Engellemek mi, engellememek mi? Bu soru, birçok siber güvenlik ekibinin Shadow IT’nin artan sorunuyla uğraşırken boğuştuğu bir sorudur. Birçok kuruluş için halihazırda devam eden bir endişe olan, çalışanların ¾’ünün yetkisiz araçlar kullandığını kabul etmesiyle, sorun binlerce yeni AI destekli uygulamanın çok düşük bir maliyetle, hatta ücretsiz olarak kolayca erişilebilir hale gelmesiyle daha da artıyor. Bir çalışanın bu uygulamalardan birini veya başka bir yazılımı, cihazı veya hizmeti, bir kuruluşun BT departmanının onayı veya bilgisi olmadan kullanması, çok kolay bir şekilde kontrolden çıkabilen bir sorundur.
Son araştırmalara göre, beş şirketten biri, hassas kurumsal verilerin çalışanlar tarafından yetkilendirme olmadan GenAI uygulamalarına maruz bırakıldığına inanıyor. Bunun bildirilenden daha sık gerçekleşmesi muhtemel, iyi niyetli çalışanlar işlerini daha verimli bir şekilde yapmaya çalışıyor. Ancak, potansiyel riskleri tam olarak anlamadan, bu istemeden gerçekleşen güvenlik ihlallerinin kötü niyetli içeriden gelen tehditlerden daha tehlikeli olduğu ve belki de her zaman olduğu bir noktaya geldiği tartışılabilir. Belki de bu yüzden yeni bir araştırma, katılımcıların yarısının kuruluşlarının AI kullanımını belirli iş rolleriyle sınırladığını, %16’sının ise teknolojiyi tamamen yasakladığını vurguladı.
ChatGPT’nin duyurulmasının üzerinden henüz 18 ay geçmesine rağmen, birçok kuruluş şimdiden aşağıdakiler de dahil olmak üzere birden fazla endişe alanından bahsediyor:
Fikri Mülkiyet (FM). GenAI modelleri devasa veri kümeleri üzerinde eğitildiğinden, tam veri izolasyonunun garantisi yoktur. Ürün fikirleri, geliştirme kodu veya pazarlama stratejilerinin beslenmesi, bu ayrıntıların bazılarının diğer kullanıcılar için çıktılara sızmasına ve potansiyel olarak ticari sırların ifşa edilmesine yol açabilir. Etkili bir şekilde, gizli bilgiler, aynı aracı pazar araştırması için kullanan bir rakip için üretilen sonuçlarda görünebilir.
Kurumsal Finansal Bilgiler. GenAI’yi finansal raporları derlemek ve oluşturmak için kullanmak, bütçeler ve fiyatlandırma stratejileri gibi önemli verileri ifşa etme riskini taşır. Hatta GenAI’den sorunlu alanları belirlemesi istendiğinde finansal zayıflıklar bile ortaya çıkabilir. En iyi ihtimalle operasyonları aksatabilir ve rakiplere bilgi verebilir, ancak en kötü ihtimalle bilgisayar korsanları bilgileri finansal kazanç için kullanabilir.
Müşteri ve Kişisel VerilerGenAI’ye müşteri veya hasta bilgilerinin anonimleştirilmeden verilmesi, ciddi gizlilik ihlallerine ve GDPR gibi veri koruma düzenlemelerine uyulmamasına neden olabilir.
GenAI’nin gelişen yetenekleri, veri kalıcılığı konusunda endişelere yol açıyor. Bu araçlar hızla geliştikçe, bugün bunlara girilen veriler kalıcı sonuçlara yol açabilir. Örneğin, ChatGPT’nin ortaya çıkan bellek özellikleri, bu hizmetlerde depolanan kullanıcı verilerinin artan hacmini göstermektedir. Gizlilik kontrollerini ihmal eden veya müşteri veya kurumsal verilerle kısayollara başvuran işletmeler, uzun vadeli ve zararlı sonuçlarla karşı karşıya kalma riskiyle karşı karşıyadır.
Özgürlük ve kontrol
İkilem, onaylanmamış faaliyetleri sınırlandırırken çalışanları nasıl denetleyeceğimiz ve aynı zamanda çalışanlara işlerini etkili bir şekilde yapmaları için en iyi araçlara erişim özgürlüğü nasıl sağlayacağımızdır. Verileri korumak ve bu tür korumalardan kaynaklanan iş sürtüşmesini azaltmak arasında dikkatli bir denge gerektirir.
Geleneksel içeriden risk yönetimi araçları yardımcı olabilirken, genellikle kapsamlı gerçek zamanlı analiz, tespit ve yanıttan yoksundurlar. Sonuç olarak, önleyici tedbirler alınamadan önce hasar hızla meydana gelir. Ancak, sorumlu bir şekilde geliştirilen AI destekli teknoloji, yalnızca bir tehlike değil, aynı zamanda bir varlık da olabilir. AI, karmaşık davranışsal ve cihaz analitiğini mümkün kılıyor. Kullanıcı, cihaz ve bağlam hakkında bir dizi faktörü ilişkilendirerek etkinliğin şüpheli olup olmadığını değerlendiren AI destekli tehdit tespit platformları, kısa sürede olası yetkisiz veri sızdırmalarını tespit edebilir. Örneğin, sistem bir çalışanın hassas dosyaları yetkisiz bir harici sürücüye veya uygulamaya taşımaya çalıştığını tespit ederse, aktarımı otomatik olarak engelleyebilir ve güvenlik ekibini derhal uyarabilir.
Bu AI destekli modeller, alışılmadık derecede büyük veri transferleri veya normal çalışma saatleri dışında gizli bilgilere erişim girişimi gibi bir çalışanın tipik rutininden sapan davranışları tespit edebilir. Ancak, kural tabanlı sistemlerin aksine, AI destekli analizler kabul edilebilir davranışın yeni kalıplarını dinamik olarak öğrenebilir ve bunlara uyum sağlayabilir. Bu, rol değişiklikleri, bir çalışanın eve taşınması veya işletme içindeki yeni süreçlere uyum sağlamak nedeniyle meydana gelebilir.
İzlemeden önyargıyı ortadan kaldırmak
Önemlisi, AI’yı davranışsal analitiğe dahil etmek önyargıları azaltmaya yardımcı olabilir. Eski güvenlik sistemleri genellikle öznel kararlardan etkilenebilen önceden tanımlanmış kurallara veya manuel izlemeye güvenir ve bu da yanlış suçlamalara veya gözden kaçan tehditlere yol açabilir. Buna karşılık, AI, kişileri iş türlerine, konumlarına veya önceki olaylara göre önceden yargılamadan potansiyel içeriden gelen tehditlerin ince göstergelerini belirleyebilir. Bu nesnel analiz, varsayımlarda bulunmak yerine olan bitene dayanarak gerçek tehditleri tanımaya yardımcı olur ve tüm çalışanların adil bir şekilde muamele görmesini ve tarafsız bir şekilde izlenmesini sağlar. Bu yaklaşım suçlamayı en aza indirir ve yalnızca gerçek tehditlerin işaretlenmesini sağlayarak sistemleri meşru amaçlar için kullanan çalışanların gizliliğini ve güvenini korur.
GenAI araçlarının yetenekleri ve erişilebilirliği genişlemeye devam ettikçe, hassas verileri dışa aktarmayla ilişkili risklerin azalması pek olası değildir. Bu artan tehdit, çalışan etkinliğini anlamayı yalnızca bir lüks değil, aynı zamanda sağlam bir siber güvenlik stratejisinin temel bir bileşeni haline getirir. Ancak, bu tür izlemelerin hem etkili hem de adil bir şekilde uygulanması, önyargı tuzaklarından kaçınılması ve çalışanların görevlerini gereksiz bir engele maruz kalmadan yerine getirebilmelerinin sağlanması hayati önem taşır.
Son olarak, AI destekli izleme çözümleri kabul edilebilir kişisel kullanım sınırlarına saygı gösterecek şekilde tasarlanabilir. Kullanım politikalarını açıkça tanımlayarak ve ileterek ve zararsız ve potansiyel olarak zararlı aktiviteler arasında ayrım yapabilen AI kullanarak, kuruluşlar üretkenliği durduran veya morali bozan bir gözetim ortamı yaratmadan güvenliği sağlayabilir.
Gölge BT’nin tehlikeleri artmaya devam ettikçe, tarafsız, müdahalesiz izlemeyi entegre etmek esastır. Bu, herkes için güvenli, verimli ve destekleyici bir çalışma ortamını korurken hassas verilerin korunmasını sağlamaya yardımcı olacaktır.
