Rapçi Eminem, General de Gaulle ve bir İngiliz enerji şirketinin anonim CEO’sunun ortak noktası nedir? İlk bakışta hiçbiri. Ancak üçünün de sesleri yapay zeka (AI) tarafından yeniden yaratıldı. Bu teknoloji iyi bir şekilde kullanılabilirken, deepfake’in hâlâ hiçbir şeyden haberi olmayan halkı kandırmak için kullanıldığına dair endişeler var.
Üç örnek ve büyük bir sorun
Eminem örneğinde, yakın zamanda bir konser sırasında rapçinin sesini yazılımla yeniden yaratan ünlü DJ David Guetta’ydı. Bu kullanım hayranlar arasında kafa karışıklığına ve Amerikalı sanatçının telif hakkı ve iznine ilişkin sorulara neden olurken, özellikle müzik dünyasında yapay zeka sayesinde sesin deepfake kullanımı konusunu gündeme getirdi.
Ayrıca General de Gaulle’den ve onun bugün hiçbir ses izi kalmayan ve yakın zamanda Le Monde ve IRCAM (Akustik/Müzik Araştırma ve Koordinasyon Enstitüsü) tarafından yapay zeka kullanılarak yeniden inşa edilen ünlü 18 Haziran 1940 tarihli çağrısından da bahsedebiliriz. Bunu yapmak için araştırmacılar, Fransız komedyen François Morel’in ünlü konuşmasından alıntı yapan sesini kaydettiler ve ardından generalin sesini bunun üzerine eklediler.
Deepfake teknolojisinin ilgi çekici kullanımlarının çok ötesinde, anonim CEO’muzun durumunda, bu tekniğin kullanımı diğer taraftan çok daha kötü niyetliydi çünkü dolandırıcılar AI deepfake teknolojisini amacına uygun olarak liderin sesini tahrif etmek için kullandılar. telefonla yapılan soruşturmalar yoluyla 240.000 doları gasp etmekten.
Kurbanları bilgileri açığa vurmaları veya işlemleri gerçekleştirmeleri için kandırmak amacıyla sosyal mühendislik tekniklerinin kullanılmasından oluşan kimlik avı tekniği yeni değil. Bununla birlikte, kimlikleri çarpıcı bir gerçekçilikle taklit etmek için Derin Öğrenme (DL) ve yapay zekayı kullanmak, yeni bir tür derin sahte kimlik avıdır. Sesli kimlik avı veya “vishing” (sesin kimlik avı amacıyla kullanılması için), siber suçluların hedeflerine ulaşmak için kullandığı giderek daha karmaşık hale gelen taktiklerin cephaneliğine eklendi. Araştırmalar, siber savunucuların üçte ikisinin, bir saldırının parçası olarak kötü niyetli deepfake’lerin kullanıldığını gördüklerini söylüyor; bu da yıllık %13’lük bir artış.
Siber suçlular yasalardan daha güçlü olduğunda
Güvenilir bir sesi taklit etmek için yapay zekanın kullanılmasının yanı sıra, avukatlar veya banka danışmanları adına da sahte e-postalar gönderiliyor ve bu da dolandırıcıların kurbanlarının güvenini kazanmak için benimsediği çok katmanlı yaklaşımı gösteriyor. Bu aynı zamanda siber suçluların artık hiçbir şeyden vazgeçmediğini de gösteriyor. Daha önce daha savunmasız olduğu düşünülen insanlara saldırıyorlardı, şimdi kanunun temsilcileri bundan kaçamıyor. Bu spesifik vakalarda dolandırıcılığın hedefi olan avukat değil, kimliğinin kullanılması kanunun bu olguya karşı güçsüz olduğunu kanıtlıyor.
Bu tekniklerin hızla yaygınlaşmasının nedeni, insanların bugün birbirleriyle iletişim kurma biçimini örnek almalarıdır. Yalnızca WhatsApp’ta günde ortalama 7 milyar sesli mesaj gönderiliyor. Sesli ve görüntülü mesajlaşmanın daha yaygın hale gelmesiyle birlikte bu, siber suçluların kurbanlarla iletişime geçmesi için başka bir nimettir. Yapay zeka tabanlı video görüntüleme ve deepfake teknikleriyle birleşen kurbanlar, artık “şifrelerini çözemedikleri” bu yaklaşımların insafına giderek daha fazla maruz kalıyor. Peki bu saldırılara karşı nasıl korunacaksınız? Aslında cevap o kadar basit değil. Yasama tarafında, yanlış bilgiye ve hatta pornografiye karşı mücadele dışında hiçbir şey tam olarak belirtilmemiştir. Ancak konu o kadar yeni ve hareketli ki, etkili bir sonuçla ele almak karmaşık görünüyor.
Karanlık ağ, gerçek bir Deepfake teknolojileri kütüphanesi
Siber suçlular artık karanlık ağdan satın alınabilecek bir dizi deepfake hizmetine erişebiliyor. Karanlık ağı ziyaret etmek yasalara göre suç olmasa da yasa dışı araçlar kullanmak veya mal satmak suçtur. Ve diğer özelliklerin yanı sıra, mağdurların sesini dijital olarak yeniden yaratacak araçlar sunan gerçek yasa dışı pazar yerleri de var. Burası siber suçlular için gerçek bir El Dorado!
Giderek daha karmaşık hale gelen yöntemlerin bu kadar büyük bir cephaneliğiyle karşı karşıya kaldığımızda, teknolojinin siber suçlara, özellikle de deepfake’lere karşı savaşı kazanmak için yeterli olmayacağı açıktır. Deepfake’lere karşı yasal mevzuata ilişkin olarak, şu anda Fransa’da kullanımını açıkça sınırlayan hiçbir kural bulunmadığını belirtiyoruz. Şimdilik görüntü hakları, mahremiyetin ve kişisel verilerin korunması gibi genel hukuk hükümleriyle yetinmek zorundayız. Bununla birlikte, ilerlemeler devam ediyor. 4 Temmuz’da Senato, deepfake’leri hedef alan iki hükümet değişikliğini (Dijital Geçiş ve Telekomünikasyondan Sorumlu Bakan Delegesi Jean-Noël Barrot tarafından gerçekleştirildi) kabul etti. Amaç, derin sahtekarlığın Ceza Kanunu’na dahil edilmesini (1 yıl hapis ve 15.000 avro para cezası) ve ayrıca suçun elektronik iletişim ağı aracılığıyla işlenmesi durumunda ağırlaştırıcı bir durumun getirilmesini teklif etmektir.
Peki bu arada şirketler ne yapabilir?
Bunu asla yeterince tekrarlayamayız ama işe yaraması için çalışanların ve genel olarak halkın eğitimine odaklanmak gerekiyor. Bu belirleyici ve hayati bir kriterdir. Hassas bilgilere erişimi olan her kişinin kimliğini doğrulamak iyi bir başlangıç noktasıdır. İşletmelerin, iş arkadaşları, müşteriler ve diğerlerinden gelen e-posta, telefon veya sosyal medya yoluyla gelen şüpheli ve “olağandışı” talepleri tespit etmek için personel eğitimi ve farkındalığını artırmada önemli bir rolü var. Deepfake siber saldırılara ilişkin güçlü farkındalığın yanı sıra, çalışanların kendilerini ve işlerini korumak için bu siber saldırıları azaltabilecekleri veya engelleyebilecekleri birçok yol hakkında sürekli eğitim verilmesi bir öncelik olarak görülmelidir.
Ancak tüm bu önlemlere rağmen insan hatası kaçınılmaz olmaya devam ediyor. Ve giderek daha da profesyonelleşen suçlara karşı mücadelede siber savunucuların, bu büyüyen tehditlere yanıt vermek için yapay zeka tabanlı savunma mekanizmalarına başvurarak ateşe ateşle karşılık vermesi gerekiyor.
Ayrıca kurumsal düzeyde yapay zeka tabanlı kimlik güvenliği gibi yenilikçi teknolojiler, düzensiz kullanıcı davranışlarını tespit ederek siber saldırı ve veri ihlali riskini azaltır.
Tüm BT güvenliği olaylarının %84’ünden fazlası, güvenliği ihlal edilmiş kimliklerle ilişkilendirilebilir. Ancak kuruluşların neredeyse yarısı (%45) kimlik temelli saldırılara henüz hazırlanmaya başlıyor. Kimlik sürecinin üzerine inşa edildiği temel olan yapay zeka, kuruluşlara daha iyi görünürlük sağlamanın yanı sıra erişim ve kimlik yönetiminin karşılaştığı belirli risklere dair içgörü sağlar.
Kimlik süreçlerini ve kararlarını yapay zeka ile otomatikleştirip kolaylaştırarak siber güvenlik uzmanları daha gelişmiş savunma stratejilerine odaklanabilir. Yapay zeka hiçbir zaman değerli insan uzmanlığının yerini alamaz ancak güvenlik uzmanlarını, kimlik yönetimi profesyonellerini ve felaket müdahale ekiplerini desteklemek için onu güçlendirecek algoritmalar kullanarak onu geliştirebilir.
Kimlik avı veya deepfake kullanan dolandırıcılara karşı, akıllıca kullanıldığında yapay zeka, siber suçlarla mücadelede insanın yaratıcılığını destekleyebilir ve özellikle ön saflarda gözlemlediğimiz boşlukları doldurabilir.