Web tarayıcısını ilgilendiren veri güvenliği risklerinin tümü harici düşmanlardan kaynaklanmaz. Bunların büyük bir kısmı iyi niyetli çalışanlardan veya yüklenicilerin hata yapmasından kaynaklanmaktadır. Kaza sonucu verilerin açığa çıkması, web tabanlı üretken yapay zeka araçlarının, SaaS uygulamalarının, web uygulamalarının ve bulut depolamanın patlamasıyla aynı zamana denk gelecek şekilde büyük bir artış gösterdi.
Orta ölçekli kuruluşlar, genellikle büyük kuruluşların kapsamlı veri kaybı önleme (DLP) yeteneklerinden yoksun olduklarından ve bunun yerine öncelikle güven ve eğitime dayalı olarak çalıştıklarından özellikle savunmasızdır. Son 12 ayda, Kuruluşların %52’sinde hassas veri kaybı yaşandı İçerideki kişiler yüzünden (kasıtlı veya kazara) ve %43’ü üretken yapay zeka kullanımıyla ilgili bir veya daha fazla veri kaybı olayı yaşadı.
Üretken yapay zeka araçları yoluyla veri kaybı, mevcut büyük bir sorun için yeni bir vektör: Çalışanlar, yapmamaları gerekirken hassas verileri bir tarayıcı aracılığıyla uygunsuz hesaplara veya uygulamalara gönderiyor. Elbette üretken yapay zeka, çalışanların farkında olmadan gizli bilgileri iletebileceği birçok olası kanaldan yalnızca bir tanesidir. Onaylanmamış SaaS ve web uygulamaları da vardır. Diğerleri hassas belgeleri kişisel bir e-postayla veya bulut depolama hesabıyla paylaşabilir.
Liste uzayıp gidiyor, ancak tüm bu olayların ortak bir yanı var; bunların çoğu, ortalama bir bilgi çalışanının artık zamanının yaklaşık %85’ini harcadığı bir web tarayıcısı aracılığıyla gerçekleşiyor. Palo Alto Networks’ün kıdemli ürün pazarlama müdürü Monique Lance, “İster üretken yapay zeka ister başka bir araç olsun, şu anda çok fazla gölge BT yaşanıyor” dedi. “Tipik bir orta ölçekli pazar kuruluşunda, kullanılan yeni uygulamaların yaklaşık %85 ila %90’ı BT tarafından resmi olarak onaylanmıyor, dolayısıyla düzgün bir şekilde korunamıyorlar. Son kilometre görünürlüğüne veya kontrollere sahip değilsiniz, dolayısıyla ne ekran paylaştıklarını veya diğer uygulamalara neyi kopyalayıp yapıştırdıklarını vb. bilemezsiniz.”
Birçok kuruluşta çalışanlar düzenli olarak kendi bulut platformlarını ve web uygulamalarını kullanır. Bunun nedeni mutlaka BT’nin kontrollerini açıkça atlatmak istemeleri değil, bunlara alışmaları ve çoğu zaman bu uygulamaları daha kullanıcı dostu olarak algılamalarıdır. Çoğu zaman öyledirler. Bu, kullanıcı deneyimi ve veri güvenliğinin birbiriyle rekabet etmeye başladığı yerin mükemmel bir örneğidir: Yalnızca bir avuç onaylı uygulama ve web sitesini beyaz listeye almak gibi son derece katı güvenlik kontrolleri uygulayın; çalışanlar, verimli çalışabilmeleri için riskli geçici çözümler bulmaya yönelebilir.
genAI uygulamalarının neredeyse tüm kullanımının bir web tarayıcısı aracılığıyla gerçekleştiği üretken yapay zeka, artık ana başarısızlık noktalarından biri. Potansiyel üretkenlik kazanımlarına rağmen, üretken yapay zeka etkileşimlerinin neredeyse %72’si kurumsal olmayan hesaplarda gerçekleşiyor.1 Örneğin, çalışanlar bilgileri rutin olarak genAI araçlarıyla yapılan görüşmelere kopyalayıp yapıştırırlar ve bu bilgiler, model eğitiminde kullanıldığında veya platformun güvenliği ihlal edilirse veri sızıntısı sırasında potansiyel olarak yeniden ortaya çıkabilecek hassas kurumsal verileri içerebilir.
Sorun şu ki, hassas veriler harici bir sunucuya (genAI, SaaS veya web uygulaması sağlayıcısına ait olsun) bir kez yayıldığında, dahili güvenlik kontrolleri ve politikalarının dışına çıkar ve bu hassas verileri kontrolünüz dışında bırakarak açığa çıkarır.
Pek çok kuruluşun, özellikle veri kaybını önlemek için birleşik olmayan ayrık korumaya sahip olmasının da bir faydası yok. Lance’in dediği gibi, “E-posta için DLP, uç nokta için DLP, bekleyen veriler için DLP ve hareket halindeki veriler için DLP var. Ancak burada, tarayıcıda, tam son kilometre koruması için ihtiyacınız olan tüm DLP’yi elde edersiniz.”
Diğer bir risk vektörü, bir çalışanın veya harici bir yüklenicinin gizli bir belgeyi kendi tarayıcısı aracılığıyla yerel bir kişisel cihaza veya depolama cihazına indirebildiği yönetilmeyen cihazlardır. Bu cihazın güvenliği düzgün şekilde sağlanamayabilir ve saldırganlar tarafından ele geçirilebilir; bu da cihazda yaşayan tehditlerin bu hassas verilere erişebileceği anlamına gelir.
Bu iç riskleri etkili bir şekilde ele almak için, orta ölçekli pazar ekipleri, derin görünürlük sağlayabilen ve kullanıcı tarama oturumları sırasında ayrıntılı kullanıcı kontrollerini uygulayabilen güvenli tarayıcılara yöneliyor; amaç, kullanıcı deneyimine zarar vermeden kasıtlı veya kasıtsız sızıntıları önlemektir. Örneğin, yapay zeka destekli, tarayıcıya özgü kurumsal DLP, uygulamaya girilen içeriği hassas veriler açısından inceler ve web sitesi veya web uygulaması ne olursa olsun, potansiyel olarak sorunlu etkinlikleri gerçek zamanlı olarak engeller. Bu şekilde, çok sayıda nokta sisteminden gelen günlük verilerini birleştirmek zorunda kalmak yerine, tarayıcıda gerçekleşen her şey kaydedilir, izlenir ve güvenlik ekiplerine görünür hale getirilir.
1LAYERX kurumsal yapay zeka ve SaaS veri güvenliği raporu 2025. Kurumsal Yapay Zeka ve SaaS Veri Güvenliği Raporu 2025. https://go.layerxsecurity.com/the-layerx-enterprise-ai-saas-data-security-report-2025