Uygulama, API ve veri güvenliği uzmanı Imperva’daki tehdit araştırmacıları, büyük dil modellerine (LLM’ler) dayalı üretken yapay zeka araçlarının kullanımındaki patlamanın önümüzdeki 12 ay içinde neredeyse kaçınılmaz olarak çok sayıda büyük içeriden bilgi ihlali olayına yol açacağını tahmin ediyor.
LLM destekli sohbet robotları – en yaygın ve dikkate değer olanı ChatGPT’dir – daha güçlü hale geldikçe, birçok kuruluş kendileriyle hangi verilerin paylaşılabileceği konusunda oldukça makul önlemler almıştır; bu, yakın zamanda Computer Weekly tarafından keşfedilen bir sorundur.
Bununla birlikte, Imperva’nın veri güvenliğinden sorumlu kıdemli başkan yardımcısı pazara açılma ve saha baş teknoloji sorumlusu Terry Ray’e göre, kuruluşların “ezici bir çoğunluğu” hâlâ içeriden öğrenilenlere yönelik bir risk stratejisine sahip değil ve bu nedenle üretici kullanımına karşı kör kalıyor. Kod yazma veya form doldurma gibi görevlerde biraz yardım isteyen kullanıcılar tarafından yapay zeka.
Ray, “İnsanların bir veri ihlaline neden olmak için kötü niyetli olması gerekmiyor” dedi. “Çoğu zaman işlerini yaparken daha verimli olmaya çalışıyorlar. Ancak şirketler, arka uç kodlarına veya hassas veri depolarına erişen LLM’lere karşı körse, yüzlerinde patlaması an meselesi.”
Imperva’nın kendi verilerine göre, içeriden gelen tehditlerin veri ihlallerinin neredeyse %60’ının altında yatan neden olduğu düşünülüyor, ancak pek çoğuna hâlâ kuruluşlar tarafından gerektiği gibi öncelik verilmiyor çünkü bunların önemli bir kısmı sadece insan hatası vakaları. firma, kuruluşların %33’ünün içeridekileri önemli bir tehdit olarak algılamadığını tespit etti.
Sorunun ele alınması
Ray, organizasyon içinde AI kullanımını kısıtlamaya çalışmanın, at kaçtıktan sonra ahır kapısını kapatmak olduğunu söyledi.
Ray, “Çalışanların üretken yapay zeka kullanmasını yasaklamak beyhudedir” dedi. “Bunu diğer pek çok teknolojide gördük – insanlar kaçınılmaz olarak bu tür kısıtlamaların etrafından dolaşabiliyorlar ve bu nedenle yasaklar, işletmeyi anlamlı bir şekilde daha güvenli tutmadan güvenlik ekipleri için sonu gelmeyen bir köstebek vurma oyunu yaratıyor.”
“Bir veri ihlaline neden olmak için insanların kötü niyetli olması gerekmiyor. Çoğu zaman, sadece daha verimli olmaya çalışıyorlar. Ancak şirketler, arka uç kodlarına veya hassas veri depolarına erişen LLM’lere karşı körse, yüzlerinde patlaması an meselesi”
Terry Ray, Imperva
Yasaklar uygulamak veya çalışanların ChatGPT gibi araçları kendi kendine denetlemesine güvenmek yerine, güvenlik ekiplerinin chatbot yerine verilere odaklanmaya yönlendirilmesi ve aşağıdaki gibi soruların yanıtlarını bildiklerinden emin olmaları gerektiğini önerdi: Kim neye erişiyor? Neye erişiyorlar? Nasıl erişiyorlar? Nerede bulunuyorsun?
Kuruluşların şu anda güvenlik bütçelerini yönlendirebilecekleri ve riski hafifletmeye ve işletmenin yüksek profilli, yapay zeka kaynaklı bir içeriden bilgi ihlaline kurban gitmemesini sağlamaya yardımcı olabilecek üç acil adım vardır.
İlk olarak, kuruluşların çevrelerindeki her veri havuzunu keşfetmek ve görünürlüğünü korumak için adımlar atması önemlidir; bu, gölge veritabanlarında saklanan önemli verilerin – kazara veya kasıtlı olarak – göz ardı edilmemesini veya istismar edilmemesini sağlamaya yardımcı olacaktır.
İkinci olarak, tüm bu veri varlıklarının envanteri çıkarılmalı ve türüne, hassasiyetine ve iş için değerine göre sınıflandırılmalıdır. Bu şekilde, bir kuruluş, verilerinin tehlikeye girme riski altında olup olmadığına bakılmaksızın verilerinin değerini ve riskleri azaltmak için hangi ek siber güvenlik kontrollerinin makul bir şekilde uygulanabileceğini daha iyi anlayabilir.
Son olarak, kuruluşlar, çalışanlardan gelen anormal davranışlar, verilerin taşınması veya dışarı sızması veya ani ayrıcalık yükseltme örnekleri veya yeni, şüpheli hesapların oluşturulması gibi sorunları tespit etmek için gelişmiş veri izleme ve analiz araçlarına harcama yapmalıdır – hepsi bir felaketin habercisidir. ciddi olay