Yapay zeka ve SaaS uygulamalarının günlük iş akışlarını desteklediği bir çağda kuruluşlar benzeri görülmemiş bir zorlukla karşı karşıya: hassas bilgilerin görünmez şekilde sızması.
Geleneksel, dosya tabanlı veri kaybı önleme (DLP) önlemleri, ekler ve indirmeler için tasarlanmıştır, ancak günümüzün risk ortamı, basit dosya hareketlerinin çok ötesine uzanmaktadır.
Çalışanlar Üretken Yapay Zeka araçlarına ve yönetilmeyen bulut hesaplarına giderek daha fazla güvendikçe, işletmelerin ortak güvenlik varsayımlarının artık geçerli olmadığı gerçeğiyle yüzleşmesi gerekiyor.
Kurumsal verilerin bu kanallardan nasıl ve neden aktığını anlamak, sağlam bir savunma stratejisi geliştirmek ve fikri mülkiyeti, müşteri verilerini ve kurumsal itibarı korumak açısından kritik öneme sahiptir.
Çeşitli Fortune 500 şirketlerindeki gerçek kurumsal tarama telemetrisinden elde edilen bu rapor, yapay zeka platformlarının, veri sızıntısı için birincil vektör olarak geleneksel SaaS uygulamalarını şimdiden gölgede bıraktığını ortaya koyuyor.
Ankete katılan çalışanların neredeyse yarısı günlük görevlerinde GenAI araçlarıyla etkileşime girdi; sıklıkla dahili belgeleri, müşteri listelerini ve mali kayıtları kopyalayıp doğrudan istemlere yapıştırdı.
Endişe verici bir şekilde, bu çalışanların %77’si yapay zeka asistanlarının rahatlığına ve algılanan zekasına güvenerek şirket bilgilerini ChatGPT veya benzer platformlara yapıştırdığını kabul etti.
Bu riski daha da artıracak şekilde, yapay zeka aracı kullanımının %82’si, kurumsal tek oturum açma (SSO) ve politika uygulaması dışında çalışan kişisel veya üçüncü taraf oturum açma bilgileri olan yönetilmeyen hesaplar aracılığıyla gerçekleşiyor.
Sonuç olarak çok faktörlü kimlik doğrulama, rol tabanlı erişim kontrolleri ve ayrıntılı denetim günlükleri gibi kritik kontroller etkisiz hale geliyor.
Gözetimdeki bu boşluklar, geleneksel DLP çözümlerinin tespitinden kaçan dosyasız veri aktarımlarına olanak tanıyarak kuruluşları veri sızıntısının gerçek kapsamı konusunda kör bırakıyor.
Yaygın olarak güvenli bölgeler olarak kabul edilen kurumsal web uygulamaları da bu durumdan muaf değildir. CRM, ERP ve proje yönetimi platformları genellikle SSO tarafından korunurken, büyük kuruluşlardaki oturum açma işlemlerinin %40’a kadarı kurumsal olmayan kimlik bilgilerinden yararlanır.
Unutulan şifreler, gölge BT girişimleri veya kullanıcı rahatlığı nedeniyle çalışanlar genellikle kişisel e-posta oturum açma bilgilerine veya yönetilmeyen OAuth belirteçlerine başvuruyor.
Bu uygulama, kurumsal düzeydeki kimlik doğrulama ve izleme yeteneklerini kritik sistemlerden etkili bir şekilde çıkarır ve güvenlik açısından kurumsal kimlik bilgilerini kişisel kimliklerle eşitler.
Sohbet ve IM Uygulamalarının Görünmez Riskleri
Çevikliğiyle övülen anlık mesajlaşma ve sohbet platformları da benzer şekilde gizli riskler taşıyor. Modern kuruluşların yüzde yetmiş beşi onaylı ve onaysız sohbet uygulamalarının bir karışımını kullanıyor ancak izleme, kurumsal olarak verilen hesaplarla sınırlı kalıyor.
Telemetri, sohbet trafiğinin %87’sinin, ürün yol haritalarından müşteri kredi kartı numaralarına kadar hassas bilgilerin rutin olarak görüşmelere yapıştırıldığı, yönetilmeyen hesaplar üzerinden aktığını gösteriyor.
Bu alışverişlerin %62’sinden fazlası, genellikle şifreleme veya veri sınıflandırma etiketleri olmadan paylaşılan kişisel bilgileri (PII) veya ödeme kartı verilerini (PCI) içeriyor.
Sohbet dizilerinin geçici doğası ve mesajların saatler veya günler sonra kaybolduğu geçici mesajların çoğalması, uyumu daha da karmaşık hale getiriyor.
Sohbet kayıtları gözden kaybolurken, olası ihlallere ilişkin kanıtlar da ortadan kayboluyor, bu da olaylara müdahaleyi ve adli analizleri katlanarak daha da zorlaştırıyor.
Geleneksel Varsayımların Ötesine Geçmek
Kuruluşların bu modern zorlukların üstesinden gelmek için güvenlik duruşlarını geliştirmeleri gerekiyor. Yalnızca dosya incelemesine, ağ güvenlik duvarlarına ve imza tabanlı DLP’ye güvenmek artık yeterli olmayacaktır.
Kuruluşlar yalnızca gerçek riskin nerede yattığını (GenAI araçları, yönetilmeyen hesaplar ve dosyasız aktarımlar) kabul ederek en değerli varlıklarını, yani verilerini koruyabilirler.
Bunun yerine kuruluşların gerçek zamanlı web telemetri analizini, yapay zeka tarafından desteklenen davranışsal analitiği ve her katmanda ihlal olduğunu varsayan sıfır güven ilkelerini benimsemesi gerekiyor.
Yönetilen ve yönetilmeyen hesaplar arasında kapsamlı görünürlük, bağlamsal veri sınıflandırması ve otomatik yanıt iş akışlarıyla birleştiğinde çok önemlidir.
Güvenlik ekipleri, bilgi akışlarını uygulama düzeyinde ve kimlik sınırları ötesinde izleyen veri merkezli bir yaklaşımı benimseyerek, anormal kullanım modellerini tespit edebilir, bağlamsal politikaları uygulayabilir ve riskleri, tam gelişmiş olaylara dönüşmeden önce düzeltebilir.
Anında Güncellemeler Almak ve GBH’yi Google’da Tercih Edilen Kaynak Olarak Ayarlamak için bizi Google Haberler, LinkedIn ve X’te takip edin.