Siber Güvenlik

İşletmenizin İçinde Halihazırda AI Var. Eğer Güvenliğini Sağlamıyorsanız, Geride Kalıyorsunuz

mm
Published
Updated

Resmi olarak tüm organizasyon genelinde AI’yi uygulamış olmasanız da, zaten orada mevcut. Çalışanlar, belgeleri hazırlamak için ChatGPT’yi kullanıyor, muhtemelen analizleri hızlandırmak için hassas verileri çevrimiçi araçlara yükleyerek ve koddan müşteri hizmetlerine kadar her şeyi kısaltmak için üretken araçlara güveniyorlar. AI, sizinle olsun veya olmasın meydana geliyor ve bu, Bilgi Güvenliği Sorumlularını gece uyku tutmalıdır.

Her bölümdeki yetkilendirmesiz AI araçlarının bu sessiz yayılması, yeni ve hızlı büyüyen bir gölge BT katmanı oluşturdu. Merkezden uzaklaştırılmış, büyük ölçüde görünmez ve risklerle dolu. Uygunluk ihlallerinden veri sızıntısına ve izlenemeyen karar almaya kadar, AI kullanımını görmezden gelmenin sonuçları gerçek. Yine de birçok şirket, masih politika veya güvenlik duvarları ile bunu engelleyebileceklerini düşünüyor.

Gerçek şu ki, AI engellenemez. Sadece güvence altına alınabilir. Ve şirketler bunun farkına varınca, AI’nin açtığı tehlikeli boşlukları kapatmaya başlayabilirler.

Gölge AI, işletmelere sızıyor ve güvenlik açığı oluşturuyor

Bu patterni önce gördük. Bulut benimsemesi, 2010’larda tam olarak böyle başladı, güvenlik ekibinin onayını almadan daha hızlı hareket etmeye yardımcı olan araçlar için ekipler uzanıyordu. many güvenlik ekipleri bu değişime karşı çıkmaya çalıştı, ancak sonunda güvenlik ihlalleri, yanlış yapılandırmalar veya uygunluk başarısızlıkları ortaya çıktığında yalnızca tepki vermek zorunda kaldılar.

Bugün, aynı şey AI ile oluyor. 2024 AI Güvenlik Raporuımıza göre, organizasyonların yarısından fazlası, kendi özel uygulamalarını geliştirmek için AI kullanıyor, ancak bu modellerin nerede yaşadığını, nasıl yapılandırıldığını veya hassas verileri ortaya çıkarmadığını görmek için çok azı görünür.

Bu iki riski oluşturur:

  1. Çalışanlar, hassas veya özel verileri dış sistemlere denetimsiz olarak erişmek için kamu araçlarını kullanıyor.
  2. İç ekiplerin, yeterli güvenlik kontrolleri olmadan AI modellerini dağıtması, sömürülebilecek açıklıklara ve yetersiz güvenlik uygulamalarına yol açıyor.

Gölge AI sadece bir güvenlik sorunu değil, aynı zamanda bir yönetim krizi olabilir. AI’nin nerede kullanıldığını göremezseniz, nasıl eğitildiğini, hangi verilere erişimi olduğunu veya hangi çıktıları ürettiğini yönetemezsiniz. Ve AI kararlarını izlemiyorsanız, onları açıklayamaz veya savunamazsınız, bu da düzenleyici, itibar veya operasyonel risklere yol açar.

Neden geleneksel güvenlik araçları yetersiz kalıyor

Çoğu güvenlik aracı AI’yi ele almak için tasarlanmadı. Model kalıntılarını tanımaz, AI’ye özgü veri yollarını taramaz ve LLM etkileşimlerini izlemeyi veya model yönetimini uygulamayı bilmez. Var olan araçlar, genellikle puzzle’ın dar parçalarına odaklanıyor ve organizasyonları, bütüncül bir görüş olmadan nokta çözümleriyle baş başa bırakıyor.

Bu bir sorundur. AI güvenliği, sonradan düşünülmemeli veya takma bir çözüm olmamalıdır. Bulut ortamınızı yönetme, verilerinizi koruma ve DevSecOps boru hatlarınızı yapılandırma şeklinizin bir parçası olarak inşa edilmelidir. Aksi takdirde, AI’nin operasyonlarınızın ne kadar merkezi hale geldiğini küçümsüyorsunuz ve iş altyapınızın temel bir parçası olarak güvence altına almak için bir fırsat kaçırıyorsunuz.

“Onu engelle” efsanesi sona ermeli

Üçüncü taraf AI araçlarını “hayır” politikalarıyla veya “iç deneyleri yasakla”yla engellemek cazip gelebilir. Ancak bu boş bir hayal. Basitçe söyleyelim, çalışanlar AI araçlarını daha hızlı çalışmak için kullanıyor. Ve bunu kötü niyetle değil, çünkü işe yarıyor.

AI, bir güç çarpanı ve insanlar onu kullanmaya devam edecek, çünkü onlara zaman kazandırıyor, iş yüklerini azaltıyor veya sorunları daha hızlı çözüyor.

Bu davranışı tamamen engellemeye çalışmak, onu durdurmayacak, sadece daha da gizli hale getirecek. Ve bir şeyler yanlış gittiğinde, en kötü konumda olacaksınız, hiçbir görünürlük, politika veya yanıt planı olmadan.

AI’yi stratejik, güvenli ve görünür bir şekilde benimseyin

Akıllıca bir yaklaşım, AI’yi proaktif bir şekilde benimsemektir, ancak kendi şartlarınızda. Bunun üç temel öğesi vardır:

  1. Çalışanlara güvenli, onaylı seçenekler sunun. Riskli araçlardan uzaklaştırmak istiyorsanız, güvenli alternatifler sunmalısınız. İç LLM’ler, onaylı üçüncü taraf araçları veya temel sistemlerdeki entegre AI asistanları olsun, anahtar, çalışanları nerede olurlarsa olsun, aynı hızda ancak çok daha güvenli araçlarla karşılamaktır.

  2. Açık politikalar belirleyin ve uygulayın. AI yönetimi, spesifik, eyleme geçirilebilir ve kolayca uygulanabilir olmalıdır. Hangi tür verilerin AI araçlarıyla paylaşılabileceği, kırmızı çizgiler nelerdir, kimin AI projelerini gözden geçirip onaylayacağı bellidir. Politikalarınızı yayınlayın ve teknik ve prosedürel uygulama mekanizmalarınızın yerinde olduğundan emin olun.

  3. Görünürlük ve izleme yatırımı yapın. Göremediklerinizi güvence altına alamazsınız. Gölgeli AI kullanımını tespit edebilen, açık erişim anahtarlarını tanımlayabilen, yanlış yapılandırılmış modelleri saptayabilen ve hassas verilerin nereye sızabileceğini vurgulayabilen araçlara ihtiyacınız var. AI duruş yönetimi, bulut güvenlik duruş yönetiminin yanı sıra kritik hale geliyor.

Bilgi Güvenliği Sorumluları bu geçişi yönetmelidir

İstediğiniz gibi olmasa da, bu güvenlik liderliği için bir dönüm noktası. Bilgi Güvenliği Sorumlusunun rolü artık yalnızca altyapıyı korumak değil, aynı zamanda güvenli bir şekilde yenilik yapmayı mümkün kılmak, yani organizasyonun AI’yi daha hızlı hareket etmek için kullanmasını sağlamak ve aynı zamanda güvenliği, gizliliği ve uyumu her adımda güvence altına almak anlamına geliyor.

Bu liderlik şöyle görünür:

  • Yönetim kurulu ve yöneticilere gerçek AI riskleri hakkında eğitim vermek
  • AI dağıtımlarında güvenliği daha erken bir aşamada entegre etmek için mühendislik ve ürün ekipleriyle ortaklıklar kurmak
  • AI sistemlerinin nasıl çalıştığını anlayan modern araçlara yatırım yapmak
  • Sorumlu AI kullanımının herkesin işi olduğu bir kültür oluşturmak

Bilgi Güvenliği Sorumluları, odadaki AI uzmanları olmak zorunda değildir, ancak doğru soruları sormak zorundadırlar. Hangi modelleri kullanıyoruz? Hangi veriler onları besliyor? Hangi güvenlik önlemleri var? Bunu kanıtlamak mümkün mü?

Asıl mesele: Hiçbir şey yapmamak en büyük risk

AI, işletmelerin nasıl çalıştığını zaten değiştiriyor. Müşteri hizmetleri ekiplerinin daha hızlı cevaplar yazmasından, finans ekiplerinin öngörülerini analiz etmesine veya geliştiricilerin iş akışlarını hızlandırmasına kadar, AI günlük işlerin bir parçası. Bu gerçeği görmezden gelmek, benimsemeyi yavaşlatmıyor, sadece kör noktalar, veri sızıntıları ve düzenleyici başarısızlıklara davetiye çıkarıyor.

İleriye giden en tehlikeli yol, inaktivite. Bilgi Güvenliği Sorumluları ve güvenlik liderleri, AI’nin zaten burada olduğunu, sistemlerinde, iş akışlarında olduğunu ve gitmeyeceğini kabul etmelidir. Soru, bunun size telafisi olmayan zararlara neden olmadan önce güvence altına alınıp alınmayacağıdır.

AI’yi benimseyin, ancak güvenlik öncelikli bir zihniyetle. Gelecek olanın önüne geçmenin tek yolu budur.

mm

Gil Geron, Orca Security'nin CEO ve kurucu ortağıdır. Gil, 20 yıldan fazla süredir siber güvenlik ürünleri geliştirme ve sunma deneyimine sahiptir. CEO olarak görevine başlamadan önce, Orca'nın kuruluşundan itibaren Chief Product Officer olarak görev yaptı. Müşteri memnuniyetine karşı tutkulu ve müşterilerin bulut ortamında güvenli bir şekilde çalışmasını sağlamak için yakın çalıştı. Gil, verimliliği etkilemeden sorunsuz siber güvenlik çözümleri sunmaya kararlıdır. Orca Security'yi kurmadan önce, Gil, Check Point Software Technologies'de büyük bir siber güvenlik uzmanları ekibini yönetti.