Birçok kurumsal güvenlik ekibi, ChatGPT’nin 18 ay önce kamuoyuna duyurulmasından bu yana kuruluşlarında yapay zeka destekli uygulamaların hızla benimsenmesiyle nihayet başa çıkmaya çalışıyor gibi görünüyor.
Netskope’un müşteri ortamlarından anonimleştirilmiş yapay zeka uygulaması kullanım verilerine ilişkin yeni bir analizi, çok daha fazla sayıda kuruluşun riski azaltmak için engelleme kontrolleri, veri kaybı önleme (DLP) araçları, canlı koçluk ve diğer mekanizmaları kullanmaya başladığını gösterdi.
Kullanıcıların AI Uygulamalarına Ne Gönderdiğini İzlemek
Kurumsal organizasyonların benimsediği veya benimsemekte olduğu kontrollerin çoğu, aşağıdakilere odaklanmış görünüyor: kullanıcıların hassas veri göndermesine karşı koruma — kişisel kimlik bilgileri, kimlik bilgileri, ticari sırlar ve düzenlenmiş veriler gibi — yapay zeka uygulamalarına ve hizmetlerine.
Netskope’un analizi, AI uygulamalarına sahip kuruluşların %77’sinin artık riski azaltmak için en az bir – ve genellikle birden fazla – GenAI uygulamasının kullanımını kısıtlamak için engelleme/izin verme politikaları kullandığını gösterdi. Bu sayı, Netskope’un geçen yılki araştırmasında bildirilen benzer bir politikaya sahip kuruluşların %53’ünden belirgin şekilde daha yüksekti. İki kuruluştan biri şu anda ikiden fazla uygulamayı engelliyor ve bunların en aktif olanı güvenlik endişeleri nedeniyle yaklaşık 15 GenAI uygulamasını engelliyor.
“En çok engellenen GenAI uygulamaları popülerliğe bağlı olarak değişiyor, ancak daha az popüler olan uygulamaların bir kısmı en çok engellenenler arasında yer alıyor [as well]Netskope, analiz sonuçlarını özetleyen bir blog yazısında, “En çok engellenen uygulamaları sunum hazırlama yazılımı Beautiful.ai, yazma uygulaması Writesonic, görüntü oluşturma yazılımı Craiyon ve toplantı transkripti oluşturma yazılımı Tactiq olarak belirledi.
Kuruluşların %42’si (Haziran 2023’teki %24’e kıyasla) kullanıcıların bir GenAI aracına ne gönderip gönderemeyeceğini kontrol etmek için DLP araçlarını kullanmaya başladı. Netskope, %75’lik artışı, GenAI uygulamaları ve hizmetlerinden kaynaklanan tehditleri ele almak için kurumsal güvenlik yaklaşımlarının olgunlaştığının bir göstergesi olarak algıladı. Canlı koçluk kontrolleri (temel olarak bir kullanıcı bir AI uygulamasıyla riskli bir şekilde etkileşime girebileceği zaman bir uyarı iletişim kutusu sağlar) da popülerlik kazanıyor. Netskope, kuruluşların %31’inin, kullanıcı davranışını yönlendirmek için koçluk iletişim kutularını kullanarak GenAI uygulamalarını kontrol etmek için politikalar uyguladığını buldu; bu oran Haziran 2023’teki %20’den yükseldi.
“İlginçtir ki, kuruluşların %19’u GenAI uygulamalarını kullanıyor ancak bunları engellemiyor, bu da bunların çoğunun ‘gölge BT’ olduğu anlamına gelebilir. [use]”Netskope Threat Labs’da bulut güvenliği araştırmacısı olan Jenko Hwong, “Bu, herhangi bir güvenlik uzmanının gerekli risk azaltma önlemlerini uygulamadan GenAI uygulamalarının sınırsız kullanımına izin vermesinin olası olmamasından kaynaklanmaktadır.” diyor.
GenAI Hizmetlerinden Elde Edilen Verilerle Riskleri Azaltmak Henüz Odaklanılmadı
Netskope, müşterilerinin GenAI hizmetlerinden kullanıcıların aldığı verilerle ilişkili riskleri ele alma konusunda daha az acil bir odaklanma buldu. Çoğunun, AI araçlarının istemlere yanıt olarak ürettiği verileri nasıl kullanmaları ve işlemeleri gerektiği konusunda kullanıcıları yönlendirmek için kabul edilebilir bir kullanım politikası vardır. Ancak en azından şu an için, çok azının, AI araçlarının gerçek dışı veya önyargılı veriler yaymasıyla bağlantılı potansiyel güvenlik ve yasal riskleri ele almak için herhangi bir mekanizması var gibi görünüyor. manipüle edilmiş sonuçlartelif hakkıyla korunan veriler ve tamamen halüsinasyonlu tepkiler.
Hwong, kuruluşların bu riskleri azaltma yollarının, özel uygulamalar için satıcı sözleşmeleri ve tazminat maddeleri ve daha yüksek kaliteli veri kümelerine sahip kurumsal onaylı GenAI uygulamalarının kullanımını zorunlu kılmak olduğunu söylüyor. Kuruluşlar ayrıca, zaman damgaları, kullanıcı istemleri ve sonuçlar dahil olmak üzere kurumsal onaylı GenAI uygulamalarından gelen tüm iade veri kümelerini kaydederek ve denetleyerek riskleri azaltabilir.
“Güvenlik ekiplerinin alabileceği diğer önlemler arasında, OSS’nin her mühendislik departmanının uyumluluk kontrollerinin bir parçası olması gibi, GenAI uygulamalarından döndürülen verilere özgü dahili süreçleri gözden geçirmek ve yeniden eğitmek yer alıyor,” diyor Hwong. “Bu, şu anda birincil odak noktası veya kuruluşların GenAI hizmetlerine veri göndermeye kıyasla en acil riski olmasa da, bunun ortaya çıkan bir eğilimin parçası olduğuna inanıyoruz.”
Güvenlik ekiplerinin GenAI uygulamalarına gösterdiği artan ilgi, kurumsal AI araçlarının benimsenmesinin hızla artmaya devam ettiği bir zamanda ortaya çıkıyor. Netskope anketindeki müşterilerin %96’sı (Haziran 2023’teki %74’e kıyasla) kodlama ve yazma yardımı, sunum oluşturma ve görüntü ve video oluşturma gibi çeşitli kullanım durumları için en azından bazı kullanıcıları GenAI uygulamalarını kullanıyordu.
Netskope, ortalama bir kuruluşun şu anda üç kat daha fazla GenAI uygulaması kullandığını ve bunları kullanan neredeyse üç kat daha fazla kullanıcıya sahip olduğunu buldu, sadece bir yıl öncesine kıyasla. Haziran 2024’te kuruluşlar arasında kullanılan GenAI uygulamalarının medyan sayısı, geçen yılki medyan 3’e kıyasla 9,6 idi. En üstteki %25’in ortamlarında ortalama 24 GenAI uygulaması varken, en üstteki %1’in 80 uygulaması vardı.
ChatGPT, tahmin edilebileceği gibi Netskope müşterileri arasında en popüler GenAI uygulaması listesinde zirveye oturdu. Diğer popüler uygulamalar arasında Grammarly, Microsoft Copilot, Google Gemini ve ilginç bir şekilde en sık engellenen 10. uygulama olan Perplexity AI yer aldı.
“Genai zaten şu anda kuruluşlar arasında yaygın olarak kullanılır ve hızla artan bir faaliyet gösteriyor,” diyor Hwong. “Kuruluşların, hangi uygulamaların kullanıldığına dair bir envanterle başlayarak, bu uygulamalara hangi hassas verilerin gönderildiğini kontrol ederek ve inceleyerek eğrinin önüne geçmeleri gerekiyor [their] “Politikalar, manzara hızla değiştiği için.”