Netskope’a göre, düzenlenmiş veriler (kuruluşların korumakla yükümlü olduğu veriler), GenAI uygulamalarıyla paylaşılan hassas verilerin üçte birinden fazlasını oluşturuyor ve bu da işletmeler için maliyetli veri ihlalleri riski oluşturuyor.
Netskope Threat Labs’ın yeni araştırması, ankete katılan işletmelerin dörtte üçünün artık en az bir GenAI uygulamasını tamamen engellediğini ortaya koyuyor. Bu, kurumsal teknoloji liderlerinin hassas verilerin sızdırılma riskini sınırlama isteğini yansıtıyor.
Ancak kuruluşların yarısından azı, hassas bilgilerin girdi sorgularında paylaşılmasını önlemek için veri merkezli kontroller uyguladığından, çoğu, GenAI’yi güvenli bir şekilde etkinleştirmek için gereken gelişmiş veri kaybı önleme (DLP) çözümlerini benimsemede geride kalıyor.
İşletmeler GenAI’yı benimsiyor
Araştırmacılar, küresel veri kümelerini kullanarak işletmelerin %96’sının artık GenAI kullandığını buldular; bu sayı son 12 ayda üç katına çıktı. Ortalama olarak, işletmeler artık geçen yılki üç uygulamadan yaklaşık 10 GenAI uygulaması kullanıyor ve en iyi %1’lik benimseyenler artık ortalama 80 uygulama kullanıyor; bu sayı 14’ten önemli ölçüde fazla.
Artan kullanımla birlikte, işletmeler GenAI uygulamaları içinde tescilli kaynak kodu paylaşımında bir artış yaşadı ve bu, belgelenen tüm veri politikası ihlallerinin %46’sını oluşturdu. Bu değişen dinamikler, işletmelerin riski nasıl kontrol ettiğini karmaşıklaştırarak daha sağlam bir DLP çabasına ihtiyaç duyulmasına neden oldu.
Güvenlik ve veri kaybı kontrollerinin nüanslarında proaktif risk yönetiminin olumlu işaretleri var: örneğin, işletmelerin %65’i artık kullanıcıların GenAI uygulamalarıyla etkileşimlerini yönlendirmeye yardımcı olmak için gerçek zamanlı kullanıcı koçluğu uyguluyor. Araştırmaya göre, etkili kullanıcı koçluğu veri risklerini azaltmada önemli bir rol oynamış ve kullanıcıların %57’sini koçluk uyarıları aldıktan sonra eylemlerini değiştirmeye teşvik etmiştir.
Netskope CISO’su James Robinson, “GenAI’nin güvenliğini sağlamak, kullanımının yakın zamanda yavaşlayacağına dair hiçbir işaret olmadan işletmelere nüfuz etmesi nedeniyle daha fazla yatırım ve daha fazla ilgi gerektiriyor,” dedi. “İşletmeler, genAI çıktılarının yanlışlıkla hassas bilgileri ifşa edebileceğini, yanlış bilgi yayabileceğini veya hatta kötü amaçlı içerik sunabileceğini kabul etmelidir. Verileri, itibarı ve iş sürekliliğini korumak için sağlam bir risk yönetimi yaklaşımı gerektirir.”
GenAI’nin kısa vadede AI yatırımının itici gücü olacağı ve kurumsal kullanıcılara en geniş riski ve etkiyi getireceği açıktır. Arama, metin düzenleme, stil/ton ayarlama ve içerik oluşturma gibi kullanım durumlarıyla büyük uygulama, arama ve cihaz platformlarında varsayılan olarak paketlenmiştir veya paketlenecektir.
Birincil risk, kullanıcıların uygulamalara gönderdiği verilerden kaynaklanır ve veri kaybı, gizli bilgilerin istem dışı paylaşımı ve GenAI hizmetlerinden gelen bilgilerin (yasal haklar) uygunsuz kullanımı gibi riskler içerir. Şu anda, daha geniş kullanım durumlarıyla metin (LLM’ler) daha fazla kullanılıyor, ancak video, görüntü ve diğer medya için genAI uygulamaları da bir faktördür.
Veri riskleri GenAI güvenlik endişelerine hakim
ChatGPT, kuruluşların %80’inin kullanmasıyla popülerlikteki hakimiyetini korurken, Ocak 2024’te genel kullanıma sunulan Microsoft Copilot, kuruluşların %57’sinin kullanmasıyla üçüncü sırada yer alıyor. Grammarly ve Google Gemini (eski adıyla Bard) yüksek sıralamalarını koruyor.
Kuruluşlar yalnızca daha fazla GenAI uygulaması kullanmakla kalmıyor, aynı zamanda bu uygulamalarla kullanıcı etkinliği miktarı da artıyor. GenAI uygulamalarını kullanan kullanıcıların genel yüzdesi hala nispeten düşük olsa da artış oranı önemli, Haziran 2023’te %1,7’den Haziran 2024’te %5’in üzerine çıkarak ortalama bir kuruluş için 12 ayda neredeyse üç katına çıktı.
Veri, GenAI uygulamaları kullanıldığında korunması gereken en kritik varlık olmaya devam ediyor. Kullanıcılar hala veri riskine neden olma ve önlemede kilit aktörler ve bugün, GenAI kullanıcıları için en acil güvenlik risklerinin hepsi veriyle ilgili.
Şaşırtıcı olmayan bir şekilde, DLP kontrolleri GenAI veri riski kontrolü olarak popülerlik kazanıyor. Veri kaybı önleme popülerliği Haziran 2023’te %24’ten Haziran 2024’te GenAI uygulamalarına gönderilen veri türlerini kontrol etmek için DLP kullanan kuruluşların %42’sinden fazlasına, yıllık bazda %75’ten fazla büyümeye yükseldi.
DLP kontrollerindeki artış, kuruluşlar genelinde GenAI uygulama kullanımının giderek yaygınlaşması eğilimi karşısında veri riskinin etkili bir şekilde nasıl azaltılacağına ilişkin bir anlayışın oluştuğunu gösteriyor.
Özerk olarak içerik üretme yeteneğiyle GenAI benzersiz zorluklar ortaya çıkarır. İşletmeler, GenAI tarafından üretilen çıktıların yanlışlıkla hassas bilgileri ifşa edebileceğini, yanlış bilgi yayabileceğini veya hatta kötü amaçlı içerik sunabileceğini kabul etmelidir. Bu nedenle, bu riskleri kapsamlı bir şekilde değerlendirmek ve azaltmak önemli hale gelir.
Veri, GenAI sistemlerinin temelini oluşturduğundan, odak noktasının GenAI uygulama kullanımından kaynaklanan veri riski olması gerekir.