Shadow AI’yi Hedef Almak



Güvenlik ekipleri bu Cadılar Bayramı sezonunda yeni bir kabusla karşı karşıya: üretken yapay zekanın (AI) yükselişi. Üretken yapay zeka araçları, bilgi güvenliği yöneticileri (CISO’lar) için, gerçeklikten neredeyse ayırt edilemeyen deepfake’leri güçlendirmekten, oturum açma bilgilerine erişmek ve kimlikleri çalmak için şaşırtıcı derecede orijinal görünen karmaşık kimlik avı e-postaları oluşturmaya kadar yeni bir terör çağını başlattı. Üretken AI korku programı, daha akıllı yollardan koda sızmaya ve hassas özel verileri açığa çıkarmaya kadar uzanan saldırı vektörleriyle kimlik ve erişim yönetiminin ötesine geçiyor.

The Conference Board tarafından yapılan bir ankete göre çalışanların %56’sı işyerinde üretken yapay zeka kullanıyor ancak yalnızca %26’sı kuruluşlarının üretken bir yapay zeka politikasına sahip olduğunu söylüyor. Pek çok şirket üretken yapay zekayı iş yerinde kullanma konusunda sınırlamalar uygulamaya çalışırken, asırlardır süren üretkenlik arayışı, çalışanların endişe verici bir yüzdesinin yapay zekayı BT’nin izni olmadan veya olası yansımaları düşünmeden kullandığı anlamına geliyor. Örneğin, bazı çalışanların ChatGPT’ye hassas şirket bilgilerini girmelerinin ardından Samsung, ChatGPT’nin ve benzer yapay zeka araçlarının kullanımını yasakladı.

Çalışanların yetkisiz BT araçlarını kullandığı Gölge BT, onlarca yıldır işyerinde yaygın bir uygulamadır. Artık üretken yapay zeka o kadar hızlı geliştikçe CISO’lar neyle mücadele ettiklerini tam olarak anlayamıyorlar, korkutucu yeni bir olgu ortaya çıkıyor: gölge yapay zeka.

Gölge BT’den Gölge Yapay Zeka’ya

Şirketi korumak için uygulamalar üzerinde kontrol sahibi olmak ve hassas verilere erişim isteyen BT ekipleri ile her zaman daha fazla işi daha hızlı halletmelerine yardımcı olacak araçlar arayan çalışanlar arasında temel bir gerilim var. Piyasada çalışanların onaylanmamış araç ve platformlara erişmesini zorlaştırarak gölge BT’yi hedefleyen sayısız çözüme rağmen, geçen yıl 10 çalışandan üçünden fazlası yetkisiz iletişim ve işbirliği araçlarını kullandığını bildirdi.

Çoğu çalışanın niyeti doğru yerde olsa da (daha fazlasını başarmak), maliyetler korkunç olabilir. Başarılı siber saldırıların tahminen üçte biri gölge BT’den geliyor ve milyonlara mal olabiliyor. Üstelik BT profesyonellerinin %91’i iş operasyonlarını hızlandırmak için güvenlikten ödün verme baskısını hissediyor ve BT ekiplerinin %83’ü siber güvenlik politikalarını uygulamanın imkansız olduğunu düşünüyor.

Araçlar, ifşa edildiğinde kurumsal itibara zarar verebilecek hassas şirket verilerini biriktirdiğinde, üretken yapay zeka bu duruma başka bir korkutucu boyut daha ekleyebilir.

Bu tehditlerin farkında olan Samsung’un yanı sıra birçok işveren de güçlü üretken yapay zeka araçlarına erişimi sınırlıyor. Aynı zamanda çalışanlar, yapay zekayı kullanmadıklarında geride kalacaklarını defalarca duyuyorlar. Önde kalmalarına yardımcı olacak çözümler olmadığında, çalışanlar her zaman yapacakları şeyi yapıyorlar; işleri kendi ellerine alıyorlar ve sunmaları gereken çözümleri BT’nin izni olsun ya da olmasın kullanıyorlar. Bu nedenle, Konferans Kurulunun çalışanların yarısından fazlasının halihazırda iş yerinde üretken yapay zekayı izinli olsun ya da olmasın kullandığını tespit etmesi şaşırtıcı değil.

Gölge Yapay Zeka Şeytan Çıkarma İşlemi Gerçekleştirmek

Yaygın gölge yapay zekayla karşı karşıya kalan kuruluşlar için, bu sonsuz tehdit geçidini yönetmek, The Walking Dead’in bir bölümünde hayatta kalmaya çalışmak gibi gelebilir. Sürekli olarak yeni yapay zeka platformlarının ortaya çıkması nedeniyle BT departmanlarının nereden başlayacaklarını bilmeleri zor olabilir.

Neyse ki, BT liderlerinin ve CISO’ların yetkisiz üretken yapay zeka araçlarını ortadan kaldırmak ve şirketlerini ele geçirmeye başlamadan önce onları korkutmak için uygulayabilecekleri, zamanla test edilmiş stratejiler var.

  • Dost canlısı hayaletleri kabul edin. İşletmeler, çalışanlarına daha üretken olmalarına yardımcı olan ancak aynı zamanda BT yönetişimi altında incelenebilen, dağıtılabilen ve yönetilebilen yararlı yapay zeka araçlarını proaktif bir şekilde sağlayarak fayda sağlayabilir. Kuruluşlar, güvenli üretken yapay zeka araçları sunarak ve yüklenen veri türüne yönelik politikaları uygulamaya koyarak çalışanlara, işletmenin onların başarısına yatırım yaptığını gösterir. Bu, daha iyi uzun vadeli güvenlik ve gelişmiş üretkenlik sağlayabilecek bir destek ve şeffaflık kültürü yaratır.
  • Şeytanları ön plana çıkarın. Pek çok çalışan, üretken yapay zeka kullanmanın şirketlerini muazzam mali riske atabileceğini anlamıyor. Bazıları kurallara uymamanın sonuçlarını açıkça anlayamayabilir veya kurallara uymaktan kendilerini sorumlu hissetmeyebilir. Endişe verici bir şekilde, güvenlik profesyonellerinin diğer çalışanlara göre (%37’ye karşı %25) BT sorunlarını çözmeye çalışırken şirketlerinin politikaları etrafında çalıştıklarını söyleme olasılığı daha yüksektir. İhlalleri makul bir şekilde uygularken, CEO’dan ön saflarda çalışanlara kadar tüm işgücünü, ilgili riskler ve önleme konusundaki kendi rolleri hakkında düzenli eğitime dahil etmek çok önemlidir.
  • Hayalet avcılarınızı yeniden gruplandırın. CISO’lara, yetkisiz yapay zeka çözümlerini izlediklerinden ve gerektiğinde üst düzey ekiplerini hızlı bir şekilde gönderebildiklerinden emin olmak için mevcut kimlik ve erişim yönetimi yeteneklerini yeniden değerlendirme konusunda iyi hizmet sunulacaktır.

Shadow AI işletmelerin peşini bırakmıyor ve onu engellemek çok önemli. Bilgili planlama, özenli gözetim, proaktif iletişimler ve güncellenmiş güvenlik araçları, kuruluşların potansiyel tehditlerin önünde kalmasına yardımcı olabilir. Bunlar, üretmeye devam edeceği güvenlik ihlallerinin kurbanı olmadan, üretken yapay zekanın dönüştürücü iş değerini yakalamalarına yardımcı olacak.



Source link