Yapay Zeka Araçları için Risk Yönetimi Stratejileri

Yapay Zeka ve Makine Öğrenimi, Yönetişim ve Risk Yönetimi, Liderlik ve Yönetici İletişimi

Çevrimiçi Yapay Zeka Araçlarına Gönderdiğiniz Hassas Verileri Korumak İçin Ne Yapmalısınız?

CyberEdBoard •
28 Haziran 2024

Yapay zeka araçları şirketler için hem bir nimet hem de bir lanettir. Personelin daha verimli olmasını ve görevlerin daha hızlı yapılmasını sağlarlar, ancak aynı zamanda giderek artan miktarda hassas verinin kuruluştan dışarı çıkmasına da olanak tanırlar. Analiz için yapay zekaya taşınan veriler, şirketler için yasal ve sözleşmeye dayalı kabus yaratabilir.

Ayrıca bakınız: Proaktif Kimlik Yönetimi ile Küresel Güvenlik Düzenlemelerinde Yol Alma

ChatGPT ve Google’ın Gemini’si, kullanıcılara temel işlevsellik sunan bir freemium modeli altında çalışır. Daha gelişmiş özellikler bir ödeme duvarının arkasında kilitlidir. Libreware gibi, bu çevrimiçi araçlar belirsiz ve kullanıcı dostu olmayan lisans anlaşmalarına sahiptir ve bu anlaşmaların içinde, sağlayıcıya gönderilen verilerle ilgili haklar veren maddeler gizlidir.

Bunlar lisanslama veya kullanım sözleşmelerinde genellikle karşılaşılan ilk üç konudur.

1. Sağlayıcı, verilerinizi eğitim ve ürünlerinin geliştirilmesi için kullanma hakkına sahiptir. Sağlayıcı, şirket verilerinizi daha fazla izin veya değerlendirme olmaksızın eğitim platformlarına dahil edebilir. Bu, sağlayıcının ürünlerine fayda sağlayabilir ve ayrıca şirketinizin hassas verilerini temeldeki algoritmalara ifşa etme potansiyeline de sahip olabilir.
2. Sağlayıcı, verilerinizi veri analitiği ve pazarlama amacıyla kullanma hakkına sahiptir. Buradaki risk, gönderdiğiniz verilerin sektör eğilimlerini ortaya çıkarmak veya rakiplerinizin stratejilerinize ilişkin içgörüler toplamasına olanak sağlamak için diğer kullanıcılardan gelen verilerle bir araya getirilebilmesidir.
3. Lisans sözleşmesi üçüncü taraf paylaşımına izin verir.Bu, sağlayıcının verilerinizi iştirakler veya üçüncü taraf satıcılarla paylaşmasına olanak tanıyabilir; bu da hassas bilgilerinize erişimi olan kişilerin çevresini daha da genişletecektir.

Hassas Verileri AI Araçlarına Göndermenin Sonuçları

Lisans/kullanım sözleşmesi maddelerinde bulunan riskler, özellikle veri gizliliği düzenlemeleri olmak üzere sözleşmesel ve yasal uyumluluğunuz konusunda ciddi endişelere yol açar. Genel Veri Koruma Yönetmeliği, veri minimizasyonu ilkesini ele alır. Şirketlerin yalnızca belirli bir amaç için gereken asgari miktarda veriyi toplamasını ve işlemesini zorunlu kılar. Şirket verilerini, zorunlu olmayan bir görev için bir AI aracına göndermek, bu ilkeyle doğrudan çelişir.

Kişisel olarak tanımlanabilir bilgileri bir AI platformuna açık izin olmadan gönderirseniz şirketiniz GDPR kapsamında ciddi ihlal riskiyle karşı karşıya kalabilir. Bu ihlal nedeniyle bir şirketin 20 milyon euroya veya yıllık küresel cirosunun %4’üne (hangisi daha yüksekse) kadar para cezasına çarptırılabileceği belirtiliyor.

Hassas bilgilerin bir AI aracına verilmesinden kaynaklanan bir veri ihlalinin sonuçları, düzenleyici para cezalarının çok ötesine uzanır. Şirketiniz, bir veri ihlali sonucunda itibar kaybına uğrayacak ve bu da müşteri kaybına ve marka değerinde düşüşe yol açacaktır. Ve yeni ve mevcut müşteriler, sızıntı geçmişi olan bir şirkete hassas bilgileri emanet etmekte tereddüt edebilir.

Müşteri verilerinin bir yapay zeka aracı aracılığıyla tehlikeye atılması durumunda şirket, etkilenen kişiler ve/veya düzenleyici kurumlar tarafından uğranılan zararların tazminini talep eden yasal işlemlerle karşı karşıya kalabilir.

AI Araçları için Risk Yönetimi

Hassas veriler yapay zeka araçlarına gönderildiğinde risk yönetimi kontrollerinin mevcut olması gerekir. İyi güvenlik hijyen uygulamaları önemlidir. Onlar içerir:

• Veri sınıflandırma politikası ve ilgili farkındalık eğitimi: Çalışanlarınızı veri sınıflandırması ve hassas bilgilerin belirlenmesinin önemi konusunda eğitin. Bu, uyumluluk ihlali riskini büyük ölçüde azaltacaktır. Okunması kolay bilgiler ve rehberlik içeren düzenli e-postalar göndermek, bunu başarmanın kolay bir yoludur.
• Denetlenmiş AI sağlayıcılarının listesi: AI bir iş ihtiyacıysa, potansiyel AI sağlayıcılarını iyice araştırın, lisans anlaşmalarını inceleyin ve sağlam güvenlik uygulamalarına ve net veri kullanım politikalarına sahip olanlara öncelik verin. Bu listeyi tüm personele sunun ve güncel tutun.

Dahili AI çözümleri geliştirmeyi de düşünebilirsiniz. Bu, hassas veya PII verilerini içeren yüksek riskli görevlerin kullanılabileceği durumlarda özellikle faydalıdır. Dahili AI çözümleri, verilerinizin kontrolünü tamamen kuruluşunuz içinde tutmanızı sağlar.

Yapay zeka teknolojisi büyümeye ve gelişmeye devam edecek, bu nedenle veri güvenliği konusu çok önemlidir. AB’nin Yapay Zeka Yasası doğru yönde atılmış bir adımdır (bkz: AB Parlamentosu Yapay Zeka Yasasını Onayladı).

Araçlarla ilgili her zaman bir maliyet vardır ve yapay zeka da bir istisna değildir. Yapay zeka ve diğer çevrimiçi araçlarla ilişkili riskleri tam olarak anladığınızdan ve işletmeye özel sağlam risk azaltma stratejileri uyguladığınızdan emin olun.

Ian Keller’ın bilgi güvenliği alanında otuz yılı aşkın deneyimi var. Şu anda, kurumsal telekomünikasyon zekası ile iş iletişimi arasındaki boşluğu kapatmak için kapsamlı bilgi ve uzmanlığından yararlanıyor, bilinçli karar alma için veriye dayalı çözümler sağlıyor ve ISO ve en iyi uygulamalar doğrultusunda ürün kalitesini artırıyor. Keller, kariyeri telekomünikasyon, ağ güvenliği, finansal hizmetler, danışmanlık ve sağlık hizmetleri gibi sektörleri kapsayan bir bilgi güvenliği sorumlusudur. Müşteri güvenliği, kimlik ve erişim yönetimi, bilgi güvenliği ve güvenlik farkındalığı konularındaki uzmanlığı onu uluslararası etkinliklerde aranan bir konuşmacı haline getirmiştir.