Üretken yapay zeka (genai) araçları kurumsal operasyonların dokusuna gömüldükçe, dönüştürücü vaatler getirir, aynı zamanda önemli bir risk getirir.
CISO’lar için zorluk, verileri güvence altına alırken, sınırlar arasında uyumluluğu korurken ve büyük dil modellerinin ve AI ajanlarının öngörülemeyen doğasına hazırlanmak için inovasyonu kolaylaştırmaktır.
Bahisler yüksek; Meyveden çıkarılmış veya kötü yönetilen bir AI aracı, hassas verileri ortaya çıkarabilir, küresel veri yasalarını ihlal edebilir veya yanlış veya manipüle edilmiş girdilere dayalı kritik kararlar verebilir.
Bu riskleri azaltmak için CISOS, siber güvenlik stratejilerini ve politikalarını üç temel alanda yeniden düşünmelidir: veri kullanımı, veri egemenliği ve yapay zeka güvenliği.
Veri Kullanımı: Hayati bilgileri paylaşmadan önce terimleri anlamak
Yapay zeka benimsemesinde en acil risk kötü niyetli aktörler değil, cehalettir. Çok fazla kuruluş, verilerinin nasıl kullanılacağını, depolanacağını veya paylaşılacağını tam olarak anlamadan üçüncü taraf AI araçlarını entegre eder. Çoğu AI platformu, genellikle kaynağa çok az saygı duyarak, internetten kazınan geniş kamu veri alanları üzerinde eğitilmiştir.
Microsoft ve Google gibi sektördeki daha büyük oyuncular, hizmet şartlarına daha fazla etik önlem ve şeffaflık yerleştirmeye başlarken, ince baskının çoğu opak kalır ve değişmeye tabidir.
CISOS için bu, veri paylaşım politikalarının ve tedarik kontrol listelerinin yeniden yazmak anlamına gelir. AI araçları, yüksek riskli erişime sahip üçüncü taraf satıcılar olarak ele alınmalıdır. Dağıtımdan önce, güvenlik ekipleri AI Platform Kullanım Koşullarını denetlemeli, kurumsal verilerin nerede ve nasıl korunabileceğini veya nasıl yeniden kullanılabileceğini değerlendirmeli ve mümkünse devre dışı bırakma işlemlerinin mevcut olmasını sağlamalıdır.
Bu nüanslı sözleşmeleri anlayan dış danışmanlara veya yapay zeka yönetişim uzmanlarına yatırım yapmak, kuruluşları yanlışlıkla özel bilgileri paylaşmaktan koruyabilir. Özünde, AI ile kullanılan veriler, dikkatle düşünülen, izlenen ve düzenlenen değerli bir ihracat gibi ele alınmalıdır.
Veri Egemenliği: Sınırsız bir teknoloji için korkuluklar
Yapay zeka entegrasyonundaki gizli tehlikelerden biri, veri söz konusu olduğunda coğrafi sınırların bulanıklaşmasıdır. Bir ülkedeki veri yasalarına uygun olan diğerinde olmayabilir.
Çokuluslu şirketler için bu, özellikle Dora ve gelecek İngiltere siber güvenlik ve esneklik faturası gibi eylemlerin yanı sıra AB’nin GDPR veya İngiltere Veri Koruma Yasası gibi çerçeveler altında potansiyel düzenleyici ihlallerden oluşan bir mayın tarlası oluşturur.
CISOS, AI platformlarının bölgesel veri egemenliği gereksinimleriyle uyumlu olmasını sağlamak için güvenlik stratejilerini uyarlamalıdır, bu da AI sistemlerinin nerede barındırıldığını, yargı alanları arasında nasıl akışın aktığı ve standart sözleşmeye bağlı hükümler veya bağlayıcı kurumsal kurallar gibi uygun veri aktarım mekanizmalarının mevcut olup olmadığını gözden geçirmek anlamına gelir.
AI araçlarının yeterli yerelleştirme veya uyumluluk yetenekleri sunmadığı durumlarda, güvenlik ekipleri coğrafi işleme, veri maskeleme ve hatta yerel AI dağıtımlarını uygulamayı düşünmelidir.
Politika güncellemeleri, veri yerelleştirme tercihlerinin hassas veya düzenlenmiş veri kümeleri için uygulanmasını zorunlu kılmalı ve AI tedarik süreçleri sınır ötesi veri işleme hakkında net sorular içermelidir. Nihayetinde, verilerin uygunluk sınırları dahilinde kalmasını sağlamak yasal bir konu ve bir güvenlik zorunluluğudur.
Güvenlik: AI dağıtımlarına dayanıklılık tasarlamak
AI güvenliğinin son sütunu, istekli enjeksiyon saldırıları, model halüsinasyonları veya içeriden yanlış kullanım yoluyla, artan manipülasyon tehdidinden kaynaklanan sistemleri korumaktır.
Hala ortaya çıkan bir tehdit kategorisi olsa da, hızlı enjeksiyon, Genai güvenliğinde en çok tartışılan vektörlerden biri haline gelmiştir. Saldırganlar, girdi dizelerini akıllıca hazırlayarak beklenen davranışları geçersiz kılabilir veya bir modelden gizli bilgileri çıkarabilir. Daha aşırı örneklerde, AI modelleri bile tuhaf veya zararlı çıktılara bile sahiptir, bir sistemin geliştiriciler tarafından kapatılmayı reddettiği bildirilmiştir.
CISOS için yanıt iki yönlü olmalıdır. İlk olarak, geleneksel penetrasyon testi gibi iç kontroller ve kırmızı takım egzersizleri, stres testi AI sistemlerine uyarlanmalıdır. Kaos mühendisliği gibi teknikler, kenar vakalarını simüle etmeye ve kullanılmadan önce kusurları ortaya çıkarmaya yardımcı olabilir.
İkincisi, satıcıların nasıl seçildiği konusunda kültürel bir değişim olmalı. Güvenlik politikaları, titiz testler, sağlam güvenlik mekanizmaları ve net etik çerçeveler gösteren AI sağlayıcılarını tercih etmelidir. Bu satıcılar bir prim elde edebilse de, test edilmemiş bir AI aracına güvenmenin potansiyel maliyeti çok daha büyüktür.
Hesap verebilirliği güçlendirmek için CISOS, operasyonel başarısızlıklar veya güvensiz çıktılar için AI satıcılarına sorumluluk alan sözleşmeleri de savunmalıdır. İyi yazılmış bir anlaşma, bir arıza veya ihlal durumunda sorumluluk, olay müdahale prosedürleri ve artış yollarını ele almalıdır.
Gatekeeper’dan etkinleştirmeye
Yapay zeka, iş altyapısının temel bir parçası haline geldikçe, CISOS, güvenlikten koruyucu olmaktan güvenli inovasyon sağlayıcılarına kadar gelişmelidir. Veri kullanımı ile ilgili politikaların güncellenmesi, veri egemenliği üzerindeki kontrollerin güçlendirilmesi ve AI dağıtımları için katmanlı bir güvenlik ağı oluşturmak, güven, uyum veya bütünlükten ödün vermeden Genai’nin tam potansiyelinin kilidini açmak için gerekli olacaktır.
Yapay zekanın neden olduğu hızlı değişimlere en iyi savunma proaktif, bilgi, işbirliği ve sorumluluğa dayanmayan bir odaklanmaya dayanan stratejik adaptasyondur.
Elliott Wilkes, gelişmiş siber savunma sistemlerinde CTO’dur. Tecrübeli bir dijital dönüşüm lideri ve ürün müdürü Wilkes, en son kamu hizmetine siber güvenlik danışmanı olarak hem Amerikan hem de İngiliz hükümetleriyle çalışma on yılı aşkın deneyime sahiptir.