Düşünce Liderleri

Generatif AI Kullanımı: Generatif AI Araçlarının Siber Güvenlik İmplicationsını Açıklamak

mm
Yayınlandı
Güncellendi

Şüphesiz ki, generatif AI artık her yönetim kurulu ve iş liderinin dikkatini çekmiştir. Bir zamanlar kenar bir teknoloji olan ve ustalaşması zor olan generatif AI, ChatGPT ve DALL-E gibi uygulamalar sayesinde artık herkesin erişebileceği bir hale gelmiştir. Şimdi, tüm endüstriler ve yaş grupları boyunca generative AI’nin topluca benimsenmesini görüyoruz ve çalışanlar bu teknolojiyi kendi avantajlarına kullanmak için yollar buluyorlar.

yakın bir anket göre, 29% Gen Z, 28% Gen X ve 27% Milenyum katılımcıları günlük işlerinin bir parçası olarak generatif AI araçlarını kullanıyor. 2022’de, büyük ölçekli generatif AI benimsenmesi %23’te iken, bu rakamın 2025 yılına kadar %46’ya çıkması bekleniyor.

Generatif AI, yeni ve hızla gelişen bir teknolojidir ve eğitimli modelleri kullanarak çeşitli biçimlerde orijinal içerik oluşturur: yazılı metin, resimler, videolar, müzik ve hatta yazılım kodu. Büyük dil modelleri (LLM) ve devasa veri setleri kullanarak, teknoloji neredeyse insan işi ile ayırt edilemeyen benzersiz içerik oluşturabilir ve birçok durumda daha doğru ve ikna edici olabilir.

Ancak, işler generatif AI’yi günlük operasyonlarını desteklemek için giderek daha fazla kullanırken ve çalışanlar bu teknolojiyi benimsemekte hızlı davranırken, benimsenme hızı ve düzenlemelerin olmaması önemli siber güvenlik ve düzenleme uyumluluk endişeleri yaratmıştır.

Bir anket göre, genel nüfusun %80’den fazlası ChatGPT ve generatif AI’nin güvenlik risklerinden endişe duyuyor ve %52’si düzenleyici çerçeveler yakalamadan önce generatif AI gelişiminin durdurulmasını istiyor. Bu daha geniş görüş, işlerin kendileri tarafından da yankılandı, %65 senior IT lideri sürtünmesiz erişim sağlayan generatif AI araçlarını güvenlik endişeleri nedeniyle onaylamıyor.

Generatif AI hala bilinmeyen bir bilinmeyendir

Generatif AI araçları veriden beslenir. ChatGPT ve DALL-E gibi modeller, dış veya serbestçe erişilebilen internet verilerine dayanarak eğitilir, ancak bu araçlardan en iyi şekilde yararlanmak için kullanıcıların çok spesifik verileri paylaşması gerekir. Çoğu zaman, kullanıcılar ChatGPT gibi araçları yönlendirdiğinde, doğru ve kapsamlı sonuçlar almak için hassas iş bilgilerini paylaşma eğilimindedirler. Bu, işler için birçok bilinmeyeni yaratır. Yetkisiz erişim veya istenmeyen hassas bilgilerin açığa çıkma riski, freely available generatif AI araçlarını kullanmanın doğasında vardır.

Bu risk, kendiliğinden kötü bir şey değildir. Sorun, bu risklerin henüz düzgün bir şekilde keşfedilmemiş olmasıdır. Bugüne kadar, yaygın olarak kullanılan generatif AI araçlarını kullanmanın iş etkileri hakkında gerçek bir analiz yapılmamıştır ve generatif AI kullanımına ilişkin küresel yasal ve düzenleyici çerçeveler henüz olgunluğa ulaşmamıştır.

Düzenleme hala devam etmektedir

Düzenleyiciler, generatif AI araçlarını already gizlilik, veri güvenliği ve ürettiği verilerin bütünlüğü açısından değerlendirmektedir. Ancak, ortaya çıkan teknoloji ile thường olduğu gibi, düzenleyici çerçevenin kullanımı desteklemek ve yönetmek için birkaç adım geridedir. Şirketler ve çalışanlar geniş çapta bu teknolojiyi kullanırken, düzenleyici çerçeveler hala çokça çizim aşamasındadır.

Bu, şirketler için açık ve mevcut bir risk yaratır ve bu risk şu anda gerektiği kadar ciddiye alınmıyor. Yöneticiler, bu platformların malzeme iş kazançları, otomasyon ve büyüme fırsatları getireceği konusunda doğal olarak ilgileniyorlar, ancak risk yöneticileri, bu teknolojinin nasıl düzenleneceğini, yasal sonuçlarının ne olabileceğini ve şirket verilerinin nasıl tehlikeye girebileceğini veya açığa çıkabileceğini soruyor. Bu araçların çoğu, bir tarayıcı ve internet bağlantısı olan herhangi bir kullanıcı için serbestçe erişilebildiğinden, şirketler kendi “ev kuralları”nı generatif AI kullanımına ilişkin olarak çok dikkatli bir şekilde düşünmelidir.

Generatif AI’yi yönetmede CISO’ların rolü

Düzenleyici çerçeveler hala eksikken, Baş Bilgi Güvenliği Memurları (CISO’lar) organizasyonlarında generatif AI kullanımını yönetmede kritik bir rol oynamalıdır. Kimin bu teknolojiyi kullandığını, hangi amaçla kullandığını, çalışanların generatif AI araçlarıyla etkileşim halindeyken kurumsal bilgilerin nasıl korunacağını, temel teknolojinin güvenlik risklerinin nasıl yönetileceğini ve teknolojinin sunduğu değerin güvenlik ticaretinin nasıl dengeleneceğini anlamaları gerekir.

Bu, kolay bir görev değildir. Risk değerlendirmeleri, teknolojinin resmi olarak dağıtılmasının ve çalışanların gözetim olmadan serbestçe erişilebilen araçları kullanmasının hem olumsuz hem de olumlu sonuçlarını belirlemek için yapılmalıdır. Generatif AI uygulamalarının kolay erişilebilir doğası nedeniyle, CISO’lar şirket politikasını bu araçların kullanımına ilişkin olarak çok dikkatli bir şekilde düşünmelidir. Çalışanların işlerini kolaylaştırmak için ChatGPT veya DALL-E gibi araçları kullanmasına izin verilmeli mi? Veya bu araçlara erişim kısıtlanmalı veya某 şekilde düzenlenmeli mi, ve iç rehberler ve çerçeveler nasıl kullanılacağına ilişkin olarak oluşturulmalı mı? Açık bir sorun, dahili kullanım kılavuzları oluşturulsa bile, teknoloji bu kadar hızlı gelişirken, bunlar finalleştirilmeden önce muhtemelen eski haline gelecektir.

Bu sorunu ele almak için bir yol, aslında generatif AI araçlarından ziyade veri sınıflandırması ve korumasına odaklanmak olabilir. Veri sınıflandırması, her zaman veri ihlali veya sızıntısını önlemenin önemli bir yönü olmuştur ve bu özel kullanım durumunda da geçerlidir. Verilere duyarlılık seviyesi atanması, nasıl davranılacağını belirler. Şifrelenmesi gerekiyor mu? İçerilmesi gerekiyor mu? Bildirilmesi gerekiyor mu? Kimin erişimi olmalı ve nerede paylaşıma izin veriliyor? Veri akışına odaklanmak yerine aracın kendisine odaklanırsanız, CISO’lar ve güvenlik görevlileri bazı riskleri azaltma şansına sahip olacaklardır.

Her ortaya çıkan teknoloji gibi, generatif AI hem işler için bir nimet hem de bir risktir. Otomasyon ve yaratıcı kavramlaştırma gibi heyecan verici yeni yetenekler sunarken, aynı zamanda veri güvenliği ve fikri mülkiyetin korunması etrafında karmaşık zorluklar da getirir. Düzenleyici ve yasal çerçeveler hala oluşturulurken, şirketlerin kendi politika kontrollerini uygulayarak fırsat ve risk arasında denge kurmaları gerekir. Generatif AI işleri ileriye taşıyacak, ancak tekerleğin üzerinde bir elimizi tutarak dikkatli olmalıyız.

mm

25 yılı aşkın siber güvenlik uzmanı olarak deneyim sahibi olan Chris Hetner, endüstrileri, altyapileri ve dünya çapındaki ekonomileri korumak için siber riske karşı C-Suite ve Yönetim Kurulu düzeyinde farkındalık yaratmasıyla tanınmaktadır.

Amerika Birleşik Devletleri Menkul Kıymetler ve Borsa Komisyonu Başkanına Baş Siber Güvenlik Danışmanı ve SEC'nin Uyum Denetimleri ve Muayene Ofisi'nde Siber Güvenlik Başkanı olarak görev yaptı.

Şu anda, Chris, Panzura'nın Müşteri Güvenlik Danışma Konseyi'nin Başkanıdır. Bu konsey, siber güvenlik risk yönetimine iş, operasyonel ve finansal uyum sağlamak amacıyla veri dayanıklılığı konusunda eğitim ve farkındalık sağlar. Panzura, önde gelen bir hibrit çoklu bulut veri yönetimi şirketidir.

Ek olarak, Ulusal Kurumsal Yöneticiler Derneği için Siber Risk Özel Danışmanı, Nasdaq Insight Konseyi'nin Siber Güvenlik ve Gizlilik Başkanı ve TCIG'nin Yönetim Kurulu Üyesidir.