Birkaç yıl önce, orta ölçekli bir finansal hizmetler firmasının CEO'su için dijital risk değerlendirmesi yapmak üzere görevlendirildim. Standart bir çalışmaydı: Yönetici hakkında kamuya açık bilgileri tarayın, riskleri belirleyin ve düzeltme önerilerinde bulunun. Kullandığım yapay zeka araçları, kapsamlı keşif çalışmasını on dakikadan kısa sürede tamamladı. Ortaya çıkan, sentezlenmiş bir profildi: Yönetim kurulu üyelikleri ve başlangıç tarihleri; hangi politika pozisyonlarını güçlü bir şekilde savunduğunu ve baskı altında hangilerinden ödün verebileceğini ortaya koyan bir kamuya açık yorum modeli; bir hayırseverlik ilgisi, bir saldırganın talebini bu ilgi etrafında şekillendirirse yöneticinin yanıt verme olasılığını açıklıyordu. Bu bilgilerin hiçbiri tek başına hassas değildi. Ancak sorgulanabilir tek bir anlatıda birleştirildiğinde, bir saldırganın hemen kullanabileceği bir araç haline geldi.
Baktığım şey, genel amaçlı bir yapay zeka aracına yapılan kamuya açık bir sorguydu. Ve bu, çoğu yönetici koruma programının henüz yüzleşmediği bir sorun. Hedefli bir sosyal mühendislik saldırısı için keşif aşaması artık günler değil, dakikalar alıyor ve gereken girdiler çok basit. Bir saldırgan, yöneticinin adını, şirketini ve birkaç anahtar kelimeyi bilerek, yapay zeka aracılığıyla kişiselleştirilmiş bir saldırı senaryosu oluşturabilir. Örneğin, yöneticinin bir konferansta yaptığı bir konuşma, bir hayır kurumuna yaptığı bağış veya bir sosyal medya paylaşımı, saldırgana güven inşa etmek için kullanılabilecek ipuçları sağlar.
Bu tür bir tehdit, geleneksel güvenlik önlemlerinin ötesine geçiyor. Çoğu şirket, yöneticilerini fiziksel tehditlerden veya doğrudan siber saldırılardan korumaya odaklanırken, dijital ayak izinin birleştirilmesiyle oluşan risk genellikle göz ardı ediliyor. Yapay zeka, bu parçaları bir araya getirerek bir yöneticinin karar verme sürecini, zayıf noktalarını ve manipüle edilebilecek alışkanlıklarını ortaya çıkarabiliyor. Örneğin, bir yöneticinin belirli bir konuda esnek olduğu bilgisi, bir saldırganın teklifini bu konu üzerine inşa etmesine olanak tanır. Bu, phishing e-postalarından telefon dolandırıcılığına kadar çeşitli saldırı vektörlerinde kullanılabilir.
Uzmanların Görüşleri
Peki, bu tehdide karşı nasıl korunulur? İlk adım, yöneticilerin kamuya açık bilgilerinin düzenli olarak taranması ve bu bilgilerin birleştirilmiş bir profil oluşturup oluşturmadığının değerlendirilmesidir. Yapay zeka araçları, bu süreci otomatikleştirerek potansiyel riskleri belirleyebilir. Ayrıca, yöneticilerin sosyal medya kullanımı, kamuya açık konuşmaları ve diğer dijital etkileşimleri konusunda farkındalık artırılmalıdır. Örneğin, bir yöneticinin seyahat programını paylaşması, bir saldırganın fiziksel bir saldırı planlamasına olanak tanıyabilir. Bu nedenle, kişisel bilgilerin paylaşımı konusunda katı politikalar oluşturulmalı ve yöneticiler bu politikalar konusunda eğitilmelidir.
Bir diğer önemli adım, yapay zeka tabanlı tehdit istihbaratı araçlarının kullanılmasıdır. Bu araçlar, yöneticiler hakkında kamuya açık bilgileri sürekli olarak izleyebilir ve bir saldırganın bu bilgileri kullanma olasılığını değerlendirebilir. Ayrıca, şirketler, yöneticilerin dijital ayak izlerini azaltmak için adımlar atabilir. Örneğin, eski sosyal medya hesaplarının kapatılması, kişisel bilgilerin kaldırılması ve kamuya açık profillerin sınırlandırılması gibi önlemler alınabilir. Bu, saldırganların kullanabileceği veri miktarını azaltır.
Teknik Analiz
Son olarak, şirketler, yöneticilerine yönelik sosyal mühendislik saldırılarına karşı düzenli tatbikatlar yapmalıdır. Bu tatbikatlar, yöneticilerin gerçek bir saldırıyı tanıma ve uygun şekilde yanıt verme becerilerini geliştirir. Ayrıca, şirket içi güvenlik ekipleri, yapay zeka araçlarının saldırganlar tarafından nasıl kullanılabileceğini anlamalı ve bu tehditlere karşı proaktif önlemler almalıdır. Unutulmamalıdır ki, yapay zeka hem savunma hem de saldırı amaçlı kullanılabilir; önemli olan, onu savunma tarafında etkin bir şekilde kullanmaktır.
Kaynak: csoonline.com