Zluri’s’e göre, çalışanlar tarafından kullanılan AI araçlarının% 80’i BT veya güvenlik ekipleri tarafından yönetilmez. İşyerinde AI durumu 2025 rapor. AI, genellikle kimsenin farkına varmadan, işyerinin her yerinde ortaya çıkıyor. Bir CISO iseniz, kör noktalardan ve veri risklerinden kaçınmak istiyorsanız, AI’nın nerede göründüğünü ve tüm kuruluşta ne yaptığını bilmeniz gerekir.
Neler oluyor ve neden önemli
Kuruluşlar farklı ekiplerde düzinelerce, bazen yüzlerce AI araçlarını kullanıyor. Bu araçlar pazarlama, satış, mühendislik, İK ve operasyonlarda ortaya çıkar. Ancak çoğu güvenlik ekibi yaklaşık% 20’sinden daha azını biliyor. Çalışanlar genellikle AI uygulamalarını onay veya gözetim olmadan kendi başlarına denerler. Bu, gölge AI, BT bilgisi ve güvenlik dışında çalışan araçlara yol açar.
AI sistemleri hassas dahili verilerle etkileşime girdiğinde veya iş kararlarını etkileyen çıktılar ürettiğinde, bu gözetim eksikliği riskli hale gelir. Kontrolsüz araçlar bilinmeyen satıcılara bağlanıyor, genel sunucularda verileri saklıyor veya şifreleme veya denetim yolları olmadan giriş ve çıktıları paylaşıyor olabilir. AI günlük görevlere daha fazla entegre hale geldikçe, risk bileşikleri.
CISOS’un kritik davranması riskleri
Veri sızıntısı en acil tehditlerden biridir. BT tarafından yönetilmeyen AI araçları hassas iç bilgileri idare edebilir ve dış dünyaya maruz bırakabilir. Düzenlenmiş endüstrilerde, bu, özellikle korunan sağlık verileri, finansal bilgiler veya müşteri kayıtları söz konusu olduğunda, uyum ihlallerine kolayca yol açabilir. Artan bir diğer endişe de erişim yayılımıdır.
AI platformları genellikle hizmet hesapları oluşturur veya API anahtarları üzerinden bağlanır. Merkezi bir envanter olmadan, bu kimlik bilgilerinin izini kaybetmek kolaydır. Bu, saldırı yüzeyini arttırır ve denetim izlerinin eksikliği de vardır. Veriler kötüye kullanılırsa veya sızdırılırsa ve nasıl gerçekleştiğine dair bir kütük yoksa, yanıt neredeyse imkansız hale gelir.
Cisos ne yapabilir
-
Tüm AI araçlarında görünürlük elde edin
Kullanımda AI araçlarını tespit etmek için ağ, kimlik sistemleri ve SaaS kullanımı tarayan keşif platformlarına yatırım yapın. -
Risk seviyesine göre grup
Veri erişimine dayalı araçları sınıflandırın: Yüksek hassasiyetli erişim daha fazla inceleme gerektirir. Buna göre politikalar oluşturun. -
En az ayrıcalığı zorlamak
AI uygulamaları için hakları kısıtlayın. API tuşlarını denetleyin, hizmet hesaplarını merkezi olarak yönetin ve kullanılmayan jetonları iptal edin. -
Yönetişim çerçevelerine entegre
Varlık envanterinize AI araçları ekleyin. Tıpkı SaaS uygulamaları için olduğu gibi onaydan önce güvenlik incelemesini gerektirin. -
Gerçek zamanlı uyarmayı benimseyin
Olağandışı AI kullanım kalıplarına bağlı risk puanlamasını kullanın. Hassas bir belge bilinmeyen bir modele yüklenirse, işaretleyin. -
Çalışanları eğitmek
Gölge AI, personel bir güvenlik tehdidi olduğunun farkında olmadığında en hızlı büyür. Farkındalık kampanyaları düzenleyin ve açık kullanım politikaları belirleyin.