ICO, Ortaya Çıkan Yapay Zeka Destekli Saldırılara Karşı Beş Adımlı Plan Yayınladı Siber Güvenlik

ICO, Ortaya Çıkan Yapay Zeka Destekli Saldırılara Karşı Beş Adımlı Plan Yayınladı

Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), temelleri doğru anlamanın, tehdidi anlamanın ve çok katmanlı savunmaları uygulamaya koymanın, kuruluşl...

Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), temelleri doğru anlamanın, tehdidi anlamanın ve çok katmanlı savunmaları uygulamaya koymanın, kuruluşları yapay zeka destekli siber tehditlerden korumanın anahtarı olduğunu söyledi.

Yapay zeka kaynaklı saldırılardaki artıştan alarma geçen veri koruma düzenleyicisi, bugün kuruluşları yeni ortaya çıkan tehditlere karşı proaktif bir şekilde hazırlanmaya teşvik eden beş adımlı bir kılavuz yayınladı.

ICO'nun düzenleyici denetimden sorumlu genel müdürü Ian Hulme, "Siber dayanıklılığa yatırım yaparak ve uygun güvenlik önlemlerinin alınmasını sağlayarak, kuruluşunuzun sahip olduğunuz kişisel verileri nasıl koruduğuna dair kamuoyunun güvenini ve güvenini oluşturabilirsiniz" dedi.

Detaylar ve Etkileri

Düşmanların saldırılarda yapay zekayı nasıl kullandığını veya kurumsal yapay zeka sistemlerine nasıl saldırdığını daha iyi anlamak için okuyucuları öncelikle Ulusal Siber Güvenlik Merkezi'nin güncellenmiş Siber Değerlendirme Çerçevesine (CAF) yönlendirdi.

Sonuç ve Değerlendirme

Yapay zeka kaynaklı tehditler hakkında daha fazlasını okuyun: Bilgisayar Korsanları İlk Kez Sıfır Gün Geliştirmek İçin Yapay Zekayı Kullanırken Gözlemledi

ICO tarafından ana hatlarıyla belirtilen spesifik tehditler, siber güvenlik profesyonellerinin aşina olması ve şunları içermesi gerekir:

Meslektaşları, müşterileri veya tedarikçileri hedef alan yapay zeka destekli kimlik avı

Sistem Güvenliği

Çalışanlar üzerinde Deepfake destekli sosyal mühendislik kullanıldı

Otomatik güvenlik açığı taraması ve kullanımı

Tespitten kaçmak için gerçek zamanlı olarak uyum sağlayan yapay zeka destekli kötü amaçlı yazılım

Nasıl Önlem Alınmalı?

Zayıf şifreleri hedef alan kimlik bilgisi doldurma ve şifre saldırıları

Gelecekte Ne Bekleniyor?

Yapay zeka modellerinin veri zehirlenmesi

Dolaylı istem enjeksiyon saldırıları

Uzmanların Görüşleri

Siber Güvenliğin Temellerini Doğru Anlamak

ICO, kuruluşların Cyber Essentials'ın beş kontrolüne ve Birleşik Krallık'ın Siber Yönetişim Uygulama Kurallarına asgari düzeyde sahip olmasını beklediğini söyledi.

Ancak, ekstra savunma katmanlarının "gerekli" olduğunu ve makine hızındaki güvenlik açığı araştırmasını azaltmak ve düşmanların artık başarabileceği geliştirmeden yararlanmak için "sağlam bir yama ve güncelleme süreci" içermesi gerektiğini ekledi.

Bir ICO sözcüsü Infosecurity'e şunları söyledi: "Güvenlik açığı yönetiminin bir parçası olarak, bir kuruluş, açığa çıkan bir güvenlik açığının etkisini dikkate almalı ve bu değerlendirmeye dayalı olarak iyileştirici eylemlere öncelik vermelidir."

"Bu, bir güncelleme mevcut değilse diğer telafi edici kontrollerin gözden geçirilmesini de içerir ve zamanlama, gerçekleştirilen risk değerlendirmesine bağlı olacaktır. Harekete geçmeme kararı alınırsa ancak hala riske maruz kalma varsa, bu durumda gerekçe tam olarak belgelenmeli ve üst düzey düzeylerde üzerinde mutabakata varılmalıdır."

Blogda belirtilen ekstra güvenlik katmanları şunları içerir: tüm uzaktan erişimde, yönetici hesaplarında ve e-postada çok faktörlü kimlik doğrulama (MFA); güçlü şifre politikaları; ve en az ayrıcalık ilkesinin denetlenmesi ve uygulanması.

Önemli Gelişmeler

ICO, kuruluşların erişim kontrolleri için yapay zeka araçlarını kullanmanın güvenlik/gizlilik sonuçlarını anlaması gerektiğini ekledi.

Güvenlik ekipleri ayrıca bu erişim politikalarına ve daha geniş güvenlik incelemelerine tedarik zinciri ortaklarını da dahil etmelidir.

ICO sözcüsü, "ICO, kuruluşların belirli bir zamanda yapılan değerlendirmenin başarısına bağlı kalmamasını ve bunun yerine güvenliğe yönelik dinamik, tehdit temelli bir yaklaşım benimsemesini bekleyecektir" dedi. "Bu, tedarikçinin kritikliğine, sunduğu hizmet türlerine ve hizmet sağladığı kuruluş adına işlediği veri türüne bağlı olacaktır."

Teknik Analiz

Hulme, temel bilgilerin aynı zamanda düzenli olarak test edilen bir olay müdahale planını ve kapsamlı güvenlik izleme ve güvenlik açığı taramasını da içermesi gerektiğini savundu. Hulme, sonuçları iyileştirmek için yapay zeka araçlarını kullanarak ancak insan gözetiminin olmasını sağlamak gerektiğini savundu.

Veri Korumanın Temelleri

Son olarak Hulme, kuruluşlara kişisel verileri korumak için "uygun teknik ve organizasyonel önlemleri" uygulayarak GDPR kapsamındaki yükümlülüklerini yerine getirmeye çağırdı.

Bu şunları içerebilir:

Veri minimizasyonu ve depolama sınırlaması

Düzenli veri denetimleri

Yapay zeka destekli sosyal mühendislik de dahil olmak üzere personel farkındalığı eğitimi

Yüksek riskli kişisel verileri işleyen tüm yapay zeka araçları için koruma önlemlerini ve veri koruma etki değerlendirmesini (DPIA) içeren yapay zeka yönetimi

Hükümetin Yapay Zeka Siber Güvenlik Uygulama Kurallarına uygunluk

Bir ihlalin etkisini azaltmak için şifreleme ve takma ad kullanma

ICO'nun bir ihlalin ardından yaptırım eyleminin gerekli olup olmadığını nasıl değerlendirdiği sorulduğunda, kuruluşun "saldırı yüzeyi, sektörü ve tutulan verilerinin" temel faktörler olduğunu açıkladı.

Sözcü, "Bir kuruluş soruşturulduğunda [Siber Temeller] kontrolleri dikkate alınacaktır ancak bu, mutlaka düzenleyici işlem yapmayacağımız anlamına gelmez" dedi. “Önemli bir husus, bir Kuruluş, kuruluşun karşı karşıya olduğu risk düzeyine ve siber riskin nasıl yönetildiğini gösterip gösteremeyeceğine uygun teknik kontrolleri uygulamaya koymuştur."

Paylaş: