Siber savunmaya yönelik üretken yapay zekâ yükselişte

Dijital Dünyada Güven Araştırması 2024

29 Aralık 2023

PwC’nin 26. Dijital Dünyada Güven Araştırması, siber güvenlik trendleriyle ilgili en uzun soluklu araştırma niteliği taşıyor. Bu araştırma aynı zamanda siber güvenlik sektöründeki en kapsamlı araştırma olup 3.800’den fazla güvenlik, teknoloji ve işletme yöneticisinin görüşlerini yansıtıyor.

Şirketlerin günümüz dünyasında gerçekleştirdiği dönüşüm ve inovasyon, en son teknoloji araçlarını kullanarak daha fazla dijital deneyimi birbirine bağlıyor. Siber güvenliği işimizi destekleyen bir fonksiyon olmaktan çıkartıp, işimizin odak noktasında tutmak artık bir zorunluluk, bu yüzden siber güvenlik 2024 araştırmamızın temasını oluşturuyor. Alışılagelmiş siber güvenlik anlayışını geride bırakmaya cesaret eden üst düzey yöneticiler (C-suite) için bir rehber hazırladık.

Tüm bu heyecanın ortasında yönetişimi gözden kaçırmayın

2024 Dijital Dünyada Güven Araştırmasına göre, her 10 üst düzey yöneticiden 7’si (%69) şirketlerinin önümüzdeki 12 ay içinde siber savunma için üretken yapay zekâ kullanacağını söylüyor.
Üretken yapay zekânın kullanımı ile birlikte kurumsal e-posta saldırıları (business e-mail compromise) daha etkili hale gelebileceğinden, siber tehdit alanında bir patlama yaşanabilir. CISO’ların ve CIO’ların bu yaygın görüşe kulak vermeleri gerekiyor: Katılımcıların %52’si üretken yapay zekânın önümüzdeki 12 ay içinde yıkıcı siber saldırılara yol açacağını düşünüyor.
Şirketlerin yapay zekâyla ilgili sağlam yönetişim politikaları oluşturarak üretken yapay zekâ nedeniyle ortaya çıkabilecek risklerin önüne geçmeleri gerekiyor. Üst düzey yöneticilerin %63’ü, halihazırda veri yönetimi politikaları olmasa bile üretken yapay zekâ araçlarını kullanmaktan çekinmiyor.

Üretken yapay zekâ, 2024 Dijital Dünyada Güven Araştırmamıza katılan 3.800’den fazla üst düzey şirket ve teknoloji yöneticisinin ticari faaliyetlerde ve siber savunma alanında keşfetmekte olduğu sınırları kaldırıyor.

10 kişiden yaklaşık 7’si şirketlerinin siber savunma için üretken yapay zekâyı kullanacağını söylüyor. Platformlar, büyük dil modellerini (LLM'ler) siber teknoloji çözümleri ile birlikte lisanslıyor. Microsoft Güvenlik Copilot’u güvenlik yönetimi, olay müdahalesi ve güvenlik raporlamaya yönelik üretken yapay zekâ özellikleri sunmayı amaçlıyor. Google, benzer kullanım durumları için Security AI Workbench’i duyururken Crowdstrike ve Zscaler gibi birçok diğer güvenlik üreticisi de üretken yapay zekâyı kullanan özellikler sunduğunu açıkladı. Bazı şirketler, üretici araçları olmasa bile oltalama saldırılarını tespit etmek ve sınıflandırmak için üretken yapay zekâyı kullanıyor.

Siber savunma amacıyla üretken yapay zekâ

%69

Katılımcıların üçte ikisinden fazlası önümüzdeki 12 ay içinde siber savunma için üretken yapay zekâyı kullanacaklarını söylüyor.

%47

Yaklaşık yarısı siber risklerin tespiti ve azaltılması için halihazırda üretken yapay zekâyı kullanıyor.

%21

Yalnızca birkaç ay önce kamuoyuna sunulmasından bu yana, katılımcıların beşte biri üretken yapay zekâ sayesinde siber programlarından fayda sağladıklarını belirtiyor.

_{^{S7. Üretken yapay zekâyla ilgili olarak aşağıdaki ifadelere ne ölçüde katılıyorsunuz ya da katılmıyorsunuz? S10. Şirketiniz aşağıdaki siber güvenlik girişimlerini hangi ölçüde uyguluyor ya da uygulamayı düşünüyor?

Baz: Tüm katılımcılar=3876

Kaynak: PwC Dijital Dünyada Güven Araştırması 2024}}

Üretken yapay zekâ siber güvenlik dünyasına tam vaktinde geldi.

Savunma amaçlı. Şirketler, sürekli artan sayı ve karmaşıklıktaki insan kaynaklı siber saldırılar karşısında uzun süredir bunalmış durumda. Üretken yapay zekâ kullanımıyla karmaşık siber saldırıların büyük ölçekte gerçekleştirilmesi kolaylaşıyor. Araştırmacılar, Ocak ayından Şubat 2023'e kadar yalnızca bir ay içinde yeni sosyal mühendislik saldırılarında %135'lik bir artış tespit etti. WormGPT ve FraudGPT gibi hizmetler, kimlik hırsızlığı ve son derece kişiselleştirilmiş e-posta saldırılarına olanak tanıyor.

İnovasyonun güvenliğini sağlamak. Yeni iş kolları geliştirmek ve çalışan verimliliğini artırmak için üretken yapay zekânın birçok potansiyel faydasından faydalanmak isteyen şirketler, gizlilik, siber güvenlik, mevzuata uygunluk, üçüncü taraf ilişkileri, yasal yükümlülükler ve fikri mülkiyet konularında ciddi risklere davetiye çıkarıyor. Şirketlerin, bu çığır açan teknolojiden maksimum faydayı elde etmeleri için, teknolojiyle birlikte gelen geniş risk yelpazesini de bir bütün olarak ele almaları ve yönetişim yapılarını kurmaları gerekiyor.

Üretken yapay zekânın siber savunma için vaat ettikleri

Üretken yapay zekâ, keşiften eyleme kadar siber ölüm zincirinin (cyber kill chain) tamamında savunma amaçlı kullanılabilir. Geleceği en parlak olan üç alan ise şöyle:

Tehditlerin tespiti ve analizi. Üretken yapay zekâ, siber savunmada kritik bir rol oynayan tehdit tespiti ve analizi alanında çok değerli. Üretken yapay zekâ, geleneksel imza tabanlı tespit sistemlerinin elinden kaçan örüntüleri, anormallikleri ve tehlike göstergelerini saptayabilir.

Siber risk ve olay raporlaması. Üretken yapay zekâ ayrıca siber risklerin ve olayların raporlamasını çok daha basit hale getirmeyi vaat ediyor. Tedarikçiler bu konu üzerinde çoktan çalışmaya başladı. Üretken yapay zekâ, doğal dil işlemenin (NLP) yardımıyla, teknik verileri konu uzmanı olmayan kişilerin bile anlayabileceği kısa ve öz içeriklere dönüştürebilir. Olay müdahale raporlaması, tehdit istihbaratı, risk değerlendirmeleri, denetim ve yasal düzenlemelere uyum konularında da destek olabilir. Ayrıca, önerilerini herkesin anlayabileceği şekilde sunabilir ve hatta karmaşık grafikleri basit metinlere dönüştürebilir. Üretken yapay zekâ aynı zamanda, sektör standartları ve önde gelen uygulamalara göre karşılaştırma yapmak üzere şablonlar oluşturmak için eğitilebilir.

Uyarlanabilir kontroller. Bulut ve yazılım tedarik zincirinin güvenliğini sağlamak için güvenlik politikalarıyla ve kontrollerle ilgili sürekli güncellemeler yapılması gerekiyor. Bu da günümüzde oldukça zorlu bir görev. Makine öğrenimi algoritmaları ve üretken yapay zekâ araçları yakın zamanda şirketlerin tehdit profillerine, teknolojilerine ve şirket amaçlarına özel güvenlik politikaları önerebilir; bunları değerlendirip taslaklar oluşturabilir. Bu araçlar, politikaların bilgi teknolojileri ortamlarında bütüncül olup olmadıklarını test edip onaylayabilir. Üretken yapay zekâ, sıfır güven ortamında uç noktalar için risk puanlarını otomatik ve sürekli olarak değerlendirip atayabilir ve erişim taleplerini ve izinlerini gözden geçirebilir. Üretken yapay zekâ araçları tarafından desteklenen uyarlanabilir bir yaklaşım, kuruluşların gelişen tehditlere daha iyi yanıt vermesine ve güvende kalmasına yardımcı olabilir.

Güvenlik ekiplerinize yatırım yapın

Üretken yapay zekâ araçları, kritik siber güvenlik çalışanı eksikliğini gidermeye yardımcı olabilir. 2023 Dijital Dünyada Güven Araştırmamıza göre, CISO’lar, CIO’lar ve CTO’ların %39’u işten ayrılmanın giderek artan bir sorun olduğunu düşünüyor. %15’i için ise bu durum siber güvenlik hedeflerini sekteye uğratıyor.

Yasal düzenlemelerle ilgili belirsizliklere hazır olun

Üretken yapay zekânın şirket genelinde kullanımında olduğu gibi siber savunma amacıyla kullanımında da yapay zekayla ilgili düzenlemeler etkili olacak. Özellikle de önyargı, ayrımcılık, yanlış bilgi verme ve etik olmayan kullanım konularıyla ilgili. Beyaz Saray’ın Yapay Zekâ Haklar Bildirgesi Taslağı (Blueprint for AI Bill of Rights) ve taslak halindeki Avrupa Birliği Yapay Zekâ Yasası dahil son yönetmelikler etik yapay zekânın altını çiziyor. Üretken yapay zekânın toplumun büyük kesimlerini derinden ve hızlı bir şekilde etkileme potansiyeli olduğundan, dünyanın her yerindeki politika yapıcılar sınırları belirleme ve hesap verilebilirliği artırma konusunda aceleci davranıyor.

İlginizi güvenilir ve etik uygulamalara yöneltin

Yapay zekâya duyulan ilgi o kadar yüksek ki, yönetici katılımcılarımızın %63'ü, kişisel olarak GenAI araçlarını, veri kalitesi ve yönetişime yönelik herhangi bir dahili kontrol olmadan işyerinde kullanıma sunma konusunda kendilerini rahat hissedeceklerini söylüyor. Sektördeki üst düzey yöneticiler, teknoloji ve güvenlik yöneticilerine kıyasla bu konuda daha istekli (%74).

Ancak, üretken yapay zekâ araçlarının yönetişim olmadan benimsenmesi şirketleri gizlilik riski dahil birçok riske açık hale getiriyor. Kuruma özel bilgiler üretken yapay zekâya girilirse ne olur? Ayrıca, üretken yapay zekâ çıktılarının doğru şekilde nasıl değerlendirileceği konusunda eğitimi olmayan kullanıcılar, önerilerini uydurma verilere ya da önyargılı bilgilere dayandırabilir.

İnsan faktörünü göz ardı etmeyin

Üretken yapay zekâ araçları, insanların karar verme süreçlerine yardımcı olabilmek için birçok kaynaktan gelen bilgileri hızla işleyebilecek. Ayrıca, ihlallerin %74’ünün insanlardan kaynaklandığı düşünüldüğünde, savunma amaçlı yapay zekâ yönetişiminin insan faktörünü de içermesi gerekiyor.

Şirketlerin güvenilir ve etik yapay zekâ kullanımına rehberlik edecek sorumlu bir yapay zekâ araç setini (örn. PwC’nin araç seti) benimsemeleri onlar için isabetli olacak. Yapay zekâ genellikle teknolojinin bir fonksiyonu olarak görülse de en yüksek ve ideal kullanım için insan denetimi ve müdahalesi çok önemlidir.

Sonuç olarak, üretken yapay zekâya yönelik ümitler insanlara bağlı. Bilgili her kullanıcı güven koruyucusu olabilir; hatta olmalı da. Teknolojiyi bir yardımcı, co-pilot ya da öğretmen olarak kullanmanın sonucunda ortaya çıkabilecek riskleri öğrenmeleri için insanlara yatırım yapın. Şirketinizin risk önleyici rehberleriyle uyumlu olarak, onları üretken yapay zekâ modellerinin çıktılarını ciddi şekilde değerlendirmeleri konusunda teşvik edin. Güvenlik uzmanlarını sorumlu yapay zekâ ilkelerine uymaları için motive edin.