Yapay zeka (AI) şu anda herkesin aklında olan bir konudur. Bazı endüstrilerde çalışanların yerini alabileceği endişesi varken, diğer endüstriler bunu süreçleri kolaylaştırmak, tekrarlanan görevleri otomatikleştirmek ve zamandan tasarruf etmek için ezber bozan bir araç olarak benimsedi.
Ancak güvenlik profesyonelleri yapay zekayı diğer önemli teknoloji gelişmeleriyle aynı şekilde ele almalıdır. Doğru ellerde ölçülemez faydalar sağlama potansiyeli vardır, ancak onu başkalarının zararına kullanmak isteyen birileri her zaman olacaktır.
ChatGPT gibi üretken yapay zeka araçları, dolandırıcıların ikna edici kimlik avı e-postaları oluşturmasına yardımcı olmak gibi ilkel (kötü) amaçlar için kullanılıyor, ancak CISO’ları ilgilendirmesi gereken daha az bilinen kullanımlardır.
Şirketlerinin kullandığı teknoloji söz konusu olduğunda CISO’ların riskleri ödüllerle dengelemesi gerekiyor. Yapay zeka için de durum aynı. İster bir kodlama sorununu çözmeye yardımcı olabilecek bir yapay zeka algoritması arayan bir geliştirici, ister içerik oluşturma konusunda yardıma ihtiyacı olan bir pazarlamacı olsun, basit bir Google araması, onlara birkaç dakika içinde çözüm sunabilecek yapay zeka destekli birden fazla araca bağlantı sunacaktır. . Çalışanların bu araçları kullanmasına genel bir yasak getirirsek, onlara gizlice erişmenin bir yolunu bulacaklar ve bu da daha büyük risk doğuracaktır.
CISO’lar için sorun, şirketi, çalışanlarını, müşterilerini ve diğer paydaşlarını savunmasız bırakmadan yapay zeka kullanımını nasıl destekleyebilecekleridir. Yapay zekanın kullanılacağını varsayarak başlarsak riski azaltmak için korkuluklar inşa edebiliriz.
Yüksek Lisans’lar yeni bir saldırı yüzeyidir
Buna yaklaşmanın bir yolu yapay zekayı yeni bir saldırı yüzeyi olarak düşünmektir.
En yaygın ve erişilebilir yapay zeka araçlarından biri, OpenAI’den ChatGPT, Meta’dan LLaMA ve Google’ın PaLM2’si gibi büyük dil modelleridir (LLM’ler). Yanlış ellerde, Yüksek Lisans’lar kullanıcılara kötü tavsiyelerde bulunabilir, onları hassas bilgileri ifşa etmeye teşvik edebilir, güvenlik açığı bulunan kodlar oluşturabilir veya şifreleri sızdırabilir.
Deneyimli bir CISO, basit bir güvenlik sorusuna yanıt olarak ChatGPT’den gelen çıktının kötü amaçlı olduğunu fark edebilirken, başka bir personelin risk için aynı anteni kullanması daha az olasıdır.
Düzenlemeler mevcut olmadığında, herhangi bir çalışan yanlışlıkla başka bir şirketin veya kişinin fikri mülkiyetini (IP) çalıyor olabilir veya kendi şirketinin IP’sini bir rakibin eline teslim ediyor olabilir. LLM’lerin kullanıcı girişlerini eğitim verileri olarak sakladığı göz önüne alındığında, bu durum GDPR dahil olmak üzere veri gizliliği düzenlemelerine aykırı olabilir.
Geliştiriciler kod yazmalarına yardımcı olmak için Yüksek Lisans’ı kullanıyor. Bu yutulduğunda, başka bir kullanıcının istemine yanıt olarak yeniden ortaya çıkabilir. Orijinal geliştiricinin bunu kontrol etmek için yapabileceği hiçbir şey yoktur, çünkü Yüksek Lisans kodun oluşturulmasına yardımcı olmak için kullanılmıştır, bu da kodun sahipliğini kanıtlama olasılığını oldukça düşük hale getirir. Bu durum, kuruluşların kodlarının eğitim için girdi olarak kullanılmasına karşı koruma sağlamasına yardımcı olan bir GenAI lisansı kullanılarak hafifletilebilir. Ancak bu koşullarda “güven ama doğrula” yaklaşımını empoze etmek iyi bir fikirdir.
Riskleri azaltmak için adımlar atmak
Bunlar, işletmelerin yapay zeka nedeniyle karşı karşıya kaldığı güvenlik risklerinden yalnızca birkaçıdır, ancak yapay zekanın tüm avantajlarının tamamen optimize edilmesine olanak tanıyarak doğru yaklaşımla bunlar azaltılabilir.
Bu amaçla organizasyonun her departmanını ve her seviyesini kucaklayan işbirlikçi politikaların geliştirilmesi temel önceliklerden biri olmalıdır. Güvenlik ekibi belirli riskler (örneğin, şirket işlerini yürütmek için tüketici odaklı LLM’leri kişisel dizüstü bilgisayarlarına indirmenin tehlikeleri) hakkında rehberlik sağlayabilirken, çalışanların AI araçlarından nasıl yararlanabilecekleri konusunda geri bildirimleri tüm tarafların anlaşmaya varmasına yardımcı olacaktır. temel kurallar hakkında.
Güvenlik ekipleri, bu araçların oluşturduğu tehditler konusunda çok daha derin bir bilgiye sahiptir ve farkındalığı artırmak için bu bilgileri bir eğitim programı veya çalıştaylar şeklinde aktarabilirler. Yapay zeka tarafından oluşturulan içerikten elde edilen çıktıların doğrulanmamasının nasıl yasal işlemlere yol açtığı gibi gerçek hayattan örnekler sunmak yankı uyandıracaktır. Çalışanların bu öğrendiklerini iyi bir etki için kullandıkları durumlarda, başarıları şirket içinde desteklenmeli ve vurgulanmalıdır.
Yapay zeka uygulamalarının çok hızlı bir şekilde çoğalacağı göz önüne alındığında, yerleşik esnekliğe sahip bir politika oluşturmak hayati önem taşıyor.
Çalışanları engellemek yerine onlara yardımcı olmaya odaklanan olumlu bir güvenlik yaklaşımı artık standart olmalı, ancak konu yapay zekaya geldiğinde çalışanlar, uygun değişiklikler yapılarak araçları kullanma taleplerini duruma göre iletebilmelidir. her seferinde güvenlik politikasına.
En son teknolojik devrim
Yapay zeka kurumsal hayatta daha büyük bir rol oynamaya başladıkça, CISO’ların daha geniş organizasyonla mutabakata vararak belirlediği korkuluklar şüphesiz değişecektir. Şu anda nispeten bilinmeyen bir bölgede çalışıyoruz, ancak düzenlemeler dünya çapındaki hükümetler tarafından güvenlik uzmanlarına danışılarak değerlendiriliyor.
Bir değişim dönemi bekleyebilirken, herhangi bir büyük teknolojik ilerlemenin başlamasıyla bunun normal olduğunu hatırlamakta fayda var.
İçten yanmalı motor 19. yüzyılın başında ilk kez piyasaya sürüldüğünde, insanların bunun nasıl uygulanacağı ve nasıl güvenli bir şekilde kullanılacağı hakkında çok az fikri vardı, ancak o zamandan beri toplumda devrim yarattı.
Dijital bilgi işlem alanında, ana bilgisayarların ve kişisel bilgisayarların geliştirildiği günlerden, şu anda içinde yaşadığımız “akıllı” dünyaya kadar büyük adımlar attık. Her yenilikle birlikte hem fırsat hem de risk gelir, ancak aynı zamanda riskleri değerlendirme ve yapay zekanın sunduğu fırsatlardan yararlanma konusunda her zamankinden daha iyi bir konumdayız.