Siber güvenlik ve yapay zekâ: 2025'te neler olacak?

Yapay zekâ güvenlik kalkanı mı, tehdit aracı mı?

 Önümüzdeki 12 ay da bu yarışa hiç ara vermeyecek. Bu durum, kurumsal siber güvenlik ekipleri ve işverenlerinin yanı sıra günlük web kullanıcıları için de önemli sonuçlar doğuruyor. 

Siber güvenlik sektörünün lideri ESET, yapay zekâ araçlarının kötü aktörlerin elinde her türlü dolandırıcılığın, dezenformasyon kampanyasının diğer tehditlerin ölçeğini ve şiddetini artırabileceğini belirterek 2025 yılında nelere dikkat edilmesi gerektiğinin altını çizdi.  Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) 2024'ün başında, yapay zekânın halihazırda her tür tehdit aktörü tarafından kullanıldığı ve "önümüzdeki iki yıl içinde siber saldırıların hacmini ve etkisini artıracağı" uyarısında bulundu. Tehdit en çok, üretken yapay zekânın (GenAI) kötü niyetli aktörlerin hatasız yerel dillerde ikna edici kampanyalar hazırlamasına yardımcı olabildiği sosyal mühendislik alanında görülebilir. 

Bu trendler 2025 yılında devam edecek olsa da yapay zekânın şu amaçlarla kullanıldığını da görebiliriz:

·       Kimlik doğrulama baypası: Dolandırıcıların yeni hesap oluşturma ve hesap erişimi için selfie ve video tabanlı kontrollerde müşterileri taklit etmelerine yardımcı olmak için kullanılan Deepfake teknolojisi.

·       İş e-postalarının ele geçirilmesi (BEC): Yapay zekâ bir kez daha sosyal mühendislik için kullanıldı ancak bu kez kurumsal alıcıyı kandırıp dolandırıcının kontrolü altındaki bir hesaba para havale etmesi için. Deepfake ses ve video, telefon görüşmelerinde ve sanal toplantılarda CEO'ları ve diğer üst düzey liderleri taklit etmek için de kullanılabiliyor. 

·       Taklit dolandırıcılığı: Açık kaynaklı büyük dil modelleri (LLM'ler) dolandırıcılar için yeni fırsatlar sunacaktır. Dolandırıcılar, hacklenmiş veya halka açık sosyal medya hesaplarından toplanan veriler üzerinde bu modelleri eğiterek arkadaşlarını ve ailelerini kandırmak için tasarlanmış sanal adam kaçırma ve diğer dolandırıcılıklarda kurbanların kimliğine bürünebilirler.

·       Influencer dolandırıcılığı: Benzer bir şekilde, GenAI'nin 2025 yılında dolandırıcılar tarafından ünlüleri, influencer'ları ve diğer tanınmış kişileri taklit eden sahte veya kopya sosyal medya hesapları oluşturmak için kullanıldığını görmeyi bekliyoruz. Deepfake videolar, ESET'in en son Tehdit Raporu'nda vurgulanan türden hileler de dahil olmak üzere, örneğin yatırım ve kripto dolandırıcılıklarında takipçilerin kişisel bilgilerini ve paralarını teslim etmelerini sağlamak için yayımlanacaktır. Bu durum, etkili hesap doğrulama araçları ve rozetleri sunmaları için sosyal medya platformları üzerinde daha fazla baskı oluşturacak ve sizin de tetikte olmanızı sağlayacaktır.

·       Dezenformasyon: Düşman devletler ve diğer gruplar, saf sosyal medya kullanıcılarının sahte hesapları takip etmelerini sağlamak amacıyla kolayca sahte içerik üretmek için GenAI'dan yararlanacaktır. Bu kullanıcılar daha sonra içerik/trol çiftliklerinden daha etkili ve tespit edilmesi daha zor bir şekilde etki operasyonları için çevrimiçi amplifikatörlere dönüştürülebilir.

·       Parola kırma: Yapay zekâ odaklı araçlar, kurumsal ağlara ve verilere ve ayrıca müşteri hesaplarına erişim sağlamak için kullanıcı kimlik bilgilerini saniyeler içinde toplu olarak açığa çıkarabilir. 

2025 için yapay zekâ gizlilik endişeleri

Yapay zekâ önümüzdeki yıl sadece tehdit aktörleri için bir araç olmayacak. Aynı zamanda yüksek bir veri sızıntısı riskini de beraberinde getirecek. LLM'ler kendilerini eğitmek için büyük hacimlerde metin, görüntü ve videoya ihtiyaç duyarlar. Genellikle bu verilerin bazıları hassas olacaktır: Biyometri, sağlık bilgileri veya finansal veriler gibi. Bazı durumlarda, sosyal medya ve diğer şirketler, müşteri verilerini modelleri eğitmek için kullanmak üzere Şartlar ve Koşullar’ı değiştirebilir. Bu bilgiler yapay zekâ modeli tarafından toplandıktan sonra, yapay zekâ sisteminin kendisinin hacklenmesi durumunda ya da bilgiler LLM üzerinde çalışan GenAI uygulamaları aracılığıyla başkalarıyla paylaşılırsa bireyler için bir risk teşkil eder. Kurumsal kullanıcılar için de GenAI istemleri aracılığıyla farkında olmadan işle ilgili hassas bilgileri paylaşabileceklerine dair bir endişe var. Bir ankete göre, Birleşik Krallık'taki şirketlerin beşte biri, çalışanların GenAI kullanımı yoluyla potansiyel olarak hassas kurumsal verileri yanlışlıkla ifşa etti. 

2025'te savunmacılar için yapay zekâ

İyi haber şu ki yapay zekâ yeni ürün ve hizmetlere dahil edildikçe önümüzdeki yıl siber güvenlik ekiplerinin çalışmalarında daha büyük bir rol oynayacak. 

·       Kullanıcıları, güvenlik ekiplerini ve hatta yapay zekâ güvenlik araçlarını eğitmek için sentetik veriler oluşturmak

• Analistler için uzun ve karmaşık tehdit istihbarat raporlarını özetlemek
• İş yükü fazla olan ekipler için uyarıları bağlamsallaştırıp önceliklendirerek ve araştırma ve düzeltme için iş akışlarını otomatikleştirerek SecOps verimliliğini artırmak
• Şüpheli davranış belirtileri için büyük veri hacimlerini taramak
• Yanlış yapılandırma olasılığını azaltmaya yardımcı olmak için çeşitli ürünlerde yerleşik olarak bulunan "yardımcı pilot" işlevi aracılığıyla BT ekiplerine beceri kazandırmak

Bununla birlikte, BT ve güvenlik liderleri yapay zekânın sınırlarını ve karar verme sürecinde insan uzmanlığının önemini de anlamalıdır. Sanrı, model bozulması ve diğer potansiyel olumsuz sonuçlar riskini azaltmak için 2025 yılında insan ve makine arasında bir dengeye ihtiyaç duyulacaktır. Yapay zekâ sihirli bir değnek değildir. Optimum sonuçlar için diğer araç ve tekniklerle birleştirilmelidir.

Uyum ve uygulamada yapay zekâ zorlukları

Tehdit ortamı ve yapay zekâ güvenliğinin gelişimi bir boşlukta gerçekleşmiyor. Başta ABD olmak üzere 2025'teki jeopolitik değişiklikler, teknoloji ve sosyal medya sektörlerinde deregülasyona bile yol açabilir. Bu da dolandırıcıların ve diğer kötü niyetli aktörlerin çevrimiçi platformları yapay zekâ tarafından üretilen tehditlerle doldurmasını sağlayabilir. Bu arada AB'de, uyum ekipleri için hayatı daha zor hale getirebilecek yapay zekâ düzenlemesi konusunda hâlâ bazı belirsizlikler var. Hukuk uzmanlarının belirttiği gibi uygulama kurallarının ve rehberliğin hâlâ çözülmesi ve yapay zekâ sistem arızaları için sorumluluğun hesaplanması gerekiyor. Teknoloji sektöründen gelen lobi faaliyetleri, AB yapay zekâ yasasının pratikte nasıl uygulanacağını değiştirebilir. 

Bununla birlikte açık olan şey, yapay zekânın 2025 yılında teknolojiyle etkileşim şeklimizi iyi ve kötü yönde kökten değiştireceğidir. İşletmeler ve bireyler için büyük potansiyel faydalar sunarken aynı zamanda yönetilmesi gereken yeni riskler de barındırıyor. Bunun gerçekleştiğinden emin olmak için önümüzdeki yıl boyunca daha yakın çalışmak herkesin yararına olacaktır. Hükümetler, özel sektör işletmeleri ve son kullanıcılar, yapay zekânın risklerini azaltırken potansiyelinden yararlanmak için üzerlerine düşeni yapmalı ve birlikte çalışmalıdır.