Yapay zekâ, geçtiğimiz yıl siber güvenlik alanında önemli bir dönüşüm yarattı ve bu dönüşüm, siber güvenlik silahlanma yarışını hızlandırdı. Önümüzdeki 12 ay boyunca bu yarışın hız kesmeden devam etmesi bekleniyor. Bu durum, yalnızca kurumsal siber güvenlik ekipleri için değil, aynı zamanda günlük internet kullanıcıları için de ciddi sonuçlar doğurmakta.
Siber güvenlik alanında önde gelen kuruluşlardan biri olan ESET, yapay zekâ araçlarının kötü niyetli bireylerin elinde, dolandırıcılık, dezenformasyon kampanyaları ve diğer tehditlerin boyutunu ve ciddiyetini artırabileceğini vurguladı. Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC), 2024’ün başında yapay zekânın mevcut tehdit aktörleri tarafından aktif bir şekilde kullanıldığını ve “önümüzdeki iki yıl içerisinde siber saldırıların hacminin ve etkisinin artacağını” belirtti. Bu tehditlerin en çok hissedileceği alanlardan biri, üretken yapay zekânın (GenAI) kötü niyetli aktörler tarafından, hatasız yerel dillerde ikna edici kampanyalar düzenlemek için kullanılabileceği sosyal mühendislik olacaktır.
Bu trendlerin 2025 yılında da devam etmesi beklenmekte, ancak yapay zekânın aşağıdaki amaçlarla kullanılacağına dair öngörüler de mevcut:
- Kimlik Doğrulama Baypası: Dolandırıcıların yeni hesaplar oluşturmasına ve hesap erişimi için selfie ve video tabanlı kontrollerde müşterileri taklit etmelerine olanak tanıyan Deepfake teknolojisi.
- İş E-postalarının Ele Geçirilmesi (BEC): Yapay zekâ, sosyal mühendislik yöntemleriyle kurumsal alıcıları kandırarak dolandırıcının kontrolündeki bir hesaba para transferi yapılmasını sağlamak için kullanılmakta. Deepfake ses ve video, telefon görüşmelerinde ve sanal toplantılarda CEO’ları taklit etmek için de etkili bir şekilde kullanılabilir.
- Taklit Dolandırıcılığı: Açık kaynaklı büyük dil modelleri (LLM’ler), dolandırıcılar için yeni fırsatlar sunacak. Dolandırıcılar, hacklenmiş veya kamuya açık sosyal medya hesaplarından topladıkları verilerle bu modelleri eğiterek, arkadaşlarını ve ailelerini kandırma amacıyla sanal dolandırıcılık senaryolarında kurbanların kimliğine bürünebilirler.
- Influencer Dolandırıcılığı: Aynı şekilde, GenAI’nin 2025 yılında dolandırıcılar tarafından ünlüleri, influencer’ları ve diğer tanınmış kişileri taklit eden sahte sosyal medya hesapları oluşturmak için kullanılması bekleniyor. Deepfake videolar, yatırım ve kripto dolandırıcılıkları gibi dolandırıcılık senaryolarında takipçilerin kişisel bilgilerini ve paralarını ele geçirmek amacıyla kullanılabilecektir.
- Dezenformasyon: Düşman devletler ve diğer gruplar, sosyal medya kullanıcılarını sahte hesapları takip etmeye teşvik etmek amacıyla GenAI’dan yararlanarak kolayca sahte içerik üretecekler. Bu kullanıcılar, içerik/trol çiftliklerinden daha etkili ve tespit edilmesi zor etki operasyonları için çevrimiçi amplifikatörlere dönüştürülebilir.
- Parola Kırma: Yapay zekâ odaklı araçlar, kullanıcı kimlik bilgilerini saniyeler içinde toplu olarak açığa çıkararak, kurumsal ağlara ve verilere, ayrıca müşteri hesaplarına erişim sağlamak için kullanılabilir.
Yapay Zekâ ile İlgili Gizlilik Endişeleri
Yapay zekâ, önümüzdeki yıl sadece tehdit aktörleri için bir araç olmanın ötesinde, aynı zamanda yüksek bir veri sızıntısı riski de taşımaktadır. LLM’ler, kendilerini eğitmek için büyük miktarda metin, görüntü ve video verisine ihtiyaç duyar. Bu verilerin bir kısmı genellikle hassas bilgilere sahip olabilir; örneğin, biyometrik veriler, sağlık bilgileri veya finansal veriler gibi. Bazı durumlarda, sosyal medya ve diğer şirketler, müşteri verilerini modelleri eğitmek için kullanmak üzere Şartlar ve Koşullarını güncelleyebilir. Bu bilgiler, yapay zekâ modeli tarafından toplandıktan sonra, yapay zekâ sisteminin hacklenmesi durumunda veya bilgiler, LLM üzerinde çalışan GenAI uygulamaları aracılığıyla başkalarıyla paylaşıldığında bireyler için ciddi bir risk oluşturabilir. Kurumsal kullanıcılar için de, GenAI istemleri aracılığıyla farkında olmadan işle ilgili hassas bilgileri paylaşma ihtimali endişe kaynağıdır. Yapılan bir ankete göre, Birleşik Krallık’taki şirketlerin yaklaşık beşte biri, çalışanların GenAI kullanımı yoluyla potansiyel olarak hassas kurumsal verileri yanlışlıkla ifşa etme riski taşıdığını belirtmiştir.
Savunmacılar için Yapay Zekâ
İyi haber şu ki, yapay zekâ yeni ürün ve hizmetler ile entegrasyon sağlandıkça, önümüzdeki yıl siber güvenlik ekiplerinin çalışmalarında daha büyük bir rol üstlenecektir. Bu bağlamda:
- Kullanıcıları, güvenlik ekiplerini ve hatta yapay zekâ güvenlik araçlarını eğitmek için sentetik veriler oluşturmak.
- Analistler için uzun ve karmaşık tehdit istihbarat raporlarını özetleyerek önemli bilgileri daha erişilebilir hale getirmek.
- İş yükü fazla olan ekipler için uyarıları bağlamsallaştırıp önceliklendirerek, araştırma ve düzeltme süreçlerini otomatikleştirerek SecOps verimliliğini artırmak.
- Şüpheli davranış belirtilerine yönelik büyük veri hacimlerini taramak.
- Yanlış yapılandırma olasılığını azaltmaya yardımcı olmak için çeşitli ürünlerde yerleşik olarak bulunan “yardımcı pilot” işlevi aracılığıyla BT ekiplerine beceri kazandırmak.
Bununla birlikte, BT ve güvenlik liderlerinin, yapay zekânın sınırlarını ve karar verme süreçlerinde insan uzmanlığının önemini anlamaları da son derece kritiktir. Sanrı, model bozulması ve diğer olası olumsuz sonuçların riskini azaltmak adına, 2025 yılında insan ve makine arasında bir denge sağlanması gerekecektir. Unutulmamalıdır ki, yapay zekâ sihirli bir çözüm değildir; optimum sonuçlar için diğer araç ve tekniklerle birleştirilmesi gerekmektedir.
Uyum ve Uygulamada Yapay Zekâ Zorlukları
Tehdit ortamındaki değişiklikler ve yapay zekâ güvenliğinin gelişimi, yalnızca teknolojik ilerlemelerle sınırlı değildir. Başta ABD olmak üzere, 2025 yılında jeopolitik değişiklikler, teknoloji ve sosyal medya sektörlerinde deregülasyona yol açabilir. Bu durum, dolandırıcıların ve diğer kötü niyetli aktörlerin çevrimiçi platformları yapay zekâ tarafından üretilen tehditlerle doldurmasına neden olabilir. Öte yandan, Avrupa Birliği’nde uyum ekipleri için hayatı zorlaştırabilecek yapay zekâ düzenlemeleri konusunda hâlâ belirsizlikler mevcuttur. Hukuk uzmanları, uygulama kurallarının ve rehberliğin hâlâ netleştirilmesi gerektiğini, ayrıca yapay zekâ sistem arızaları için sorumluluğun belirlenmesinin önemli olduğunu ifade ediyorlar. Teknoloji sektöründen gelen lobi faaliyetleri, AB yapay zekâ yasasının pratikte nasıl uygulanacağını değiştirebilir.
Bütün bunların yanı sıra, yapay zekânın 2025 yılında teknolojiyle etkileşim şeklimizi hem olumlu hem de olumsuz yönde köklü bir şekilde değiştireceği açıktır. İşletmeler ve bireyler için büyük potansiyel faydalar sunarken, aynı zamanda yönetilmesi gereken yeni riskleri de beraberinde getirmektedir. Bu sürecin sağlıklı bir şekilde ilerlemesi için, önümüzdeki yıl boyunca daha yakın işbirlikleri kurulması herkesin yararına olacaktır. Hükümetler, özel sektör işletmeleri ve son kullanıcılar, yapay zekânın risklerini azaltırken potansiyelinden yararlanmak için üzerlerine düşeni yapmalı ve birlikte hareket etmelidir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
