Güvenlik liderleri yıllarca yapay zekayı “gelişmekte olan” bir teknoloji olarak gördüler, göz kulak olacak ancak henüz kritik olmayan bir şey. AI & Browser güvenlik şirketi Layerx tarafından yeni bir işletme AI ve SaaS veri güvenliği raporu, bu zihniyetin ne kadar eski olduğunu kanıtlıyor. Gelecekteki bir endişeden çok, AI zaten kurumsal veri açığa çıkması için en büyük kontrolsüz kanal – Shadow SaaS veya yönetilmeyen dosya paylaşımından daha büyük.
Gerçek dünyadaki kurumsal tarama telemetrisinden elde edilen bulgular, mantıksız bir gerçeği ortaya koyuyor: İşletmelerde AI ile ilgili sorun yarının bilinmeyenleri değil, bugünün günlük iş akışları. Hassas veriler, çoğunlukla yönetilmeyen hesaplar ve görünmez kopya/yapıştır kanalları aracılığıyla şaşırtıcı oranlarda ChatGPT, Claude ve Copilot’a akıyor. Geleneksel DLP araçları-yaptırımlı, dosya tabanlı ortamlar için oluşturulmuş-doğru yöne bakmıyor bile.
“Ortaya Çıkmak” dan Kayıt Süresinde Temel
Sadece iki yıl içinde, AI araçları onlarca yıl elde etmek için e -posta ve çevrimiçi toplantılar alan evlat edinme seviyelerine ulaştı. İki kurumsal çalışandan neredeyse biri (% 45) zaten üretken AI araçları kullanıyor ve sadece chatgpt% 43 penetrasyona çarpıyor. Diğer SaaS araçlarıyla karşılaştırıldığında, AI tüm kurumsal uygulama faaliyetlerinin% 11’ini, dosya paylaşımına ve ofis verimlilik uygulamalarına rakiptir.
Twist? Bu patlayıcı büyümeye yönetişim eşlik etmedi. Bunun yerine, AI oturumlarının büyük çoğunluğu kurumsal kontrol dışında gerçekleşir. AI kullanımının% 67’si yönetilmeyen kişisel hesaplar aracılığıyla gerçekleşir ve Cisos’u kimin kullandığını ve hangi verilerin nerede aktığını kör bırakır.
Hassas veriler her yerde ve yanlış şekilde hareket ediyor
Belki de en şaşırtıcı ve endişe verici bulgu, zaten AI platformlarına ne kadar hassas verilerin aktığıdır: Genai araçlarına yüklenen dosyaların% 40’ı PII veya PCI verileri içerir ve çalışanlar bu yüklemelerin onunda yaklaşık dördü için kişisel hesaplar kullanır.
Daha da açıklayıcı: Dosyalar sorunun sadece bir parçasıdır. Gerçek sızıntı kanalı kopya/yapıştır. Çalışanların% 77’si verileri GENAI araçlarına yapıştırıyor ve bu etkinliğin% 82’si yönetilmeyen hesaplardan geliyor. Ortalama olarak, çalışanlar en az üç hassas veri içeren kişisel hesaplar aracılığıyla günde 14 macun gerçekleştirir.
Bu, GENAI’ye kopyalama/yapıştırma kurumsal kontrolü bırakarak kurumsal veriler için #1 vektör yapar. Sadece teknik bir kör nokta değil; Kültürel bir. Ekleri taramak ve yetkisiz yüklemeleri engellemek için tasarlanmış güvenlik programları en hızlı büyüyen tehdidi tamamen kaçırır.
Kimlik Mirage: Kurumsal ≠ Güvenli
Güvenlik liderleri genellikle “kurumsal” hesapların erişimi güvence altına almak için eşit olduğunu varsayarlar. Veriler aksini kanıtlar. Çalışanlar CRM ve ERP gibi yüksek riskli platformlar için kurumsal kimlik bilgileri kullansa bile, ezici bir çoğunlukla SSO’yu atlarlar: CRM’nin% 71’i ve ERP girişlerinin% 83’ü federasyon değildir.
Bu, kurumsal bir girişi kişisel olarak işlevsel olarak ayırt edilemez hale getirir. Bir çalışan, Gmail adresi veya şifre tabanlı bir kurumsal hesabı olan Salesforce’a imza atıyor olsun, sonuç aynıdır: Federasyon yok, görünürlük yok, kontrol yok.
Anlık mesajlaşma kör noktası
AI en hızlı büyüyen veri sızıntısı kanalı olsa da, anlık mesajlaşma en sessizdir. Kurumsal sohbet kullanımının% 87’si yönetilmeyen hesaplar aracılığıyla gerçekleşir ve kullanıcıların% 62’si PII/PCI’yi onlara yapıştırır. Gölge AI ve Gölge Sohbeti’nin yakınsaması, hassas verilerin sürekli olarak işlenmemiş ortamlara sızdığı çift kör bir nokta oluşturur.
Birlikte, bu bulgular keskin bir resim çiziyor: Güvenlik ekipleri yanlış savaş alanlarına odaklanıyor. Veri güvenliği savaşı dosya sunucularında veya yaptırımlı SaaS’ta değildir. Çalışanların kişisel ve kurumsal hesapları harmanladığı, yaptırım ve gölge araçları arasında geçiş yaptıkları ve hassas verileri her ikisine de akıcı bir şekilde hareket ettirdiği tarayıcıda.
AI dönemi için kurumsal güvenliği yeniden düşünmek
Raporun önerileri açık ve alışılmadık:
- AI güvenliğini temel bir girişim kategorisi olarak ele almak, ortaya çıkan bir kategori değil. Yönetişim stratejileri, yüklemeler, istemler ve kopyala/yapıştırma akışları için izleme ile AI’yı e -posta ve dosya paylaşımı ile eşit hale getirmelidir.
- Dosya merkezinden aksiyon merkezli DLP’ye geçiş. Veriler, işletmeyi yalnızca dosya yüklemeleri yoluyla değil, kopyala/yapıştırma, sohbet ve hızlı enjeksiyon gibi dosyasız yöntemler aracılığıyla terk ediyor. Politikalar bu gerçeği yansıtmalıdır.
- Yönetilmeyen hesapları kısıtlayın ve federasyonu her yerde zorlayın. Kişisel hesaplar ve federasyon olmayan girişler işlevsel olarak aynıdır: görünmez. Kullanımlarını kısıtlamak – bunları tam olarak engellemek isterse titiz bağlamlara duyarlı veri kontrol politikaları uygulamak – görünürlüğü geri kazanmanın tek yoludur.
- Yüksek riskli kategorilere öncelik verin: AI, sohbet ve dosya depolama. Tüm SaaS uygulamaları eşit değildir. Bu kategoriler en sıkı kontrolleri gerektirir, çünkü hem yüksek sevimli hem de yüksek hassasiyettir.
Cisos için alt satır
Verilerin ortaya çıkardığı şaşırtıcı gerçek şudur: AI sadece bir üretkenlik devrimi değil, bir yönetişim çöküşüdür. Çalışanların en çok sevdiği araçlar da en az kontrol edilen ve evlat edinme ve gözetim arasındaki boşluk her gün genişliyor.
Güvenlik liderleri için çıkarımlar acildir. AI’yı “ortaya çıkan” olarak ele almak için beklemek artık bir seçenek değil. Zaten iş akışlarına gömülü, zaten hassas veriler taşıyor ve zaten kurumsal veri kaybı için önde gelen vektör olarak hizmet veriyor.
Kurumsal çevre, bu kez tarayıcıya tekrar değişti. Cisos adapte olmazsa, AI sadece işin geleceğini şekillendirmez, veri ihlallerinin geleceğini dikte edecektir.
LayerX’in yeni araştırma raporu, bu bulguların tam kapsamını sunarak CISO’lar ve güvenlik ekipleri, AI ve SaaS’ın işletme içinde gerçekten nasıl kullanıldığına dair benzeri görülmemiş bir görünürlük sunuyor. Gerçek dünyadaki tarayıcı telemetrisinden yararlanan rapor, hassas verilerin sızdığı, hangi kör noktaların en büyük riski taşıdığı ve liderlerin AI güdümlü iş akışlarını güvence altına almak için ne gibi pratik adımlar atabileceğini detaylandırıyor. Gerçek maruziyetlerini ve kendilerini nasıl koruyacaklarını anlamaya çalışan kuruluşlar için rapor, güvenle hareket etmek için gereken netlik ve rehberliği sunar.