Dikkat! İşe yanlışlıkla robot almayın
Şu bildiğimiz siteye girdiğimizde karşımıza çıkan kutucuğu işaretler gibi düşünün: “I’m not a robot.”
Ama iş dünyasında bazen bu kutucuk yetmiyor. Yanlışlıkla robot işe almak ya da daha kötüsü, kötü niyetli bir aktörü içeri almak mümkün
Yapay zekâ ve dijital teknolojiler sadece iş dünyasında verimliliği artırmakla kalmadı, aynı zamanda siber suçlular için de yeni fırsatlar doğurdu. Özellikle Kuzey Kore gibi devlet destekli aktörler, küresel iş piyasasına sızmak ve gelir elde etmek için giderek daha sofistike yöntemler kullanıyor. Bunun en güncel örneklerinden biri, dünya çapında tanınan siber güvenlik şirketi KnowBe4’ün başına gelen olay oldu. Şirket, tüm işe alım süreçlerini başarıyla geçen bir yazılım mühendisini ekibine kattığını düşünürken aslında Kuzey Koreli bir siber ajanı içeriye almıştı.
Siber güvenlik şirketi KnowBe4, geçtiğimiz yıl dahili yapay zekâ ekibi için bir yazılım mühendisi işe almak üzere ilan açtı. Standart süreçler izlendi: Özgeçmişler toplandı, mülakatlar yapıldı, geçmiş araştırmaları ve referans kontrolleri gerçekleştirildi. Tüm kontroller temiz görününce aday işe alındı ve kendisine Mac iş istasyonu gönderildi. Ancak cihaz teslim edilir edilmez kötü amaçlı yazılım yüklemeye başladı.
İşe alım süreci aslında oldukça ikna ediciydi. İnsan kaynakları ekibi, adayla dört ayrı video mülakat gerçekleştirdi. Görüntü, başvuru dosyasındaki fotoğrafla uyumlu görünüyordu. Yapılan geçmiş araştırması da temiz çıkmıştı çünkü aday, çalıntı ama geçerli bir ABD merkezli kimlik kullanıyordu. Fotoğrafın ise yapay zekâ ile manipüle edildiği daha sonra anlaşıldı. Araştırmalar sonucunda, çalışanın aslında Kuzey Kore bağlantılı sahte bir IT görevlisi olduğu ortaya çıktı.
“IT laptop çiftlikleri”
Bu tür dolandırıcılıklarda sahte çalışan, iş istasyonunun belirli bir adrese gönderilmesini talep ediyor. Daha sonra Kuzey Kore veya Çin’den VPN ile sisteme bağlanıyor. ABD mesai saatlerinde aktif görünebilmek için gece vardiyasında çalışıyor. Bu kişiler, işlerini gerçekten yapıyor gibi görünüyor, maaş alıyor ve kazancın büyük kısmını Kuzey Kore’nin yasa dışı faaliyetlerini finanse etmek için gönderiyorlar.
KnowBe4, yeni başlayanların kritik sistemlere erişimini kısıtladığı için olay daha fazla büyümeden engellendi. Ancak bu olay, işe alım ve güvenlik süreçlerinde dikkat edilmesi gereken noktaları bir kez daha gözler önüne serdi.
Büyük ölçekli bir tehdit
Bu vaka, sahte kimliklerle iş bulmaya çalışan, devlet destekli ve organize suç örgütlerinin ulaştığı noktayı gözler önüne seriyor. İleri düzey yapay zekâ araçları, çalıntı kimlikler ve VPN teknolojileri kullanılarak son derece ikna edici sahte adaylar oluşturulabiliyor. Bu durum, işe alım, insan kaynakları ve siber güvenlik süreçlerinin birlikte çalışmasının ne kadar kritik olduğunu bir kez daha kanıtlıyor.
KnowBe4 vakası, siber tehditlerin ne kadar sofistike hâle geldiğini ve artık yalnızca teknik saldırılardan ibaret olmadığını gösteriyor. Yapay zekâ ile üretilmiş görseller, çalıntı kimlikler ve VPN teknolojileri kullanılarak şirketlerin işe alım süreçleri bile hedef alınabiliyor.
- İK, IT ve güvenlik ekipleri arasındaki koordinasyon hayati önemde.
- İşe alım süreçleri, siber güvenliğin ilk savunma hattı hâline gelmiş durumda.
- Sürekli izleme ve farkındalık eğitimi, şirketlerin en güçlü sigortası.
Kısacası, dijital çağda güvenlik yalnızca sistemleri değil, insanları da kapsayan bütünsel bir yaklaşım gerektiriyor.
Bu olaydan çıkan dersler
- Hiçbirimiz bağışık değiliz.
Bir güvenlik firması bile aldatılabiliyorsa, üretimden finansa, turizmden perakendeye kadar tüm sektörler benzer risklerle karşı karşıya. - İşe alım artık stratejik bir risk yönetimi konusu.
Eskiden İK’nın sorumluluğu olan işe alım, bugün IT ve güvenlik ekiplerinin iş birliğini gerektiriyor. “Doğru kişiyi almak” sadece kültür uyumu değil, aynı zamanda siber tehditlerden korunmak anlamına geliyor. - Yapay zekâ çağında kimlik kırılgan.
AI destekli sahte fotoğraflar, deepfake videolar ve çalınmış kimliklerle yapılan başvurular şirketlerin “standart” doğrulama süreçlerini hızla aşabiliyor. Bu da yöneticilerin gözden kaçırmamaları gereken yeni bir risk katmanı. - Şeffaflık bir itibar yatırımıdır.
KnowBe4 olayı gizlemek yerine açıkça kamuoyuyla paylaştı. Bu, kısa vadede “itibar kaybı” gibi görünebilir ama uzun vadede güven artırıcı bir hareket oldu.
Kaynak: https://blog.knowbe4.com/how-a-north-korean-fake-it-worker-tried-to-infiltrate-us
