Net güvenlik röportajında, Pangea CEO’su Oliver Friedrichs, güçlü veri hijyeninin AI’yı operasyonlarına entegre ettikleri için neden her zamankinden daha önemli olduğunu tartışıyor. Hassas kurumsal verileri ele alan AI odaklı uygulamalarla, zayıf erişim kontrolleri ve modası geçmiş güvenlik uygulamaları ciddi risklere yol açabilir.
Friedrichs, riskleri azaltmak, veri güvenilirliğini sağlamak ve AI manzarası için güvenlik stratejilerini uyarlamak için en iyi uygulamaları paylaşır.
Veri hijyen uygulamaları daha geniş siber güvenlik stratejileri ile nasıl uyumludur?
AI’yi benimseyen işletmeler, iç işletme verilerini büyük dil modelleriyle (LLMS) birleştirirken tamamen yeni bir dizi veri ve gizlilik zorluğuyla karşı karşıya. Tahminlerin, 2027 yılına kadar bir milyondan fazla yazılım şirketini göreceğimizi gösterdiği gibi, birçoğu AI’dan yararlanacağımızı ve geleneksel güvenlik araçlarının korumak için donanımlı olmadığı geniş bir saldırı yüzeyi oluşturacağımızı gösterdiğinden bu zorluk çok önemlidir.
Odak, statik verilerin güvenliğini sağlamaktan AI boru hattına girerken bilgileri korumaya kaymıştır. Kuruluşlar, belge mağazaları ve veritabanları ve AI uygulamaları gibi geleneksel veri kaynakları arasında hassas verilerin nasıl aktığını düşünmelidir. Bu, erişim kontrolü ve korkuluklar için yeni bir yaklaşım gerektirir ve güvenlik ekiplerinin AI güdümlü ortamların benzersiz zorluklarını ele almak için geleneksel veri koruma yöntemlerinin ötesinde gelişmesini talep eder.
Verimsizlik, uyum riskleri veya kaçırılan fırsatlar gibi kötü veri hijyeninin somut iş etkilerini açıklayabilir misiniz?
AI-özellikli uygulamalar tarafından ortaya çıkan önemli bir riske, kurumsal uygulamaların hassas bilgileri kötü tanımlanmış erişim kontrolleri aracılığıyla ortaya çıkardığı ‘AI Overshing’ denir. Bu, özellikle orijinal kaynak izinleri sistem genelinde onurlandırılmadığında (yani bir kullanıcı bir istemi yayınladığında ve ilk olarak bir vektör veritabanını (genellikle bir vektör veritabanını sorguladığında) alındığında, alım yükseltilmiş nesil (RAG) uygulamalarında yaygındır.
Onlarca yıllık işletme bilgisi içeren milyonlarca belgeye sahip bir işletme olduğunuzu ve AI’yi bez tabanlı bir mimari aracılığıyla kullanmak isterseniz bir dakika boyunca hayal edin. Tipik bir yaklaşım, tüm bu belgeleri bir vektör veritabanına yüklemektir. Bu verileri, bu belgelerdeki orijinal izinleri onurlandırmadan bir AI chatbot aracılığıyla ortaya çıkardıysanız, istemi veren herkes bu verilerden herhangi birine erişebilir. Bu çok büyük bir sorun.
Organizasyonların verilerinin güvenilir kalmasını sağlamak için en iyi üç uygulama uygulaması nelerdir?
İlk olarak, uygun yetkiyi uygulamak için AI başvurusu boyunca kurumsal verilerinizle ilişkili mülkiyet ve kimliğin devam ettiğinden emin olun. Güçlü bir güvenlik vakfı, her veri erişiminin yerleşik politikalara bağlı kalmasını sağlar ve AI destekli uygulamalarla rutin etkileşimler sırasında maruz kalmayı önler. Bu, geleneksel belge mağazalarından ve veritabanlarından RAG tabanlı uygulamalar tarafından kullanılan vektör veritabanlarına geçtikçe tutarlı kontrollerin korunmasını içerir.
İkincisi, AI alım boru hattına girmeden önce hassas bilgileri algılayan ve koruyan kapsamlı tarama ve filtreleme özelliklerini uygulayın. Burada risk oluşturan 50’den fazla PII türü vardır. Kuruluşlar, PII ve gizli bilgi kısıtlamalarını zorlamak için sağlam kasvetlere ihtiyaç duyarlar.
Üçüncüsü, geleneksel siber güvenlik tehditlerine dikkat edin – onlar da var. Örnekler arasında AI Gyesation boru hattına kötü amaçlı URL’lerin, etki alanı adlarının, IP adreslerinin, dosyaların ve diğer içerik biçimlerinin yanı sıra ön kapı – kullanıcı istemi bulunmaktadır. Tüm bu eski okul sorunları burada da var.
Yapay zeka kullanım durumları için kurumsal verilerin hazırlanmasını nasıl tavsiye edersiniz?
Organizasyonların, hızlı enjeksiyon ve yetkisiz veri erişimi gibi sofistike saldırılar daha yaygın hale geldiğinden, AI uygulamaları için verileri değerlendirmek ve hazırlamak için metodik bir süreç uygulamalıdır. Dosya ve belge mağazaları, destek ve bilet sistemi ve kurumsal verilerinizi sağlayacağınız diğer veri kaynakları dahil olmak üzere veri depolarınızın kapsamlı bir envanteri ile başlayın. Ardından AI uygulamalarında potansiyel kullanımını anlamak ve kritik boşlukları veya tutarsızlıkları tanımlamak için çalışın.
Doğruluk, bütünlük, alaka düzeyi ve güvenlik sonuçlarını göz önünde bulundurarak, verilerin AI uygulamalarına uygunluğunu değerlendirmek için net kriterler oluşturun. AI sistemleriyle etkileşime girecek veri kümelerini önceliklendirerek sistematik veri temizleme protokollerini uygulayın. Bu, formatların standartlaştırılmasını, eski bilgilerin güncellenmesini ve uygun meta verilerin tüm eski verilere eşlik etmesini içerir.
Amaç, güvenlik ve uyumluluk gereksinimlerini korurken AI operasyonları için güvenilir bir temel oluşturmaktır. Düzenli veri kalitesi değerlendirmeleri ve eski bilgileri ele almak için net protokoller, hem mevcut hem de gelecekteki AI girişimlerini destekleyen sürdürülebilir bir strateji oluşturmaya yardımcı olur.
Şirketler veri hijyen uygulamalarını modern veri ortamlarına nasıl uyarlamalıdır?
RAG tabanlı mimarilerde “yetkilendirme kayması” adı verilen bir şeyin farkında olmak önemlidir. RAG kaynakları, orijinal veri kaynağından gelen verileri tek bir noktada, bu verilerdeki izinler de daha sonra yakalanır ve tipik olarak bir vektör veritabanında meta veriler olarak saklanır. Bundan sonra, genellikle güncellenmezler.
Peki ya orijinal belge izinleri değişiyorsa ve bir kullanıcının artık bu belgeye erişimi yoksa? Bu yetkilendirme sürüklenmesidir. Hes etmeleri istemi artık bu bilgilere erişememelidir – ancak vektör veritabanı güncellenmemişse. Sonuç olarak, bir kullanıcının orijinal belge kaynağına erişimini sürekli olarak ve belki de gerçek zamanlı olarak yeniden değerlendirmek önemlidir.
Güvenli yapay zeka kullanımını sağlamak için kuruluşlar başka hangi hususların farkında olmalıdır?
Başarı, güvenlik izleme ve operasyonel etkinliğin dengeli bir yaklaşımını gerektirir. Kuruluşlar, yapay zeka kullanımına görünürlük sağlayan ve tutarlı güvenlik kontrollerini sürdüren kapsamlı günlük kaydı ve izleme sistemleri uygulamalıdır. Bu, kişisel olarak tanımlanabilir bilgilerin (PII) tanıtılmasını izlemeyi ve AI sistem etkileşimlerinin ayrıntılı denetim yollarının korunmasını, kullanıcı istemi, LLM modeli, model versiyonu, RAG aracılığıyla elde edilen belgeler, istemi gibi öğeleri günlüğe kaydetmeyi içerir. LLM ve son çıktı.
Anahtar, iş değeri verirken uygun güvenlik sınırları içinde AI özelliklerini sağlamaktır. Şirketler, yapay zeka bağlamlarında yapılandırılmamış verilerin işlenmesi için net protokoller geliştirmeli, hassas bilgiler için otomatik tarama uygularken, tüm AI etkileşimlerinin veri bütünlüğünü ve uyumluluğunu korumasını sağlar.