Yapay zekâ güvenlik kalkanı mı tehdit aracı mı?

Bu durum, kurumsal siber güvenlik ekipleri ve işverenlerinin yanı sıra günlük web kullanıcıları için de önemli sonuçlar doğuruyor.

Siber güvenlik sektörünün lideri ESET, yapay zek araçlarının kötü aktörlerin elinde her türlü dolandırıcılığın, dezenformasyon kampanyasının diğer tehditlerin ölçeğini ve şiddetini artırabileceğini belirterek 2025 yılında nelere dikkat edilmesi gerektiğinin altını çizdi. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) 2024'ün başında, yapay zeknın halihazırda her tür tehdit aktörü tarafından kullanıldığı ve 'önümüzdeki iki yıl içinde siber saldırıların hacmini ve etkisini artıracağı' uyarısında bulundu. Tehdit en çok, üretken yapay zeknın (GenAI) kötü niyetli aktörlerin hatasız yerel dillerde ikna edici kampanyalar hazırlamasına yardımcı olabildiği sosyal mühendislik alanında görülebilir.

Bu trendler 2025 yılında devam edecek olsa da yapay zeknın şu amaçlarla kullanıldığını da görebiliriz:

· Kimlik doğrulama baypası: Dolandırıcıların yeni hesap oluşturma ve hesap erişimi için selfie ve video tabanlı kontrollerde müşterileri taklit etmelerine yardımcı olmak için kullanılan Deepfake teknolojisi.

· İş e-postalarının ele geçirilmesi (BEC): Yapay zek bir kez daha sosyal mühendislik için kullanıldı ancak bu kez kurumsal alıcıyı kandırıp dolandırıcının kontrolü altındaki bir hesaba para havale etmesi için. Deepfake ses ve video, telefon görüşmelerinde ve sanal toplantılarda CEO'ları ve diğer üst düzey liderleri taklit etmek için de kullanılabiliyor.

· Taklit dolandırıcılığı: Açık kaynaklı büyük dil modelleri (LLM'ler) dolandırıcılar için yeni fırsatlar sunacaktır. Dolandırıcılar, hacklenmiş veya halka açık sosyal medya hesaplarından toplanan veriler üzerinde bu modelleri eğiterek arkadaşlarını ve ailelerini kandırmak için tasarlanmış sanal adam kaçırma ve diğer dolandırıcılıklarda kurbanların kimliğine bürünebilirler.

· Influencer dolandırıcılığı: Benzer bir şekilde, GenAI'nin 2025 yılında dolandırıcılar tarafından ünlüleri, influencer'ları ve diğer tanınmış kişileri taklit eden sahte veya kopya sosyal medya hesapları oluşturmak için kullanıldığını görmeyi bekliyoruz. Deepfake videolar, ESET'in en son Tehdit Raporu'nda vurgulanan türden hileler de dahil olmak üzere, örneğin yatırım ve kripto dolandırıcılıklarında takipçilerin kişisel bilgilerini ve paralarını teslim etmelerini sağlamak için yayımlanacaktır. Bu durum, etkili hesap doğrulama araçları ve rozetleri sunmaları için sosyal medya platformları üzerinde daha fazla baskı oluşturacak ve sizin de tetikte olmanızı sağlayacaktır.

· Dezenformasyon: Düşman devletler ve diğer gruplar, saf sosyal medya kullanıcılarının sahte hesapları takip etmelerini sağlamak amacıyla kolayca sahte içerik üretmek için GenAI'dan yararlanacaktır. Bu kullanıcılar daha sonra içerik/trol çiftliklerinden daha etkili ve tespit edilmesi daha zor bir şekilde etki operasyonları için çevrimiçi amplifikatörlere dönüştürülebilir.

· Parola kırma: Yapay zek odaklı araçlar, kurumsal ağlara ve verilere ve ayrıca müşteri hesaplarına erişim sağlamak için kullanıcı kimlik bilgilerini saniyeler içinde toplu olarak açığa çıkarabilir.

2025 için yapay zek gizlilik endişeleri

Yapay zek önümüzdeki yıl sadece tehdit aktörleri için bir araç olmayacak. Aynı zamanda yüksek bir veri sızıntısı riskini de beraberinde getirecek. LLM'ler kendilerini eğitmek için büyük hacimlerde metin, görüntü ve videoya ihtiyaç duyarlar. Genellikle bu verilerin bazıları hassas olacaktır: Biyometri, sağlık bilgileri veya finansal veriler gibi. Bazı durumlarda, sosyal medya ve diğer şirketler, müşteri verilerini modelleri eğitmek için kullanmak üzere Şartlar ve Koşullar'ı değiştirebilir. Bu bilgiler yapay zek modeli tarafından toplandıktan sonra, yapay zek sisteminin kendisinin hacklenmesi durumunda ya da bilgiler LLM üzerinde çalışan GenAI uygulamaları aracılığıyla başkalarıyla paylaşılırsa bireyler için bir risk teşkil eder. Kurumsal kullanıcılar için de GenAI istemleri aracılığıyla farkında olmadan işle ilgili hassas bilgileri paylaşabileceklerine dair bir endişe var. Bir ankete göre, Birleşik Krallık'taki şirketlerin beşte biri, çalışanların GenAI kullanımı yoluyla potansiyel olarak hassas kurumsal verileri yanlışlıkla ifşa etti.

2025'te savunmacılar için yapay zek

İyi haber şu ki yapay zek yeni ürün ve hizmetlere dahil edildikçe önümüzdeki yıl siber güvenlik ekiplerinin çalışmalarında daha büyük bir rol oynayacak.

· Kullanıcıları, güvenlik ekiplerini ve hatta yapay zek güvenlik araçlarını eğitmek için sentetik veriler oluşturmak

Analistler için uzun ve karmaşık tehdit istihbarat raporlarını özetlemek
İş yükü fazla olan ekipler için uyarıları bağlamsallaştırıp önceliklendirerek ve araştırma ve düzeltme için iş akışlarını otomatikleştirerek SecOps verimliliğini artırmak
Şüpheli davranış belirtileri için büyük veri hacimlerini taramak
Yanlış yapılandırma olasılığını azaltmaya yardımcı olmak için çeşitli ürünlerde yerleşik olarak bulunan 'yardımcı pilot' işlevi aracılığıyla BT ekiplerine beceri kazandırmak
Bununla birlikte, BT ve güvenlik liderleri yapay zeknın sınırlarını ve karar verme sürecinde insan uzmanlığının önemini de anlamalıdır. Sanrı, model bozulması ve diğer potansiyel olumsuz sonuçlar riskini azaltmak için 2025 yılında insan ve makine arasında bir dengeye ihtiyaç duyulacaktır. Yapay zek sihirli bir değnek değildir. Optimum sonuçlar için diğer araç ve tekniklerle birleştirilmelidir.

Uyum ve uygulamada yapay zek zorlukları

Tehdit ortamı ve yapay zek güvenliğinin gelişimi bir boşlukta gerçekleşmiyor. Başta ABD olmak üzere 2025'teki jeopolitik değişiklikler, teknoloji ve sosyal medya sektörlerinde deregülasyona bile yol açabilir. Bu da dolandırıcıların ve diğer kötü niyetli aktörlerin çevrimiçi platformları yapay zek tarafından üretilen tehditlerle doldurmasını sağlayabilir. Bu arada AB'de, uyum ekipleri için hayatı daha zor hale getirebilecek yapay zek düzenlemesi konusunda hl bazı belirsizlikler var. Hukuk uzmanlarının belirttiği gibi uygulama kurallarının ve rehberliğin hl çözülmesi ve yapay zek sistem arızaları için sorumluluğun hesaplanması gerekiyor. Teknoloji sektöründen gelen lobi faaliyetleri, AB yapay zek yasasının pratikte nasıl uygulanacağını değiştirebilir.

Bununla birlikte açık olan şey, yapay zeknın 2025 yılında teknolojiyle etkileşim şeklimizi iyi ve kötü yönde kökten değiştireceğidir. İşletmeler ve bireyler için büyük potansiyel faydalar sunarken aynı zamanda yönetilmesi gereken yeni riskler de barındırıyor. Bunun gerçekleştiğinden emin olmak için önümüzdeki yıl boyunca daha yakın çalışmak herkesin yararına olacaktır. Hükümetler, özel sektör işletmeleri ve son kullanıcılar, yapay zeknın risklerini azaltırken potansiyelinden yararlanmak için üzerlerine düşeni yapmalı ve birlikte çalışmalıdır.