Kuruluşlar halihazırda çalışanlarını veri ihlaliyle sonuçlanabilecek riskli davranışlardan uzak tutmak için çabalıyor. Artık üretken yapay zeka tamamen yeni bir tehdit oluşturuyor: yanlışlıkla hassas kurumsal veya tüketici verilerini ChatGPT’ye giren çalışanlar.
Geçen yıl yayınlanan LayerX araştırmasına göre, daha fazla kuruluş üretken yapay zekayı işyerinde benimsedikçe çalışanların %15’i düzenli olarak araca veri gönderiyor. ChatGPT’de bilgi paylaşanların %6’sı hassas verileri paylaştıklarını itiraf ediyor.
Artık güvenlik ekiplerinin yeni bir endişesi var: Çalışanların kişisel olarak tanımlanabilir bilgileri ve özel kurumsal bilgileri üretken yapay zeka araçlarına girmelerinin nasıl önleneceği.
Kişisel verilerin paylaşılması, kuruluşu birçok veri uyumu yasasını ihlal etme riskiyle karşı karşıya bırakır. Araç kutularına üretken yapay zeka eklemek isteyen kuruluşların, hassas bilgilerin veri sızıntısını önleyecek şekilde tasarlanmış güvenlik protokolleri oluşturmaları gerekiyor.
Korkulukların yerine yerleştirilmesi
Yapay zeka, özellikle de üretken yapay zeka hakkındaki gerçek şu ki, şirketler için risk oluşturmasına rağmen birçok fayda da sunuyor. Yapay zekanın iyi kısmının nasıl bir riske dönüşebileceğinin farkına varmak kuruluşun sorumluluğundadır.
Optiv Başkan Yardımcısı ve CISO’su Max Shier, kuruluşların yapay zekayı benimserken güvenli bir şekilde iş yapmalarına olanak tanıyan korkulukların yerleştirilmesine ihtiyaç olduğunu söyledi.
Shier, “Herkes, özellikle gizlilik yasaları ve şirketin gizli bilgilerinin korunmasıyla ilgili olduğu için, etkinleştirme ve risk azaltma arasındaki dengeyi bulmaya çalışıyor” dedi.
Herhangi bir kuruluşta kullanılan üretken yapay zeka, verileri korumak için tasarlanmış politikalara ve kontrollere ihtiyaç duyar.
Shier, en iyi senaryonun, şirket halihazırda veri kaybı önleme araçları ve yapay zekaya özel kullanıcı farkındalığı eğitimi içeren olgun bir güvenlik programına sahip olmadığı sürece bir şirketin ChatGPT ve benzeri araçları kullanmamasıdır dedi.
CISO’ların ve CIO’ların, üretken yapay zeka araçlarından gelen hassas verileri kısıtlama ihtiyacı ile işletmelerin süreçleri iyileştirmek ve üretkenliği artırmak için bu araçları kullanma ihtiyacını dengelemesi gerekecektir.
Tüm bunları, kurallar ve düzenlemelerden oluşan alfabe çorbasına uygun kalarak yapmak zorundalar.
Darktrace’in siber risk ve uyumluluktan sorumlu başkan yardımcısı John Allen, bir e-posta röportajında ”Kolay” yanıtın, hassas verilerin Yüksek Lisans’lara girmemesini sağlamaktır – ve bunun yalnızca eğitim verileri anlamına gelmediğini söyledi.
Allen, “Popüler yüksek lisans şirketlerinin sunduğu pek çok teklif, istemler ve/veya geri bildirim yoluyla sağladığınız herhangi bir verinin, modellerini ayarlamak ve geliştirmek için kullanılacağını özellikle belirtiyor” dedi. “Ancak, bu sınırlamayı hassas veriler üzerinde uygulamak, söylemek yapmaktan daha kolaydır.”
Verileri koruma
Bir e-posta röportajında, Ontinue güvenlik operasyonlarından sorumlu başkan yardımcısı Craig Jones’a göre, üretken yapay zeka kullanımında veri gizliliğini sağlamaya çalışırken vurgulanması gereken iki alan var.
Uyumluluk bakımı:
Kuruluşların Yüksek Lisans’ların verileri nasıl işlediğini titizlikle değerlendirmeleri ve kontrol etmeleri, Genel Veri Koruma Yönetmeliği, tıbbi bilgilerin yayınlanmasını kısıtlayan federal yasa ve Kaliforniya Tüketici Gizliliği Yasası ile uyumluluğu sağlamaları gerekir.
Bu, veri işleme uygulamalarında düzenli denetimler ve güncellemelerin yanı sıra güçlü şifreleme, izin mekanizmaları ve veri anonimleştirme tekniklerinin kullanılmasını içerir.
Hassas verilerin güvenliğinin sağlanması:
Hassas verilerin güvenliğinin sağlanması, beklemede ve aktarım sırasında şifreleme, sıkı erişim kontrolleri ve anormalliklerin sürekli izlenmesi dahil olmak üzere çok katmanlı bir güvenlik yaklaşımının kullanılmasını içerir.
Bir ihlal durumunda, yasal ve düzenleyici gerekliliklere uygun olarak etkilenen paydaşlarla açık iletişimin yanı sıra hızlı müdahale ve iyileştirme tedbirlerinin uygulamaya konması gerekir.
Bu tür olaylardan öğrenilen dersler, gelecekteki senaryolara daha iyi yanıt verebilmek için veri güvenliği çerçevesinin iyileştirilmesine entegre edilmelidir.
Önlemler ileride
Üretken yapay zeka ve diğer güvenlik araçları, gelişmiş gizlilik korumalarıyla abonelik düzeyleri ekliyor veya hassas verilerin şirketin sisteminden çıkmasını kısıtlayacak API’ler oluşturuyor. Veriler diğer yapay zeka modellerini geliştirmek için kullanılmaz.
Allen, “Aslında pek çok tedarikçi, hassas verilerin işlenmesine yönelik özel uyumluluk gereksinimlerini karşılamak amacıyla veri işleme anlaşmaları ve iş ortaklığı anlaşmaları da yapacaktır” dedi.
Yapay zeka şirketleri, hassas verileri korumak için tasarlanan üretken yapay zeka kullanım politikalarına ek olarak, hassas verileri daha iyi korumak için adım atıyor, şifreleme gibi güvenlik kontrolleri ekliyor ve SOC2 gibi güvenlik sertifikaları alıyor.
Ancak bu hala yeni bir alan ve güvenlik ekipleri, hassas veriler bir modele girdiğinde ne olacağını, bu verilerin nasıl bulunacağını ve özellikle katı veri uyumluluğu düzenlemeleri kapsamında PII için nasıl silineceğini öğrenmeye çalışıyor.
Allen, “Üretken yapay zeka araçlarının kullanımı henüz başlangıç aşamasındadır ve veri gizliliğine saygı gösterilmesini ve kuruluşların uyumlu kalabilmesini sağlamak için hâlâ ele alınması gereken birçok soru vardır” dedi.