Yapay zeka (YZ) ve siber güvenlik ilişkisi ne?
Tehditleri otomatik olarak tespit etme, önleme ve bunlara cevap verme süreçlerini kapsayan, hem savunma hem de saldırı amaçlı iki yönlü bir etkileşim…
Yapay Zeka sistemleri güvenlik açıklarını hızlıca analiz ederken, siber suçlular da bu teknolojiyi daha karmaşık saldırılar düzenlemek için kullanabilmektedir.
Bu iki alanın kesişimi hem fırsatlar hem de riskler barındırıyor.
Yapay zeka, ağ trafiğini ve sistem günlüklerini gerçek zamanlı izleyerek anormal aktiviteleri (anormallik tespiti) insanlardan çok daha hızlı şekilde belirler.
Geleneksel imza tabanlı yöntemlerin aksine, potansiyel zararlı yazılımların davranışlarını tahmin edebilir.
Güvenlik ekiplerinin iş yükünü hafifletir, yanlış uyarıları (false positive) azaltır ve olay müdahale sürelerini önemli ölçüde düşürür.
Üretken yapay zeka araçları kullanılarak hedef odaklı, dil bilgisi hataları içermeyen ve gerçeğe çok benzeyen e-postalar yazılabilir.
Otomatik Saldırı Kodları: YZ algoritmaları, mevcut güvenlik duvarlarını aşabilecek varyasyonlara sahip zararlı kodları hızla üretebilir.
Deepfake ve Sosyal Mühendislik: Ses ve video taklidi yapan yapay zeka modelleri, şirket içi dolandırıcılık ve bilgi sızdırma operasyonlarında kullanılabilir.
Yapay zeka sistemleri yalnızca siber güvenliği sağlamak için kullanılmaz; aynı zamanda bu sistemlerin kendileri de bir saldırı hedefidir. YZ güvenliği, modellerin zehirli verilerle manipüle edilmesini (veri zehirlenmesi) ve gizli verilerin sistemden sızdırılmasını önlemeyi amaçlar…
KİMLİK DOĞRULAMANIN YALNIZCA YÜZ GÖRÜNTÜSÜNE DAYANDIRILMAMASI
Yapay zekâ çağında yalnızca yüzle tanıma sistemine güvenmek yeterli olmayabilir
Deepfake teknolojilerinin giderek daha gerçekçi hale gelmesi, bankacılıktan kamu hizmetlerine kadar uzaktan gerçekleştirilen işlemlerde kullanılan kimlik doğrulama yöntemlerini yeni bir tehditle karşı karşıya bırakıyor.
Kişisel Verileri Koruma Kurumu (KVKK) da biyometrik verilerin işlenmesinde ek güvenlik önlemleri alınması gerektiğine dikkat çekiyor.
Kimlik doğrulamanın yalnızca yüz görüntüsüne dayandırılmaması; temaslı çipli kimlik kartının okutulması ve çipte yer alan parmak izinin doğrulanmasıyla desteklenmesi gerektiği vurgulanıyor.
PARMAK İZİ TAKLİT EDİLEMEZ!
Bu yaklaşımın temelinde, deepfake teknolojilerinin yüz görüntüsünü taklit edebilmesine karşın, fiziksel çipli kimlik kartı ve çipte kayıtlı parmak izine dayalı doğrulamayı taklit edememesi yer alıyor.
Bankacılıktan telekomünikasyona, sigortacılıktan kamu hizmetlerine kadar birçok sektörde uzaktan kimlik doğrulama uygulamaları yaygınlaşıyor.
Kolaylık beraberinde riskleri de getiriyor.
Üretken yapay zekâ teknolojilerinin gelişmesiyle birlikte gerçek kişilerin görüntü ve sesleri kullanılarak oluşturulan deepfake içerikler de kimlik doğrulama sistemlerini hedef alan yeni saldırı yöntemlerinin önünü açıyor.
Temassız çipte yer alan iki boyutlu fotoğraf ise çok düşük seviyede karşılaştırma yapabiliyor.
KVKK'nın yayımladığı Yapay Zekâ Sistemlerinde Kişisel Verilerin Korunmasına Dair Tavsiyeler dokümanında da yapay zekâ sistemlerinin kişisel verilerin korunması açısından yeni riskler doğurabileceği belirtiliyor.
Özellikle biyometrik verilerin işlenmesinde veri minimizasyonu, güvenlik ve hesap verebilirlik ilkelerinin gözetilmesi gerektiği vurgulanıyor.
KİMLİK DOĞRULAMADA TEK KATMANLI GÜVENLİK YETERLİ OLMAYABİLİR
Siber güvenlik uzmanları, gelişmiş yapay zekâ modellerinin yüksek çözünürlüklü fotoğraflar, videolar ve sentetik yüz üretimiyle bazı görüntü tabanlı doğrulama sistemlerini yanıltmayı hedefleyen saldırılar geliştirebildiğine dikkat çekiyor.
Bu nedenle kimlik doğrulama süreçlerinde yalnızca yüz görüntüsüne dayalı kontroller yerine, farklı doğrulama unsurlarını birlikte kullanan sistemler önem kazanıyor.
Elektronik Kimlik Doğrulama Sistemi (EKDS) yaklaşımında ise doğrulama yalnızca görüntü analiziyle değil, kişinin sahip olduğu çipli kimlik kartındaki güvenli bilgiler ile kart sahibinin eş zamanlı parmak izi doğrulanmasına dayanıyor. Böylece doğrulama süreci tek bir biyometrik veriye bağımlı kalmıyor.
"YAPAY ZEKÂ GÜVENLİĞİ ARTIRIRKEN YENİ SALDIRI YÖNTEMLERİ DE ÜRETİYOR!"
Konuya ilişkin değerlendirmelerde bulunan Ümit Yaşar Usta, yapay zekânın güvenlik teknolojilerini geliştirirken saldırganların da aynı teknolojilerden faydalanabildiğini söyledi. Usta şunları kaydetti:
“Yapay zekâ yalnızca savunma tarafında kullanılmıyor. Aynı teknoloji, daha gerçekçi deepfake görüntüler oluşturmak, kimlik doğrulama sistemlerini yanıltmaya yönelik yeni yöntemler geliştirmek için de kullanılabiliyor. Bu nedenle kurumların güvenlik yaklaşımı da değişmek zorunda. Özellikle video konferans veya uzaktan kimlik doğrulama süreçlerinde yalnızca yüz tanıma teknolojilerine güvenmek gelecekte daha büyük riskler oluşturabilir. Kimlik doğrulamanın kişinin sahip olduğu güvenli bir unsurla desteklenmesi gerekiyor. Çipli Türkiye Cumhuriyeti Kimlik Kartı üzerinde bulunan güvenli alanlar bu noktada önemli bir avantaj sağlıyor.”
“Deepfake teknolojileri geliştikçe doğrulama sistemlerinin de gelişmesi gerekiyor. Kimlik doğrulama süreçlerinde yalnızca yüz görüntüsüne değil; çipli kimlik kartı, kriptografik doğrulama ve gerektiğinde biyometrik doğrulamanın birlikte kullanıldığı çok katmanlı modeller çok daha güçlü koruma sağlayacaktır. Aynı zamanda biyometrik verilerin merkezi sistemlerde saklanmaması da kişisel verilerin korunması açısından önemli bir güvenlik katmanı oluşturuyor. Nitekim son dönemde karşılaştığımız bazı vakalarda, bankalarda sahte kimlikle hesap açmayı başaran dolandırıcıların, Tapu Müdürlüklerinde kullanılan biOnay Kart Erişim Cihazları üzerinden gerçekleştirilen çip ve parmak izi doğrulaması sırasında tespit edildiğini gördük.”