AI Tehditlerine Karşı Bayer'den Devrim: Güvenlik Farkındalık Eğitiminde Psikoloji Çağı Siber Güvenlik

AI Tehditlerine Karşı Bayer'den Devrim: Güvenlik Farkındalık Eğitiminde Psikoloji Çağı

Bayer, AI tehditlerine karşı güvenlik farkındalık eğitimini kökten değiştiriyor: Teknik kontrollerden psikolojiye geçiş yaparak çalışanları sosyal müh

Yaşam bilimleri devi Bayer, yapay zeka çağında siber güvenlik stratejisini baştan aşağı yeniliyor. Şirketin CISO'su Kevin Jones, Infosecurity Europe 2026 etkinliğinde yaptığı açıklamada, AI destekli tehditler karşısında geleneksel güvenlik farkındalık eğitimlerinin artık işe yaramadığını ve bu nedenle eğitim programını psikoloji temelli bir yaklaşımla yeniden kurguladıklarını duyurdu. Bu dönüşüm, Bayer'i Avrupa'nın önde gelen agentic AI dağıtım organizasyonlarından biri yapma hedefinin önemli bir parçası.

"Farkındalık eğitimimizde teknikle ilgili her şeyi çöpe attık" diyen Jones, saldırganların artık "beş farklı dilde, gerçek zamanlı ve AI ile kitlesel olarak düzgün yazılar yazabildiğini" belirterek, yazım hatalarını, şüpheli URL'leri veya garip ekleri işaret etmenin artık anlamlı olmadığını vurguladı. Bunun yerine, çalışanlara psikolojik manipülasyonu tanıma, birinin gereksiz baskı uygulayıp uygulamadığını sorgulama ve süreçten önce "durup düşünme" becerileri kazandırılıyor. Bu yeni eğitim, zorunlu ve davranış odaklı olarak tasarlanmış durumda.

Jones, bu yaklaşımın somut bir başarısını da paylaştı: Geçen yılın sonunda, Avrupa, Orta Doğu ve Afrika bölgesindeki CFO, küresel CFO'larından birinden hafta sonu acil para transferi talep eden bir telefon aldı. Yeni eğitim sayesinde çalışanlar durumu hemen raporladı ve herhangi bir maddi kayıp yaşanmadı. Bu olay, güvenlik farkındalığını düşman psikolojisi etrafında yeniden çerçevelemenin, çalışanları giderek daha gerçekçi hale gelen sosyal mühendislik saldırılarına karşı etkili bir ilk savunma hattına dönüştürebileceğini kanıtladı.

Bayer'de AI yetkinliği, kontrollü erişimle doğrudan ilişkilendirilmiş durumda. Şirket, kendi geliştirdiği myGenAssist adlı dahili AI platformuna erişim için küçük, rol tabanlı eğitim modüllerini tamamlamayı şart koşuyor. Bu kademeli erişim modeli, çalışanların eğitimi tamamlamasını teşvik ederken güvenlik ekibine veri takibi imkanı sağlıyor. Ayrıca, platform içinde AI ajanları oluşturmak için ek eğitimler gerekiyor. Bu sistem sayesinde Bayer, agentic iş akışlarını kimin geliştirip çalıştırabileceğini kontrol altında tutuyor.

AI odaklı yaklaşım, Bayer'in güvenlik operasyonlarına da yansımış durumda. Jones, SOC analistlerinin manuel triyajdan denetimli otomasyona geçmesini hedeflediklerini belirtti. "Analistlerin ajanların hızında çalışamayacaklarını varsayıyoruz" diyen Jones, SOC ekiplerinin iki ila üç yıl içinde "insan döngü içinde" modelinden "insan döngü üzerinde" modeline geçeceğini öngörüyor. Bu dönüşüm için yeni operasyonel oyun kitapları ve eğitimler geliştiriliyor. Jones, SOC'lerin "güvenlik operasyon merkezleri"nden ziyade "siber dayanıklılık merkezleri" olarak düşünülmesi gerektiğini, çünkü gelecekte ortamları kontrollü bir şekilde değiştirebilmeleri gerekeceğini ekledi.

Bayer, iç eğitimlerin yanı sıra tedarikçilerine de AI kullanımı konusunda katı şartlar getiriyor. Tedarikçilerin myGenAssist'e kademeli erişimden önce AI eğitimini tamamlamaları zorunlu. Ayrıca, şirket bünyesinde bir AI Yönetişim Konseyi kurulmuş durumda; bu konsey, AI kullanımı ve dağıtımına ilişkin her stratejik adımı belirliyor. Tedarikçilerin bu standartlara uyması bekleniyor. Satın alma sözleşmelerine AI güvenlik ekleri eklenmiş olup, tedarikçilerin Bayer verilerini nasıl kullandıklarını, hangi AI araçlarını kullandıklarını ve olayları raporlamalarını zorunlu kılıyor. Bu değişiklikler şu anda büyük ortaklarla uygulanıyor ve önümüzdeki 18 ay içinde tüm tedarikçi tabanına yaygınlaştırılacak.

Kaynak: infosecurity-magazine.com

Paylaş: