Microsoft’un gelişmiş AI asistanı Copilot, kurumsal ortamlarda önemli bir ivme kazandı ve kullanıcıların Microsoft 365 uygulamaları genelinde verilerle etkileşim kurma biçimini hızla değiştiriyor. Copilot sayısız yeni olasılık sunsa da, dikkate alınması gereken veri erişimi ve güvenliğiyle ilgili zorluklar da getirdi.
Kuruluşlar dijital dönüşümü ve yapay zeka benimsemesini benimserken, tüm bilgileri, özellikle de yapay zeka tarafından üretilen verileri korumak kritik öneme sahiptir. İşlemleri kolaylaştırmak, üretkenliği artırmak ve maliyetleri düşürmek için yapay zeka ve makine öğrenimi teknolojilerine olan güvenin artmasıyla, hassas verileri sınıflandırmak ve bunlara yeterli erişim kontrolleri sağlamak, bunları güvende tutmak için son derece önemlidir.
Sonuç olarak, Copilot kuruluşlara dört temel güvenlik sorunu getirmiştir. Birincisi, çıktısı girdiden hassasiyet etiketlerini devralır, bu da veriler doğru şekilde sınıflandırılmazsa çıktının da yanlış sınıflandırılacağı anlamına gelir. Çeyreklik bir mali rapor oluşturmak için kullanılan hassas verilerin girdi aşamasında doğru şekilde sınıflandırılmaması durumunda, Copilot hassas kazanç verilerini içeren kapsamlı bir rapor oluşturur ancak bu verileri gizli olarak sınıflandırmaz. Böyle bir rapor yanlışlıkla harici bir paydaşla paylaşılabilir.
Copilot ayrıca girdilerinden erişim kontrol izinlerini devralır ve böylece çıktı bu izinleri devralır. Verilerde uygunsuz izinlendirme, paylaşım ve yetkilendirmeler varsa, çıktıda da aynı sorunlar olur ve bu da potansiyel olarak yıkıcı bir veri ihlaline veya kaybına yol açabilir. Concentric AI’nın Veri Risk Raporu, çok sayıda iş açısından kritik dosyanın aşırı paylaşım, hatalı erişim izinleri, uygunsuz sınıflandırma nedeniyle risk altında olduğunu ve ne yazık ki erişimi olmaması gereken hem dahili hem de harici kullanıcılar tarafından görülebildiğini göstermektedir.
Şu örneği düşünün: Bir İK yöneticisi, çalışanın kişisel bilgilerini içeren bir iç rapor oluşturmak için Copilot’u kullanıyor – ve aşırı izin verici erişim kontrollerine sahip kaynak verileri olabilir. Bu, herhangi bir departman üyesinin tüm çalışan kayıtlarını görüntülemesine izin verir. Sonuç olarak, Copilot tarafından oluşturulan bu rapor bu izinleri devralır ve hassas çalışan bilgileri tüm departman üyeleri tarafından erişilebilir olur, bu da gizlilik politikalarını ihlal eder ve potansiyel olarak yasal zorluklara yol açar.
Copilot ile ilgili üçüncü önemli güvenlik sorunu, hassasiyete ilişkin şirket bağlamının çıktıya dahil edilmemesidir. Her şirketin finansal kayıtlar, fikri mülkiyet ve gizli müşteri verileri gibi hassas verileri vardır. Ancak Copilot’un bu bağlamı çıktılar veya bunlara kimin erişebileceği konusunda karar alma sürecinde hesaba katması pek olası değildir.
Mevcut fikri mülkiyet (FM) ve Ar-Ge verilerine dayalı yeni ürün fikirleri üretmek için Copilot kullanan bir ürün geliştirme ekibini hayal edin; girdiler, yaklaşan patentler hakkında gizli bilgiler içerebilir. Şirketin bu FM’ye karşı hassasiyeti konusunda bağlamdan yoksun olan Copilot, çıktısına bu patentlerin ayrıntılı açıklamalarını dahil edecektir. Bu çıktı daha geniş bir kitleyle paylaşılırsa, şirket istemeden gelecekteki ürün planlarını ifşa etmiş olur ve FM hırsızlığı riskiyle karşı karşıya kalır.
Son olarak, Copilot çıktısı sınıflandırılmamıştır ve hassas olabilecek çıktı herkes tarafından kolayca erişilebilir. Örneğin, bir pazarlama ekibi Copilot’u müşteri geri bildirimlerini analiz etmek ve müşteri memnuniyeti eğilimleri hakkında bir rapor oluşturmak için kullanabilir. Belki de girdi verileri, piyasaya sürülmemiş ürünlere yönelik eleştiriler gibi hassas müşteri bilgileri içerir. Copilot çıktıları varsayılan olarak sınıflandırılmadığından, oluşturulan rapor hassas müşteri geri bildirimlerinden hiçbirini gizli olarak işaretlemeyecektir. Rapor uygun erişim kısıtlamaları olmadan paylaşılan bir şirket sunucusuna yüklenirse, dahili sızıntılar ve rekabet dezavantajı önemli bir risk haline gelir.
Yapay zeka kullanımı için neden veri güvenliği duruş yönetimine ihtiyacımız var?
Veri güvenliği duruş yönetimi (DSPM), kuruluşların hassas verilerin korunmasını sağlarken Copilot’un üretkenlik artışlarını yeterince dengeleyebilmelerini sağlamak için Copilot’u dağıtmanın ve işletmenin temel ön koşuludur.
DSPM, kuruluşların hassas verileri keşfetmesini, nerede bulunduğuna dair görünürlük sağlamasını ve bulut ortamlarında bulunan hassas verilerin türünü belirlemesini sağlar. DSPM, iş açısından kritik verileri proaktif olarak tespit edip değerlendirerek riskleri belirleme yeteneği sağlar ve böylece olası ihlalleri oluşmadan önce önler. Ayrıca, DSPM hassas verileri etiketleyerek ve etiketleyerek verileri benzersiz bir şekilde sınıflandırır. Genel olarak DSPM, hassas bilgileri yetkisiz veri kaybına ve erişimine karşı düzeltmeye ve korumaya yardımcı olur.
Veriler ağda ve yapılandırılmış ve yapılandırılmamış veri depolarında hareket ettikçe, nerede olursa olsun uygun şekilde etiketlenir. Daha sonra risk paylaşımı, yanlış haklar, uygunsuz izinler veya yanlış konum gibi riskler açısından izlenir.
Copilot’un tüm potansiyeli DSPM ile güvenli bir şekilde açığa çıkarılabilir. Copilot dahil herhangi bir AI aracını dağıtmaya gelince, DSPM dağıtım öncesinde, sırasında ve sonrasında kritik öneme sahiptir. Hassas veriler için risk Copilot olmadan bile yeterince yüksektir; körü körüne eklenmesi bu riski kuruluşlar için büyük ölçüde artırır.
DSPM, kuruluşların bir Copilot dağıtımından önce, dağıtım sırasında ve dağıtımdan sonra karşılaştığı dört güvenlik zorluğunu ele alır. DSPM’nin riskleri yönetme yaklaşımı, Copilot’tan gelen çıktılar dahil olmak üzere verileri doğru bir şekilde kategorize etmek için karmaşık doğal dil işleme (NLP) yeteneklerini içerir. Bu, hassas bilgilerin doğru bir şekilde tanımlanmasını ve korunmasını sağlayarak üretkenliği tehlikeye atmadan olası güvenlik risklerini ele alır.
Miras alınan hassasiyet etiketleri nedeniyle yanlış sınıflandırılmış çıktılarda, DSPM çözümleri, Copilot’a girilmeden önce verileri içerik ve bağlamına göre otomatik olarak tanımlayan ve sınıflandıran gelişmiş veri keşfi ve sınıflandırma süreçlerini uygulayarak bu riski azaltır. DSPM ayrıca veri akışlarını sürekli olarak izleyebilir, gerektiğinde verileri yeniden sınıflandırabilir ve Copilot tarafından işlenen tüm verilerin ve sonraki çıktılarının doğru sınıflandırma seviyelerini korumasını sağlayabilir. DSPM, tüm verilerin kaynakta doğru şekilde sınıflandırılmasını sağlayarak, yanlış hassasiyet etiketlerinin Copilot’un çıktıları aracılığıyla yayılmasını önler.
Veriler Copilot tarafından işlenmeden önce, DSPM araçları en az ayrıcalık ilkesini uygulayabilir, aşırı izin verici erişim ayarlarını düzeltebilir ve hassas çıktıların yanlışlıkla paylaşılmasını veya ifşa edilmesini önleyebilir. İzin yönetimine yönelik bu proaktif yaklaşım, veri ihlalleri ve kaybı riskini önemli ölçüde azaltır. Uygunsuz izin verme, paylaşma ve yetkilendirmeler söz konusu olduğunda, DSPM bu zorluğun üstesinden gelir ve kuruluşun veri depoları genelinde veri erişim kontrolleri ve yetkilendirmelerine ayrıntılı görünürlük sağlar. Verilerin sınıflandırmasına göre izinleri otomatik olarak değerlendirir ve ayarlar ve yalnızca yetkili kullanıcıların hassas bilgilere erişebilmesini sağlar.
Çıktı duyarlılığında şirket bağlamının eksikliği göz önüne alındığında, gelişmiş DSPM sistemleri, verilerin belirli iş süreçleriyle ilişkisi ve duyarlılık düzeyi de dahil olmak üzere nüanslı bağlamını anlamak için karmaşık doğal dil işleme ve makine öğrenimi algoritmalarından yararlanır.
DSPM’yi Copilot ile entegre ederek, kuruluşlar Copilot’un şirket özelindeki hassasiyet bağlamı hakkında bilgilendirilmesini sağlayabilir ve Copilot’un çıktıları üretirken bu kritik bilgileri hesaba katması için bir plan sağlayabilir. Bu, fikri mülkiyet veya gizli iş bilgileri gibi hassas verilerin uygun şekilde ele alınmasını, gizliliğin ve bütünlüğün korunmasını sağlar.
Son olarak, DSPM çözümleri, Copilot tarafından işlenen tüm verileri otomatik olarak sınıflandırarak sınıflandırılmamış çıktıların zorluğunu doğrudan ele alır ve çıktıların uygun hassasiyet etiketleriyle hemen etiketlenmesini sağlar. Bu otomatik sınıflandırma, Copilot tarafından oluşturulan içeriğe kadar uzanır ve bu çıktılarda bulunan herhangi bir hassas bilginin sınıflandırmasına göre hemen tanınmasını ve korunmasını sağlar.
DSPM, sıkı sınıflandırma protokollerini uygulayarak hassas çıktıların yanlışlıkla erişilebilir olmasını önler ve verilerin hassasiyetine ve uyumluluk gerekliliklerine dayalı sıkı erişim kontrollerini sürdürür.
Reklam