“Aslan gibi, kuzu gibi dışarı” 2023’ün doğru bir tanımıdır. Çok sayıda banka iflası, devam eden teknoloji sektöründeki işten çıkarmalar ve kurumsal kemer sıkma önlemlerinin ortaya çıkmasıyla bu yıl zorlu bir yıl başlangıcıydı. Ancak 2023 baharına gelindiğinde enflasyon düşmüştü; GSYİH büyümesi geri dönmüştü; ve inovasyon, kuruluşlara yenilenmiş bir iyimserlik sunmaya başlamıştı. Gerçekten de 2023, yaşamımızın en büyük teknolojisi ve iş değişikliği olarak adlandırdığımız üretken yapay zekaya (genAI) yapılan yatırımların arttığını gördü.
2024 yılında, daha fazla işletme hızlı deneyleri benimsedikçe ve yeni genAI girişimlerini başlattıkça, inovasyona odaklanma devam edecek. Ancak kuruluşların deneme aşamasından yeni yapay zeka tabanlı teknolojilerin uygulanması aşamasına güvenli bir şekilde geçiş yapması hayati önem taşıyacak. Forrester’ın 2023 verilerine göre, kuruluşları genAI ile ilgili politika değişiklikleri yapan yapay zeka karar vericilerinin %53’ü, yapay zeka kullanım örneklerini desteklemek için yapay zeka yönetişim programlarını geliştiriyor. Bu nedenle, güvenlik, risk ve gizlilik liderlerinin, birbirine bağlı risklerin olduğu bir ortamda, inovasyon hızını, düzenleyici zorunlulukların ötesinde yönetişim ve hesap verebilirlik ile dengelemesi gerekecektir.
Güvenli olmayan AI kodu ve OpenAI
Ne yazık ki, genAI’ya olan bu artan ilginin bir sonucu olarak, 2024’te muhtemelen en az üç veri ihlalinin yapay zeka tarafından oluşturulan kodlara atfedildiğini göreceğiz. Gerçekten de geliştiricilerin, kod oluşturmak ve üretkenliği artırmak için TuringBots olarak bilinen yapay zeka geliştirme asistanlarına giderek daha fazla güvendiğini görüyoruz; birçok kuruluş sorumlu olsa ve kodu güvenlik kusurlarına karşı tarayacak olsa da, kendine aşırı güvenen geliştiricilerin daha güvenilir bir duruş sergilediklerine de tanık olacağız. ve yapay zeka tarafından oluşturulan kodun güvenli olduğunu varsayalım.
Forrester ayrıca 2024 yılında ChatGPT kullanan bir uygulamanın PII işlemesi nedeniyle para cezasına çarptırılacağını öngörüyor. Düzenleyicilerin merceklerini genAI’ye odakladığını, OpenAI’nin düzenleyiciler tarafından yoğun inceleme altında olduğunu ve bunun iyi bir nedeni olduğunu gördük. Avrupa’da, İtalya’da halihazırda devam eden bir OpenAI soruşturması görüyoruz; Polonya’daki avukatlar ise çeşitli potansiyel GDPR ihlallerine ilişkin yeni bir davayla ilgileniyor. Avrupa Veri Koruma Kurulu ayrıca OpenAI’nin ChatGPT’sine karşı yaptırım eylemlerini koordine etmek için bir görev gücü başlattı.
Sorun, OpenAI’nin kendisini düzenleyicilere karşı savunacak kaynaklara sahip olabilmesidir, ancak ChatGPT’de çalışan birçok üçüncü taraf uygulamasının bu durumu yoktur. Üstelik bazı uygulamalar, üçüncü taraf teknoloji sağlayıcıları aracılığıyla riskler getirdiğinden ancak bunları hafifletmek için gereken finansal ve teknik kaynaklara sahip olmadığından aslında OpenAI’nin kendisinden daha büyük bir para cezası riski taşıyor. Daha sonra şirketlerin riske maruz kalma oranlarını artırma ve üçüncü taraf risk yönetimini ikiye katlama potansiyeline sahip uygulamaları belirlemelerini görmemiz gerekiyor.
Sıfır güven patlaması ve insan hatası
Forrester’ın tahminlerine göre, 2024 yılında kamu ve özel sektörde sıfır güven başlıklı rollerin iki katına çıkacağını da göreceğiz. Bu yazının yazıldığı sırada, LinkedIn’de ABD’de 81, Birleşik Krallık’ta altı ve biri Singapur’da. Bununla birlikte, ABD’de sıfır güven talimatları ve idari emirlerdeki artış ile sıfır güvenin nihayet APAC ve EMEA’da ana akım haline gelmesinin birleşimi, sıfır güven mimarisi, mühendisliği, yönetişim, strateji ve liderlik. Sonuç olarak, önümüzdeki yıl her bölgedeki rollerin sayısı iki katına çıkmakla kalmayacak, aynı zamanda bu roller Avustralya ve Hindistan gibi ülkelerde de ortaya çıkmaya başlayacak.
Ayrıca 2024 veri ihlallerinde insan hatasının da önemli bir rol oynadığını göreceğiz. Bir çalışanın veya kullanıcının farkında olmadan ayrıcalığın kötüye kullanılması, çalınan kimlik bilgilerinin kullanılması veya sosyal mühendislik yoluyla bir veri ihlaline olanak sağlamasından kaynaklanan insan hatası, güvenlik ve risk uzmanları için her zaman bir zorluk olmuştur; birçok küresel ve yerel ihlal yayınının bunların sorumlu olduğunu tahmin etmektedir. İhlallerin %74’ü. Ancak Forrester, öncelikle genAI’nın yükselişi ve sosyal mühendislik saldırılarını daha basit ve hızlı hale getiren iletişim kanallarının yaygınlaşması nedeniyle bu sayının 2024’te veri ihlallerinin %90’ına çıkacağını öngörüyor. Bu artış aynı zamanda insani ihlalleri azaltmak için genellikle sihirli değnek olarak lanse edilen güvenlik farkındalığı ve eğitimi de ortaya çıkaracak. Bu nedenle 2024’te daha fazla CISO’nun uyarlanabilir insan korumasına geçiş yaptığını ve davranış değişikliği konusunda veri odaklı bir yaklaşım benimsediğini, aynı zamanda güvenlik riski yönetimine insan riskini de eklediğini göreceğiz.
Siber sigorta: Satıcılar önemli olacak
Son olarak Forrester, 2024 yılında iki güvenlik teknolojisi satıcısının sigorta şirketleri tarafından tehlike işareti olarak değerlendirilmesini bekliyor. Uzun yıllardır veri açığının ardından siber sigorta sağlayıcıları artık güvenlik hizmetlerinden, teknoloji ortaklıklarından ve sigorta taleplerinden elde edilen değerli içgörülere sahip olup, bu bilgiler onların talepleri inceleme ve işleme şekillerini etkilemeye başlayacak. Aslında, poliçe sahipleri tarafından kullanılan güvenli uygulamalar ve belirli güvenlik teknolojileri konusunda muhtemelen artan bir reçete göreceğiz. Artık belirli bir güvenlik çözümünün mevcut olması yeterli olmayacak; Sigortacılar tarafından riskli görülen satıcıların kullanılması primlerin artmasına, ek incelemelere, güvenlik açığı yönetimi için yeni gerekliliklere ve daha az riskli bir seçeneği tercih etmedikleri sürece muhtemelen sigorta kapsamının reddedilmesine yol açacaktır.
Alla Valente, Forrester’da kıdemli analisttir. Yönetişim, risk ve uyumluluk, üçüncü taraf risk yönetimi, sözleşme yaşam döngüsü yönetimi ve tedarik zinciri riski konularında uzmanlaşmıştır.