Üretken AI (Genai) kurumsal ortamlarda hızla bir temel haline geldi, ancak artan benimsenmesi ile önemli güvenlik endişeleri geliyor. Yakın tarihli bir rapor, geçtiğimiz yıl boyunca Genai uygulamalarına beslenen veri hacminde (hassas kurumsal bilgiler de dahil olmak üzere) 30 kat artışı vurgulamaktadır. Bulgular, AI odaklı araçlar günlük iş akışlarına gömüldükçe işletmelerin güvenlik stratejilerini yeniden değerlendirmeleri için acil ihtiyaç olduğunu vurgulamaktadır.
Rapor, kurumsal kullanıcıların kaynak kodu, düzenlenmiş bilgiler, şifreler ve fikri mülkiyet gibi hassas verileri GENAI uygulamalarıyla giderek daha fazla paylaştığını ortaya koymaktadır.
Mücadeleye ek olarak, kurumsal kullanıcıların% 72’si şirket tarafından yönetilen platformlar yerine kişisel hesaplar kullanarak Genai uygulamalarına erişir. “Gölge AI” nın bu büyüyen eğilimi – önceki Shadow BT fenomenine – güvenlik ekipleri için önemli bir yönetişim sorunu oluşturmaktadır. Uygun gözetim olmadan, işletmeler hangi verilerin paylaşıldığı ve nereye gittiğine dair görünürlükten yoksundur ve siber tehditler için potansiyel giriş noktaları oluştururlar.
İşletmelerde AI entegrasyonunun kapsamı
Rapor, işyerinde AI kullanımının kapsamlı bir analizini sunarak, kuruluşların% 90’ının özel Genai uygulamalarını benimsediğini, daha da yüksek bir% 98’inin AI destekli özellikleri entegre eden yazılımları kullandığını gösteriyor. Çalışanların sadece% 4,9’u bağımsız AI uygulamaları kullansa da, şaşırtıcı% 75’i diğer kurumsal araçlarda AI destekli özelliklerle etkileşime giriyor.
Güvenlik ekipleri artık yeni ve gelişen bir meydan okuma ile karşı karşıya: kasıtsız içeriden gelen tehdit. Çalışanlar, tescilli bilgileri AI güdümlü platformlarla paylaşmanın risklerini fark etmeyebilir, bu da kuruluşların katı veri güvenliği önlemlerini uygulamalarını zorunlu kılmaktadır.
Gölge AI ve sonuçları
Raporun temel bulgularından biri, Shadow AI’nın kuruluşlar için birincil gölge haline gelmesidir. Yapay zeka modelleriyle etkileşim kurmak için kişisel hesaplar kullanan çalışanlar, işletmelerin verilerinin üçüncü taraf sağlayıcılar tarafından nasıl işlendiği, depolandığı veya kaldırıldığı üzerinde çok az kontrole sahip olmadığı anlamına gelir. AI araçlarının düzensiz kullanımı, şirketleri veri açığa çıkarmaya ve düzenleyici uyumsuzluğa karşı savunmasız bırakır.
Kuruluşlar, bu riskleri azaltmak için giderek daha fazla katı politikalar benimsemektedir ve birçoğu onaylanmamış AI uygulamalarını tamamen engellemeyi seçmektedir. Güvenlik ekipleri ayrıca maruz kalma riskini sınırlamak için veri kaybı önleme (DLP) çözümleri, gerçek zamanlı kullanıcı koçluğu ve erişim kontrolleri uygulamaktadır.
Veriler AI’ya nasıl maruz kalıyor
Rapor, hassas kurumsal verilerin Genai uygulamalarına girmenin iki ana yolunu tanımlamaktadır:
- Özetleme İstekleri: Çalışanlar büyük belgeleri, veri kümelerini ve kaynak kodunu yoğunlaştırmak için AI araçlarına güvenir. Bu, tescilli bilgileri harici AI sistemlerine maruz bırakma olasılığını arttırır.
- İçerik Oluşturma: AI ile çalışan uygulamalar, metin, resim, video ve kod oluşturmak için yaygın olarak kullanılır. Kullanıcılar gizli verileri bu araçlara girdiğinde, harici modelleri eğitmek için kullanılabilecek hassas ayrıntıları ortaya çıkararak istenmeyen veri sızıntılarına yol açar.
Erken AI benimsemesinin zorluğu
AI uygulamalarının hızlı çoğalması öngörülemeyen bir güvenlik manzarası yarattı. Raporda, yeni AI araçlarının erken benimseyenlerin neredeyse her işletmede bulunduğunu, kuruluşların% 91’inin yeni yayınlanan Genai uygulamalarını deneyen kullanıcıları içeren bulunduğunu ortaya koyuyor. Çalışanlar, tescilli verileri netsiz platformlarla paylaşabileceğinden, bu bir güvenlik riski oluşturmaktadır.
Bu sorunu ele almak için birçok işletme “önce blok, daha sonra soru sor” yaklaşımı alıyor. Yeni AI araçlarının sürekli akınına ayak uydurmaya çalışmak yerine, yalnızca AI hizmetlerinin denetlenmesine izin verirken onaylanmamış tüm uygulamaları önleyici olarak engellemeyi tercih ederler. Bu proaktif yaklaşım, hassas veri maruziyeti riskini en aza indirir ve güvenlik ekiplerinin yeni araçları onaylamadan önce uygun değerlendirmeler yapmalarını sağlar.
Yerel AI altyapısına geçiş
Raporda vurgulanan dikkate değer bir eğilim, Genai altyapısının işletmelerde artan konuşlandırılmasıdır. Geçen yıl, yerel olarak AI modelleri çalışan kuruluş sayısı% 1’den% 54’e yükseldi. Bu değişim, üçüncü taraf bulut sağlayıcılarına olan güveni azaltmaya yardımcı olur ve bazı harici veri sızıntısı risklerini azaltırken, yeni zorluklar getirir.
Yerel AI dağıtımları, tedarik zinciri güvenlik açıkları, veri sızıntısı, uygunsuz veri çıkışı işleme ve hızlı enjeksiyon saldırılarıyla ilgili riskler dahil olmak üzere kendi güvenlik endişeleri ile birlikte gelir. Bu sorunları ele almak için kuruluşlar, şu şekillerde belirtilen en iyi uygulamaları uygulayarak güvenlik duruşlarını güçlendirmelidir:
- Büyük dil modeli uygulamaları için OWASP Top 10
- Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) AI Risk Yönetimi Çerçevesi
- Yapay zeka tehdidi değerlendirmesi için Miter Atlas çerçevesi
Bir CISO’nun AI güvenliği konusundaki bakış açısı
AI odaklı siber tehditler geliştikçe, Baş Bilgi Güvenliği Görevlileri (CISOS) riskleri azaltmaya yardımcı olmak için giderek daha fazla mevcut güvenlik araçlarına bakıyorlar. Neredeyse tüm işletmeler artık AI araç erişimini kontrol etmek için politikalar uyguluyor, hangi verilerin paylaşılabileceğini ve hangi kullanıcıların belirli AI uygulamalarıyla etkileşime girebileceğini sınırlıyor.
Rapor, kuruluşların AI güvenlik stratejilerini güçlendirmek için aşağıdaki taktik adımları atmaları gerektiğini göstermektedir:
- AI kullanımını değerlendirin: Hangi Genai uygulamalarının ve altyapısının kullanıldığını, bunları kimin kullandığını ve nasıl kullanıldıklarını belirleyin.
- Güçlü AI kontrolleri uygulayın: Güvenlik politikalarını düzenli olarak gözden geçirin, yetkisiz uygulamaları engelleyin, DLP önlemlerini uygular ve riski en aza indirmek için gerçek zamanlı kullanıcı rehberliği sağlar.
- Yerel AI güvenliğini güçlendirin: Veri sızıntılarını ve siber tehditleri önlemek için şirket içi yapay zeka dağıtımlarının endüstri güvenlik çerçeveleri ile uyumlu olduğundan emin olun.
Yapay zeka verimlilik ve verimlilikte muazzam faydalar sunarken, kuruluşların ele alması gereken yeni zorluklar da sunmaktadır. Bu raporun bulguları, AI ile çalışan bir dünyada hassas kurumsal verileri korumak için güvenlik politikalarının, sürekli izleme ve proaktif risk azaltma stratejilerinin önemini güçlendirmektedir.