ChatGPT ve üretken yapay zekanın hızla benimsenmesi, bilgi güvenliği yöneticilerinin (CISO'lar) sınırlarını zorladı ve çalışanlar bu araçları iş yerlerinde test ediyor.Bu yılın başlarında yayınlanan bir anket, çok az işletmenin bu tehdit vektörünü üçüncü taraf bir siber risk yönetimi çözümüne sahip olacak kadar ciddiye aldığını buldu. CISO'ların %94'ü üçüncü taraf siber güvenlik tehditleriyle ilgiliyken (bunların %17'si bunu en önemli öncelik olarak görüyor) yalnızca %3'ü kuruluşlarında üçüncü taraf bir siber risk yönetimi çözümü uyguladı ve %33'ü bunu bu yıl yapmayı planlıyor.Güvenlik risk yönetimi yazılım firması Panorays, çalışanların neden olduğu kötüleşen ağ güvenliği sorunlarına yeni bir ışık tutuyor. Bu iç tehdit, çalışanlar kuruluşlarının ağını kullanarak üretken AI ve diğer AI araçlarını denediğinde ortaya çıkıyor.Araştırmaya göre, CISO'ların %65'i üçüncü taraf siber risk yönetimi bütçesinin artmasını bekliyor. Bu katılımcıların %40'ı bu yıl %1'den %10'a çıkacağını söyledi. Rapor ayrıca çok büyük işletmelerdeki CISO'ların (%73) orta ölçekli işletmelere (%47) göre üçüncü taraf siber güvenlik tehditleri konusunda daha fazla endişe duyduğunu ortaya koydu. CISO'ların yalnızca %7'si hiç endişelenmediklerini söyledi.Panorays CEO'su Matan Or-El, "CISO'lar üçüncü taraf siber güvenlik açıklarının oluşturduğu tehdidin farkındalar, ancak bu farkındalık ile proaktif önlemlerin uygulanması arasında bir boşluk var" dedi.CISO'ların boşlukları hızla analiz edip ele alarak savunmaları güçlendirmelerini sağlamanın, mevcut siber ortamda gezinmek için hayati önem taşıdığı konusunda uyardı. Yapay zeka geliştirmenin hızıyla, kötü niyetli kişiler bu teknolojiyi veri ihlalleri, operasyonel kesintiler ve daha fazlası için kullanmaya devam edecek.
Gözden Kaçan Zorluklar Siber Güvenlik Risklerini Artırıyor
Ankete katılan CISO'ların %20'sine göre, CISO'ların üçüncü taraf risk yönetimi sorunlarını çözmede karşılaştıkları en büyük zorluk, üçüncü taraf risk yönetimine ilişkin yeni düzenlemelere uyum sağlamak.CISO'ların çoğunluğu AI çözümlerinin üçüncü taraf güvenlik yönetimini iyileştirebileceğinden emin. Ancak Panorays raporunda adı geçmeyen diğer siber uzmanlar, AI'nın bu çözümü güvenilir bir şekilde sağlamak için çok yeni olduğunu savunuyor.Diğer zorluklar şunlardır:
- Üçüncü taraf risk yönetiminin işletme üzerindeki etkisinin iletilmesi: %19
- Büyüyen tedarik zincirinde riski yönetmek için yeterli kaynak yok: %18
- Yapay zeka tabanlı üçüncü taraf ihlalleri artıyor: %17
- Şirketlerinde Gölge BT kullanımına ilişkin görünürlük yok: %16
- Risk değerlendirme çabalarının kritikliğe göre önceliklendirilmesi: %10
Or-El, "Düzenleyici değişikliklerle ve artan üçüncü taraf siber riskleriyle yüzleşmek çok önemlidir," diye devam etti. "Kaynak kısıtlamalarına ve artan yapay zeka ile ilgili ihlallere rağmen, siber risk yönetimine yönelik bütçe tahsisinin artırılması doğru yönde atılmış olumlu bir adımdır."
Üçüncü Taraf Güvenlik Risklerini Azaltmanın Önemi
Siber güvenlik firması Beyond Identity'nin CEO'su Jasson Casey , AI araçlarına erişimin şirketleri karmaşık saldırılara maruz bırakabileceğini kabul etti. Bu araçlar, özel bilgileri açığa çıkarmak veya siber tehditler için giriş noktası olarak hizmet etmek üzere manipüle edilebilir.
Müşterilerinize istedikleri deneyimleri sunun
TechNewsWorld'e verdiği demeçte, "Yapay zeka modellerinin olasılıksal yapısı, güvenlik önlemlerini aşmak için kandırılabilmelerine olanak sağlıyor. Bu da sıkı güvenlik uygulamalarının önemini ve gizliliğe ve veri korumasına öncelik veren yapay zeka araçlarına olan ihtiyacı vurguluyor" dedi.Casey, Shadow IT'nin, özellikle AI araçlarının yetkisiz kullanımının, kurumsal siber güvenlik çabalarını önemli ölçüde baltaladığını ekledi. Veri ihlalleri riskini artırır ve olay müdahalesi ve uyumluluk çabalarını karmaşıklaştırır."Gölge BT'nin getirdiği zorluklarla mücadele etmek için kuruluşların şeffaflığı teşvik etmesi, popüler yapay zeka araçlarına güvenli alternatifler sunması ve kuruluş içinde yapay zekanın kullanımını yönlendiren katı ancak uyarlanabilir politikalar uygulaması gerekiyor" dedi.Kuruluşlar, çalışanların ihtiyaçlarını karşılayan mevcut, onaylı araçların eksikliği gibi gölge BT'nin temel nedenlerini ele alarak bu yetkisiz teknolojilerle ilişkili riskleri daha iyi yönetebilirler. CISO'lar, bilgi sızıntısı riskini azaltan güvenli, onaylı AI çözümleri sağlamalıdır.Gizliliğe ve veri bütünlüğüne saygı gösteren şirket içi AI araçları sunarak harici, daha az güvenli AI uygulamalarına olan bağımlılığı azaltabilirler. Casey, güvenlik bilincine sahip bir kültür oluşturmanın ve tüm AI araç kullanımının kurumsal politikalarla uyumlu olmasını sağlamanın gölge BT'nin yayılmasını engellemede önemli adımlar olduğunu belirtti.
Yenilik ve Güvenliğin Dengelenmesi
Bu düzeltme formülü kulağa basit gelse de, bunu gerçekleştirmek CISO'ların bugün karşılaştığı en büyük engellerden biridir. CISO'ların karşılaştığı en zorlu zorluklardan biri, teknolojik ilerlemenin hızlı temposu ve siber saldırganların kullandığı yenilikçi taktiklerdir."Yenilikçilik dürtüsünü kapsamlı güvenlik önlemlerine duyulan ihtiyaçla dengelemek, özellikle de gelişen yapay zeka teknolojileri ve gölge BT olgusu karşısında, sürekli uyanıklık ve uyum sağlama yeteneği gerektirir. Dahası, çalışanlar arasında güvenlik yorgunluğunun üstesinden gelmek ve proaktif bir güvenlik duruşunu teşvik etmek önemli engeller olmaya devam ediyor," diye belirtti Casey.Gen AI ve diğer AI araçlarının kullanımında ve benimsenmesinde en önemli artışlar, veri analizi, otomasyon ve gelişmiş karar alma süreçlerinden kazanç elde edebilecek sektörlerdedir. Bunlara finans, sağlık hizmetleri ve teknoloji dahildir."Bu artış, yapay zekanın faydaları ve riskleri hakkında daha ayrıntılı bir anlayış gerektiriyor ve kuruluşları güvenli ve etik yapay zeka uygulamalarını proaktif bir şekilde benimsemeye teşvik ediyor" dedi.
Gölge BT Maruziyetinin Risklerini Azaltma
Casey'e göre BT liderleri AI merkezli güvenlik eğitimi oluşturmaya öncelik vermeli. Çalışanların AI ile her etkileşimin potansiyel olarak temel modellerini eğitebileceğini fark etmeleri gerekiyor.
Forrester CX Araştırmasını edinin
Kimlik avına karşı dayanıklı kimlik doğrulamayı uygulayarak, kuruluşlar geleneksel kimlik avı güvenlik eğitiminden çalışanlarına AI araçlarının doğru kullanımı konusunda eğitim vermeye geçebilir. Eğitime bu odaklanma, yanlışlıkla gerçekleşen veri ihlallerine karşı sağlam bir savunma oluşturacak ve üçüncü taraf siber saldırılarına karşı savunma için iyi bir başlangıç noktası sağlayacaktır.CISO'lar için değerli bir takip, AI araçlarının ve ilişkili güvenlik risklerinin evrimleşen doğasını hesaba katan dinamik politikalar geliştirmektir. Politikalar, gizli ve tescilli girdileri kamu AI hizmetlerine sınırlamalı ve bu ayrıntıların ifşa edilme riskini azaltmalıdır.Casey, "Ek olarak, bu politikalar uyarlanabilir olmalı, düzenli olarak gözden geçirilmeli ve yeni tehditlere karşı etkili kalmak için güncellenmelidir," diye belirtti. "AI'nın kötüye kullanımını, potansiyel jailbreak'ler dahil, anlayarak ve buna karşı yasalar çıkararak, CISO'lar kuruluşlarını ortaya çıkan tehditlere karşı koruyabilir."
