Nesil yapay zeka sohbet robotları bugünlerde e-posta istemcilerinden İK araçlarına kadar her yerde karşımıza çıkıyor ve daha iyi kurumsal üretkenliğe doğru kolay ve sorunsuz bir yol sunuyor. Ancak bir sorun var: Çalışanlar çoğu zaman chatbot yanıtlarını almak için kullandıkları istemlerin veri güvenliğini düşünmüyorlar.
Aslında çalışanların üçte birinden fazlası (%38) işverenlerinin izni olmadan hassas iş bilgilerini yapay zeka araçlarıyla paylaşıyor. bir ankete göre Bu hafta ABD Ulusal Siber Güvenlik İttifakı (NCA) tarafından. Ve bu bir sorun.
NCA anketi (küresel olarak 7.000 kişiyle anket yapıldı) Z kuşağının ve Y kuşağı çalışanların hassas iş bilgilerini izin almadan paylaşma olasılıklarının daha yüksek olduğunu ortaya çıkardı: %26 ve %26’ya karşılık sırasıyla %46 ve %43 bu uygulamayı kabul etti. X kuşağının ve bebek patlaması kuşağının sırasıyla %14’ü.
Chatbot’larla Veri Paylaşımının Gerçek Dünyadaki Sonuçları
Sorun şu ki en yaygın sohbet robotlarının çoğu Tescilli kazanç verileri, çok gizli tasarım planları, hassas e-postalar, müşteri verileri ve daha fazlası gibi kullanıcıların istemlere koyduğu her türlü bilgiyi yakalayın ve bunları eğitim için kullanıldığı büyük dil modellerine (LLM’ler) geri gönderin. yeni nesil GenAI.
Bu da birisinin daha sonra doğru komutları kullanarak bu verilere erişebileceği anlamına gelir, çünkü bu artık geri alınabilir veri gölünün bir parçasıdır. Veya veriler dahili LLM kullanımı için tutuluyor ancak depolama alanı düzgün şekilde ayarlanmamış olabilir. Bunun tehlikeleri – Samsung bunu öğrendi yüksek profilli bir olayda – güvenlik profesyonelleri tarafından nispeten iyi anlaşıldı – ancak sıradan çalışanlar tarafından pek anlaşılamadı.
ChatGPT’nin yaratıcısı OpenAI, kullanım kılavuzunda uyarıyor“Geçmişinizden belirli istemleri silemiyoruz. Lütfen görüşmelerinizde hiçbir hassas bilgiyi paylaşmayın.” Ancak ortalama bir çalışanın sürekli olarak veri ifşası konusunu düşünmesi zordur. NCA’nın genel müdürü Lisa Plaggemier, riskin nasıl kolayca gerçek dünyadaki saldırılara dönüşebileceğini gösteren bir vakaya dikkat çekiyor.
Plaggemier, Dark Reading’e “Bir finansal hizmetler firması, müşteri sorularına yardımcı olmak için bir GenAI sohbet robotunu entegre etti” dedi. “Çalışanlar yanlışlıkla müşterinin mali bilgilerini bağlam için giriyor ve sohbet robotu bu bilgileri daha sonra güvenli olmayan bir şekilde saklıyor. Bu sadece önemli bir veri ihlaline yol açmakla kalmadı, aynı zamanda saldırganların hassas müşteri bilgilerine erişmesine de olanak tanıdı ve bu da gizli verilerin nasıl kolayca ele geçirilebileceğini gösterdi. Bu araçların uygunsuz kullanımı.”
Wing CEO’su Galit Lubetzky Sharon, gerçek hayattan başka bir örnek sunuyor (isimlerini vermeden).
“Çok uluslu bir şirkette İngilizceyi ikinci dili olarak gören bir çalışan, ABD’de çalışmak üzere bir görev aldı” diyor. “ABD’deki meslektaşlarıyla yazılı iletişimini geliştirmek amacıyla, masum bir şekilde yazılı iletişimini geliştirmek için Grammarly’yi kullanmaya başladı. Uygulamanın çalışanın verileri üzerinde eğitim almasına izin verildiğini bilmeyen çalışan, bazen gizli ve gizli iletişimleri geliştirmek için Grammarly’yi kullandı. Tescilli verilerde kötü bir amaç yoktu ancak bu senaryo, yapay zekanın gizli risklerini vurguluyor.”
Eğitim Eksikliği ve “Gölge Yapay Zeka”nın Yükselişi
Zar atmaya istekli insan oranının yüksek olmasının bir nedeni neredeyse kesinlikle eğitim eksikliğidir. Dünyanın her yerindeki Samsung’lar yapay zeka kullanımını kısıtlamak için harekete geçebilirken NCA anketi, çalışan katılımcıların yüzde 52’sinin henüz güvenli yapay zeka kullanımına ilişkin herhangi bir eğitim almadığını, yapay zekayı aktif olarak kullanan katılımcıların ise yalnızca yüzde 45’inin aldığını ortaya çıkardı.
Plaggemier, “Bu istatistik, birçok kuruluşun, belki de bütçe kısıtlamaları veya potansiyel riskler hakkındaki anlayış eksikliği nedeniyle eğitimin önemini hafife aldığını gösteriyor” diyor. Bu arada şunları da ekliyor: “Bu veriler, potansiyel tehlikeleri tanımak ile bunları azaltacak bilgiye sahip olmak arasındaki uçurumun altını çiziyor. Çalışanlar risklerin var olduğunu anlayabilir ancak uygun eğitim eksikliği, onları özellikle ortamlarda bu tehditlerin ciddiyetine karşı savunmasız bırakıyor. üretkenliğin çoğu zaman güvenlikten öncelikli olduğu yer.”
Daha da kötüsü, bu bilgi açığı, onaylanmamış araçların kuruluşun güvenlik çerçevesi dışında kullanıldığı “gölge yapay zekanın” yükselişine katkıda bulunuyor.
Plaggemier, “Çalışanlar verimliliğe öncelik verdikçe, veri güvenliği ve uyumluluğu açısından uzun vadeli sonuçlarını tam olarak kavramadan bu araçları benimseyebilir ve kuruluşları önemli risklere karşı savunmasız bırakabilir” diye uyarıyor.
Şirketlerin GenAI En İyi Uygulamalarını Uygulama Zamanı Geldi
Uzun vadeli güvenlik stratejileri yerine acil iş ihtiyaçlarına öncelik vermenin şirketleri savunmasız bırakabileceği açıktır. Ancak iş, güvenlik hazır olmadan önce yapay zekanın kullanıma sunulmasına gelince, tüm bu üretkenlik geliştirmelerinin (onaylanmış olsun ya da olmasın) altın cazibesi çoğu zaman direnilemeyecek kadar güçlü olabilir.
Plaggemier, “Yapay zeka sistemleri daha yaygın hale geldikçe, kuruluşların eğitimi yalnızca bir uyumluluk gereksinimi olarak değil, verilerini ve marka bütünlüğünü korumaya yönelik hayati bir yatırım olarak görmesi hayati önem taşıyor” diyor. “Riske maruz kalma durumunu etkili bir şekilde azaltmak için şirketler, GenAI araçlarının kullanımına ilişkin, hangi tür bilgilerin paylaşılabileceği ve paylaşılamayacağı da dahil olmak üzere açık yönergeler uygulamalıdır.”
SentinelOne’ın baş güvenlik danışmanı Morgan Wright, kılavuz geliştirme sürecine ilk ilkelerle başlamayı savunuyor: “En büyük risk, sohbet robotları aracılığıyla hangi sorunu çözdüğünüzü tanımlamamaktır” diye belirtiyor. “Neyin çözülmesi gerektiğini anlamak, gizliliği ve fikri mülkiyeti korumak için doğru politikaların ve operasyonel korkulukların oluşturulmasına yardımcı olur. Bu, ‘Sahip olduğunuz tek şey bir çekiç olduğunda, tüm dünya bir çividir’ şeklindeki eski deyişin simgesidir.”
Kuruluşların yapay zeka risklerini desteklemek için atması gereken teknolojik adımlar da var.
Plaggemier, “Sıkı erişim kontrolleri oluşturmak ve bu araçların kullanımını izlemek de risklerin azaltılmasına yardımcı olabilir” diye ekliyor. “Veri maskeleme tekniklerinin uygulanması, hassas bilgilerin GenAI platformlarına girilmesini önleyebilir. Düzenli denetimler ve yapay zeka izleme araçlarının kullanılması da uyumluluğu sağlayabilir ve hassas verilere yetkisiz erişim girişimlerini tespit edebilir.”
Orada başka fikirler de var. Wright, “Bazı şirketler bir sorguya girilen veri miktarını (1.024 karakter gibi) kısıtladı” diyor. “Bu aynı zamanda organizasyonun hassas verilerle ilgilenen bölümlerinin bölümlere ayrılmasını da içerebilir. Ancak şimdilik bu çetrefilli sorunu herkesi memnun edecek şekilde çözebilecek net bir çözüm veya yaklaşım yok.”
Wing’den Sharon, üçüncü taraf çözüm olarak yazılım (SaaS) uygulamalarına eklenen GenAI yetenekleri sayesinde şirketlere yönelik tehlikenin daha da artabileceği konusunda uyarıyor; bu, sıklıkla göz ardı edilen bir alan.
“Çok saygın SaaS uygulamalarına bile yeni yetenekler eklendikçe, bu uygulamaların hüküm ve koşulları sıklıkla güncelleniyor ve kullanıcıların %99’u bu şartlara dikkat etmiyor” diye açıklıyor. “Uygulamaların yapay zeka modellerini eğitmek için verileri kullanabileceklerini varsayılan olarak ayarlaması alışılmadık bir durum değil.”
SaaS Güvenlik Duruş Yönetimi (SSPM) adı verilen yeni ortaya çıkan bir SaaS güvenlik araçları kategorisinin, hangi uygulamaların yapay zeka kullandığını ve hatta şartlar ve koşullar gibi şeylerde yapılan değişiklikleri izlemenin yollarını geliştirdiğini belirtiyor.
“Bunun gibi araçlar, BT ekiplerinin riskleri değerlendirmesine, politikada değişiklikler yapmasına ve hatta sürekli olarak erişim sağlamasına yardımcı oluyor” diyor.