in ÇALIŞMA HAYATI, DERGİ, MEHTAP DEMİR, NİSAN – MAYIS 2024 SAYI 26

Riskin çözümü ‘tehdit zekası’

Küresel siber güvenlik ve dijital gizlilik şirketi Kaspersky’nin Global Başkanlarından Amin Hasbini ile Malezya’da ‘Cyber Security Weekend META’ Zirvesinde bir araya geldik. Küresel siber güvenlik trendlerinden yapay zekaya ve Türkiye’de siber güvenlik risklerine çeşitli konuları ele aldık…

Riskin-çözümü-‘tehdit-zekası

YAZI: MEHTAP DEMİR

Dr. Amin Hasbini, 11 yıldır görev aldığı Kaspersky’de Ortadoğu, Türkiye ve Afrika Bölgesinden sorumlu Araştırma Merkezi Başkanı olarak küresel analizler ve araştırmalara liderlik ediyor. ‘Cyber Security Weekend META’ Zirvesinde bir araya geldiğimiz Hasbini, Türkiye’deki siber tehdit dalgasının 2023’te, 2022’ye kıyasla yüzde 5 yükseldiğine dikkat çekerken “2 senedir üst üste en fazla siber saldırıya uğrayan ülke de Türkiye oldu” diye kaydediyor.

‘Daha güvenli bir dünya’ için teknoloji üretiyoruz diye konuşan Amin Hasbini en güncel siber riskleri, son dönemde öne çıkan küresel trendleri, yapay zeka etkisini ve bölge için kritik önem taşıyan Türkiye’de liderlerin yapması gerekenleri Fast Company için anlattı…

SALDIRGANLARI CEZBEDEN ÜLKE

Türkiye, 2022 ve 2023 yıllarında bölgede en fazla siber saldırıya uğrayan ülke oldu. Kritik altyapıların yanı sıra finans sektörü, devlet kurumları, hizmet sağlayıcılara yönelik saldırılar ön plandaydı. 2023 yılında Türkiye’ye yönelik 85 milyon tehdidi önlemişiz. Ayrıca, siber tehditler 2023’te bir önceki yıla kıyasla yüzde 5 yükseldi.

Bunun sebeplerinin başında, ülkenin dijital sistemlere geçişi ve gelişmekte olan teknolojik altyapıların saldırganları cezbetmesi var. Türkiye’de teknoloji kullanımının yüksek olması da önemli bir etken.

Bir diğer sebep ise ülkenin jeopolitik konumu bakımından son derece kritik bir noktada bulunması. Bu konum, saldırganları hem finansal kaynaklara erişim hem de fikri mülkiyet kaynaklarına erişim konusunda cezbediyor. Fikri mülkiyetten kastım, endüstriyel organizasyonlardan veri çalınması, yani bir ürünün imalat yöntemlerine ilişkin formüllerin ele geçirilmesi.

Casusluk amacı taşıyan ‘Advanced Persistent Threat’ (Gelişmiş Sürekli Tehdit) olarak adlandırılan saldırılar da yine Türkiye’yi hedef alan ileri düzey riskler arasında yer alıyor. Aslında, ülkenin 2 senedir üst üste saldırganların hedefi olması, hızlı büyüme ve güçlü potansiyelini de ortaya koyuyor. Türkiye’de bu tehditlerle başa çıkmak için hükümetin çeşitli girişimleri var.

STRATEJİ BELİRLEMEDE HATA

Liderler, siber güvenlik stratejilerini belirlerken birkaç kritik yaygın hata yapıyorlar. En fazla yapılan hata, organizasyonu koruyan etkenin, ‘teknoloji’ olduğunu düşünmeleri. Oysa, şirketinizi risklerden koruyan gelişmiş teknolojileriniz değil, ‘insan’ faktörü, yani gelişmiş teknolojileri kullanma becerisine sahip çalışanlarınızdır.

Doğru beceriler ve eğitimlerle donatılmamış insanlar varsa, teknolojileriniz ne kadar iyi olursa olsun sizi kurtaramaz. Kısıtlı finansal kaynaklara sahip organizasyonlar görüyoruz. Kendilerini, sınırsız kaynağa ve çalışanlara sahip şirketlerden daha iyi koruyabiliyorlar. İnsan hatası, siber saldırganlara kapıları açan başlıca faktördür.

Dolayısıyla liderlerin siber güvenlik stratejilerinin başında insanların farkındalığını artırmak ve onları gerekli becerilerle donatan eğitimler vermek olmalı. Sadece IT departmanlarında değil, muhasebeden sekreterliğe tüm çalışanlarda.

Liderlerin zihniyetlerini dönüştürmesi de stratejinin çok önemli bir parçası. Siber suçlularla bir savaş içinde olduklarını kabullenmeleri ve ‘tehdit zekası’ geliştirmeleri gerekli.

TEHDİT ZEKASI NEDİR?

Liderlerin bir strateji belirlerken, önce organizasyona dair derin bir araştırmayla başlayarak ‘tehdit modelini’ belirlemeleri gerekli. Bir şirketin ‘tehdit modeli’, organizasyonun ‘düşmanlarını’ belirlemesini sağlar. Size hangi profilde insanlar, neden saldırıyorlar? Önce bunun yanıtını bulmanız gerekiyor.

Bir finans kurumuna liderlik ediyorsanız, devlet kaynaklarına saldıranlardan daha farklı profilde insanlarla karşı karşıya olabilirsiniz. Her organizasyonun içinde bulunduğu ülke, sektör, müşteri gibi faktörlere göre şekillenen, kendine özgü, spesifik ‘tehdit modeli’ vardır. Dolayısıyla tehdit modellemesi yaparak liderlerin bunu çok iyi anlaması ve karşı tedbirler oluşturabilecekleri bir zihniyete sahip olmaları çok önemli.

‘Tehdit zekası’ ise modellemeden sonra gelir ve ne tür saldırılara uğrama ihtimaliniz olduğunu, saldırganların kullandığı en güncel teknolojileri anlamayı, muhalif bir zihniyet ve strateji oluşturmayı kapsar. Siz düşmanınızı tanıyor, onların davranışlarını simüle edebiliyor, gerekli modellemeler ve testler yapıyor, insanlarınızı bu konuda eğitiyor ve organizasyonunu koruyabiliyorsanız ‘tehdit zekası’ yüksek bir kurumsunuz demektir.

YAPAY ZEKA ETKİSİ

Yapay zeka ve ‘üretken yapay zeka’ (Gen AI), siber güvenlik alanını şekillendiren teknolojiler arasında öne çıkıyor. Yapay zekanın bir alt kümesi olan ‘Makine öğrenmesi’ algoritmalarını biz yaklaşık 20 yıldır kullanıyoruz.

Yapay zeka konusunun bir ‘dilemma’ yarattığını kabullenmek gerekli. Zira, hem “iyi” hem “kötü” insanlara, yani hem şirkete saldıranlara hem de şirketini korumaya çalışan liderlere yardımcı olduğu bir gerçek. Liderler yapay zekayı sistemlerine entegre ederek daha ileri koruma yöntemleri geliştiriyorken, saldırganlar ise daha iyi atak yöntemleri geliştirmek için bu teknolojilerden faydalanıyor.

Burada liderlerin geliştirmesi gereken strateji, ‘sürekli ilerleme’ üzerine olmalı. Güncel teknolojiler ve yapay zeka ile tüm sistemlerini donatmaları bir zorunluluk.

McKinsey’nin araştırmasına göre, C-seviye liderlerin yaklaşık 4’te 1’i, profesyonel görevleri için kişisel olarak yapay zeka araçlarından yararlanıyor. Yüzde 40’ı ise şirketlerinin yapay zeka yatırımlarını artıracağını ifade ediyor. Bununla birlikte, bazı organizasyonların ileri teknolojilerden korkarak, ‘yapay zekayı tehlikeli bulduklarını ve uzak durmak istediklerini’ söylediklerine şahit oluyoruz. Saldırganların yapay zekayı aktif ve iyi kullandığı bir dönemde böyle bir yaklaşım son derece hatalı. Bugün ‘phishing’ (oltalama) email’lerinin yaklaşık yüzde 21’i yapay zeka kullanılarak yapılıyor ve bu oran her geçen gün artıyor. Öyle ki, Türkiye’de ‘oltalama’ saldırıları bir yılda yüzde 9 oranında arttı. Sistemlerdeki belli bir güvenlik açığından yararlanan istismar saldırılarındaki artış ise yüzde 8’i buldu.

DEVRİMİN PARÇASI

Siber saldırganların, yapay zeka devriminin bir parçası olduklarını anlamak gerekiyor. Yapay zeka öncesi ve sonrasında koruma düzeyinin nasıl geliştiğine bakarsak, bunu oran vererek ele almak daha faydalı olur.

Yapay zekadan önce bir sistemi koruma düzeyimizin yüzde 99 olduğunu düşünelim. Şu anda herkes yapay zeka kullanıyor. Dolayısıyla, eğer organizasyon yapay zeka kullanmamaya karar verirse, korunma düzeyi en iyi ihtimalle yüzde 85’e düşecek ve saldırılara daha açık olacak. Bu büyük bir risk. Siber güvenlik ortamı geliştikçe siber tehditler de çeşitlenmeye ve karmaşıklaşmaya devam ediyor.

Bununla birlikte önümüzdeki yıllarda siber güvenlik alanını şekillendirecek bazı teknoloji ve trendler var. Bunlardan en önemlisi, yapay zekanın, ‘insan kabiliyetlerini’ kazanması olacak. Önümüzdeki 3-4 sene içinde gerçekleşmesi bekleniyor. Bu da şu anda işyerinizde 3’üncü eliniz gibi çalışan yapay zekanın, çok yakında çalışma arkadaşınız olabileceği anlamına geliyor.

5-6 sene içinde ise bir yapay zeka, 10 iş arkadaşının yerini alabilecek kapasitede olacak. Şu anda gündemde ‘AI halüsinasyonları’ var. Yaratıcılığını artırdığınızda halüsinasyon görmeye başlıyor ve hiç var olmayan hatta ‘imkansız’ olabilecek şeyleri yaratıyor. Bunun yaratabileceği problemleri düşündüğümüzde ‘insan faktörünün’ her zaman kritik olacağını da söyleyebiliriz. Dolayısıyla insanları bu yeni dünyaya hazırlarken de 10 yıl sonrasını düşünerek eğitmeniz önemli. Sürekli öğrenmenin artık bir opsiyon değil zorunluluk olduğu bir dünyada yaşıyoruz.

3 YENİ YATIRIM ALANIMIZ

  1. DRONE
    Şu anda hava sahasını sivil drone’lardan koruyan Antidrone teknolojisine sahibiz. Yapay zeka temelli bu sistem havadaki nesneleri tespit edip sınıflandırarak olaylara müdahale edebiliyor. Mobil teknolojiler, kritik altyapı, IoT ve otomotiv alanında ürettiğimiz ve üzerinde çalıştığımız teknolojiler var. Bir riskin girebileceği her alanda olası veya gelecek tehditlere karşı koruma sağlamak için yenilikçi teknolojilerin tamamı üzerinde çalışıyoruz.
  2. YAPAY ZEKA
    Biz bir teknoloji şirketiyiz. Dolayısıyla en büyük yatırımı AI’a yapacağız.
  3. SEMICONDUCTOR
    Yarı iletkenler, işlemciler yatırım yapacağımız bir diğer alan. Özellikle önümüzdeki yıllarda öneminin daha da arttığına şahit olacağız.

KRİTİK RAKAMLAR

  • 1 MİLYON DOLAR: “Başarılı” siber saldırının, bir şirkete verdiği zararın boyutu yaklaşık 1 milyon dolar değerinde.
  • % 68: Şirket liderlerinin yüzde 68’i, siber güvenlik risklerinin büyüdüğünü düşünüyor.
  • % 71: Saldırıların yüzde 71’inin ardında finansal motivasyonlar var.
  • % 30: 2023’te küresel olarak hedeflenen ‘fidye yazılımı’ gruplarının sayısı yüzde 30 arttı.
  • % 5: Türkiye’deki genel siber tehditlerin sayısındaki artış, 2023’te, bir önceki yıla göre yüzde 5’i buldu.
  • % 18: Türkiye’de 2023 yılında bankalardan kimlik bilgilerini ve diğer hassas verileri toplamak için yapılan saldırılarda yüzde 18 büyüme oldu.

LİDERLERE ‘İNSANA DAYALI’ YENİ YOL HARİTASI

  • “‘Siber güvenlikte neye yatırım yapmalıyım?’ diye soruyorsanız size cevabım: İnsanlara yatırım yapın. Onlar size rehberlik edecek. Steve Jobs’ın bir sözü vardı; ‘Akıllı insanları işe alıyoruz ki, bize ne yapmamız gerektiğini söylesinler.’
  • Güçlü zihniyete sahip doğru insanları doğru yerlerde kullanıyorsanız, işin nereye gittiğini zaten görecek ve size ne yapmanız gerektiğini söyleyecekler. Pek çok organizasyon, bu noktayı görmez, bu alanda rekabette geri kalır.
  • Bazı organizasyonlar teknolojiyi tüketir, bazıları ise onu yaratır. Yaratanlardan olmak istiyorsanız, doğru insanları alın ve onları dinleyin.”

Yazar: Mehtap Demir

Fast Company Türkiye Yazı İşleri Müdürü

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

hatadan-korkmayan-sirket-donemi

Hatadan korkmayan şirket dönemi
baglilik-sikintisi

Bağlılık sıkıntısı!