Yapay zekâ geçtiğimiz yıl siber güvenlik silahlanma yarışına büyük bir ivme kazandırdı. Önümüzdeki 12 ay da bu yarışa hiç orta vermeyecek. Bu durum, kurumsal siber güvenlik takımları ve patronlarının yanı sıra günlük web kullanıcıları için de değerli sonuçlar doğuruyor.
Siber güvenlik sektörünün lideri ESET, yapay zekâ araçlarının makûs aktörlerin elinde her türlü dolandırıcılığın, dezenformasyon kampanyasının başka tehditlerin ölçeğini ve şiddetini artırabileceğini belirterek 2025 yılında nelere dikkat edilmesi gerektiğinin altını çizdi. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) 2024’ün başında, yapay zekânın halihazırda her cins tehdit aktörü tarafından kullanıldığı ve “önümüzdeki iki yıl içinde siber taarruzların hacmini ve tesirini artıracağı” ihtarında bulundu. Tehdit en çok, üretken yapay zekânın (GenAI) makus niyetli aktörlerin yanlışsız lokal lisanlarda ikna edici kampanyalar hazırlamasına yardımcı olabildiği toplumsal mühendislik alanında görülebilir.
Bu trendler 2025 yılında devam edecek olsa da yapay zekânın şu emellerle kullanıldığını da görebiliriz:
· Kimlik doğrulama baypası: Dolandırıcıların yeni hesap oluşturma ve hesap erişimi için selfie ve görüntü tabanlı denetimlerde müşterileri taklit etmelerine yardımcı olmak için kullanılan Deepfake teknolojisi.
· İş e-postalarının ele geçirilmesi (BEC): Yapay zekâ bir defa daha toplumsal mühendislik için kullanıldı lakin bu sefer kurumsal alıcıyı kandırıp dolandırıcının denetimi altındaki bir hesaba para havale etmesi için. Deepfake ses ve görüntü, telefon görüşmelerinde ve sanal toplantılarda CEO’ları ve başka üst seviye önderleri taklit etmek için de kullanılabiliyor.
· Taklit dolandırıcılığı: Açık kaynaklı büyük lisan modelleri (LLM’ler) dolandırıcılar için yeni fırsatlar sunacaktır. Dolandırıcılar, hacklenmiş yahut halka açık toplumsal medya hesaplarından toplanan datalar üzerinde bu modelleri eğiterek arkadaşlarını ve ailelerini kandırmak için tasarlanmış sanal adam kaçırma ve başka dolandırıcılıklarda kurbanların kimliğine bürünebilirler.
· Influencer dolandırıcılığı: Benzer bir formda, GenAI’nin 2025 yılında dolandırıcılar tarafından ünlüleri, influencer’ları ve öteki tanınmış bireyleri taklit eden düzmece yahut kopya toplumsal medya hesapları oluşturmak için kullanıldığını görmeyi bekliyoruz. Deepfake görüntüler, ESET’in en son Tehdit Raporu’nda vurgulanan tipten hileler de dahil olmak üzere, örneğin yatırım ve kripto dolandırıcılıklarında takipçilerin şahsî bilgilerini ve paralarını teslim etmelerini sağlamak için yayımlanacaktır. Bu durum, tesirli hesap doğrulama araçları ve rozetleri sunmaları için toplumsal medya platformları üzerinde daha fazla baskı oluşturacak ve sizin de tetikte olmanızı sağlayacaktır.
· Dezenformasyon: Düşman devletler ve başka kümeler, saf toplumsal medya kullanıcılarının geçersiz hesapları takip etmelerini sağlamak emeliyle kolay kolay düzmece içerik üretmek için GenAI’dan yararlanacaktır. Bu kullanıcılar daha sonra içerik/trol çiftliklerinden daha tesirli ve tespit edilmesi daha sıkıntı bir formda tesir operasyonları için çevrimiçi amplifikatörlere dönüştürülebilir.
· Parola kırma: Yapay zekâ odaklı araçlar, kurumsal ağlara ve datalara ve ayrıyeten müşteri hesaplarına erişim sağlamak için kullanıcı kimlik bilgilerini saniyeler içinde toplu olarak açığa çıkarabilir.
2025 için yapay zekâ saklılık endişeleri
Yapay zekâ önümüzdeki yıl yalnızca tehdit aktörleri için bir araç olmayacak. Tıpkı vakitte yüksek bir data sızıntısı riskini de beraberinde getirecek. LLM’ler kendilerini eğitmek için büyük hacimlerde metin, manzara ve görüntüye gereksinim duyarlar. Çoklukla bu bilgilerin kimileri hassas olacaktır: Biyometri, sıhhat bilgileri yahut finansal datalar üzere. Kimi durumlarda, toplumsal medya ve öteki şirketler, müşteri bilgilerini modelleri eğitmek için kullanmak üzere Koşullar ve Koşullar’ı değiştirebilir. Bu bilgiler yapay zekâ modeli tarafından toplandıktan sonra, yapay zekâ sisteminin kendisinin hacklenmesi durumunda ya da bilgiler LLM üzerinde çalışan GenAI uygulamaları aracılığıyla diğerleriyle paylaşılırsa bireyler için bir risk teşkil eder. Kurumsal kullanıcılar için de GenAI istemleri aracılığıyla farkında olmadan işle ilgili hassas bilgileri paylaşabileceklerine dair bir telaş var. Bir ankete nazaran, Birleşik Krallık’taki şirketlerin beşte biri, çalışanların GenAI kullanımı yoluyla potansiyel olarak hassas kurumsal bilgileri kazara ifşa etti.
2025’te savunmacılar için yapay zekâ
İyi haber şu ki yapay zekâ yeni eser ve hizmetlere dahil edildikçe önümüzdeki yıl siber güvenlik takımlarının çalışmalarında daha büyük bir rol oynayacak.
· Kullanıcıları, güvenlik gruplarını ve hatta yapay zekâ güvenlik araçlarını eğitmek için sentetik datalar oluşturmak
- Analistler için uzun ve karmaşık tehdit istihbarat raporlarını özetlemek
- İş yükü fazla olan takımlar için ikazları bağlamsallaştırıp önceliklendirerek ve araştırma ve düzeltme için iş akışlarını otomatikleştirerek SecOps verimliliğini artırmak
- Şüpheli davranış belirtileri için büyük data hacimlerini taramak
- Yanlış yapılandırma mümkünlüğünü azaltmaya yardımcı olmak için çeşitli eserlerde yerleşik olarak bulunan “yardımcı pilot” fonksiyonu aracılığıyla BT gruplarına maharet kazandırmak
Bununla birlikte, BT ve güvenlik önderleri yapay zekânın sonlarını ve karar verme sürecinde insan uzmanlığının kıymetini de anlamalıdır. Sanrı, model bozulması ve öbür potansiyel olumsuz sonuçlar riskini azaltmak için 2025 yılında insan ve makine ortasında bir istikrara gereksinim duyulacaktır. Yapay zekâ sihirli bir değnek değildir. Optimum sonuçlar için başka araç ve tekniklerle birleştirilmelidir.
Uyum ve uygulamada yapay zekâ zorlukları
Tehdit ortamı ve yapay zekâ güvenliğinin gelişimi bir boşlukta gerçekleşmiyor. Başta ABD olmak üzere 2025’teki jeopolitik değişiklikler, teknoloji ve toplumsal medya dallarında deregülasyona bile yol açabilir. Bu da dolandırıcıların ve başka berbat niyetli aktörlerin çevrimiçi platformları yapay zekâ tarafından üretilen tehditlerle doldurmasını sağlayabilir. Bu ortada AB’de, ahenk takımları için hayatı daha güç hale getirebilecek yapay zekâ düzenlemesi konusunda hâlâ birtakım belirsizlikler var. Hukuk uzmanlarının belirttiği üzere uygulama kurallarının ve rehberliğin hâlâ çözülmesi ve yapay zekâ sistem arızaları için sorumluluğun hesaplanması gerekiyor. Teknoloji kesiminden gelen lobi faaliyetleri, AB yapay zekâ yasasının pratikte nasıl uygulanacağını değiştirebilir.
Bununla birlikte açık olan şey, yapay zekânın 2025 yılında teknolojiyle etkileşim biçimimizi yeterli ve makûs istikamette kökten değiştireceğidir. İşletmeler ve bireyler için büyük potansiyel yararlar sunarken birebir vakitte yönetilmesi gereken yeni riskler de barındırıyor. Bunun gerçekleştiğinden emin olmak için önümüzdeki yıl boyunca daha yakın çalışmak herkesin faydasına olacaktır. Hükümetler, özel bölüm işletmeleri ve son kullanıcılar, yapay zekânın risklerini azaltırken potansiyelinden yararlanmak için üzerlerine düşeni yapmalı ve birlikte çalışmalıdır.
Kaynak: (BYZHA) Beyaz Haber Ajansı