Yapay zeka, siber güvenlik için tehdit mi çözüm mü?

New York Times, Mayıs 2018’de ABD ve Çin’deki araştırmacıların, yapay zeka kullanıcılarının bilgisi olmadan, Amazon, Apple ve Google tarafından geliştirilen telefon bağlama ve web sitesi açma gibi yapay zeka (AI) sistemlerini başarılı bir şekilde kumanda ettiğini yazdı. Bu, kapıların kilidini açmak ve para aktarmak gibi daha kötü amaçlı komutlara geçiş olarak değerlendiriliyor.

Bcg.com, yapay zekanın avantajlarını ve teşkil ettiği tehlikeleri karşılaştıran geniş bir yazı yayınladı.

Alexa, Siri ve Google Asistan, uygulamadaki en yaygın yapay zeka programları fakat tek değiller. Siber hırsızların, bir finans kuruluşunun yapay zeka tarafından kontrol edilen müşteri tanıma yazılımını hedef alması ya da şüpheli rakiplerin başka bir şirketin yapay zeka temelli fiyatlandırma algoritmasına saldırması şaşırtıcı bir durum değil.

Hatta siber güvenlik firması Webroot tarafından yapılan bir araştırmaya göre, ABD ve Japonya’daki siber güvenlik uzmanlarının yüzde 90’ından fazlası, saldırganlardan çalıştıkları şirketlere karşı yapay zekayı kullanmalarını bekliyor.

İKİ TÜR RİSK UNSURU

Yapay zeka, CIO’lardan CISO’lara ve CRO’lara kadar kurumsal güvenlik sorumluluğu olan kişiler açısından işlerinin niteliğini değiştirecek şekilde iki tür risk unsuru teşkil ediyor. Bunlardan ilki; suçluların, kötü devlet aktörlerinin, ahlaki değerleri hiçe sayan rakiplerin ve iç tehditlerin, şirketlerin acemi yapay zeka programlarını manipüle edeceğine ilişkin riskler. İkincisi ise saldırganların mağdurların savunma zafiyetlerinden yararlanmak için yapay zekayı çeşitli şekillerde kullanması riski.

Siber güvenlik firması Crowdstrike’ın 2018 Küresel Tehdit Raporu’nun açıkça ortaya koyduğu gibi, devlet aktörleri ve suç çeteleri arasındaki çizgiler kaybolurken, saldırganların daha fazla araca erişimi kolaylaşıyor. Kötü amaçlı yazılım ve kimlik hırsızlığı donanımlarını tedarik etmek oldukça kolay ve karanlık ağ (dark web) piyasalarında bu araçları bulmak hiç de maliyetli değil. Yapay zeka destekli saldırı araçları da yolda ve önümüzdeki birkaç yıl içinde emtia fiyatlarında kolayca satışa çıkmaları bekleniyor.

Bununla birlikte yapay zekanın doğası gereği teşkil ettiği tüm risklere karşı çözümü kısmen de olsa yine yapay zekanın kendisini kullanarak bulmak mümkün. Deneyimler, şirketlerin yapay zekayı güvenliklerine entegre ederek, sistemlerini korumaya başlayabileceğini gösteriyor.

ŞİRKETLER YAPAY ZEKAYA DAHA FAZLA YATIRIM YAPACAK

Güncel yapay zeka uygulamalarının listesi halihazırda uzun ve gittikçe daha da uzuyor. Bankalar için daha hızlı ve net kredi puanlaması, sağlık bakım şirketleri için iyileştirilmiş hastalık teşhisi ve tedavi gelişimi, üreticiler için geliştirilmiş mühendislik ve üretim olanakları bu uygulamalara sadece birkaç örnek. 2017 yılında BCG ve MIT Sloan Management Review tarafından yapılan bir anket, şirketlerin yaklaşık yüzde 20’sinin yapay zekayı bazı tekliflere veya süreçlere dahil ettiğini ve yöneticilerin yüzde 70’inin yapay zekanın şirketlerinde gelecek beş yıl içinde önemli bir rol oynamasını beklediğini ortaya koydu.

Tüm faydalarıyla birlikte, önemli riskler de var elbette.

Örneğin, makine öğrenimi algoritmaları ve farklı koşullara nasıl cevap vereceğini öğrenmek için eğitme verilerini kullanarak çalışan diğer bazı yapay zeka türleri… Burada öğrenme, çalışırken ek verileri dahil etmek suretiyle, yaklaşımlarını yinelemeli bir şekilde geliştirilmesiyle gerçekleşiyor. Güvenlik açısından, bu metodolojinin iki zorluğu var.

İlk olarak, yapay zeka sistemleri genellikle günlük insan müdahalesi olmadan, otomatik bir şekilde çıkarım yapma ve karar verme yetkisine sahip. Tehlikeye girebiliyorlar ve bu uzun süre tespit edilemeyebiliyorlar. İkincisi, bir makine öğrenimi veya yapay zeka programının belirli çıkarımlar yapması ve kararlar vermesinin sebepleri, denetçiler için her zaman net değil. Altta yatan karar verme modelleri ve verileri, olması gerektiği gibi şeffaf veya hızlı bir şekilde yorumlanabilir değil (bu tür araçların şeffaflığını artırmak için önemli girişimler olsa da). Bu, bir ihlal tespit edilse bile amacının anlaşılmayacağı anlamına gelmekte.

Daha fazla makine öğrenimi veya yapay zeka sistemi fiziksel sistemlere bağlandıkça veya kontrol altına alındıkça, kötü niyetli müdahalelerden kaynaklanan ciddi neticeler (yaralanma ve ölüm dahil) de artacaktır. Özellikle de bu alandaki öncü firmalar tarafından siber güvenlik endişelerinin yapay zekanın benimsenmesinde dikkate alınırken, yeniliğin gerisinde kalan şirketlerin siber güvenlik konusunda daha az endişe ettiği bilinen bir gerçek.

Şirketlerin yapay zeka girişimleri, kötü niyetli yozlaşma veya eğitim verilerinin manipülasyonu, dahil olmak üzere bir dizi potansiyel güvenlik açığı teşkil ediyor. Hiçbir sektör bu durumdan muaf değil, makine öğreniminin ve yapay zekanın halihazırda rol oynadığı dolayısıyla risklerin arttığı birçok kategori bulunmakta.

Örneğin:,

  • Finansal (kredi sahtekarlığı daha kolay olabilir)
  • Marka veya itibar (bir şirket ayrımcı görünebilir)
  • Güvenlik, sağlık ve çevre (trafik akışını, tren güzergahlarını veya baraj taşmalarını idare eden siber-fiziksel cihazları kontrol eden sistemlerin gizliliği ihlal edilebilir)
  • Hasta güvenliği (klinik ortamda tıbbi cihazlara ya da tavsiye sistemlerine müdahale gerçekleşebilir)
  • Makine öğrenimini ya da yapay zeka sistemlerini kullanan Nesnelerin İnterneti’ne (IoT) bağlı cihazlara müdahale edilebilir.

Şirketler için iyi haber ise hem siber güvenlik kabiliyetlerini artırmak hem de yapay zeka inisiyatiflerini korumak için yapay zekanın gücüne dokunabiliyor olmaları. Dahası, yapay zekâya yapılacak yatırımların çok büyük olasılıkla geri dönüşleri olacak.

Yapay zeka, sadece mevcut algılama ve yanıtlama kabiliyetlerini geliştirmekle kalmıyor, aynı zamanda önleyici savunmada yeni kabiliyetler sağlıyor. Şirketler ayrıca, zaman alan, karmaşık manuel denetim ve müdahale süreçlerini azaltarak ve insan emeğini denetleyici ve problem çözme görevlerine yönlendirerek güvenlik işletim modelini geliştirebilip modernize edebiliyor. Yapay zeka siber güvenlik firması Darktrace, makine öğrenimi teknolojisinin, sıfır gün saldırıları (yazılımda bir zayıflığın keşfedildiği gün gerçekleşen saldırılar), içeriden gelen tehditler, sinsi ve gizli saldırılar da dahil olmak üzere 5.000’den fazla ağda önceden bilinmeyen tehditler tespit ettiğini iddia ediyor.

Ortalama büyük bir bankanın, sıradan ve masum (örneğin yanlış şifre giren müşteriler) vakalardan, kasıtlı saldırı girişimlerine kadar günlük mücadele ettiği siber olayların sayısını düşünün. Bankanın gerçekten tehlikeli olan sinyali daha basit vakalardan ayırmak için otomatik sistemlere ihtiyacı vardır. Orta ve uzun vadede, yapay zekaya yatırım yapan şirketler operasyonel verimlilik ve potansiyel işletme-gider tasarrufu sağlayabilir.

YAPAY ZEKAYI UYGULAMA ALANLARI

Mevcut siber güvenlik sistemlerini ve uygulamalarını geliştirmek için kuruluşlar yapay zekayı üç düzeyde uygulayabilir.

Önleme ve Koruma. Araştırmacılar, bir süredir yapay zekanın siber işgalcileri durdurma potansiyeline odaklanmış durumda. ABD Savunma Gelişmiş Araştırma Projeleri Ajansı 2014 yılında, profesyonel bilgisayar korsanlarının ve bilgi güvenliği araştırmacılarının güvenlik kusurlarını çözebilecek ve gerçek zamanlı olarak çözüm geliştirebilecek ve uygulayabilecek otomatik sistemler geliştirdiği bir yarışma olan ilk DARPA Cyber Grand Challenge’ı duyurdu. Şu an için erken olsa da, siber güvenliğin geleceği, savunmaları güçlendirmek için gelişmiş makine öğrenim tekniklerini kullanan daha gelişmiş yapay zeka özellikli önleme ve koruma sistemlerinden fayda sağlayacak. Bu sistemler aynı zamanda insanların algoritmik karar verme ile esnek bir şekilde etkileşimde bulunmalarına izin verecek.

Algılama. Yapay zeka, bazı temel geçişlere izin verir. Bunlardan biri, imza temelli algılamadan (her zaman güncel olmaya ve bir saldırı imzasını tanımaya dayalı statik kurallar dizisi), daha esnek ve sürekli olarak iyileştirilen yöntemlere geçiştir. Yapay zeka algoritmaları ileri bir ‘anormal’ tanımına gerek duymadan, anormal görünen herhangi bir değişikliği algılayabilir. Diğer bir geçiş ise, geniş, düzenlenmiş eğitim veri dizileri gerektiren makine öğrenimine dayalı klasik yaklaşımların ötesine geçmek. Bazı şirketler güvenlik sistemlerinde birkaç yıldır makine öğrenimi programları kullanıyorlar ve daha gelişmiş yapay zeka tabanlı algılama teknolojileri (takviye öğrenme ve derin sinir ağları gibi), özellikle Nesnelerin İnterneti (İoT) uygulamalarında ilgi görüyor. Yapay zeka  ayrıca, derin paket muayenesi yapmak suretiyle dijital trafiği değerlendiren küçük izleme yazılımlarından ya da iç ve dış sensörlerden kaynaklanan potansiyel tehdit kaynakları hakkında fikir verebiliyor. Çoğu şirket için yapay zeka tabanlı algılama ve potansiyel otomatikleştirilmiş dayandırma işleminin veri kullanımını düzenleyen yasa ve düzenlemelere uygun olması için dikkatli bir politika yaratımı ve gözetimi gerektireceğini unutmamak gerek.

Tepki. Yapay zeka, dikkatin çekilmesi için risk alanlarına öncelik verilmesine yardım ederek ve sıklıkla yaptıkları manuel işleri akıllıca otomatikleştirerek siber güvenlik analistlerinin iş yükünü azaltabilir, böylece insan emeğini daha değerli faaliyetlere yönlendirebilir. Yapay zeka ayrıca, paylaşılan bilgi ve öğrenmeye dayalı olarak, görüş alanı dışında ya da içindeki saldırılara akıllı tepkiler verilmesine de olanak sağlayabilir. Örneğin, bugün saldırganların hedefledikleri yolda olduklarına inanmalarını sağlayacak, sızabilecekleri ortamın bir kopyasını yaratan yarı özerk, akıllı yem veya “tuzakları” uygulayacak ve sonrasında suçluyu tespit edecek teknolojiye sahibiz. Yapay zeka özellikli yanıt sistemleri, değerli varlıkları güvenli “yerlerde” tutmak veya saldırganları güvenlik açıklarından veya değerli verilerden uzaklaştırmak için ağları birbirinden ayırabilir. Bu, analistlerin onları bulmak için zaman harcamaları yerine yüksek olasılıklı sinyalleri araştırmaya odaklanabilmelerini sağlayacağından verimlilik konusunda yardımcı olabilir.

Otomatik yapay zeka güdümlü müdahalenin uygulanması, dikkatli bir tasarım ve stratejik planlama gerektirmekte. Bu özellikle izole edilmesi veya karantinaya alınması gereken kullanıcılar ile dijital-fiziksel ara yüzde çalışan sistemler (örneğin imalat veya tedarik zincirlerindeki kritik bağlantılar veya hastanelerde veya acil durumlarda kritik tıbbi cihazlar gibi) söz konusu olduğunda geçerli olacaktır.

HACKERLAR DA KULLANIYOR

Siber güvenlik daima silahlanma yarışının bir parçası olmuştur. Dönemin ABD Başkanı Obama, 2016’da Wired dergisine ABD nükleer kodlarına erişen yapay zeka destekli bir saldırgana ilişkin endişelerini dile getirmişti. Obama şu ifadeyi kullanmıştı: “Bu sadece onun işi ise, kendi kendine öğreniyorsa ve gerçekten etkili bir algoritma ise, o zaman büyük bir problemle karşı karşıyayız” Yapay zeka, saldırganların hızını, esnekliğini, fırsatlarını ve başarı şansını artırıyor. Yapay zeka algoritmaları kendi kendine öğrendiğinden, her bir girişim ve başarısızlıkla daha akıllı hale geliyor. Şirketler iş süreçlerini otomatikleştirmek ve iyileştirmek için yapay zekayı kullanabildikleri gibi, bilgisayar korsanları da güvenlik açıklarının tespitini ve exploit yazmayı (hackerlık) otomatik hale getirebilir.

Yapay zeka algoritmaları, genellikle internette yaygın olarak bulunan ve kullanımı kolay olan açık kaynaklı bir yazılım olma eğilimindedir. Tıpkı birçok şirketin kullandığı ‘hizmet olarak yazılım’lar (web browseri sayesinde internet tabanlı bir hizmet/servis olarak kullanıcıya ulaştırılan yazılımlar) gibi ‘hizmet olarak kötü amaçlı yazılım’ da oldukça yaygındır ve suçlular için uygulanabilir bir konudur. Üst düzey kötü amaçlı yazılım oluşturmak için siber suç sağlayıcıları arasında yüksek düzeyde bir rekabet bulunmakta. Şirketlere yeni hızlı ve ucuz inovasyon kaynağı sağlayan açık kaynaklı yapay zeka kütüphaneleri ve yazılımları aynı zamanda yeni bir güvenlik açığı kaynağı da olabilir.

Ek olarak, yapay zeka, kötü amaçlı yazılımların tespitini önlemeye de yardımcı olabiliyor. Her ne kadar güvenlik şirketleri ürünlerine yapay zeka özelliklerini giderek daha fazla entegre ediyor olsalar da, birçok anti virüs ve uç nokta koruma yazılımı halen büyük ölçüde imza temelli tespite güvenmekte. Buna karşılık, saldırganlar, kötü amaçlı yazılımın doğasını ve kaynaklarını gizleyen, dijital parmak izi ile tanınmayı zorlaştıran araçlar geliştiriyor.

Bugün karanlık ağda, herkes 10 ya da 20 kadar büyük virüsten koruma yazılımı tarafından algılanmayacağı garanti edilmiş ısmarlama bir virüs satın alabilir. Ancak savunma sistemleri zamanla bilgi edinirler. Bu bilgi, kötü amaçlı yazılımın kimliğini maskeleyen bir yapay zeka algoritması ile engellenebilir.

Şirketler yapay zeka ve siber güvenlik konularına iki perspektiften bakmalı: Kendi yapay zeka girişimlerini korumak ve yapay zeka etkin olsun olmasın tüm dijital varlıklarını korumak için, yapay zeka etkinleştirilmiş siber güvenliği kullanmak. Her ikisi de kafalarda soru işareti oluşturur. Yapay zeka girişimlerini koruyan ilk sorun hakkında dikkate alınması gereken sorulardan bazıları:

  • Yapay zeka tabanlı ürünlerimizi, araçlarımızı ve hizmetlerimizi nasıl koruyoruz?
  • Eğitim verilerimizi bozulmamış halde nasıl tutarız ve taraflı girdilere karşı nasıl koruruz?
  • Algoritmaları (veya uygulamalarını) nasıl koruruz?
  • Yapay zeka programlarımızın anormal davrandığını fark edersek anormal olayların gerçekleşmesini önleyen kontrol prosedürleri ve B Planı var mı?
  • Yapay zekamızın tahrif edilip edilmediğini tespit etmek için teknik ve beşeri izleme kabiliyetimiz var mı?
  • Hangi kabiliyetlere kimin (veya neyin) karar verip kontrol edebileceği konusunda kararlar aldık mı? Yapay zeka sistemlerine uygun bir sorumluluk matrisi girişi atadık mı? Yapay zekayı karar destek ya da uzman sistemlerle sınırlıyor muyuz, yoksa yapay zeka programlarının kendi başlarına karar vermelerine izin veriyor muyuz (eğer öyleyse, bunlar hangileri)?
  • Güvenlik nedeniyle hangi işlemlerimizin ya da etkinliklerimizin yapay zeka için yasak bölge olduğunu belirten uygun denetim politikaları ve üzerinde anlaşmaya varılmış bir tüzüğe sahip miyiz?
  • Siber güvenlik örgütlenmemizi, süreçlerimizi, politikalarımızı ve teknolojimizi yapay zekayı içerecek, yapay zekayı koruyacak ve bizi yapay zeka arızalarından koruyacak şekilde ayarladık mı?

İkinci husus (siber güvenlikte yapay zekayı güçlendirmek) için de yardımcı olabilecek cevaplanması gereken bir takım sorular şunlar:

  • Siber güvenlik portföyümüzde yapay zeka nerede kullanılıyor?
  • Operasyonel etkinlik, verimlilik ya da maliyet azaltmaya sebep olacak şekilde mi kullanılıyor (en azından orta ila uzun vadede)?
  • Yapay zeka her derde deva değil; Bir yandan, insanların nihayetinde siber güvenliğin ana zayıf halkası olmasından, diğer taraftan, beklendiği gibi bir sorun ortaya çıktığında yapay zekanın uyarı göndermesi ya da çalışmayı durdurması gerektiğinde, bu işe atlamaları gerekeceğinden, teknisyenleri ve son kullanıcıları bu konuda yeterince eğitmeye odaklanıyor muyuz?

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.

%d blogcu bunu beğendi: