ChatGPT’den HackGPT’ye siber güvenlik tehdidinin üstesinden gelmek
Karen Renaud, Merrill Warkentin & George Westerman
Siber suçlular, kurumsal sistemlere girmek ve işletmelerin faaliyetlerini akamete uğratmak için son bir kaç yıldır yapay zekayı (YZ) kullanıyor. Ancak ChatGPT gibi güçlü ve yeni üretken YZ araçları, iş liderlerini bir dizi yeni zorlukla karşı karşıya bırakıyor.
Tamamen inandırıcı şu senaryoları göz önünde bulundurun:
Bir bilgisayar korsanı, şirketinizin pazarla- ma materyallerine ve geçmişte başarılı olmuş kimlik avı [phishing] mesajlarına dayalı olarak kişiselleştirilmiş bir hedefli kimlik avı mesajı oluşturmak için ChatGPT'yi kullanır. E-posta farkındalığı konusunda iyi eğitim almış insanları kandırmayı başarır, gönderilen mesaj bu insanların tespit etmek üzere eğitildikleri mesajlara benzemez.
Bir YZ botu, bir borç hesabı çalışanını arar ve patronunkine benzeyen (derin sahte) [deepfake] bir sesle konuşur. Biraz şakalaştıştan sonra 'patron', çalışandan 'faturayı ödemek' için bir hesaba binlerce dolar aktarmasını ister. Çalışan bunu yapmaması gerektiğini bilse de patronun istisna talep etme hakkı var, değil mi?
Bilgisayar korsanları, bir sistemdeki enformasyonu gerçekçi bir şekilde 'zehirlemek' için YZ'yi kullanır ve aldatmaca keşfedilmeden önce nakde çevirebilecekleri değerli bir hisse senedi portföyü oluşturur.
Üretken YZ kullanılarak oluşturulan çok inandırıcı bir sahte e-posta alışverişinde, bir şirketin üst düzey yöneticileri mali bir açığı nasıl kapatacaklarını tartışıyor gibi görünüyor. 'Sızan' mesaj, bir sosyal medya botları ordusunun yardımıyla çılgınca yayılır ve şirketin hisse senedi fiyatının düşmesine ve itibarının kalıcı olarak zedelenmesine yol açar.
Bu senaryolar, sosyal medyayı kasıp kavuran derin sahteliklerle veya kurumsal BT sistemlerindeki can sıkıcı güvenlik ihlalleriyle ilgili haberleri dikkatle takip edenlere çok tanıdık gelebilir. Ancak yeni tehditlerin doğası farklı, daha korkutucu bir kategoride çünkü altta yatan teknoloji "daha akıllı" hale geldi.
Şimdiye kadar çoğu saldırıda, nispeten basit yüksek hacimli yaklaşımlar kullanldı. Bir zombi sürüsü hayal edin -sadece bir veya ikisi savunma bariyerindeki zayıf bir noktaya denk geldiğinde başarılı olan milyonlarca inatçı ama beyinsiz tehdit. Buna karşılık, en karmaşık tehditler- bazen basında duyduğumuz büyük hırsızlıklar ve dolandırıcılıklar -düşük hacimli saldırılardan geliyor ve bunların başarılı olması için genellikle gerçek insan müdahalesi gerekiyor. Daha çok kedi hırsızlarına benziyorlar, bir binanın her öğesini ve alarm sistemlerini güvenlik önlemlerini geçmenin bir yolunu bulana kadar sistematik olarak inceliyorlar. Ya da bir arka plan inşa edebilen ve gayet inandırıcı şekilde yalanlar uydurabilen dolandırıcılar gibiler, bu yüzden akıllı insanlar bile onlara para ödemeye ikna edilebiliyor.
Şimdi zombilerin daha akıllı hale geldiğini hayal edin. Üretken YZ tarafından desteklenen her bir zombi, güvenlik sistemlerinizin tasarımını anlayabilen ve bunların etrafından dolanmanın yolunu bulabilen bir kedi hırsızına dönüşüyor. Veya çalışanlarınızdan biriyle etkileşimli bir şekilde ilişki kurmak, güven oluşturmak ve onları dolandırmak üzere kandırmak için üretken YZ'yi kullanan bir sahtekar hayal edin.
YZ destekli kötü amaçlı yazılımların başlattığı bu yeni çağ, şirketlerin bundan bir kaç ay önce gayet etkili olabilecek en iyi uygulama yaklaşımlarından artık medet umamayacağı anlamına geliyor. Derinlemesine savunma doğru güvenlik politikalarını kurma, önleme ve tespit için en iyi teknik araçları uygulama ve personelin güvenlik kurallarını bilmesini sağlamak için farkındalık çalışmaları yürütme stratejisi artık yeterli olmayacak. Yeni bir dönem başladı.
Metin, ses, grafik ve video kombinasyonlarını kullanan üretken YZ, bilgisayar korsanlığında bilinmeyen ve bilinemez yenilikleri ortaya çıkaracak. Bu tehditlere karşı başarılı savunmaların otomatikleştirilmesi henüz mümkün değil. Şirketinizin araçları satın almaktan ve kural tabanlı yaklaşımlar oluşturmaktan YZ tarafından oluşturulan yeni tehditlere gerçek zamanlı olarak uyum sağlayan bir strateji geliştirmeye geçmesi gerekecek. Bu, hem daha akıllı teknoloji hem de daha akıllı çalışanlar gerektirecek.
ÜRETKEN YZ'NIN KARŞISINA ÜRETKEN YZ'YI ÇIKARIN
Şirketler, hem savunma yeteneklerini güçlendirmek hem de yeni tehditlere gerçek zamanlı olarak yanıt verme becerilerine hız kazandırmak için üretken YZ'yi kullanmalı.
İlk olarak, şirketin çevre savunmasını göz önüne alın. İşletmeler, hali hazırda, yeni tehditleri algılamak için kötü amaçlı yazılım veritabanlarını kullanıyor. Bu kötü amaçlı yazılım imza veritabanları, satıcılar tarafından sürekli olarak yenileniyor, ancak her şirketin benzersiz durumuna uyarlanmış değil. Bilgisayar korsanları daha önce herkese uyan tek tip istismarlar (bir şirketin sistemlerine girme yolları) kullanıyordu; artık istismarlarını tek bir şirketin güvenlik açıklarına uyarlamak için YZ'den faydalanacaklar. Aldatıcı e-postalar doğru baskı noktalarını zorlayacak; ayrıca yeni kimlik avı saldırılarındaki YZ güdümlü dil, her iletiyi hedef şirkete uyarlamak için genel bilgileri kullanacağından son derece inandırıcı olacak. Bu nedenle, en bilgili çalışanların bile bir e-postayı anında hileli olarak kenara ayırmak yerine söz konusu e-postada mesajın meşruluğuna ikna olmasına yetecek ayrıntıyı görme olasılığı artacak.
OpenAI (ChatGPT'nin üreticisi) ve diğer kuruluşlar, şirketlerin (tanımlanabilir bir imza olmaksızın) yeni oluşturulmuş bir metnin üretken YZ tarafından imal edilip edilmediğinin belirlenmesini sağlayacak GPTZero ve ZeroGPT gibi araçlar yayınlıyor. Şirketler, bu araçları posta sunucularına entegre ederek, bir sonraki seviye otomatik kimlik avı mesajlarının engellenmesi olasılığını artırabilir. Nasıl akıllı bir bekçinin en son tehditler konusunda en güncel bilgilere sahip olması zorunluysa bu araçlar da her şirketin ihtiyaçlarına uyarlanmalı ve tetikte olmayı sürdürmesi için sık sık ince ayardan geçirilmeli. Zamanla güvenlik aracı satıcıları bu teknolojileri bünyelerine dahil edecek, ancak bu arada bir çok şirket saldırıya uğrama, büyük mali kayıplar ve itibar kayıpları yaşama riskiyle karşı karşıya. Bu nedenle, kısa vadede, şirket içi değişiklikler yapmayı hesaba katmak gerekiyor, pazardaki hazır çözümlerin süreci yakalamasını beklemek yerine.
İkinci olarak, gerçek zamanlı tespitin hızla iyileştirilmesi gerekiyor. Bir çok şirket, saldırıları püskürtmek için örüntü tespitine güveniyor. Sorun şu ki, örüntüler zaten gerçekleşmiş olan saldırılar tarafından bilgilendiriliyor. Üretken YZ tarafından yönlendirilen saldırılara karşı koymak için yeni bir "akıllı" önleme çağına ihtiyaç var.
Üretken YZ, şirketlerin çalışan davranış veya eylemlerinde ya da şirket sistemlerinin herhangi bir yerinde ortaya çıkan anormallikleri hızla tespit etme becerisini geliştirme potansiyeline sahip. Giriş yaptıkları sistemlere, ne kadar veriye eriştiklerine ve kiminle e-posta yoluyla iletişim kurduklarına bakarak saptanan çalışan davranışları, genellikle iş göreviyle eşleşecek şekilde günbegün tahmin edilebiliyor. Bu çalışanların davranışsal ayak izi olarak düşünülebilir. İş tanımında bir değişim yokken ayak izi aniden değişirse, bu, örneğin süregiden potansiyel bir bilgisayar korsanlığı girişiminin veya içerideki kanunsuz bir hareketin işareti olabilir. Şirketler, üretken YZ'yi diğer YZ araçlarıyla birlikte kullanarak hasarın boyutunu belirleyebilir veya herhangi bir ihlalin meydana gelmediğini tespit edebilir. GPT-4 temeli üzerine inşa edilen yeni uzantılar ve üçüncü taraf uygulamaları zaten duyuruldu, bu nedenle yeni YZ tabanlı güvenlik araçlarının yakında kullanıma sunulmasını bekleyebilirsiniz.
İNSANLARI DAHA AKILLI SALDIRILARA KARŞI EĞİTİN
Güvenlik bilincine sahip insan davranışı, siber güvenlik için kritik önem taşımaya devam ediyor, ancak insanlar hata yapmayı da sürdürüyor. Pek çok bilinçlendirme kampanyası, mevcut tehditleri tanımlıyor ve uyulması gereken bir dizi kural sağlıyor: Bağlantılara tıklamayın, güçlü parolalar kullandığınızdan emin olun ve tüm yazılımları güncelleyin benzeri. Çok sayıda yıllık sektörel araştırma, çalışanları en zayıf halka olarak belirliyor. Örneğin çağrı merkezi çalışanları, yeterli bilgiye sahip olan veya doğru duygusal yaklaşımı sergileyen kişiler tarafından kandırılabilir. Bir tahmine göre, ihlallerin yüzde 82'si insan davranışını ihtiva ediyor.
Üretken YZ çağında farkındalık eğitiminin, davranış talim eden politikalardan, çalışanların yeni tehditleri tespit etmesine olanak tanıyan bilgiye dayalı hazırlığa geçmesi gerekiyor. Yani, çalışanların kural takipçiliğinden aktif savunuculuğa terfi etmesi için bilgisayar korsanlığı hakkında yeterince bilgi sahibi olması şart. Üretken YZ araçlarının ortaya çıkmasıyla birlikte geleneksel bilgi güvenliği politikaları kullanışlılığını yitirdi; kural tabanlı bir yaklaşım artık uygun değil.
Kamyon sürücüleri yalnızca trafik kurallarına uyarak güvenliği sağlayamaz; örneğin yağmurlu havalarda daha fazla mesafe sağlayarak veya siste yavaşlayarak yol koşullarına uyum sağlaması gerekir. Benzer şekilde, çalışanlar da üretken YZ'den kaynaklanan yeni siber güvenlik zorluklarına direnmek için durumsal bilgileri uygulamalı. Bu, şirketlerin insanlara ne yapmaları ve ne yapmamaları gerektiği konusunda eğitim vermenin ötesine geçmesini gerektiriyor. Şirketler insanların çok zorlu yeni bir dünyada nasıl güvende kalacaklarını anlamalarına da yardımcı olmalı.
Şirketlerin itaate dayalı bir stratejiden yeni çalışan becerilerinin geliştirildiği bir stratejiye geçmesi gerekiyor. Bu, geleneksel kurala dayalı politikaların ötesine geçen bilginin geliştirilmesi için eğitmen liderliğinde yüz yüze veya online eğitim gerektirebilir. Mevcut tek beden herkese uyan eğitim, ardından bir sınav yapıldığında bile edilgen kalır. YZ çağı, çalışanları gerçek veya potansiyel senaryolara uyumlandıran, ayrıca bunlara nasıl yanıt verileceği konusunda canlı tartışmalar içeren bir eğitim gerektiriyor.
Şirketler, çalışan farkındalığı eğitimi yoluyla savunma yapmanın ötesinde, Sun Tzu'nun 'savunma bir saldırının planlanmasıdır' sözünün de takipçisi olması. En kötü durumu hayal edin; düşünülemezi düşünün. İzlenecek potansiyel tehdit vektörlerine veya tetikleyicilere dair hipotez oluşturmak için YZ tabanlı modelleri kullanın. Tek bir strateji: Kötü aktörlerin potansiyel olarak savunmanızı nasıl aşabileceği konusunda beyin fırtınası yapmak için en iyi BT çalışanlarınızı, hatta diğer şirketlerden uzmanları içeren bir özel tim oluşturun. Ardından, teknik becerilerinizi ve çalışanlarınızın bu tür olaylarla ilgili farkındalığını artırmanın yollarını bulun. Bir anket, şirketlerin geleneksel kırmızı takım/mavi takım (hücum/ savunma) siber savaş oyunu yaklaşımından vazgeçtiğini ve bunun yerine beliren yeni saldırı yöntemleri hakkında daha derin bir kavrayış oluşturmak ve neyin işe yarayıp neyin işe yaramadığını ortaya çıkarmak amacıyla işbirliğine dayalı "mor takım" yaklaşımını benimsediğini ortaya çıkardı.
YZ destekli saldırılara karşı en iyi savunma yine muhtemelen YZ destekli olacak. Bu, yalnızca daha hızlı ve daha sağlam savunma stratejileri değil, aynı zamanda teknolojiniz ve çalışanlarınız için daha akıllı stratejiler anlamına geliyor. Akıllı zombileri çitleri yükselterek yenemezsiniz. Ama geleneksel savunmanızı YZ destekli yeni araçlarla güçlendirebilir ve geleneksel savunma yöntemlerinizi, kural tabanlı eğitiminizi gözden geçirebilirsiniz. HackGPT'nin yeni ve korkutucu dünyasında şirketinizin sağlam ve güvende olması için hemen şimdi işe koyulmalısınız.
Karen Renaud, Glasgow'daki Strathclyde Üniversitesi'nde insan merkezli güvenlik ve mahremiyet konularını her yönüyle inceleyen bir bilgisayar bilimcisi. ACM Seçkin Bilimcisi.
Merrill Warkentin, Mississippi Eyalet Üniversitesi İşletme Fakültesi'nde W.L. Giles Ordinaryüs Profesörü ve Rouse Enformasyon Sistemleri Daimi Profesörü.
George Westerman, MIT Sloan İşletme Okulu'nda kıdemli öğretim görevlisi ve MIT Açık Öğrenme Ofisi bünyesindeki Küresel Fırsat Girişimi'nin kurucusu.