İngiltere Bilgi Komiserliği Ofisi (ICO), yapay zeka destekli siber tehditlerin artışı karşısında kurumları uyardı. Veri koruma düzenleyicisi, bugün yayınladığı beş adımlı rehberde, kuruluşların proaktif bir şekilde kendilerini hazırlamaları gerektiğini vurguladı. ICO'nun yürütme direktörü Ian Hulme, "Siber dayanıklılığa yatırım yaparak ve uygun güvenlik önlemlerini alarak, kuruluşunuzun elindeki kişisel verileri nasıl koruduğuna dair kamu güveni ve itimatı oluşturabilirsiniz" dedi.
ICO'nun belirlediği spesifik tehditler arasında yapay zeka ile güçlendirilmiş kimlik avı, deepfake destekli sosyal mühendislik, otomatik güvenlik açığı taraması ve istismarı, gerçek zamanlı olarak uyum sağlayan yapay zeka kötü amaçlı yazılımları, zayıf parolaları hedef alan kimlik bilgisi doldurma saldırıları, yapay zeka modellerine veri zehirleme ve dolaylı prompt enjeksiyon saldırıları yer alıyor. Kurumların bu tehditlere karşı en azından Cyber Essentials'ın beş kontrolünü ve Birleşik Krallık Siber Yönetişim Uygulama Kodunu uygulaması bekleniyor.
Hulme, temel güvenlik önlemlerinin yanı sıra ek savunma katmanlarının 'zorunlu' olduğunu belirtti. Bunlar arasında sağlam bir yama ve güncelleme süreci, çok faktörlü kimlik doğrulama (MFA), güçlü parola politikaları ve en az ayrıcalık ilkesinin denetlenmesi ve uygulanması yer alıyor. Ayrıca, kurumların tedarik zinciri ortaklarını da bu erişim politikalarına dahil etmesi gerektiği vurgulandı. ICO sözcüsü, "Kurumların, belirli bir zaman dilimindeki değerlendirme başarısına güvenmemesi ve bunun yerine dinamik tehdit tabanlı bir güvenlik yaklaşımı benimsemesi beklenir" açıklamasında bulundu.
Teknik Analiz
Son olarak, Hulme, kurumların GDPR kapsamındaki yükümlülüklerini yerine getirmeleri için 'uygun teknik ve organizasyonel önlemleri' almaları gerektiğini hatırlattı. Bu önlemler arasında veri minimizasyonu, düzenli veri denetimleri, personel farkındalık eğitimi, yapay zeka yönetişimi ve şifreleme yer alıyor. ICO, bir ihlal sonrası yaptırım kararı verirken kurumun 'saldırı yüzeyi, sektörü ve elinde tuttuğu verilerin' temel faktörler olduğunu belirtti. Sözcü, "Anahtar değerlendirme, bir kuruluşun karşılaştığı risk seviyesine uygun teknik kontrolleri uygulayıp uygulamadığı ve siber riskin nasıl yönetildiğini gösterebilmesidir" dedi.