Yapay zeka (AI) ve özellikle üretken AI ile ilgili devam eden saplantı, işletmelerin güvenliğe odaklanması gerektiğine işaret ediyor – ancak kritik veri koruma temelleri hala biraz eksik.
Büyük ölçüde OpenAI’nin ChatGPT’si tarafından teşvik edilen üretken yapay zekaya artan ilgi, kuruluşları teknolojiyi nasıl kullanmaları gerektiğine bakmaya itti.
Ayrıca: ChatGPT nasıl kullanılır: Bilmeniz gereken her şey
CEO’ların neredeyse yarısı (%43), kuruluşlarının stratejik kararlar için halihazırda üretken yapay zekadan yararlandığını söylerken, %36’sı teknolojiyi operasyonel kararları kolaylaştırmak için kullanıyor. Bu hafta yayınlanan bir IBM araştırmasına göre, yarısı bunu ürün ve hizmetleriyle entegre ediyor. Bulgular, Singapur ve ABD de dahil olmak üzere 30 küresel pazarda 3.000 CEO ile yapılan görüşmelere dayanmaktadır.
Ancak CEO’lar yapay zekadan kaynaklanan önyargı, etik ve güvenlik gibi potansiyel risklerin farkındadır. %57’si veri güvenliği konusunda endişe duyduğunu ve %48’i veri doğruluğu veya yanlılığından endişe duyduğunu söylüyor. Çalışma ayrıca, %76’sının iş ekosistemlerinde etkili siber güvenliğin tutarlı standartlar ve yönetişim gerektirdiğine inandığını ortaya koyuyor.
%56’sı, tutarlı standartların bulunmaması nedeniyle en az bir büyük yatırımı durdurduklarını söylüyor. Sadece %55’i, kuruluşlarının veri güvenliği ve mahremiyetle ilgili olarak paydaşların istediği bilgileri doğru ve kapsamlı bir şekilde rapor edebileceğinden emin.
Ayrıca: ChatGPT ve yeni yapay zeka, siber güvenliğe heyecan verici ve korkutucu şekillerde zarar veriyor
Bu güven eksikliği, işletmelerin potansiyel tehditleri nasıl yönetmesi gerektiği konusunda yeniden düşünmeyi gerektiriyor. Gartner’ın VP analisti Avivah Litan, yapay zeka ile ilgili çeşitli riskleri tartıştığı bir gönderide, üretken yapay zeka araçlarının daha gelişmiş sosyal mühendislik ve kimlik avı tehditlerine olanak sağlamanın yanı sıra bilgisayar korsanlarının kötü amaçlı kod üretmesini de kolaylaştırdığını söyledi.
Litan, üretken yapay zeka temel modelleri sunan satıcıların, modellerini kötü niyetli siber güvenlik isteklerini reddetmek üzere eğittiklerini söylese de, müşterilere uygulanan güvenlik kontrollerini etkili bir şekilde denetlemek için araçlar sağlamadıklarını belirtti.
Çalışanlar da üretken AI sohbet robotu araçlarıyla etkileşime girdiklerinde hassas ve özel verileri açığa çıkarabilir. Analist, “Bu uygulamalar, kullanıcı girdileri yoluyla yakalanan bilgileri süresiz olarak depolayabilir ve hatta bilgileri diğer modelleri eğitmek için kullanabilir, bu da gizliliği daha da tehlikeye atabilir” dedi. “Bu tür bilgiler, bir güvenlik ihlali durumunda da yanlış ellere geçebilir.”
Ayrıca: Stability.ai’nin kurucusuna göre yapay zeka korkularını yatıştırmak için açık kaynak neden önemlidir?
Litan, kuruluşları, üretken AI temel modellerini barındıran kullanıcılar ve işletmeler arasındaki veri ve süreç akışlarını yönetmek için gereken yeni araçlarla birlikte, ortaya çıkan riskleri ve güvenlik gereksinimlerini yönetmek için bir strateji oluşturmaya çağırdı.
Şirketlerin, politika ihlallerini belirlemek için mevcut güvenlik kontrollerinden ve panolardan yararlanarak ChatGPT gibi araçların izinsiz kullanımlarını izlemesi gerektiğini söyledi. Örneğin, güvenlik duvarları kullanıcı erişimini engelleyebilirken güvenlik bilgileri ve olay yönetim sistemleri, ilke ihlalleri için olay günlüklerini izleyebilir. İzin verilmeyen uygulama programlama arabirimi (API) çağrılarını izlemek için güvenlik web ağ geçitleri de kullanılabilir.
Çoğu kuruluş hala temellerden yoksundur
Ancak Imperva’da veri güvenliğinden sorumlu kıdemli başkan yardımcısı ve saha CTO’su Terry Ray’e göre her şeyden önce temeller önemlidir.
Güvenlik satıcısının artık kendi teknolojisine uygulanabilecek yolları belirlemek için üretken yapay zekadaki gelişmeleri izlemeye adanmış bir ekibi var. Ray, üretken yapay zekanın hızlı yükselişine dikkat çekerek, bu dahili grubun bir yıl önce mevcut olmadığını, ancak Imperva’nın makine öğrenimini uzun süredir kullandığını söyledi.
Ayrıca: ChatGPT nasıl çalışır?
İzleme ekibi ayrıca, bu araçların uygun şekilde ve şirket politikaları dahilinde kullanıldığından emin olmak için çalışanlar arasında ChatGPT gibi uygulamaların kullanımını inceler.
Ray, gelişmekte olan AI modelinin nasıl dahil edilebileceğini belirlemek için henüz çok erken olduğunu söyledi ve bazı olasılıkların, satıcının yıllık yıl sonu hackathon’unda, çalışanların muhtemelen üretken AI’nın nasıl uygulanabileceğine dair bazı fikirler sunacağı zaman su yüzüne çıkabileceğini ekledi.
Tehdit aktörlerinin hala çoğunlukla düşük asılı meyvelere bağlı kalması ve bilinen istismarlara karşı yamalanmamış kalan sistemler araması nedeniyle, üretken yapay zekanın kullanılabilirliğinin şimdiye kadar kuruluşların saldırıya uğrama biçiminde önemli bir değişikliğe yol açmadığını belirtmek de önemlidir. .
Ray, tehdit aktörlerinin üretici yapay zekayı nasıl kullanabileceğini düşündüğü sorulduğunda, kodlama hatalarını veya güvenlik açıklarını incelemek ve belirlemek için bunun diğer araçlarla birlikte konuşlandırılabileceğini önerdi.
Özellikle API’ler, günümüzde yaygın olarak kullanıldıkları ve genellikle güvenlik açıkları taşıdıkları için sıcak hedeflerdir. Örneğin, bozuk nesne düzeyinde yetkilendirme (BOLA), Open Worldwide Application Security Project tarafından tanımlanan en önemli API güvenlik tehditleri arasındadır. BOLA olaylarında saldırganlar, kullanıcıların kimliğinin doğrulanmasındaki zayıflıklardan yararlanır ve veri nesnelerine erişmek için API istekleri elde etmeyi başarır.
Ray, bu tür gözden kaçırmaların, kuruluşların her bir API üzerinden akan verileri anlama ihtiyacının altını çizdiğini ve bu alanın işletmeler için ortak bir zorluk olduğunu da sözlerine ekledi. Çoğunun, kuruluş genelinde nerede veya kaç tane API çalıştırdığını bile bilmediğini belirtti.
Ayrıca: İnsanlar artık teknik sorunlarını çözmek için ChatGPT’ye yöneliyor
İşletmeye getirilen her uygulama için muhtemelen bir API vardır ve kuruluşların sağlık ve finansal bilgiler gibi verileri paylaşma zorunlulukları arasında sayı daha da artmaktadır. Yetkili, bazı hükümetlerin bu tür riskleri kabul ettiğini ve API’lerin gerekli güvenlik önlemleriyle dağıtılmasını sağlamak için düzenlemeler getirdiğini söyledi.
Ve veri güvenliği söz konusu olduğunda, kuruluşların temelleri doğru anlaması gerekir. Veri kaybının etkisi çoğu işletme için önemlidir. Verilerin koruyucuları olarak şirketler, verileri korumak için ne yapılması gerektiğini bilmelidir.
3.000 baş veri sorumlusunun katıldığı başka bir küresel IBM araştırmasında, %61’i kurumsal verilerinin güvenli ve korumalı olduğuna inanıyor. Veri yönetimiyle ilgili zorluklar sorulduğunda, %47’si güvenilirliğe işaret ederken, %36’sı belirsiz veri sahipliğinden bahsediyor ve %33’ü veri siloları veya veri entegrasyonu eksikliğinden bahsediyor.
Üretken yapay zekanın artan popülaritesi, dikkatleri verilere çevirmiş olabilir, ancak bu aynı zamanda şirketlerin önce temelleri doğru bir şekilde öğrenmesi gerektiğinin altını çiziyor.
Ayrıca: GPT-4 ile OpenAI, ifşaya karşı gizliliği tercih ediyor
Birçoğunun henüz ilk adımları bile atmadığını söyleyen Ray, çoğu şirketin tipik olarak veri depolarının ve göllerinin yalnızca üçte birini izlediğine dikkat çekti.
“Güvenlik söz konusu [having] görünürlük Bilgisayar korsanları en az direnç gösteren yolu seçecek” dedi.
Ayrıca: Bu araştırmaya göre üretken yapay zeka, bazı çalışanları çok daha üretken hale getirebilir
Geçen ay yayınlanan bir Gigamon araştırması, ihlallerin %31’inin, ya tehlikeye atılmış veriler karanlık ağda ortaya çıktığında ya da dosyalara erişilemez hale geldiğinde ya da kullanıcılar yavaş uygulama performansı yaşadığında, olaydan sonra tespit edildiğini buldu. Singapur, Avustralya, EMEA ve ABD’de 1.000’den fazla BT ve güvenlik liderinin katıldığı Haziran raporuna göre, bu oran Avustralya’da yanıt verenler için %52 ve ABD’de %48 ile daha yüksekti.
Bu rakamlar, yanıt verenlerin %94’ünün güvenlik araçlarının ve süreçlerinin BT altyapılarına ilişkin görünürlük ve öngörüler sunduğunu söylemesine rağmen gerçekleşti. %90 kadarı son 18 ayda bir güvenlik ihlali yaşadıklarını söyledi.
En büyük endişeleri sorulduğunda, %56’sı beklenmedik kör noktalara işaret etti. Yaklaşık %70’i şifrelenmiş verileri göremediklerini kabul ederken, %35’i kapsayıcılar hakkında sınırlı içgörüye sahip olduklarını söyledi. Yarısı, en hassas verilerinin nerede saklandığını ve bilgilerin nasıl güvence altına alındığını bilme konusunda güven duymuyordu.
Gigamon’un güvenlikten sorumlu CTO’su Ian Farquhar, “Bu bulgular, tehlikeleri dünyanın dört bir yanındaki BT ve güvenlik liderleri tarafından görünüşte yanlış anlaşılan, şirket içinden buluta görünürlükte kritik boşluklar eğilimini vurguluyor” dedi.
“Birçoğu bu kör noktaları bir tehdit olarak görmüyor… Küresel CISO’ların %50’sinden fazlasının geceleri beklenmedik kör noktaların istismar edildiği düşüncesiyle uykusuz kaldığı düşünülürse, kritik görünürlük boşluklarını gidermek için yeterince önlem alınmıyor gibi görünüyor.”
News
