Harmonic’e göre, potansiyellerine rağmen birçok kuruluş, hassas verilerin yanlışlıkla paylaşılması ve muhtemelen bu sistemleri eğitmek için kullanılmasıyla ilgili endişeler nedeniyle GenAI araçlarını tam olarak benimsemekte tereddüt ediyor.
GenAI istemlerinde hassas verilerin açığa çıkması
İş kullanıcılarından gelen onbinlerce ipucuna dayanan yeni bir çalışma, neredeyse on kişiden birinin hassas verileri ifşa etme potansiyeli olduğunu ortaya koyuyor.
İstemler, 2024’ün 4. çeyreğinde Harmonic Security tarafından analiz edildi ve Microsoft Copilot, OpenAl ChatGPT, Google Gemini, Anthropic’s Claude ve Perplexity gibi GenAl araçlarının kullanımı izlendi.
Çoğu durumda çalışanların GenAI araçlarını kullanırken davranışı basittir. Kullanıcılar genellikle bir metin parçasını özetlemeyi, bir blogu düzenlemeyi veya kod için belge yazmayı ister. Ancak istemlerin %8,5’i endişe vericidir ve hassas bilgileri riske atar.
Bu sayının %45,8’i, fatura bilgileri ve kimlik doğrulama verileri gibi potansiyel olarak ifşa edilen müşteri verileridir. Diğer %26,8’lik kısım ise maaş bordrosu verileri, PII ve istihdam kayıtları da dahil olmak üzere çalışanlar hakkında bilgiler içeriyordu. Hatta bazı yönlendirmeler GenAI’dan çalışanların performans incelemelerini yürütmesini bile istedi.
Geri kalanın %14,9’unu hukuk ve finans verileri oluşturdu. Bu, satış kanalı verileri, yatırım portföyleri ve birleşme ve satın alma faaliyetlerine ilişkin bilgileri içeriyordu. Hassas istemlerin %6,9’unu oluşturan güvenlikle ilgili bilgiler özellikle endişe vericidir.
Örnekler arasında sızma testi sonuçları, ağ yapılandırmaları ve olay raporları yer alır. Bu tür veriler, saldırganlara güvenlik açıklarından yararlanmaya yönelik bir plan sağlayabilir. Son olarak, erişim anahtarları ve özel kaynak kodu gibi hassas kodlar, potansiyel olarak ifşa edilen hassas istemlerin kalan %5,6’sını oluşturdu.
Ücretsiz GenAI hizmetleri güvenlik tehdidi oluşturuyor
Ayrıca, genellikle kurumsal sürümlerle birlikte gelen güvenlik özelliklerine sahip olmayan GenAI hizmetlerinin ücretsiz katmanlarını kullanan çalışanların sayısı da endişe vericidir. Birçok ücretsiz katmanlı araç, müşteri verileri üzerinde eğitim verdiklerini açıkça belirtir; bu, girilen hassas bilgilerin modelleri geliştirmek için kullanılabileceği anlamına gelir.
GenAI modellerinden ChatGPT kullanıcılarının %63,8’i ücretsiz kullanımı kullanırken, Gemini kullananların %58,6’sı, Claude için %75’i ve Perplexity için %50,5’i değerlendirildi.
“GenAI kullanımının çoğu sıradan, ancak analiz ettiğimiz istemlerin %8,5’i potansiyel olarak hassas kişisel ve şirket bilgilerini riske atıyor. Çoğu durumda kuruluşlar, isteği engelleyerek veya kullanıcıyı ne yapmak üzere olduğu konusunda uyararak bu veri sızıntısını yönetebildi. Ancak henüz tüm firmalar bu yeteneğe sahip değil. Ücretsiz abonelik sayısının yüksek olması da endişe verici; ‘eğer ürün ücretsizse, o zaman ürün sensin’ sözü burada geçerli ve GenAI araçlarının arkasındaki şirketlerin tüm çabalarına rağmen verilerin ifşa edilmesi riski var” dedi. Alastair Paterson, Harmonic Security’nin CEO’su.
Kuruluşların Genel riskleri etkili bir şekilde yönetmek için “bloklama” stratejilerinin ötesine geçmesi gerekir.