötü niyetli aktörler tarafından kullanımı artıyor. Şubat 2024’te Hong Kong polis yetkilileri, çok uluslu bir firmadaki bir finans çalışanının, bir video konferans görüşmesinde deepfake teknolojisini kullanarak şirketin kendi finans müdürü kılığına giren dolandırıcılara 25 milyon dolar ödemesi için kandırıldığını bildirdi. Firmanın daha sonra mühendislik devi Arup olduğu ortaya çıktı
Mayıs ayında, dünyanın en büyük reklam şirketi WPP’nin CEO’su Mark Read, dolandırıcıların Read’in halka açık bir görselini içeren bir WhatsApp hesabı oluşturduğu ve bunu bir Microsoft Teams toplantısı düzenlemek için kullandığı ayrıntılı bir deepfake dolandırıcılığının hedefi haline geldi. onunla ve başka bir üst düzey WPP yöneticisiyle birlikte olduğu ortaya çıktı. Bu durumda para ve kişisel veri toplama girişimi başarısızlıkla sonuçlandı.
Temel teknoloji tehdit aktörleri için daha erişilebilir ve uygun fiyatlı hale geldikçe diğer firmalar da hedeflenecek. BT pazar analisti şirketi Gartner’a göre, 2026 yılına kadar kuruluşların neredeyse üçte biri (%30) mevcut kimlik doğrulama veya dijital kimlik araçlarının deepfake’lerle mücadelede yetersiz olduğunu düşünecek.
Bunu akılda tutarak, 2025 yılında BT güvenlik ekiplerinin bir adım atması ve yöneticileri ve çalışanları risk konusunda eğiterek, derin sahtekarlıkları tespit etme konusunda eğiterek ve gelişmiş yapay zekayı kullanıma sunarak bu tür karmaşık sosyal mühendislik saldırılarına karşı koymada etkili bir rol oynaması gerekiyor. ve bunları belirlemek ve caydırmak için makine öğrenimi yetenekleri.
Güvenliği etkileyen kişiler
Son olarak CISO’lar, önceliklerini anlamak için iş dünyası ile daha geniş bir şekilde etkileşime girmeye devam etmelidir. CISO’nun uzmanlığı ve görüşleri iş stratejisini doğrudan etkilemelidir ve kurumsal riskle ilgili yönetim kurulu tartışmalarında önemli muhataplardır.
Günümüzün CISO’su, stratejik görüşmelere daha sık katılmaktadır ve maruz kalınan riskleri etkili bir şekilde yöneten programlar oluşturmak için genel iş önceliklerinin sağlam bir şekilde anlaşılmasına ihtiyaç duymaktadır. Kısacası, siber saldırılar genel kurumsal risk tablosunun giderek daha karmaşık ve öne çıkan bir parçası haline geldikçe rol önemli ölçüde genişliyor.
Bu eğilim, CISO’ların, finans, hukuk, İK ve operasyonların gözetiminde görev alanların yanı sıra kurumsal hiyerarşinin en tepesinde yer alan kişiler de dahil olmak üzere diğer üst düzey yöneticilerle her zamankinden daha yakın çalışmasını sağlayacak. Örneğin, Deloitte Global tarafından yakın zamanda yapılan bir anket, dünya çapında her beş işletmeden birinin artık CISO raporunu baş bilgi sorumlusu yerine doğrudan CEO’ya verdiğini gösteriyor.
Raporun yazarlarına göre: “Günümüzde CISO’lar yalnızca dış tehditlere karşı koruyucular değil, aynı zamanda siber hususları stratejik karar alma sürecine entegre ederek kuruluşlarının başarıya ulaşmasına yardımcı olan kilit oyunculardır.”
Daha fazla katılamazdım. Yenilik, içgörü ve etki, 2025 ve sonrası için kendi stratejimin yalnızca üç unsurudur; diğerleri kapsayıcılık ve hayal gücünü içerir; ancak bunların geleceğe kararlılıkla ve olumlu bir zihniyetle bakmamıza yardımcı olma konusunda uzun bir yol kat edeceklerine inanıyorum.