Siber Güvenlik Uzmanlarına 2025 İçin En Önemli Tahminlerini Sorduk

2024'ün sonuna yaklaşırken siber güvenlik sektörü pek çok zorlukla karşı karşıya. Bir rapora göre, ilk olarak siber suçlardan kaynaklanan kayıplar 2017'den bu yana dört kat artarak 2,5 milyar dolara ulaştı .

Büyük şirketler fidye yazılımları nedeniyle milyonlar kaybediyor veya T-Mobile örneğinde müşteri verilerinin ifşa edilmesi nedeniyle 30 milyon dolarlık bir anlaşma sağlanıyor . Hatta ABD'li bir siber güvenlik firması yanlışlıkla Kuzey Koreli bir hacker'ı işe aldı .

Yeni milenyumun tam çeyrek yüzyılına ulaşırken, çevrimiçi güvenliğin manzarası kolektif ayaklarımızın altında değişmeye devam edecek. En son trendlerden haberdar olduğunuzdan nasıl emin olabilirsiniz? Aşağıdaki kılavuza göz atarak düzinelerce siber güvenlik uzmanının tahminlerini, uyarılarını ve tahminlerini tarayarak mahsulün kremasını topladık.

İşte yeni yıl boyunca siber güvenlik dünyasından neler bekleneceği.

2025 İçin En Büyük Siber Güvenlik Tahminleri:

• Nesnelerin İnterneti için Artırılmış Güvenlik
• Sıfır Güven Mimarisi Cihazların Ötesine Geçiyor
• Risk Ölçümü Temel Güvenlik Aracı Haline Geliyor
• Orta Düzey Siber Beceri Boşluklarına Odaklanma
• Yapay Zeka Araçları Şirketlerin Güvenlik Protokolüne Daha Fazla Entegre Olacak
• Yetersiz Yönetilen Varlıklara Karşı Dikkatli Olun

Nesnelerin İnterneti için Artırılmış Güvenlik

“Nesnelerin İnterneti” veya IoT, akıllı buzdolaplarından termostatlara, kapı zillerine ve hatta kalp pillerine kadar internete bağlı ve yazılım güncellemelerine dayanan tüm teknolojik cihazları ifade eder. Bugün hepsi her zamankinden daha iyi durumda ve bu durum birçok siber güvenlik uzmanının yüreğine korku salıyor; çünkü tüm bu cihazlar artık siber saldırılara karşı yeni bir savunmasızlığa sahip.

KnownHost CEO'su Daniel Pearson, IoT'nin sadece akıllı evler için olmadığını belirtiyor. İşletmelerin tesislerinde çok sayıda IoT cihazı bulunur: Sensörler, izleme ekipmanları, enerji yönetim sistemleri ve ampuller, kapı kilitleri ve CCTV sistemleri dahil günlük ofis eşyaları.

Pearson, çok sayıda potansiyel güvenlik açığıyla başa çıkmak için 2025 yılında işletmelerin "çok faktörlü kimlik doğrulama, düzenli şifreleme ve ürün yazılımı güncellemelerini kullanarak akıllı cihazlarının yeterince güvenli olduğundan emin olmaları" gerektiğini söylüyor.

Sıfır Güven Mimarisi Cihazların Ötesine Geçiyor

Sıfır Güven mimarileri, örtülü güveni en aza indirerek yanal saldırı risklerini azaltmak için sürekli doğrulama gerektirir. 2025 yılında bu taktikler yalnızca cihaz güvenliğinin ötesine geçerek tüm kullanıcıları, cihazları, uygulamaları ve etkileşimleri kapsamaya başlayacak.

Faddom'un CTO'su Ofer Regev, Sıfır Güven'in cihazların ötesine geçeceğini öngörüyor.

“Sıfır Güven, tüm dijital etkileşimler için kimlik doğrulama çerçevelerini içerecek şekilde cihazların ve ağların ötesine geçecek. Uzaktan çalışmanın ve merkezi olmayan sistemlerin artmasıyla birlikte geleneksel kimlik modelleri yetersiz kalacak. Bu, dinamik BT ortamlarında kullanıcı ve sistem davranışlarını izleme ve doğrulama yeteneğine sahip araçlar gerektirecektir." -Regev

Sıfır Güven genişlemesi ortaya çıkacak çünkü siber güvenlik uzmanları şirketlerinde güvenliği sağlamak için ek önlemler almaya devam edecek.

Risk Ölçümü Temel Güvenlik Aracı Haline Geliyor

Bitsight ve Diligent tarafından hazırlanan bir rapor, siber güvenlik şirketlerinin emsallerine göre dört kat daha yüksek finansal performans sergilemesine rağmen şirketlerin yalnızca %5'inin yönetim kurullarında siber uzmanların bulunduğunu ortaya çıkardı.

BT profesyonelleri yönetim kurullarıyla nasıl iletişim kurabilir? Diligent'in kendi CISO'su Monica Landen'e göre risk ölçümü, bunun "2025'te yönetim kurulu odanıza siber riskleri iletmek için en güçlü ve en güvenilir araç" olarak ortaya çıkacağını söylüyor. Landen, güvenlik sektöründeki risk ölçümünü sigorta sektöründeki risk değerlendirmesiyle karşılaştırıyor: Sürekli gelişiyor.

“2025, siber risklerin yönetim kuruluna doğru bir şekilde iletilmesi için kurumlar arası polenlerin daha fazla artırılacağı bir yıl olabilir. Güvenlik ekipleri tarihsel olarak birbirinden ayrı tutulmuştur, ancak zorluklarını ve başarılarını müşteri etkisine, satış hattına veya ürün geliştirmeye bağlayabilirlerse, bu engeller daha da kötüleşecek ve zayıf güvenliğin olumlu veya olumsuz etkisi yönetim kurulunda uygun şekilde yankı bulacaktır." -Landen

Şirketler, siber güvenliğin yeni yıl için genel risk yönetimi stratejilerinin temel taşı olmasını sağlamak için güçlü bir GRC çerçevesine ihtiyaç duyacak. 2025'te siber güvenlik, bir kuruluşun her düzeyinde bir öncelik olmalıdır.

Orta Düzey Siber Beceri Boşluklarına Odaklanma

Beceri geliştirme ve yeniden beceri kazanma, siber güvenlikle uğraşan beyaz yakalı çalışanlar için sürekli sorunlardır. Yazılım güncellemeleri sürekli olarak yayınlanıyor, bu nedenle çalışanların buna ayak uydurmak için her zaman yeni dereceler ve sertifikalar alması gerekiyor.

Infosec Enstitüsü Yapay Zeka Stratejisinden Sorumlu Başkan Yardımcısı Keatron Evans, beceri boşluklarının ve bunları kapatmak için gereken öğrenmenin 2025'te her zamankinden daha önemli olacağını öngörüyor. Ayrıca hesaplara girmesi gerekenler sadece giriş seviyesi çalışanlar değil.

"Siber güvenlik becerilerindeki boşluklardan bahsettiğimizde insanların sıklıkla yaptığı yanlış beyanlardan biri, bu açığı tüm giriş seviyesi rollere atfetmeleridir. Ancak sektör genelinde, en büyük boşluklardan bazılarının, birkaç yıllık çalışma deneyimine sahip deneyimli yeteneklere duyulan ihtiyaç kapsamında olduğunu fark ettik […]” -Evans

Evans, endüstrinin uygulamalı veya doğrulanabilir becerilerde ve bunları öğretmek için gereken kapsamlı öğrenmede büyük olasılıkla bir artış göreceğini söylüyor ve şunu ekliyor: "Zorluğun bir kısmı, endüstride gerekli olan derece ve sertifikaların düzeyidir." Çalışanların tükenmişlik riskini yeni sertifikalar eklemeye devam etme ihtiyacıyla dengelemesi gerekecek.

Ofer Regev, beceri açığı tartışmasını bir adım daha ileriye taşıyarak bunun hafif otomasyon araçlarını hızlandıracağını öngörüyor: Regev, "Küresel düzeyde kalifiye BT uzmanı sıkıntısı 2025'te daha da kötüleşecek" diyor ve "işletmeleri daha hafif, otomatikleştirilmiş araçları benimsemeye itecek. Kapsamlı uzmanlık gerektiren karmaşık çözümler, dağıtımı hızla basitleştiren ve değer sunan aracısız teknolojilere yerini kaybedecek."

Yapay zeka teknolojisinin kullanımına ilişkin tek tahmin elbette bu değil.

Yapay Zeka Araçları Şirketlerin Güvenlik Protokollerine Daha Fazla Entegre Olacak

Bu makale için danıştığımız siber güvenlik uzmanlarının yapay zeka ile ilgili pek çok farklı öngörüsü vardı ancak genel eğilim şu şekilde özetlenebilir: Yapay zeka, bir bütün olarak sektörde yer bulmaya devam edecek. Yapay zeka uzun zamandır sorun arayışında bir çözüm oldu ve 2025'te bu sorunları bulmaya başlayabilir.

Keatron Evans'ın öne sürdüğü gibi bu, teknoloji konusunda aşağıdan yukarıya doğru büyüyen bir anlayış gibi görünebilir:

“Siberde üstünlük sağlama konusunda ciddi olan kişilerin, yalnızca tüketici kullanımına değil, teknolojiye de yaklaşmaları gerekiyor. Gelecek yıl, temeldeki teknolojiyi ve onun nasıl çalıştığını anlamanın gerçek anlamda savunuculuğunun yapıldığı yıl olacak; bu, çalışanları katlanarak daha değerli hale getirecek." -Evans

Veri gizliliği şirketi Kiteworks'ün 2025 Tahmin raporuna göre bu, yapay zekanın veri eğitimine güvenmesinin yol açacağı veri güvenliği risklerini desteklemek gibi görünebilir.

“2025 yılında, daha katı küresel düzenlemeler, yapay zeka verilerinin işlenmesinde şeffaflık ve hesap verebilirlik gerektirecek ve kuruluşlar, hassas içeriği yanlış kullanma nedeniyle cezalarla karşı karşıya kalacak. Bu tehditlerle mücadele etmek için işletmelerin sağlam yapay zeka yönetişim çerçeveleri uygulaması, gizliliği koruyan teknolojilere öncelik vermesi ve uyumluluğu sağlamak ve güveni korumak için güvenli model geliştirme uygulamalarını benimsemesi gerekiyor." -Uçurtma çalışmaları

N2W Baş Çözüm Mimarı Sebastian Straub, yapay zekanın aynı zamanda yedekleme otomasyonuna da güç vereceğini söylüyor.

“2025, sıfıra yakın idari müdahaleyle yedekleme sistemlerinin başlangıcını görecek. Yapay zeka, veri kullanımı, uyumluluk gereklilikleri ve organizasyonel ihtiyaçlara ilişkin karmaşık kalıpları öğrenerek proaktif bir veri yönetimi uzmanı haline gelecek ve GDPR, HIPAA veya PCI DSS gibi uyumluluk standartlarına bağlılık da dahil olmak üzere neyin ne zaman yedeklenmesi gerektiğini bağımsız olarak belirleyecek." -Straub

Ancak yapay zeka adaptasyonu zorlu bir mücadeledir. Staub ayrıca yapay zekanın "sihirli bir çözüm olmadığı" konusunda da uyarıyor ve şirketler 2025 ve sonrasında yapay zekayı sistemlerine katma çabası içindeyken hâlâ birçok "talihsiz güven ihlali ve uyumluluk ihlali" göreceğiz.

Yetersiz Yönetilen Varlıklara Karşı Dikkatli Olun

CyCognito'nun CMO'su Tim Matthews, "bilinmeyen, yeterince yönetilmeyen varlıklar" nedeniyle veri ihlallerinde artış göreceğimizi savunuyor. Matthews, 2025'teki ihlallerin yüzde 70'inin bu varlıklardan kaynaklanacağını tahmin ediyor; bu, bugün birçok analistin tahmin ettiği yüzde 60'a kıyasla bir artışa işaret ediyor.

“Bu, genişleyen ve giderek karmaşıklaşan saldırı yüzeyleri, bulut geçişleri, üçüncü taraf bağımlılıkları ve uzaktan çalışma altyapısıyla desteklenecek. Kuruluşlar, reaktif, varlığa özel güvenlikten, bilinen envanterin dışındaki öğelere odaklanan, önce keşif yaklaşımına geçmeye zorlanacak.” -Matthews

Bu, çok daha fazla sektördeki teknoloji profesyonellerinden topladığımız daha geniş teknoloji trendleri tahminleriyle örtüşüyor: 2025'te sadece reaktif değil, daha proaktif önlemler gerekli olacak.

Sonuçta çevrimiçi güvenlik işi için hikaye aynı kalıyor. Araçlar ve protokoller ister yapay zeka işlevleri, ister Sıfır Risk mimarisi veya risk ölçümü olsun, bunların hepsi kötü aktörler ile siber güvenlik profesyonelleri arasında görünürde gerçek bir sonu olmayan sürekli bir beceri geliştirme yarışına işaret ediyor.