Önce Verilerinizi Korumayı Unutmayın
Her türden ve büyüklükteki kuruluşlar, gelişmiş verimlilik, hız ve inovasyondan yararlanmak için şu anda yeni Yapay Zeka (AI) modellerini benimsemek için yarışıyor. Ne yazık ki pek çok kuruluş, potansiyel olarak açığa çıkabilecek yeni yapay zeka teknolojisini kullanıma sunmadan önce hassas verilerini korumak için temel adımları atma konusunda başarısız oluyor.
Yeni yapay zeka modellerinin uygulanması, verilerin nasıl toplandığı, kullanıldığı ve korunduğu konusunda önemli endişelere yol açabilir. Bu sorunlar, ilk eğitim için kullanılan verilerden modelle devam eden etkileşimlere kadar yapay zeka yaşam döngüsünün tamamında ortaya çıkar. Şimdiye kadar çoğu şirketin tercihi iki kötü seçenek arasındadır: Ya yapay zekayı görmezden gelin ve giderek daha rekabetçi hale gelen bir pazarda sonuçlarıyla yüzleşin; veya potansiyel olarak verileri açığa çıkarabilecek bir Büyük Dil Modeli (LLM) uygulayın. Her iki seçenek de çok büyük hasara neden olabilir.
Sorun yapay zekanın uygulanıp uygulanmayacağı değil, hassas verileri riske atmadan yapay zekadan optimum değerin nasıl elde edileceğidir. Gizliliği Artıran Teknolojiye (PET) sahip yeni yaklaşımlar, özel donanıma veya büyük bilgi işlem kaynaklarına gerek kalmadan çok düşük bir maliyetle verilerin (kullanım sırasında bile) sürekli şifrelenmesine olanak tanır. Bu, verileri korumak için geçerli bir yöntem sağlarken aynı zamanda yeni yapay zeka modelleri aracılığıyla verilerden daha fazla değer elde etme olanağı da sunar.
McKinsey’in Yapay Zekanın Durumu 2025 Küresel Araştırması’na göre, kuruluşların %78’inden fazlasının artık en az bir iş fonksiyonunda düzenli olarak üretken ve analitik yapay zeka kullanması ile yapay zeka kullanımında şimdiden önemli bir hızlanma görüyoruz. Kullanıcılar maliyet ve verimlilik avantajlarını bildiriyor; %64’ü bunun özellikle BT işlevlerinde yeniliğe olanak sağladığını söylüyor. Ancak yanıt verenlerin yaklaşık üçte ikisi, kuruluşlarının henüz yapay zekayı daha fazla iş fonksiyonuna tam olarak ölçeklendirmeye başlamadığını söylüyor.
Bu isteksizliğin büyük bir kısmı, özellikle fikri mülkiyetin korunması konusunda, verilerin nasıl toplandığı, kullanıldığı ve korunduğuna ilişkin endişelerden kaynaklanmaktadır. Yakın zamanda yapılan bir Metomic anketinde, yanıt verenlerin %90’ı kuruluşlarının güvenlik önlemlerine güvendiklerini ifade etti, ancak %68’i özellikle çalışanların hassas bilgileri yapay zeka araçlarıyla paylaşmasıyla ilgili veri sızıntısı olaylarını bildirdi.
Şimdiye kadar çoğu şirketin tercihi iki kötü seçenek arasındadır: Ya yapay zekayı görmezden gelin ve giderek daha rekabetçi hale gelen bir pazarda sonuçlarıyla yüzleşin; veya potansiyel olarak hassas verileri açığa çıkarabilecek bir Büyük Dil Modeli (LLM) uygulayın. Her iki seçenek de çok büyük hasara neden olabilir.
CISO’lar için soru, yapay zekanın uygulanıp uygulanmayacağı değil, hassas verileri riske atmadan yapay zekadan optimum değerin nasıl elde edileceğidir.
Kedi Çantadan Çıktı
Pek çok halka açık yapay zeka modeli, genellikle ilgili kişilerin açık rızası veya bilgisi olmadan internetten alınan çok miktarda veri üzerinde eğitiliyor. Bu veri kümelerinden bazıları mali kayıtlar, sağlık bilgileri ve biyometrik veriler gibi oldukça hassas bilgiler içeriyor. Örnek olarak, ABD merkezli bir yüz tanıma şirketi olan Clearview AI, yüz tanıma veri tabanı için web’den milyarlarca görüntüyü kazıdığı için Hollanda’daki bir veri koruma kurumu tarafından 33 milyon dolar para cezasına çarptırıldı.
Çoğu durumda, belirli bir amaç için toplanan veriler daha sonra izinsiz olarak yapay zeka modellerini eğitmek için kullanılabilir. Bir yapay zeka modeli devreye alındıktan sonra, üzerinde eğitim aldığı hassas bilgileri kazara açığa çıkarabilir ve bu da bu verilerin ifşa edilmesi veya kötüye kullanılması riskini önemli ölçüde artırır. Örneğin 2024’te Slack, politikasını kullanıcı verilerinin varsayılan olarak yapay zeka eğitimi için kullanılmasına izin verecek şekilde güncellediğinde tepkiyle karşılaştı.
Dahası, üretken yapay zeka araçları, özel iş verilerini veya kişisel bilgileri yanlışlıkla üçüncü taraflarla veya platformlar arasında paylaşabilir. Kötü niyetli aktörler, bir yapay zeka sistemini hassas verileri açığa çıkaracak şekilde kandırmak için “hızlı enjeksiyon” saldırılarını kullanabilir. Bir vakada, bir Samsung çalışanı yanlışlıkla ChatGPT’ye özel kaynak kodu yükleyerek şirketin bu kodun kullanımını yasaklamasına neden oldu.
Gizliliği Artıran Teknolojideki Gelişmeler
Sürekli (homomorfik) şifreleme fikri, toplu dağıtım için çok pahalı ve kaynak yoğun olduğu gerekçesiyle uzun süredir göz ardı ediliyor. Bunun nedeni, eski homomorfik şifrelemenin çok büyük hesaplama maliyetine sahip olmasıdır. Konsept teoride zarif olsa da gerçekte bir kabustu: yavaş performans, uygulanması zor ve dağıtımı o kadar pahalı ki neredeyse herkesin ulaşamayacağı bir şeydi.
Son zamanlarda yeni yaklaşımlar, özel donanım veya büyük bilgi işlem kaynaklarına gerek kalmadan çok düşük bir maliyetle sürekli şifrelemeyi mümkün kıldı. Yeni PET yazılımı, daha büyük ve daha pahalı olandan daha akıllı ve daha erişilebilir olana doğru bir zihniyet değişimini temsil ediyor. Standart donanım üzerinde verimli ve etkili bir şekilde çalışacak ve gerçek dünyadaki iş kullanım senaryolarına dayalı sorunları çözecek şekilde tasarlanmıştır. PET kendisini muazzam hesaplama yükünden ve eski homomorfik şifrelemenin buna bağlı gecikmesinden kurtardı. Sonuç, ağda yetkisiz kimlik bilgisi kullanımı ihlali durumunda bile verilerin korunmasını sağlayan daha fazla veri güvenliğidir.
Gizliliği Artıran Teknolojideki (PET) gelişmelerin siber güvenlik ve veri gizliliği alanları üzerinde muazzam bir etkisi olacaktır çünkü:
- Verileri kullanımdayken bile sürekli olarak şifreleyerek içeriden gelen tehditlerle ilgili endişeleri ortadan kaldırdığı için daha iyi bir kısıtlı erişim yöntemi sağlar.
- Hassas veri kümeleri üzerinde güvenli aramayı etkinleştirerek mevcut verilerden daha fazla yararlanma ve değer elde etme yeteneği sunarak kuruluşların geleneksel ödünler olmadan şifrelenmiş veriler üzerinde analiz yapmasına olanak tanır. Şifrelenmiş veriler, düz metin verileri kadar işlevsel hale gelir.
- Şifrelemenin önündeki en büyük üç engeli ortadan kaldırır: 1) Maliyet, 2) Karmaşıklık ve 3) Performans Etkisi
Son olarak, PET’i artık uygulayan kuruluşlar, yapay zeka modellerini uygulamada belirgin bir avantaja sahip olacak çünkü verileri doğru bir şekilde yapılandırılacak ve güvence altına alınacak ve yapay zeka eğitimleri, sürekli olarak masraflara ve modellerini yeniden eğitme riskine katlanmak zorunda kalmak yerine, en başından itibaren daha verimli olacak.
Bu yazı Kuruluşunuzun Yapay Zekayı Kucaklamasını mı İstiyorsunuz? ilk olarak Cybersecurity Magazine’de yayımlandı.