Üretken yapay zeka (GenAI) ve büyük dil modelleri (LLM’ler), yıkıcı teknolojilerdir. Günün, işletmelerin nasıl iş yaptığını yeniden tanımlıyor ve yapay zekanın gelecekte medeniyetin bilgisayarlarla etkileşim biçimini ne kadar değiştireceği konusundaki tartışmayı alevlendiriyor. Sosyal bilimciler ve uzmanlar, daha akıllı ve potansiyel olarak proaktif bilgi işlem nedeniyle medeniyetin karşı karşıya olduğu Ahir Zaman’ı tartışırken, abartı destansı boyutlara ulaşıyor. Belki bazı bakış açıları yerindedir.
İsrailli girişim şirketi Team8’in yakın tarihli bir raporu olan “Generative AI ve ChatGPT Enterprise Risk”, GenAI ve LLM’lerin şirket yönetim kurulları, C-suites ve siber güvenlik personeli üzerindeki gerçekçi teknik, uyumluluk ve yasal risklerinden bazılarını ele alıyor.
Team8 raporu, GenAI’nin potansiyel operasyonel ve düzenleyici güvenlik açıklarının altını çizdi, ancak bazı endişelerin erken olabileceği konusunda uyardı. ChatGPT gibi bir GenAI uygulamasına gönderilen özel verilerin açığa çıkarılmasının, bu verileri neredeyse gerçek zamanlı olarak başkaları tarafından kullanılabilir hale getirebileceği endişesi, raporda itibarını yitirmiştir. Raporda, “Bu yazı yazıldığı sırada, Büyük Dil Modelleri (LLM’ler) kendilerini gerçek zamanlı olarak güncelleyemezler ve bu nedenle birinin girdilerini diğerinin yanıtına döndüremezler, bu da bu endişeyi etkili bir şekilde çürütür.” “Ancak, bu modellerin gelecekteki sürümlerinin eğitimi için bu mutlaka doğru değildir.”
Rapor, risk kategorisine göre çeşitli potansiyel tehditleri tanımlar. Yüksek riskler arasında:
- Kamuya açık olmayan kurumsal ve özel verilerin veri gizliliği ve gizliliği
- Kamuya açık olmayan ve kurumsal verilerin kurumsal, SaaS ve üçüncü taraf güvenliği
- Kurumsal verilerin anında araya girmesi gibi yapay zeka davranışsal güvenlik açıkları
- Yasal ve düzenleyici uyumluluk
Orta risk kategorisine giren tehditler arasında şunlar yer alır:
- Kimlik avı, dolandırıcılık ve sosyal mühendislik gibi saldırılar için tehdit aktörü evrimi
- Bir kuruluşun yasal olarak maruz kalmasına yol açan telif hakkı ve mülkiyet güvenlik açıkları
- Güvenli olmayan kod oluşturma
- Önyargı ve ayrımcılık
- Güven ve kurumsal itibar
Raporun yazarlarından biri olan Team8’de yerleşik CISO üyesi olan Gadi Evron, “CISO, kendi çatısı altında olması gerekmeyen ve rollerini etkileyebilecek süreçleri destekleyecek teknik bilgiye sahip olacak bir konumdadır” diyor. “Yaklaşan Avrupa Birliği yönetmeliğine ilişkin bazı yorumlar, yapay zeka söz konusu olduğunda CISO’yu sorumlu bir konuma itebilir. Bu, CISO’yu ‘Güven Elçileri’ oldukları bir sorumluluk konumuna yükseltebilir ve bu, CISO için olumlu bir şeydir. CISO rolü.”
Nasdaq’ta siber güvenlik danışmanı ve Panzura’nın Müşteri Güvenliği Danışma Konseyi başkanı Chris Hetner, ilk risk değerlendirmesinin kimin erişimi olduğu, ne yapılabileceği ve teknolojinin mevcut uygulamalar ve veri depolarıyla nasıl etkileşime gireceği ile ilgili olası sorunları belirleyeceğini söylüyor. “Platforma kimin erişebileceğini, hangi düzeyde veri ve kod sunacaklarını belirlemeniz gerekiyor. [and does] bu veriler ve kod, kuruluşa herhangi bir özel teşhiri getirir. Bu kararlar alındıktan sonra, ileriye doğru ilerlemek için bir süreç var” diye belirtiyor.
Kuruluşların GenAI ile karşılaştığı tehdit yeni değil, ancak özel verilerin daha geniş bir kitleye ulaşmasını hızlandırabilir. Traceable AI baş güvenlik sorumlusu Richard Bird, “Güvenlik söz konusu olduğunda, çoğu şirketin, şirketlerinin ve müşterilerinin çalınma veya sızdırılma risklerini azaltmak için altı ay öncesine göre çok daha kötü durumda olduğu açıktır.” . “Entelektüel ve tarihsel olarak kendimize karşı dürüst olursak, şirketlerin büyük çoğunluğu zaten üretken yapay zekanın yükselişinden önce aynı verileri güvende tutmak için mücadele ediyordu.
“Çalışanların çok az güvenlik kontrolü olan veya hiç güvenlik kontrolü olmayan AI teknolojilerinden zaten yararlandığı kullanım ve erişim kolaylığı, şirketler için artan riski şimdiden gösteriyor” diye devam ediyor.
İnsan Unsuru
Bird, GenAI’ye pragmatik bir yaklaşım benimsiyor ve şirketlerin verilerini, müşterilerini, tedarik zincirlerini ve teknolojilerini korumak için hızlı hareket edeceklerini ve uyumluluk taleplerini beklemeyeceklerini ekliyor. Kullanıcılar, “yapay zeka kullanmanın istenmeyen güvenlik sonuçlarının farkında olmamayla birlikte tam bir kısıtlama eksikliği” gösterdiler. Bird, “Bu zehirli kombinasyon, şirketlerin ele almak için hızla çalışması gereken şeydir” diyor. “Buradaki ana tehdit yapay zeka değil, insan davranışı.”
Henüz tam olarak analiz edilmemiş olan bir konu, kullanıcıların mevcut alışkanlıklarına ve deneyimlerine dayanarak GenAI ile nasıl etkileşimde bulunduklarıdır. Cobalt Labs CISO’su Andrew Obadiaru, örneğin iPhone kullanıcılarının zaten Siri aracılığıyla AI ile yerel deneyime sahip olduğunu ve bu nedenle bu deneyime sahip olmayan kullanıcılara göre daha hızlı adapte olacaklarını belirtiyor. Bird gibi Obadiaru da bu alışkanlıkların, bir kuruluşun doğrudan kontrolünden çıkmaması gereken verileri girerek bu kullanıcıları uygulamaları kötüye kullanmaya daha yatkın hale getirebileceğini düşünüyor.
“Endişeler, ‘Ek riskler nelerdir?’ Herkes, zorunlu olarak bir güvenlik incelemesinden geçmeden (GenAI teknolojisinden) yararlanma olanağına sahiptir. Ve bunu kişisel cihazlarında da yapabilirsiniz” diyor.
Obadiaru, çalışanların iş yapmak için BT departmanının kontrolü dışında kişisel cihazlar kullanması veya Siri veya benzeri uygulamaları kullanırken GenAI kullanması halinde bunun bir güvenlik riski oluşturabileceğini söylüyor. GenAI’yi kişisel bir dijital asistan gibi kullanmak potansiyel olarak gizli verileri riske atabilir.
Ağ Riskleri
Indiana Üniversitesi Kelley İşletme Fakültesi’nde Veri Bilimi ve Yapay Zeka Laboratuvarı’nda yardımcı doçent olan Sagar Samtani, yapay zeka modellerinin açık kaynaklı yazılım ortamı aracılığıyla kapsamlı bir şekilde paylaşıldığı konusunda uyarıyor. Bu modeller, içlerinde önemli miktarda güvenlik açığı içerir ve bunlardan bazılarının CISO’ların farkında olması gerekir.
Samtani, “Bu güvenlik açıkları, kuruluşlara hangi açık kaynak modellerini kullandıklarını, hangi güvenlik açıklarını içerdiklerini ve yazılım geliştirme iş akışlarının bu güvenlik açıklarını yansıtacak şekilde nasıl güncellenmesi gerektiğini anlama konusunda bir ivme kazandırıyor” diyor.
Varlık yönetiminin herhangi bir güçlü siber güvenlik programının kritik bir yönü olduğunu da ekliyor. Bu, “heyecan verici bir yanıt değil, temel bir bileşen. Verileri ve varlıkları tespit edip kategorize etmeye yönelik otomatik araçlar, kurumsal ağların haritasını çıkarmada çok önemli bir rol oynayabilir. … Üretken yapay zeka, olası varlık yönetimi ve güvenlik açığı için kurumsal ağların düzenlerini sağlamaya yardımcı olabilir.” yönetim görevleri Envanter listeleri, öncelik listeleri, güvenlik açığı yönetim stratejileri oluşturma, [and] olay müdahale planlarının tümü daha fazla olabilir [easily] özellikle LLM’lerle yapılır.”