Yapay Zeka ve Siber Güvenlik: Yeni Tehditler ve Fırsatlar
2023’ün sonlarından bu yana, yapay zeka ve özellikle ChatGPT gibi üretken yapay zeka çözümleri, iş dünyasında en çok tartışılan konular arasında yer aldı. Bu teknolojiler, her iş fonksiyonunda ve süreçlerinin her aşamasında aktif olarak kullanılmaya başlandı. Microsoft ve LinkedIn tarafından yayımlanan bir rapora göre, dünya genelindeki beyaz yakalı çalışanların dörtte üçü, aktif bir şekilde ChatGPT’yi kullandığını belirtti. Verimlilik ve üretkenlik açısından sağladığı katkılar göz ardı edilemezken, bu tür araçlar aynı zamanda siber güvenlik ekiplerinin yeni bir tehdit kaynağı haline geldi.
Yerli siber güvenlik şirketi Privia Security’nin Kıdemli Siber Güvenlik Uzmanı Onur Oktay, ChatGPT’nin oluşturduğu siber riskler hakkında önemli uyarılarda bulundu. “Gölge BT” Sorunu
Nisan 2024’te yayımlanan bir araştırmaya göre, ChatGPT, şirketler içinde bilgi güvenliği ve BT ekiplerinin bilgisi olmadan kullanılan hizmet olarak yazılım çözümlerinin başında gelmektedir. Bu duruma literatürde “gölge BT” adı verilmektedir. Onur Oktay, “Kurumsal bir şirkette kullanılan her türlü bulut tabanlı veya lokal yazılımın, BT ve siber güvenlik ekipleri tarafından denetlenmesi şarttır. Bu yazılımların nasıl ve hangi koşullarda kullanılacağı, olağandışı durumlarda ekiplerin bilgilendirilmesi gibi yönetişim ilkelerini benimseme görevi bu ekiplerin sorumluluğundadır. Başka bir deyişle, şirket içinde bu ekiplerin bilgisi olmadan kullanılan herhangi bir yazılım, beraberinde büyük riskler getirir. ChatGPT gibi, büyük veri setlerini kullanarak daha iyi sonuçlar veren üretken yapay zeka çözümleri, şirketler için büyük bir risk teşkil ediyor. Çalışanların gerçek iş verilerini, ticari sırları ve hassas bilgileri güvenlik kriterlerine dikkat etmeden ChatGPT gibi ürünleri kullanması, bu bilgilerin açığa çıkmasına veya şirkete yönelik organize siber saldırıların gerçekleştirilmesine neden olabilir. Ayrıca, kişisel bilgilerin şirket dışına çıkması, KVKK ve GDPR gibi kişisel veri odaklı yasaları ihlal ederek regülatif yaptırımlarla karşılaşmalarına yol açabilir.” şeklinde konuştu.
Üçüncü Taraf Uygulamalara Dikkat
Onur Oktay, ChatGPT’nin bireysel geliştiricilere özel amaçlar için GPT’ler geliştirme olanağı sunduğunu hatırlatarak, “ChatGPT, farklı amaçlar için geliştirilmiş eklentiler ve üçüncü taraf yazılımlara erişim olanağı sağlamaktadır. Üçüncü taraf geliştiricilerin devreye aldığı eklentileri kullanmanın riskleri daha da artırma olasılığı, bilimsel nitelikteki çalışmalarla kanıtlanmıştır. Üçüncü taraflar, işletmelerin veya kullanıcıların hassas verilerini bir şekilde ele geçirebilmektedir. Herhangi bir siber saldırgan için yalnızca bir kişisel ve hassas bilgiye sahip olması dahi tüm saldırı planını değiştirebilir ve başarı şansını artırabilir. Bu eklentiler, kullanıcıdan onay isteyerek yüklenebiliyor ve bu onayın kötüye kullanılma olasılığı mevcuttur. Bir bilgisayara zararlı yazılım yüklendiği andan itibaren saldırgan, kurumsal ağa sızmış sayılmaktadır. Bu durumda, risklerin gerçek zarara dönüşmesi neredeyse kaçınılmaz hale gelir.” ifadelerini kullandı.
Kimlik Avı Dolandırıcılığı Riskleri
ChatGPT gibi araçların bilgi güvenliği konusunda farkındalık olmadan kullanılmasının risklerinin yalnızca üçüncü taraf uygulamalarla sınırlı olmadığını vurgulayan Oktay, “ChatGPT’nin siber saldırganlara son derece sofistike saldırı vektörleri kodlama veya kimlik avı dolandırıcılığı/sosyal mühendislik odaklı materyaller sağlama yeteneklerine sahip olduğunu unutmamak gerekir. Platform, bu konuda politika geliştirse de kötüye kullanım hâlâ mümkündür. Herhangi bir kişisel bilgi kullanılarak oluşturulacak bir oltalama e-postası, şirket için kritik verilerin paylaşılmasına, şirket ağlarının kilitlenmesine ve fidye taleplerine kadar uzanan ciddi riskler doğurabilir. 2022’nin son çeyreğinden 2024’ün ilk çeyreğine kadar kimlik avı saldırısı e-postalarının %1.265 artması, ChatGPT’nin etkisini gözler önüne seriyor.” dedi.
Geliştiricilerin Endişeleri
Yazılımcıların kodlarını düzeltmek veya kontrol etmek için ChatGPT ve benzeri üretken yapay zeka araçlarından yararlanabildiğini belirten Onur Oktay, “Ancak yılın başında yayımlanan bir araştırma, 10 geliştiriciden neredeyse 9’unun yapay zeka kodlama araçlarını kullanmanın güvenlik açısından yaratabileceği sonuçlardan endişe duyduğunu ortaya koyuyor. Bu yaklaşım doğrudur; çünkü kod parçaları dikkatle incelenmeden gizlenen zararlı bölümlerin keşfedilmesi mümkün olmayabiliyor. İnternete bağlı bir bilgisayarla etkileşimde bulunan herhangi bir ticari veya kişisel bilgi, siber saldırganların hedeflerine ulaşması anlamına gelmektedir.” diyerek endişeleri dile getirdi.
Gizlilik ve Güvenlik Kültürü Oluşturma
ChatGPT’nin sağladığı verimlilikten yararlanmak isteyen işletmelerin, yapay zeka politikalarına yönelik strateji ve yönetim standartları geliştirmeleri gerektiğini vurgulayan Oktay, uzman desteği almanın önemine dikkat çekti:
- “Her ölçekten BT ekibi, şirket çapında hangi hizmet olarak yazılım çözümlerinin ve hangi uygulamaların kullanıldığına dair bilgi sahibi olmalıdır.”
- “Bu yazılımlardaki tüm hareketlerin düzenli olarak izlenmesi ve gizlilik/güvenlik politikalarındaki değişimlerin önemsenmesi gerekir.”
- “Bu konuda bir kültür oluşturma görevi liderlere düşmektedir. Çalışanlara düzenli bilgi güvenliği eğitimleri verilerek, bu konulara dair farkındalık kazandırılması, riskleri ve dolayısıyla maliyetleri en aza indirmenin ilk adımı olacaktır.”
Oktay, “Privia Security olarak, 2010’dan bu yana siber güvenlik sektörüne yön veren bir firma olarak, işletmelere siber güvenlik alanında danışmanlık çözümleri ve kurumsal bilgi güvenliği eğitimleri sunarak, bu kültürün oluşturulması sürecinde yanlarında olmaktayız. Kendi bünyemizde geliştirdiğimiz benzersiz ürünlerle birlikte, kamu ve özel sektörde önemli firmalar tarafından tercih edilen bir şirketiz. Özellikle PriviaHub ürünümüz, NATO çatısı altındaki dost ülkeler tarafından dikkatle takip edilmekte ve kullanılmaktadır. Amacımız, kurumsal segmentte CTO ve CIO’lara güvenilir bir iş ortağı olabilmektir.”
