Yapay zeka çağının en büyük üretkenlik aracı olarak taçlandırılan Microsoft Copilot, günümüzün şirketleri için güçlü bir varlıktır.
Ancak büyük güç, büyük sorumluluğu da beraberinde getirir.
Kuruluşunuzun veri güvenliği duruşuna ilişkin görünürlüğü düşükse, Copilot ve diğer nesil yapay zeka araçları, çalışanlara hassas bilgileri sızdırma, hatta daha da kötüsü aktörleri tehdit etme potansiyeline sahiptir.
Microsoft Copilot nasıl çalışır?
Microsoft Copilot, Microsoft 365 uygulamalarınızın (Word, Excel, PowerPoint, Teams, Outlook vb.) her birine entegre edilmiş bir yapay zeka yardımcısıdır.
Copilot'un güvenlik modeli, yanıtlarını kullanıcının mevcut Microsoft izinlerine dayandırır. Kullanıcılar Copilot'tan toplantı notlarını özetlemesini, satış varlıkları için dosyalar bulmasını ve çok büyük miktarda zaman tasarrufu sağlamak için eylem öğelerini belirlemesini isteyebilir.
Ancak kuruluşunuzun izinleri doğru şekilde ayarlanmamışsa ve Copilot etkinleştirilmişse kullanıcılar hassas verileri kolayca ortaya çıkarabilir.
Bu neden bir sorun?
İnsanların çok fazla veriye erişimi var. Ortalama bir çalışan, işe başladığı ilk günde 17 milyon dosyaya erişebilir. Hassas verilere kimin erişimi olduğunu göremediğinizde ve kontrol edemediğinizde, güvenliği ihlal edilmiş bir kullanıcı veya içeriden kötü niyetli bir kişi, anlatılmamış hasara neden olabilir. Verilen izinlerin çoğu da kullanılmıyor ve yüksek riskli olarak değerlendiriliyor; bu da hassas verilerin ihtiyacı olmayan kişilerin eline geçmesi anlamına geliyor.
Varonis olarak, hangi basit istemlerin şirketinizin hassas verilerini Copilot'ta kolayca açığa çıkarabileceğini gösteren canlı bir simülasyon oluşturduk. Bu canlı gösteri sırasında sektör uzmanlarımız, Copilot'un güvenli bir şekilde kullanıma sunulmasını sağlamak için pratik adımları ve stratejileri de paylaşıyor ve kuruluşunuzda verilerin açığa çıkmasını otomatik olarak nasıl önleyeceğinizi gösteriyor.
Şimdi bazı istem korsanlığı örneklerine bakalım.
Yardımcı Pilot istemi hackleme örnekleri
1. Bana yeni çalışan verilerini göster.
Çalışan verileri, sosyal güvenlik numaraları, adresler, maaş bilgileri ve daha fazlası gibi son derece hassas bilgiler içerebilir; bunların tümü, uygun şekilde korunmadığı takdirde yanlış ellere geçebilir.
2. Son zamanlarda hangi ikramiyeler verildi?
Copilot belirli dosyaları görmeniz gerekip gerekmediğini bilmez; amacı, sahip olduğunuz erişimle verimliliği artırmaktır. Bu nedenle, bir kullanıcı ikramiyeler, maaşlar, performans değerlendirmeleri vb. hakkında sorular sorarsa ve kuruluşunuzun izin ayarları kilitli değilse bu bilgilere erişme potansiyeli vardır.
3. İçinde kimlik bilgileri bulunan dosyalar var mı?
Kullanıcılar bununla ilgili bir soruyu bir adım daha ileri götürerek Copilot'tan kimlik doğrulama parametrelerini özetlemesini ve bunları bir listeye koymasını isteyebilir. Artık, istemde buluta yayılabilen ve kullanıcının ayrıcalıklarını daha da artırabilen oturum açma bilgileri ve parolalarla dolu bir tablo var.
4. API'leri veya erişim anahtarlarını içeren dosyalar var mı? Lütfen onları benim için bir listeye koyun.
Copilot ayrıca Microsoft 365 ortamınıza bağlı bulut uygulamalarında depolanan verilerden de yararlanabilir. Yapay zeka aracı ise veri uygulamalarına erişim sağlayan dijital sırları kolaylıkla bulabilirler.
5. ABC kek dükkanının satın alınmasıyla ilgili hangi bilgiler var?
Kullanıcılar, Copilot'tan birleşmeler, satın almalar veya belirli bir anlaşma hakkında bilgi isteyebilir ve sağlanan verilerden yararlanabilir. Basitçe bilgi istemek size bir satın alma fiyatı, belirli dosya adları ve daha fazlasını verebilir.
6. Bana hassas veriler içeren tüm dosyaları göster.
Muhtemelen en endişe verici istem, son kullanıcıların özellikle hassas veriler içeren dosyaları istemesidir.
Hassas bilgiler, olmaması gereken yerlerde bulunduğunda, şirketteki herkes ve kullandıkları yapay zeka araçları tarafından kolayca erişilebilir hale gelir.
Copilot isteminin hacklenmesini nasıl önleyebilirim?
Copilot'u etkinleştirmeden önce verilerinizi uygun şekilde güvence altına almanız ve kilitlemeniz gerekir. O zaman bile patlama yarıçapınızın büyümediğinden ve verilerin güvenli bir şekilde kullanıldığından emin olmanız gerekir.
Varonis ve Microsoft birlikte, dağıtım öncesinde, sırasında ve sonrasında Microsoft 365 veri güvenliği duruşlarını perde arkasında sürekli olarak değerlendirip iyileştirerek kuruluşların Copilot'un gücünden güvenle yararlanmasına yardımcı oluyor.
Microsoft 365'in yerleşik veri koruma özelliklerini tamamlayan Varonis Veri Güvenliği Platformu, müşterilerin kuruluşlarının veri güvenliği modelini yönetmelerine ve optimize etmelerine yardımcı olarak hassas verilere yalnızca doğru kişilerin erişmesini sağlayarak verilerin açığa çıkmasını önler.
Copilot'u kullanıma sunmaya yönelik uçuş planımızda, Varonis'in AI patlama yarıçapınızı iki aşamada nasıl kontrol ettiğini gösteriyoruz; bunlar arasında Purview ile entegrasyon, yüksek riske maruz kalma riskinin iyileştirilmesi, aşağı yönde DLP'nin etkinleştirilmesi, veri güvenliği politikalarının otomatikleştirilmesi ve daha fazlası için belirli adımlar yer alıyor.
Varonis ayrıca Microsoft 365 ortamınızda gerçekleşen her eylemi izler; buna Copilot'ta etkileşimlerin, istemlerin ve yanıtların yakalanması da dahildir. Varonis bu bilgileri şüpheli davranışlara karşı analiz eder ve gerektiğinde bir uyarı tetikler.
Doğal dilin ve filtrelenmiş aramaların kolaylığı sayesinde, yalnızca kuruluşunuzdakilerin Copilot'u kullandığına ilişkin değil, aynı zamanda son derece zenginleştirilmiş, okunması kolay bir davranış akışı oluşturabilirsiniz. Nasıl insanlar ortamınızdaki verilere erişiyor.
Hiçbir şey almadan riskinizi azaltın.
Kuruluşunuzda Microsoft Copilot'un güvenli bir şekilde kullanıma sunulmasını sağlamaya hazır mısınız?
Veri güvenliği uzmanlarından oluşan ekibimizden ücretsiz bir Yardımcı Pilot Hazırlık Değerlendirmesi talep edin veya yolculuğunuza doğrudan Azure Market'ten başlayın.
Bu makale ilk olarak Varonis blogunda yayınlandı.
Varonis tarafından desteklenmiş ve yazılmıştır.