ChatGPT gibi büyük dil modelleri (LLM’ler), şirketlerin çalışanların hassas ve özel verilerini harici sistemlere sızdırmasını önlemenin yollarını aramasıyla veri güvenliği pazarını sarstı.
Şirketler, çalışanların sistemleri kullanmasını yasaklamak, üretken yapay zeka sağlayıcıları tarafından sunulan temel kontrolleri benimsemek ve içerik tarama ve LLM güvenlik duvarları gibi çeşitli veri güvenliği hizmetlerini kullanmak da dahil olmak üzere, veri sızıntısı olasılığını ortadan kaldırmak için şimdiden dramatik adımlar atmaya başladı. . Bu çabalar, tüketici cihazı üreticisi Samsung’da meydana gelen üç yüksek profilli olay ve çalışanların %4 kadarının hassas veriler girdiğini ortaya koyan araştırmalarla desteklenen, sızıntıların mümkün olduğunu ortaya koyan araştırmaların ardından geldi.
Kurucu ortak ve CTO Ron Reiter, kısa vadede veri güvenliği sorununun daha da kötüleşeceğini, özellikle de doğru yönlendirmeler verildiğinde LLM’lerin eğitim verilerinden değerli veri külçelerini çıkarma konusunda çok iyi olması nedeniyle teknik çözümleri önemli hale getireceğini söylüyor. Sentra, bir veri yaşam döngüsü güvenlik firmasıdır.
“Veri kaybının önlenmesi çok daha büyük bir sorun haline geldi çünkü aniden… verileri çok ama çok verimli bir şekilde indeksleme yeteneğine sahip bu büyük dil modelleri ortaya çıktı” diyor. “Sadece belge gönderen insanlar… artık bu verinin geniş bir dil modeline ulaşma şansı çok daha yüksek, bu da hassas verileri bulmanın çok daha kolay olacağı anlamına geliyor.”
Şimdiye kadar şirketler yüksek lisans (LLM) yoluyla veri sızıntısı riskiyle mücadele etmenin yollarını bulmakta zorlanıyordu. Samsung, mühendislerin yarı iletken veri tabanındaki kaynak kodu ve dahili toplantı tutanakları da dahil olmak üzere hassas verileri büyük dil modeline aktarmasının ardından Nisan ayında ChatGPT’nin kullanımını yasaklamıştı. Apple, o dönemde herhangi bir olay bildirilmemesine rağmen, çalışanların özel bilgileri ifşa etmesini önlemek için Mayıs ayında çalışanlarının ChatGPT kullanmasını kısıtlamıştı. JPMorgan gibi finans firmaları da mevzuatla ilgili endişeleri gerekçe göstererek Şubat ayından itibaren çalışanların hizmet kullanımına sınırlamalar getirmişti.
Üretken yapay zekanın riskleri daha da önemli hale geliyor çünkü genellikle Yüksek Lisans’lara dahil edilen büyük, karmaşık ve yapılandırılmamış veriler, dosyalarda bulunan belirli hassas veri türlerine odaklanma eğiliminde olan birçok veri güvenliği çözümüne meydan okuyabilir. Gartner’ın baş analistlerinden Ravisha Chugh, şirketlerin üretken yapay zeka modellerini benimsemenin veri sızıntısına yol açacağı yönündeki endişelerini dile getirdiğini söylüyor.
AI sistem sağlayıcılarının bazı çözümler bulduklarını ancak bunların korkuları tam olarak gideremediğini söylüyor.
Chugh, “OpenAI, ChatGPT hizmetinde bulunan ve kuruluşların sohbet geçmişini kapatabilecekleri ve modellerini eğitmek için ChatGPT’nin erişimini engellemeyi seçebilecekleri bir dizi veri kontrolünü açıkladı” diyor. “Yine de birçok kuruluş, çalışanlarının hassas verileri ChatGPT’ye göndermesinden rahatsız.”
LLM’lerin Şirket İçi Kontrolü
En büyük LLM’lerin arkasındaki şirketler, bu şüphelere yanıt vermenin yollarını arıyor ve şirketlere, verilerini şirket içinde tutacak özel örneklere sahip olma yeteneği vermek gibi veri sızıntılarını önlemenin yollarını sunuyor. Ancak Sentra’dan Reiter, bu seçeneğin bile hassas verilerin sızmasına yol açabileceğini, çünkü tüm çalışanların kurumsal verilere aynı erişime sahip olmaması gerektiğini ve LLM’lerin en hassas bilgileri bulmayı kolaylaştırdığını söylüyor.
“Kullanıcıların milyarlarca belgeyi şirkete etkili bir şekilde zarar verecek şekilde özetlemesine bile gerek yok” diyor. “Sisteme ‘Ücret farkı olup olmadığını söyle’ gibi bir soru sorabilirsiniz. [at my company]; size sadece şunu söyleyecektir: ‘Evet, edindiğim tüm verilere göre ücret farkı var.'”
Gartner’dan Chugh, şirket içi bir Yüksek Lisans Yönetiminin yönetilmesinin de büyük bir çaba olduğunu ve şirketlerin devasa yapay zeka modellerinin kendi versiyonlarını uygulayıp sürdürmelerine olanak sağlamak için derin şirket içi makine öğrenimi (ML) uzmanlığı gerektirdiğini söylüyor.
“Kuruluşlar, hassas veri koruması üzerinde maksimum kontrol sağlayacak özel verileri kullanarak kendi etki alanına özgü LLM’lerini eğitmelidir” diyor. “Bu, veri güvenliği açısından en iyi seçenektir, [but] yalnızca doğru makine öğrenimi ve derin öğrenme becerilerine, bilgi işlem kaynaklarına ve bütçeye sahip kuruluşlar için geçerlidir.”
Yeni Yüksek Lisans Veri Güvenliği Yöntemleri
Ancak veri güvenliği teknolojileri, birçok olası veri sızıntısı senaryosunu ortadan kaldıracak şekilde uyum sağlayabilir. Bulut veri güvenliği firması Sentra, yapay zeka hizmetlerine gönderilmeleri durumunda hangi karmaşık belgelerin hassas veri sızıntısı oluşturabileceğini belirlemek için Yüksek Lisans’ı kullanıyor. Örneğin tehdit algılama firması Trellix, pano parçacıklarını ve Web trafiğini potansiyel hassas veriler açısından izliyor, aynı zamanda belirli sitelere erişimi de engelliyor.
Yeni bir güvenlik filtreleri kategorisi olan LLM güvenlik duvarları, hem bir LLM’nin riskli verileri almasını önlemek hem de üretken yapay zeka modelinin uygunsuz yanıtlar vermesini engellemek için kullanılabilir. Makine öğrenimi firması Arthur, Mayıs ayında, hem hassas verilerin bir Yüksek Lisans’a gönderilmesini engelleyebilecek hem de bir Yüksek Lisans hizmetinin potansiyel olarak hassas veya saldırgan yanıtlar göndermesini engelleyebilecek bir yaklaşım olan Yüksek Lisans güvenlik duvarını duyurdu.
Son olarak, şirketler başvurudan muaf değil. Chugh, LLM sohbet robotlarının kullanımını tamamen engellemek yerine, bir şirketin hukuk ve uyumluluk ekiplerinin, hassas bilgileri göndermemeleri ve hatta erişimi belirli bir kullanıcı grubuyla sınırlandırmamaları konusunda uyarılar ve geri bildirimlerle kullanıcıları eğitebileceğini söylüyor. Daha ayrıntılı bir düzeyde, ekipler belirli hassas veri türleri için kurallar oluşturabilirse bu kurallar, veri kaybını önleme politikalarını tanımlamak için kullanılabilir.
Son olarak, bulut güvenlik kontrolleri ve hizmet olarak güvenlik duvarı (Gartner’ın güvenlik hizmetleri uç noktası (SSE) olarak adlandırdığı bir kombinasyon) ile birlikte sıfır güven ağ erişimini (ZTNA) benimseyerek kapsamlı bir güvenlik uygulayan şirketler, üretkenliği ele alabilir. Gartner’dan Chugh, yeni bir Web kategorisi olarak yapay zekanın hassas veri yüklemelerini engellediğini söylüyor.
“SSE ileri proxy modülü, ChatGPT’ye istem olarak girilirken hassas verileri hat içinde maskeleyebilir, düzeltebilir veya engelleyebilir” diyor. “Kuruluşlar, hassas verilerin Web veya API arayüzlerinden ChatGPT’ye girmesini önlemek için engelleme seçeneğini kullanmalıdır.”