İngiltere Bilgi Komiserliği Ofisi (ICO), yapay zeka (YZ) destekli siber saldırıların artışına karşı kuruluşları uyararak 5 adımlık bir koruma planı yayınladı. Veri koruma düzenleyicisi, kuruluşların bu yeni tehditlere karşı proaktif önlemler alması gerektiğini vurguluyor. ICO'nun yönetici direktörü Ian Hulme, 'Siber dayanıklılığa yatırım yaparak ve uygun güvenlik önlemlerini alarak, kuruluşunuzun elinde bulundurduğu kişisel verileri nasıl koruduğuna dair kamu güveni ve güvenini inşa edebilirsiniz' dedi.
ICO tarafından belirtilen spesifik tehditler arasında YZ ile güçlendirilmiş kimlik avı, derin sahte destekli sosyal mühendislik, otomatik güvenlik açığı taraması ve sömürüsü, gerçek zamanlı uyum sağlayan YZ tabanlı kötü amaçlı yazılım, zayıf parolalara yönelik kimlik bilgisi doldurma saldırıları, YZ modellerine veri zehirlenmesi ve dolaylı komut enjeksiyon saldırıları yer alıyor. Kuruluşların, Ulusal Siber Güvenlik Merkezi'nin güncellenmiş Siber Değerlendirme Çerçevesi'ni (CAF) inceleyerek saldırganların YZ'yi nasıl kullandığını anlamaları öneriliyor.
ICO, temel siber güvenlik önlemleri olarak Cyber Essentials'ın beş kontrolünün ve İngiltere Siber Yönetişim Uygulama Kodu'nun asgari düzeyde uygulanmasını bekliyor. Ancak ek savunma katmanlarının 'zorunlu' olduğunu belirten ICO, sağlam bir yama ve güncelleme sürecinin yanı sıra çok faktörlü kimlik doğrulama (MFA), güçlü parola politikaları ve en az ayrıcalık ilkesinin denetlenmesi ve uygulanmasını öneriyor. Ayrıca tedarik zinciri ortaklarının da bu erişim politikalarına dahil edilmesi gerektiği vurgulanıyor.
Son olarak ICO, kuruluşların Genel Veri Koruma Yönetmeliği (GDPR) kapsamındaki yükümlülüklerini yerine getirmeleri gerektiğini hatırlatıyor. Bu kapsamda veri minimizasyonu, düzenli veri denetimleri, personel farkındalık eğitimi, YZ yönetişimi (veri koruma etki değerlendirmeleri dahil), hükümetin YZ Siber Güvenlik Uygulama Kodu'na uyum, şifreleme ve takma adlandırma gibi önlemler sıralanıyor. ICO, bir ihlal sonrası yaptırım eyleminin gerekli olup olmadığını değerlendirirken kuruluşun saldırı yüzeyi, sektörü ve elinde bulundurduğu verilerin kritik faktörler olduğunu belirtti.