Yönetim Kurulu Arası Boşluk: CISO’ların Derin Sahtecilik Hakkında Konuşma Mücadelesi ve Çerçeveyi Nasıl Oluşturacakları

Siber güvenlik, şirketlerin, hükümetlerin ve bireylerin AI’ı yaygın olarak benimsemesiyle birlikte önemli bir dönemece giriyor. 82% ABD’deki şirketlerin işlerinde AI’ı kullanmakta veya kullanmayı düşünmekte olduğu için, organizasyonlar yeni verimlilikleri açığa çıkarmakta, ancak saldırganlar da öyle. İnovasyonu sağlayan aynı araçlar, tehdit aktörlerine sentetik içerik oluşturmayı alarm veren bir kolaylık ve gerçekçilikle mümkün kılıyor. Bu yeni gerçeklik, sentetik içerik (görseller, ses ve video) oluşturma ve kötü amaçlı derin sahtecilik (manipüle edilmiş ses, video veya görüntü) gibi önemli zorlukları da beraberinde getiriyor. Sadece birkaç tıklamayla, bir bilgisayara ve internete erişimi olan herkes, görselleri, sesleri ve videoları manipüle edebilir ve bilgi etosuna güvensizlik ve şüphe sokabilir.

Şirketlerin, hükümetlerin ve medya organizasyonlarının dijital iletişim bağımlılığı yaşadığı bir çağda, derin sahtecilik, sentetik kimlik dolandırıcılığı ve taklit saldırıları gibi risklerin altında kalma konusunda hata payı yoktur. Bu tehditler artık varsayımsal değil – Q1 2025’te alone derin sahtecilikle etkinleştirilen şirket dolandırıcılığından kaynaklanan finansal kayıplar 200 milyon doları aştı, sorunun büyüklüğü ve aciliyetini vurguluyor. Yeni bir tehdit manzarası, siber güvenliğe yeni bir yaklaşım gerektiriyor ve CISO’ların şirketlerinin güvenli kalmasını sağlamak için hızlı hareket etmesi gerekiyor. Ancak, yeni sermaye istemek ve derin sahteciliğin ciddiyetinin çeşitli düzeylerde bilgi sahibi olan bir yönetim kuruluna açık bir şekilde iletişim kurmak zor olabilir. Derin sahtecilik saldırıları devam ederken, her CISO’nun bu konuşmayı yönetim kuruluna getirmekte ön saflarda olması gerekiyor.

Aşağıda, CISO’lar ve yöneticiler için paydaş konuşmalarını yönetim kurulu, organizasyon ve topluluk düzeyinde kolaylaştırmak için bir çerçeve bulunmaktadır.

Tanışıklık Çerçevelerini Kullanın: Derin Sahtecilikleri Gelişmiş Sosyal Mühendislik Olarak

Yönetim kurulları, siber güvenliği tanıdık terimlerle düşünmeye şartlandırılmıştır: phishing e-postaları, fidye yazılımı saldırıları ve şirketlerinin ihlal edilip edilmeyeceği konusunda oluşan soru. Bu zihniyet, tehditlerin nasıl önceliklendirileceğini ve güvenlik bütçelerinin nereye tahsis edileceğini şekillendirir. Ancak AI tarafından oluşturulan içerik, özellikle derin sahtecilik söz konusu olduğunda, önceden tanımlanmış bir referans noktası yoktur. Derin sahtecilikleri bağımsız, yeni bir tehdit olarak çerçevelemek genellikle karışıklığa, şüpheye veya hareketsizliğe yol açar.

Buna karşı koymak için, CISO’lar konuşmayı yönetim kurulunun zaten anladığı bir şeyde sabitlemelidir: sosyal mühendislik. Derin sahtecilik tehdidi temelde yeni değil; endüstri içinde yıllardır var olan ve devam eden en önemli saldırı vektörü olan gelişmiş bir sosyal mühendislik biçimidir. Yönetim kurulları, phishing’in inandırıcı bir risk olduğunu zaten tanır ve ona karşı savunma için kaynakları onaylama konusunda rahatlar. Birçok yönden, derin sahtecilik, daha inandırıcı, daha ölçeklenebilir ve daha yetenekli bir sosyal mühendislik biçimi temsil eder ve hem organizasyonlara hem de bireylere yıkıcı bir kesinlikle hedef alır.

Derin sahtecilikleri bu şekilde çerçevelemek, CISO’ların mevcut eğitime, bütçe hatlarına ve kurumsal kas hafızasına başvurmasına olanak tanır. Yeni kaynaklar istemektense, talebi zaten onaylanmış güvenlik yatırımlarının bir evrimi olarak yeniden çerçeveleyebilirler. CISO’lar bu anlatıyı ne kadar çok kullanabilirse, bu daha büyük, acil sorunu ele almak için kaynaklara sahip olma olasılıkları o kadar yüksek olur.

Riski Gerçekçilikte, Sensasyonel Olarak Değil Sabitleyin

Gerçek dünya örneklerine işaret etmek, yönetim kurulunun derin sahtecilik tehditlerinin organizasyonlara nasıl etkileri olabileceğini anlamalarına yardımcı olabilir. Ancak, CISO’ların hangilerini yönetim kurulunun önüne koyduklarını düşünmek önemlidir, çünkü bunlar ters bir etkiye sahip olabilir. Hong Kong’ta 25 milyon dolarlık telgraf dolandırıcılığı gibi ünlü hikayeler, mükemmel başlıklar oluşturur, ancak yönetim kurulunda ters bir etki yaratabilir. Bu aşırı örnekler genellikle uzak veya gerçekçi görünmez ve “böyle bir felaket bizim başımıza asla gelmez” gibi bir algı yaratır. Bu, aciliyet duygusunu ortadan kaldırır ve korumaya yatırım yapma isteğini azaltır.

Bunun yerine, CISO’lar, bu riskin şirket içinde nasıl ortaya çıkabileceğini gösteren daha alakalı senaryoları kullanmalıdır, örneğin yönetici taklit veya iş görüşmesi dolandırıcılığı.

Bir örnekte, Kuzey Koreli tehdit aktörleri, AI tarafından oluşturulan yöneticileri içeren sahte bir Zoom görüşmesi oluşturdu ve bir kripto çalışanın duyarlı şirket bilgilerine erişmek amacıyla malware indirmesini sağladı. Sonunda, saldırganlar erişimi sağlayamadı, ancak bu tür saldırıların bir markanın bütünlüğü için oluşturduğu tehdit, şirket içi yönetim kurullarına bir uyan çağrısı olmalıdır.

Bir başka büyüyen taktik, sahte iş başvuruları kullanıyor, AI tarafından oluşturulan kimlik ve derin sahtecilik kimlik bilgileriyle şirket içi organizasyonlara sızmayı amaçlıyor. Bu kişiler genellikle ABD’nin düşmanları olan Rusya, Kuzey Kore veya Çin adına hareket ediyor ve duyarlı sistemlere ve verilere erişim arıyor. Bu eğilim, iç kaynakları tüketiyor ve organizasyonları ulusal güvenlik risklerine ve finansal sömürüye maruz bırakıyor.

Sık sık, bu tehditler radarın altında kalıyor. Her haber örneği için, onlarca örnek bildirilmemektedir, bu da bu tehdidin büyüklüğünü tam olarak anlamayı zorlaştırıyor. Saldırı ne kadar sıradan olursa, o kadar ürkütücü ve alakalı hale gelir. CISO’lar, bu gibi örnekleri – gerçekçi, alakalı ve evin daha yakınındaki örnekleri – paylaşarak, derin sahtecilik konuşmasını günlük iş operasyonlarına dayandırabilir ve neden bu gelişen tehdide yönetim kurulunda ciddi dikkat gösterilmesi gerektiğini vurgulayabilir.

Derin Sahtecilik Savunmasını Mevcut Dayanıklılık Ölçütlerine Bağlayın

CISO’lar, yönetim kurullarından sürekli olarak aynı soruları alır: İhlal olma olasılığımız nedir? En çok nerede savunmasızız? Riski nasıl azaltabiliriz? Phishing, fidye yazılımı ve veri ihlalleri devam ederken, bu zayıflıkların içinde temelde neyin değiştiği ve bunların artık geleneksel saldırı yüzeylerinin ötesine nasıl geçtiği gösterilmelidir.

İnsan Kaynakları, finans ve satın alma ekipleri – geleneksel olarak ön saflardaki savunucular olarak görülmez – sentetik taklitin sık hedefi haline geldi ve ortalama bir insanın bu tehditleri tespit etme yeteneği çok düşüktür. Aslında, her 1.000 kişiden sadece 1’i AI tarafından oluşturulan içeriği doğru bir şekilde tespit edebilir. CISO’lar, artık gelişmiş sosyal mühendislik eğitimi ve tüm organizasyon genelinde daha büyük siber dayanıklılık talebini ele almakla görevlidir, çünkü herkesin eğitilmesi, test edilmesi ve azaltmaya yardımcı olmak için bilinçlendirilmesi gerekiyor.

Derin sahtecilik savunması, kurumsal çapta dayanıklılığın bir uzantısı haline gelmeli ve aynı şekilde phishing simülasyonları, farkındalık eğitimi ve kırmızı takım egzersizleri gibi sürekli eğitim gerektirmelidir. CISO’lar, eğitim ve simülasyonlardan alınan ölçütlere dayanarak, bu sorunu yönetim kurulunun anladığı ölçütlere göre çerçevelemelidir. Eğer bir yönetim kurulu zaten dayanıklılığı organizasyon için bir stratejik öncelik olarak benimsemişse, derin sahtecilikler doğal olarak bir sonraki sınır haline gelir.

AI tarafından oluşturulan tehditler gelmiyor, zaten burada. Yönetim kurulunun dinlemeye ve liderlik etmeye hazır olması gerekiyor. AI’ın benimsenmesi, derin sahtecilik ve kimlik tabanlı saldırıların ölçeği ve sıklığını, öngörülemez ve sürekli değişen bir tehdit manzarasına dönüştürdü.

Ancak yönetim kurullarına derin sahtecilik veya ses klonlaması hakkında bir ön bilgiye ihtiyaçları yok. Onlar, bu tehditlerin organizasyonlarına neler getirebileceği konusunda net bir iş bağlamı ve daha büyük bir anlayışa ihtiyaç duyarlar. CISO’lar, konuşmalarını risk, maliyet ve operasyonel süreklilikte sabitlemelidir. Derin sahtecilik anlatısını tanıdık paradigmalara – phishing, sosyal mühendislik, dayanıklılık – hizalayanlar, yönetim kuruluna eyleme geçebileceği bir çerçeve ve bağlam sağlar, sadece tepki vermez.