Değişen güvenlik ortamında, siber güvenliğin gündemi ne olacak?

Sınırları olmayan tehdit ekosistemi, şirketler ve hükümetler için dünya genelinde yeni zorluklar yaratıyor. Bu noktada 2025 yılı için çok sektörlü iş birliği kritik önem taşıyor. Aynı şekilde, kurumsal organizasyonların yeni tehditlere ve zorluklara karşı dirençli ve hazırlıklı olmaları gerekiyor. Aşağıdaki üç tahmin ise 2025 yılında karşılaşılabilecek durumlara dair CISO'lara bir fikir veriyor.

Yapay Zekâ, ‘Q-day’ ve Uyumluluk Sorunları

2025’te CISO’ların öncelikleri arasında yeni teknolojileri entegre etmek, yeni trendleri benimsemek ve kuruluşlarının güvenlik duruşunu güçlendirmek yer alacak. Ancak kötü niyetli aktörler, yazılım tedarik zincirlerinde, ağlarda ve uç noktalarda zayıf noktalar aramaya devam ediyor. Yapay zekânın yaygınlaşmasıyla birlikte, kimlik avı saldırılarının hızlanması, sosyal mühendislik için deepfake kullanımı ve daha yıkıcı kötü amaçlı yazılım saldırılarının otomasyonu öngörülüyor.

Kötü niyetli aktörler, kişisel veriler ve yapay zekâ ile daha etkili saldırılar gerçekleştirecek:

• 2024 yılında gerçekleşen veri ihlalleri, siber suçluların daha fazla kişisel veriye erişim sağlamasına olanak tanıdı. Bu veriler, yapay zekâ ile üretilmiş “deepfake” teknolojileriyle birleşerek, 2025’te daha gerçekçi ve etkili kimlik avı ve hedefli kimlik avı (spear phishing) kampanyaları başlatılmasını kolaylaştıracak.
• İnsan faktörü hâlâ en “hacklenebilir” unsur olduğundan, bu tür saldırılar daha fazla veri ihlaline veya kontrol sistemlerinin ele geçirilmesine neden olabilir. Hedefli kimlik avı saldırıları, çalışanların hassas verilere, finansal işlemlere ve fiziksel kontrol sistemlerine erişimi nedeniyle yıkıcı sonuçlar doğurabilir.

Q-day'e hazırlıklar başlamalı

• NIST’in Ağustos ayında yayımladığı post-kuantum kriptografi standartları ile birlikte, kuruluşların yeni standartları uygulamaya başlaması gerekiyor. Bu geçiş zaman alacak ve mevcut şifreleme standartlarını kırma kapasitesine sahip kuantum bilgisayarların ortaya çıkacağı tahmin edilen “Q-day” öncesinde hazırlık şart.
• Aynı zamanda, “şimdi topla, sonra deşifre et” stratejileri izleyen düşmanlar nedeniyle veri ihlalleri bekleniyor. Bu senaryonun tam etkisi henüz bilinmiyor ancak fidye yazılımlar, şantaj, hedefli kimlik avı gibi saldırılarda artış yaşanabilir. Önceki bir olayda hassas bilgiler kamuya açıklanmamış olsa bile, gelecekte bu durum değişebilir. Bu nedenle, 2025’te Q-day’e hazırlık, CISO’ların öncelikleri arasında olmalı.

Geçmişten ilhamla geleceğe hazırlık

2025 için kurumların stratejik siber güvenlik planları, hem yapay zekâ destekli hem de geleneksel tehditlere karşı proaktif risk yönetimini, gelişmiş tehdit algılama sistemlerini ve uyarlanabilir yanıt mekanizmalarını içermelidir. İş dünyası ve kamu sektörü, daha sofistike ve yıkıcı siber saldırılara ve veri ihlallerine karşı hazırlanırken, yapay zekâ ve makine öğrenimi araçlarını kullanarak anormal davranışları izlemek için en güçlü çözümleri benimsemelidir.

Kurumlar, siber güvenlik farkındalığını önceliklendirmeli ve çalışanların varlıkların korunmasındaki rollerini anlamalarını sağlamalıdır. CISO’lar, organizasyonlarının ilgili veri gizliliği yasalarına ve düzenlemelerine uyumlu olmasını sağlamak için dış uzmanlardan yararlanmaya devam etmelidir. Ayrıca olaylara yanıt vermek için oluşturulacak bir çerçeve, kapsamlı ve geleceğe dayanıklı bir siber güvenlik stratejisinin temel unsurlarından biri olmalıdır.