Birkaç yıl önce, orta ölçekli bir finansal hizmetler firmasının CEO'su için dijital risk değerlendirmesi yapmak üzere görevlendirilmiştim. Standart bir görevdi: yönetici hakkında kamuya açık bilgileri toplamak, maruziyeti belirlemek ve düzeltme önerileri sunmak. Kullandığım yapay zeka araçları, kapsamlı keşif çalışmasını on dakikadan kısa sürede tamamladı. Bu hız, günümüzde yönetici koruma programlarının henüz yüzleşmediği bir gerçeği ortaya koyuyor: Hedefli sosyal mühendislik saldırıları için keşif aşaması artık dakikalar alıyor ve gereken girdiler çok basit.
AI aracının bana sunduğu şey, sentezlenmiş bir profildi. Yöneticinin yönetim kurulu üyelikleri ve başlangıç tarihleri, hangi politika pozisyonlarını güçlü bir şekilde savunduğunu ve hangilerinde baskı altında esneyebileceğini ortaya koyan bir kamuoyu yorumu modeli, belirli bir hayırseverlik ilgisi sayesinde hangi konulara duyarlı olduğu. Bu bilgilerin hiçbiri tek başına hassas değildi. Ancak tek bir sorgulanabilir anlatıda birleştirildiğinde, bir saldırganın hemen kullanabileceği bir araç haline geliyordu. Bu, genel amaçlı bir yapay zeka aracına yapılan halka açık bir sorguydu ve çoğu yönetici koruma programının henüz karşılaşmadığı bir sorundu.
Geleneksel yönetici koruma yaklaşımları, fiziksel güvenlik, siber tehditler ve itibar yönetimine odaklanır. Ancak yapay zeka, bu alanları birleştiren yeni bir tehdit vektörü yaratıyor. Kamuya açık veri noktalarını (sosyal medya gönderileri, konuşmalar, röportajlar, bağış kayıtları) birleştirerek, bir yöneticinin zayıf yönlerini, baskı noktalarını ve ikna edilebileceği konuları ortaya çıkaran bir profil oluşturmak mümkün. Bu, hedefli kimlik avı, dolandırıcılık veya şantaj girişimleri için bir yol haritası sunar. Saldırganlar artık bir yöneticinin hangi hayır kurumuna bağış yaptığını bilerek, o kurum adına sahte bir bağış çağrısı yapabilir; veya bir politika pozisyonu hakkında yaptığı yorumları kullanarak, onu manipüle edecek bir senaryo oluşturabilir.
Bu tehdidin en tehlikeli yanı, savunma mekanizmalarının yetersiz kalması. Geleneksel güvenlik duvarları, antivirüs yazılımları veya e-posta filtreleri, yapay zeka tabanlı bu tür keşifleri engelleyemez. Ayrıca, yöneticilerin kamuya açık bilgilerini tamamen gizlemesi de pratik değildir; çünkü bu, işlerinin bir parçasıdır. Çözüm, proaktif bir dijital risk yönetimi stratejisi gerektirir. Şirketler, yöneticilerinin dijital ayak izlerini düzenli olarak taramalı, hangi bilgilerin birleştirilerek bir saldırı profili oluşturabileceğini belirlemeli ve bu bilgilerin kaldırılması veya gizlenmesi için adımlar atmalıdır.
Önemli Gelişmeler
Uygulanabilir adımlar arasında şunlar yer alır: Yöneticilerin sosyal medya hesaplarının gizlilik ayarlarının sıkılaştırılması; kamuya açık konuşmalarda kişisel detayların sınırlandırılması; yöneticilerin düzenli olarak yapay zeka tabanlı profil taramalarından geçirilmesi; ve yöneticilere, bu tür keşif yöntemleri hakkında farkındalık eğitimi verilmesi. Ayrıca, şirketler, yapay zeka araçlarının yöneticiler hakkında topladığı verileri düzenli olarak denetlemek ve bu verilerin kaldırılmasını talep etmek için bir süreç oluşturmalıdır. Unutulmamalıdır ki, savunma hattının en zayıf halkası, genellikle en üstteki yöneticidir ve yapay zeka bu zayıflığı acımasızca ortaya çıkarır.
Sistem Güvenliği
Sonuç olarak, yapay zeka çağında yönetici koruma, yalnızca siber güvenlik ekiplerinin değil, tüm şirketin sorumluluğu haline gelmiştir. Kamuya açık bilgilerin birleştirilmesiyle oluşturulan profiller, hedefli saldırılar için bir silaha dönüşebilir. Şirketler, bu yeni tehdide karşı hazırlıklı olmak için geleneksel güvenlik yaklaşımlarının ötesine geçmeli ve yapay zeka tabanlı keşif yöntemlerine karşı proaktif önlemler almalıdır. Aksi takdirde, yöneticilerinin dijital ayak izleri, onların en büyük güvenlik açığı haline gelebilir.
Kaynak: csoonline.com