Birleşik Krallık Bilgi Komiserliği Ofisi (ICO), temelleri doğru anlamanın, tehdidi anlamanın ve çok katmanlı savunmaları uygulamaya koymanın, kuruluşları yapay zeka destekli siber tehditlerden korumanın anahtarı olduğunu söyledi.
Yapay zeka kaynaklı saldırılardaki artıştan alarma geçen veri koruma düzenleyicisi, bugün kuruluşları yeni ortaya çıkan tehditlere karşı proaktif bir şekilde hazırlanmaya teşvik eden beş adımlı bir kılavuz yayınladı.
ICO'nun düzenleyici denetimden sorumlu genel müdürü Ian Hulme, "Siber dayanıklılığa yatırım yaparak ve uygun güvenlik önlemlerinin alınmasını sağlayarak, kuruluşunuzun sahip olduğunuz kişisel verileri nasıl koruduğuna dair kamuoyunun güvenini ve güvenini oluşturabilirsiniz" dedi.
Detaylar ve Etkileri
Düşmanların saldırılarda yapay zekayı nasıl kullandığını veya kurumsal yapay zeka sistemlerine nasıl saldırdığını daha iyi anlamak için okuyucuları öncelikle Ulusal Siber Güvenlik Merkezi'nin güncellenmiş Siber Değerlendirme Çerçevesine (CAF) yönlendirdi.
Sonuç ve Değerlendirme
Yapay zeka kaynaklı tehditler hakkında daha fazlasını okuyun: Bilgisayar Korsanları İlk Kez Sıfır Gün Geliştirmek İçin Yapay Zekayı Kullanırken Gözlemledi
ICO tarafından ana hatlarıyla belirtilen spesifik tehditler, siber güvenlik profesyonellerinin aşina olması ve şunları içermesi gerekir:
Meslektaşları, müşterileri veya tedarikçileri hedef alan yapay zeka destekli kimlik avı
Sistem Güvenliği
Çalışanlar üzerinde Deepfake destekli sosyal mühendislik kullanıldı
Otomatik güvenlik açığı taraması ve kullanımı
Tespitten kaçmak için gerçek zamanlı olarak uyum sağlayan yapay zeka destekli kötü amaçlı yazılım
Nasıl Önlem Alınmalı?
Zayıf şifreleri hedef alan kimlik bilgisi doldurma ve şifre saldırıları
Gelecekte Ne Bekleniyor?
Yapay zeka modellerinin veri zehirlenmesi
Dolaylı istem enjeksiyon saldırıları
Uzmanların Görüşleri
Siber Güvenliğin Temellerini Doğru Anlamak
ICO, kuruluşların Cyber Essentials'ın beş kontrolüne ve Birleşik Krallık'ın Siber Yönetişim Uygulama Kurallarına asgari düzeyde sahip olmasını beklediğini söyledi.
Ancak, ekstra savunma katmanlarının "gerekli" olduğunu ve makine hızındaki güvenlik açığı araştırmasını azaltmak ve düşmanların artık başarabileceği geliştirmeden yararlanmak için "sağlam bir yama ve güncelleme süreci" içermesi gerektiğini ekledi.
Bir ICO sözcüsü Infosecurity'e şunları söyledi: "Güvenlik açığı yönetiminin bir parçası olarak, bir kuruluş, açığa çıkan bir güvenlik açığının etkisini dikkate almalı ve bu değerlendirmeye dayalı olarak iyileştirici eylemlere öncelik vermelidir."
"Bu, bir güncelleme mevcut değilse diğer telafi edici kontrollerin gözden geçirilmesini de içerir ve zamanlama, gerçekleştirilen risk değerlendirmesine bağlı olacaktır. Harekete geçmeme kararı alınırsa ancak hala riske maruz kalma varsa, bu durumda gerekçe tam olarak belgelenmeli ve üst düzey düzeylerde üzerinde mutabakata varılmalıdır."
Blogda belirtilen ekstra güvenlik katmanları şunları içerir: tüm uzaktan erişimde, yönetici hesaplarında ve e-postada çok faktörlü kimlik doğrulama (MFA); güçlü şifre politikaları; ve en az ayrıcalık ilkesinin denetlenmesi ve uygulanması.
Önemli Gelişmeler
ICO, kuruluşların erişim kontrolleri için yapay zeka araçlarını kullanmanın güvenlik/gizlilik sonuçlarını anlaması gerektiğini ekledi.
Güvenlik ekipleri ayrıca bu erişim politikalarına ve daha geniş güvenlik incelemelerine tedarik zinciri ortaklarını da dahil etmelidir.
ICO sözcüsü, "ICO, kuruluşların belirli bir zamanda yapılan değerlendirmenin başarısına bağlı kalmamasını ve bunun yerine güvenliğe yönelik dinamik, tehdit temelli bir yaklaşım benimsemesini bekleyecektir" dedi. "Bu, tedarikçinin kritikliğine, sunduğu hizmet türlerine ve hizmet sağladığı kuruluş adına işlediği veri türüne bağlı olacaktır."
Teknik Analiz
Hulme, temel bilgilerin aynı zamanda düzenli olarak test edilen bir olay müdahale planını ve kapsamlı güvenlik izleme ve güvenlik açığı taramasını da içermesi gerektiğini savundu. Hulme, sonuçları iyileştirmek için yapay zeka araçlarını kullanarak ancak insan gözetiminin olmasını sağlamak gerektiğini savundu.
Veri Korumanın Temelleri
Son olarak Hulme, kuruluşlara kişisel verileri korumak için "uygun teknik ve organizasyonel önlemleri" uygulayarak GDPR kapsamındaki yükümlülüklerini yerine getirmeye çağırdı.
Bu şunları içerebilir:
Veri minimizasyonu ve depolama sınırlaması
Düzenli veri denetimleri
Yapay zeka destekli sosyal mühendislik de dahil olmak üzere personel farkındalığı eğitimi
Yüksek riskli kişisel verileri işleyen tüm yapay zeka araçları için koruma önlemlerini ve veri koruma etki değerlendirmesini (DPIA) içeren yapay zeka yönetimi
Hükümetin Yapay Zeka Siber Güvenlik Uygulama Kurallarına uygunluk
Bir ihlalin etkisini azaltmak için şifreleme ve takma ad kullanma
ICO'nun bir ihlalin ardından yaptırım eyleminin gerekli olup olmadığını nasıl değerlendirdiği sorulduğunda, kuruluşun "saldırı yüzeyi, sektörü ve tutulan verilerinin" temel faktörler olduğunu açıkladı.
Sözcü, "Bir kuruluş soruşturulduğunda [Siber Temeller] kontrolleri dikkate alınacaktır ancak bu, mutlaka düzenleyici işlem yapmayacağımız anlamına gelmez" dedi. “Önemli bir husus, bir Kuruluş, kuruluşun karşı karşıya olduğu risk düzeyine ve siber riskin nasıl yönetildiğini gösterip gösteremeyeceğine uygun teknik kontrolleri uygulamaya koymuştur."