Yapay zeka, bireylerin kendi uygulamalarını, yardımcı pilotlarını ve otomasyonlarını oluşturma biçimini hızla değiştiriyor. Bu, kuruluşların BT ve yardım masasının yükünü artırmadan çıktıyı iyileştirmesine ve verimliliği artırmasına olanak tanıyor.
Ancak bu dönüşüm, yazılım geliştirmeyi herkes için erişilebilir hale getirirken aynı zamanda daha büyük siber güvenlik tehditlerine de yol açabilir. Neyse ki bunun ya/ya da durumu olması gerekmiyor; Yapay zeka uygulamaları geliştirip güvenli ve uyumlu kalmayı sürdürmek mümkün. Önemli olan, güvenlik liderlerinin yapay zeka gelişiminin doğasında olan riskleri kavraması ve bunların üstesinden gelmek için bir strateji oluşturmasıdır.
Düşük kodlu/kodsuz yapay zekayı kapsar
Yapay zekanın yardımıyla az kodlu ve kodsuz platformlar, geliştirmeyi herkes için erişilebilir hale getirmenin modern standardıdır. Uygulama, otomasyon ve yardımcı pilot geliştirmenin bu yeni yolu, kodlama becerisine sahip olup olmadıklarına bakılmaksızın, bir kuruluşun her üyesine bir geliştiricinin gücünü verir. Sürekli yenilik, sıkı teslim tarihleri ve daha az iç kaynak ihtiyacıyla karşı karşıya kalan kuruluşlar, daha fazla üretkenlik ve verimlilik yaratmak için bu teknolojilere giderek daha fazla bağımlı hale geldi.
Gartner'a göre, 2025 yılına kadar tüm yeni uygulamaların %70'inden fazlası az kodlu/kodsuz geliştirme yoluyla oluşturulacak. Gartner ayrıca kuruluşların dörtte üçünden fazlasının (%80) üretken yapay zeka (GenAI) kullanacağını da öngörüyor. 2026 yılına kadar üretim ortamlarında ve/veya GenAI uygulama programlama arayüzlerinde (API'ler) veya modellerde etkinleştirilmiş uygulamalar. Bu çok büyük bir değişiklik, çünkü kuruluşların %5'inden azı 2023'te bunu yaptı.
Bu yeni “vatandaş geliştiriciler” grubu, uygulamalar, otomasyonlar, veri akışları ve daha fazlasını oluşturmak için çalıştıkları SaaS platformlarına (bir GenAI konuşma arayüzü) yerleştirilmiş çeşitli yardımcı pilotlarla etkileşime giriyor. Artık kendi yardımcı pilotlarını bile oluşturabilirler ve bunları daha sonra geliştirme platformlarının “mağazaları”nda paylaşabilirler.
Düşük kodlu/kodsuz güvenlik riskleri
Bu yeni gelişme senaryosu iki temel risk yaratıyor. Birincisi, üretim ortamlarının artık düzinelerce veya yüzlerce uygulamayı değil, hepsi farklı teknik altyapılara sahip kullanıcılardan gelen on binlerce uygulamayı, otomasyonu ve bağlantıyı kabul etmesidir. Sonuç olarak tehdit ortamı genişliyor. Hesabın kimliğine bürünme ve veri sızıntısı ana tehditlerdir (aşağıda tartışılacaktır).
İkinci risk ise bu platformların herkesin uygulama geliştirmesini kolaylaştırmaya çalışması nedeniyle birçok varsayılan ayarın yer almasıdır. Ancak bu, geliştirme sürecinde herkesin hata yapabileceği anlamına gelir; bu hatalar güvenlik ekipleri için daha fazla iş ve endişe yaratır. Bu hatalar arasında uygulamalara kuruluştaki herkesin erişebilmesi için aşırı izin verilmesi, hassas verilerin düz metin olarak ifşa edilmesi ve sırların uygulamalara sabit kodlanması yer alabilir.
Güvenlik ve uyumluluk programlarına sahip kuruluşların profesyonel geliştiricilerinin ne yaptığına odaklanması standarttır. Ancak günümüzde yapay zeka sayesinde herkes geliştirici olabiliyor. BT artık herkesin oluşturabileceği uygulamaları ve otomasyonları tam olarak göremiyor. Bu, göremediklerini koruyamayan güvenlik ekipleri için büyük bir sorun.
Bu riskler neredeyse tüm kuruluşları, özellikle de sağlık ve finans gibi sıkı düzenlemeye tabi sektörlerdeki şirketleri etkiliyor. Yapay zekanın yardımıyla daha fazla kişi daha fazla uygulama oluşturdukça, kimin neyi yarattığı tam olarak görülemeden daha fazla sistem tarafından daha hassas verilere erişiliyor. Güvenlik ekibi, hangi uygulamaların gerçekten hassas verilere eriştiğini bilmiyor; bu da para cezalarına ve daha fazla düzenleyici incelemeye yol açabilir.
Verimliliği artırırken kontrolü yeniden kazanmanın altı adımı
Bu riskler, kuruluşları çalışanların ve üçüncü taraf kullanıcıların bu geliştirme araçlarını kullanmasını yasaklamaya teşvik ediyor, ancak bu gerçek dünyada işe yaramayacak. İnsanlar yararlı bir araç bulduklarında ondan vazgeçmek konusunda isteksizdirler. Onları bunu yapmaya zorlamak verimliliği, verimliliği ve yenilikçiliği azaltabilir. Dahası, güvenlik liderleri sadece bekçilik yapmak yerine iş stratejisini nasıl hayata geçirebileceklerini göstermeleri gereken bir noktaya geldiler.
O halde amaç bu araçları yasaklamak değil, bunların kullanımını daha güvenli hale getirmektir. Daha önce de belirttiğimiz gibi görünürlük çok önemlidir. Güvenlik ekibinin iki şeyi bilmesi gerekiyor: insanların hangi araçları kullandığını ve hangi uygulamaları geliştirdiklerini ve ayrıca her uygulamanın iş üzerindeki etkisinin tam resmini elde etmek.
Güvenlik ekiplerinin bu düzeyde görünürlüğe sahip olması ve içgörülerine göre hareket etmesi için altı öğe gereklidir:
- Güvenliği öncelik haline getirin. Güçlü uygulamalar, otomasyonlar ve botlar geliştirmek için GenAI'yı kullanırken şirketinizin yönergelerine uyduklarından emin olmak için kurallar oluşturun ve profesyonel ve vatandaş geliştiricilerle görüşün.
- AI ile oluşturulmuş ve/veya AI içeren tüm uygulamaları bulun. Bu kaynakların her biri için iş bağlamını belirleyin: onu kim, neden kullanıyor, hangi verilere erişiyor vb.
- Hassas verilere erişim gerektiren uygulama ve otomasyonların uygun veri hassasiyeti etiketlerini içerdiğinden emin olun. Ayrıca uygun erişime, anormallik tespitine ve kimlik araçlarına ve uygun kimlik doğrulama kurallarına da ihtiyaçları var.
- Güvenlik ekibinin uyarılara, ihlallere ve daha fazlasına nasıl öncelik vereceğini anlaması için her kaynağı tehditlere karşı değerlendirin.
- Güvenli olmayan ve/veya yanlış yapılandırılmış uygulamaları oluşturulurken tespit etmek için tutarlı güvenlik açığı taramasını kullanın.
- Her uygulamaya yalnızca uygun kişilerin erişebilmesini sağlamak için “en az ayrıcalık” yaklaşımını kullanın. Bu, birçok geliştirme platformu tarafından kullanılan varsayılan izinleri ele alır ve kiracıdaki veya dizindeki herkesin tüm uygulamalara erişmesine ve bunları kullanmasına olanak tanır.