Üretken yapay zekanın yükselişinin ortasında, iş dünyasının liderleri benimseme, güvenlik ve güven arasındaki hassas dengeyi korumak zorunda.
Yazan: Apu Pavithran, Hexnode CEO’su ve Kurucusu
Ağustos ayının sonunda OpenAI, İşletmeler için ChatGPT’yi yayınladı. Çok abartılı olan sürüm, “kurumsal düzeyde güvenlik”, gelişmiş veri analizi yetenekleri ve özelleştirme seçeneklerine odaklanıyor. Ancak işletmelerin araca bakış açısını değiştirmesi pek mümkün değil. ABD’li yöneticilerin büyük bir çoğunluğunun (%60) üretken yapay zekanın (GenAI) uzun vadeli muazzam bir etkiye sahip olmasını beklemesine rağmen, ilk çözümlerini uygulamaya hâlâ bir veya iki yıl uzaktalar.
Kendi deyimiyle “kurumsal” çözümler ne olursa olsun, iş liderleri öncelikle teknolojinin nasıl çalıştığını anlamak, iç yeteneklerini ve veri güvenliğini değerlendirmek ve buna göre yatırım yapmak istiyor.
İşletmelerin GenAI çağında benimseme, güvenlik ve güven arasındaki hassas dengede nasıl gezinebileceğini keşfedelim.
Neden İş Liderleri GenAI’dan Henüz Emin Değil?
Peki bu teknoloji nasıl çalışıyor ve neden işletmeler için endişe uyandırıyor? GenAI modelleri, çeşitli kaynaklardan gelen geniş görüntü ve metin veri kümeleri üzerinde kapsamlı bir eğitime tabi tutulur. Kullanıcılar, içerik oluşturmak için kılavuz görevi gören platforma ilk yönlendirmeyle süreci başlatır. Ancak bu modellerin hâlâ öğrenme aşamasında olduğu göz önüne alındığında, verilerin arka uçta nasıl kullanıldığı belirsizliğini koruyor.
Paylaşılan herhangi bir bilginin etkin bir şekilde platformun eğitim verilerinin bir parçası haline geldiğini ve gelecekteki çıktıları etkilediğini bilmek önemlidir. ChatGPT, tüketicilere yazılımlarını kişisel veya kurumsal verilerle eğitmemeleri konusunda güvence verirken, OpenAI çok sayıda yüksek profilli veri sızıntısıyla karşı karşıya. Örneğin Samsung, ChatGPT’de özel bir veri sızıntısıyla karşı karşıya kaldı. Bu arada diğerleri, içerikten öğrenme şeklini potansiyel olarak telif hakkını ihlal edecek şekilde eleştirdi.
İşletmelerin bu teknolojiye sağlıklı bir ihtiyatla yaklaşmasında haklılar. GenAI’nin daha fazla benimsenmesinin ve ardından üçüncü taraf platformlarla entegrasyonun, siber güvenlik ekiplerinin ek değerlendirmesini gerektirdiğini göz önünde bulundurun. Sonuç olarak, odak noktaları artık dahili önlemlerle sınırlı değil, aynı zamanda üçüncü taraf yazılımların ve bağlı kuruluşlarının güvenliğini de incelemektir. Ek olarak, ortaya çıkan başka bir tehdit, müşteri destek sohbet robotlarını hedef alan ve kurumsal sistemlere yetkisiz erişim sağlama potansiyeline sahip olan enjeksiyon saldırılarını içeriyor. Eğer ele alınmazsa, bu teknolojinin potansiyel tehdit vektörü oldukça büyük olacaktır.
İlginçtir ki kuruluşların %45’i, doğru risk yönetimi araçlarını uygulama konusunda başarısız olmaları durumunda GenAI’nin kuruluşlarındaki güveni potansiyel olarak zedeleyebileceğine inanıyor. Bu nedenle, iş dünyası liderleri bu teknolojiyi benimsemeden önce, güvenli ve sorumlu bir benimsemeyi sağlamak için ödevlerini yapıyorlar. Benimseme konusundaki bu titiz yaklaşım, GenAI’nin olağanüstü potansiyeli ile güveni koruma zorunluluğu arasında bir denge kurmayı amaçlıyor.
GenAI’nin İkiliği
GenAI alanına girme girişiminde bulunan şirketler için büyük umutlar ve derin riskler var. İlgili risklerin ve zorlukların üstesinden gelmek için kuruluşların, çalışanları ve verileri koruyan ileri görüşlü politikalar oluşturması gerekir.
Örneğin şirketlerin, iş e-posta iletişimi, üçüncü taraflarla veri paylaşımı veya yerleşik üçüncü taraf kod projelerinin kullanımına ilişkin politikaları gözden geçirerek GenAI’ya özgü riskleri ele alması gerekecektir.
Baş Bilgi Güvenliği Görevlileri (CISO’lar), kullanıcıları bu teknolojiyle ilişkili doğal riskler konusunda eğitmek için bilinçlendirme kampanyaları yürütmeyi de düşünmelidir. Kimin neyi kullanabileceğini ve neyin gizli kalması gerektiğini açıklayan kapsamlı bir kural kitabının oluşturulması yardımcı olacaktır.
Uluslararası politika yapıcılar sorumlu bir yapay zeka ekosistemini teşvik etmek için aktif olarak stratejiler formüle ederken, kuruluşların da potansiyel tehditleri savuşturmak için çabalarını hükümetin onayladığı yaklaşımlarla uyumlu hale getirmesi gerekiyor. GenAI risklerinin siber güvenliğin ötesine uzandığını hatırlamak önemlidir; bu riskler gizlilik ve veri koruma risklerini, mevzuat uyumluluğunu, yasal riskleri ve yapay zeka etiğini kapsar. Bu, CISO’ların yalnızca mevcut riskler için değil aynı zamanda ufukta görünen riskler konusunda da tetikte kalması gerektiği anlamına geliyor.
Güvenlik Yol Haritasını Yeniden Tanımlamak
İşletmeler için büyük bir endişe, çalışanların BT’nin dikkatli gözünden uzakta GenAI ile uğraşmasıdır. Aslında artık Shadow IT’nin önemli bir vektörü haline geldi. Araştırma, ChatGPT çoğunluğuna katılan 10 kişiden 7’sinin bunu amirlerine söylemediğini ortaya çıkardı. Çalışanların üçte ikisinden fazlası kurumsal olmayan uygulamalarla meşgul olmaya devam ederken, CISO’ların bu tür uygulamaların neden ön plana çıktığını sorgulaması ve bu kullanıcıların net bir resmini elde etmesi gerekiyor.
Araştırmalar, endişe verici bir şekilde çalışanların %4’ünün hassas kurumsal verileri dil modellerine yerleştirdiğini gösteriyor. Siber güvenlik liderleri, verilerin daha güvenli bir şekilde aktarılmasını sağlamak ve hassas bilgilerin yetkisiz erişime veya açığa çıkmaya karşı korunmasını sağlamak için koruma araçlarını kullanarak bu konu üzerinde çalışabilir.
Son olarak, erişilebilirliği tanımlayarak hassas verilerin onaylanmamış cihazlar veya uygulamalar arasında aktarımını kısıtlayabilen birleşik uç nokta yönetimi (UEM) gibi araçlar vardır. Yöneticiler, kullanıcının rolüne bağlı olarak bu tür uygulamalara cihaz erişimine izin verebilir. Uç nokta yönetimi çözümleri, kimlik ve erişim yönetimi (IAM) ile entegre edildiğinde, gizli verilerin paylaşılması durumunda yöneticileri işaretleyecektir. ChatGPT erişimi olan bir cihazın kaybolması veya çalınması gibi talihsiz bir durumda, UEM çözümleri cihazdaki verileri uzaktan silerek hassas bilgilerin yanlış ellere düşmesini etkili bir şekilde önleyebilir.
GenAI, modern işyerlerinde anlaşılır bir şekilde zemin kazanıyor. Şirketler bu araçları denemeye alıyor, geliştiriciler onlarla yakınlaşıyor ve çalışanlar onlarla deneyler yapıyor. Günün sonunda CISO’lar, işgücünün üretkenliğini kısıtlamadan güvenlik bilincine sahip bir ortam yaratmalıdır. Bu nedenle yenilik ve güvenlik arasındaki mükemmel uyumu bulmak hayati önem taşıyor. Makalenin sonu.
yazar hakkında
Apu Pavithran, Hexnode’un kurucusu ve CEO’sudur. BT yönetimi camiasında danışman, konuşmacı ve düşünce lideri olarak tanınan Apu, BT yönetişimi ve Bilgi güvenliği yönetiminin güçlü bir savunucusu olmuştur. Girişimcilik konusunda tutkulu ve yeni kurulan şirketlerle çalışarak genç girişimcileri güçlendirmeye önemli zaman harcıyor. Apu hakkında daha fazla bilgiyi LinkedIn’de ve şirketinin web sitesi Hexnode’da bulabilirsiniz.