Raporlar

Rapor Manifest, AI Hazırlık Açığını Açıkladı: Güvenlik Ekipleri Görünürlük ve Yönetim ile Mücadele Ediyor

mm
Published
Updated

Manifest’in yeni bir raporu, “Beyond the Black Box: How AI Is Forcing a Rethink of the Software Supply Chain,” AI güvenlik hazırlığı konusunda yöneticilerin güveni ile operasyonel gerçeklik arasındaki büyüyen uçurumu ortaya koyuyor. ABD ve EMEA’daki 300’den fazla güvenlik lideri ve uygulayıcı ile yapılan bir anket temelinde, çalışmada, yöneticilerin çoğunun organizasyonlarının AI sürücüleri tarafından oluşturulan tedarik zinciri risklerine karşı hazır olduğuna inandığı ancak güvenlik ekiplerinin önemli yönetim boşlukları, gölge AI kullanımı ve modern yazılım sistemlerini güçlendirerek çalışan bileşenlere ilişkin sınırlı görünürlük raporladığı belirtiliyor.

Bu bulgular, şirket teknolojisinde ortaya çıkan merkezi bir gerilimi vurguluyor: AI benimseme ürünleri ve iş akışları boyunca hızla hızlanıyor, ancak bu sistemleri izlemek, yönetmek ve güvence altına almak için gereken mekanizmalar aynı hızda ilerlemiyor.

AI, Tedarik Zinciri Güvenlik Problemlerini Yeni Biçimlerde Yeniden Oluşturuyor

On yılı aşkın bir süredir, organizasyonlar yazılım tedarik zinciri güvenliğini geliştirmek için bağımlılıkları izliyor, açıkları izliyor ve yönetim çerçeveleri kuruyor. Ancak Manifest raporu, AI’nin aslında aynı riskleri – şimdi modeller, veri kümeleri, ajanlar ve üçüncü taraf AI hizmetleri boyunca dağıtılmış olarak – yeniden tanıttığını savunuyor.

AI bileşenleri genellikle saydam sistemler olarak çalışır. Şirketler genellikle nasıl eğitildiklerini, hangi veri kümelerinin kullanıldığını veya uygulamalarındaki dış hizmetlerin hangileri olduğunu tam olarak açıklamakta zorlanırlar. Sonuç olarak, organizasyonlar yeni bir tür tedarik zinciri riski ile karşı karşıya kalırlar: Güvenilir bir şekilde inceleyemeyecekleri, doğrulayamayacakları veya zaman içinde izleyemeyecekleri yazılım sistemleri.

Rapor, görünürlüğün zaten kaybolduğunu vurguluyor. Organizasyonların %63’ü “gölge AI” varlığını bildiriyor, yani güvenlik, satın alma veya risk yönetimi ekiplerinin denetimi olmadan benimsenen AI araçları veya entegrasyonları.

Daniel Bardenstein, Manifest’in CEO’su ve kurucu ortağı, verilerin yöneticilerin AI hazırlığına ilişkin güveninin operasyonel gerçeklikle eşleşmediğini söylüyor: “Yöneticilerin AI hazırlığına ilişkin güveni, uygulama güvenliği ekiplerinin günlük olarak karşılaştığı gerçeklerle uyuşmuyor. Liderler, yönetimin yerinde olduğunu düşünürken, uygulayıcılar yönetilmeyen AI kullanımını, açık olmayan sahipliği ve ürünler ve satıcılar boyunca gerçekten neler çalıştığını görme konusundaki kör noktaları görüyor.”

Yöneticiler Hazır Olduklarını Söylüyor, Güvenlik Ekipleri İse İtiraz Ediyor

Raporun en çarpıcı bulgularından biri, liderlik güveni ile ön cephe güvenlik değerlendirmeleri arasındaki ayrışmadır.

Guvenlik yöneticilerinin neredeyse %80’i organizasyonlarının olgun AI güvenlik uygulamalarına sahip olduğunu söylüyor, ancak uygulama güvenliği (AppSec) ekiplerinin yalnızca yaklaşık %40’ı bu değerlendirmeye katılıyor.

AppSec ekipleri, genellikle yönetim çerçevelerindeki operasyonel başarısızlıkları ilk karşılayanlar oluyorlar, çünkü doğrudan yazılım tedarik zinciri ile etkileşime giriyorlar. Bu uygulayıcılar, yüksek hacimli uyarılar, açık olmayan güvenlik sorumlulukları ve geliştirme ve güvenlik ortamları arasında parçalı araçlar ile karşılaşıyorlar.

Rapora göre, %47’si ekiplerin bölünmesi ve açık olmayan sahipliğin en büyük engel olarak yazılım tedarik zinciri güvenliğini iyileştirmeye işaret ediyor.

Sonuç, organizasyonların güçlü güvenlik programlarına sahip olduklarına inanırken kritik boşluklar kalmasıdır – görünürlük, hesap verebilirlik ve operasyonel koordinasyon konusunda.

SBOM Paradoksu: Üretilen ancak Nadiren Kullanılan

Çalışmanın bir başka önemli bulgusu, Yazılım Malzeme Listeleri (SBOM) ile ilgilidir – bağımlılıkları izlemeye ve açıkları belirlemeye yardımcı olmak için tasarlanmış yazılım bileşenleri envanterleri.

SBOM benimsenmesi son yıllarda, özellikle düzenleyici baskı ve tedarik zinciri saldırıları nedeniyle önemli ölçüde genişledi. Ancak Manifest araştırması, birçok organizasyonun SBOM oluşturmayı bir uyum kontrolü olarak değil, operasyonel bir yetenek olarak gördüğünü öne sürüyor.

Rapor beberapa önemli istatistikleri vurguluyor:

  • %60’ı SBOM oluşturuyor
  • Yarısından fazlası bunları aktif olarak yönetmiyor veya uygulamıyor
  • %79.6’sı Yazılım Bileşen Analizi (SCA) araçlarını kullanıyor
  • SBOM operasyonel kullanımı çok daha düşük, %41.8

Merkezi bir altyapı, normalleştirme, politika uygulama ve sürekli izleme olmadan, SBOM’lar aktif risk yönetimi araçları yerine statik belgeler haline geliyor.

Güvenlik ekipleri ayrıca geleneksel Yazılım Bileşen Analizi platformlarına karşı şüpheci davranıyor. %56.3’ü SCA araçlarının gürültü oluşturduğunu veya geliştirme ekiplerini geciktirdiğini söylüyor, %46.4’ü bu araçların gerçek dünya yazılım riskini anlamlı bir şekilde azaltmadığını düşünüyor.

Bu kopukluk, daha geniş bir olgunluk meydan okumasını ortaya koyuyor: organizasyonlar büyük miktarda güvenlik verisi üretebiliyor, ancak bu sinyalleri somut risk azaltımına çevirebilecek operasyonel altyapıdan yoksun kalabiliyor.

Şeffaflık Verileri Güvenliği ve Dağıtım Hızını İyileştiriyor

Bu zorluklara rağmen, araştırma, organizasyonların yazılım tedarik zincirleri boyunca anlamlı şeffaflık elde etmelerinin ölçülebilir faydalar getirdiğini gösteriyor.

Yaklaşık %49.4’ü satıcılar tarafından sağlanan verifiable şeffaflık verilerini -örneğin SBOM, köken kayıtları veya imzalı ikililer- alıyor.

Bu bilgiler güvenilir ve operasyonel olduğunda etki önemli:

  • %64’ü yeni teknoloji uygulamasının daha hızlı olduğunu bildiriyor
  • %61.6’sı güvenlik sorunlarının daha hızlı çözüldüğünü rapor ediyor
  • %15.5’i azaltılmış kapalı zaman bildiriyor

Şeffaflık eksikliği olan organizasyonlar, raporun tanımladığı “şeffaflık vergisi” ile karşı karşıya kalıyor – şeffaf olmayan yazılım bileşenlerini manuel olarak araştırmaya ilişkin ek zaman, maliyet ve risk.

AI Benimsenmesi Şirketler Geneline Hızla Yayıldı

Çalışma, AI’nin şirket yazılımları ekosistemine ne kadar hızlı entegre edildiğini de vurguluyor.

Pratikte hiçbir organizasyon AI’yi tamamen reddetmediğini raporlamıyor. Bunun yerine, şirketler çeşitli yaklaşımlarla deneysel çalışmalarda bulunuyor:

  • %80.2’si onaylı ticari AI modellerini dahili olarak kullanıyor
  • %79.9’u geniş olarak ChatGPT veya Cursor gibi ticari araçları kullanıyor
  • %56.7’si iç verilerde açık ağırlıklı modelleri eğitiyor
  • %29.3’ü sıfırdan özel AI modelleri oluşturuyor

Mali hizmetler ve teknoloji şirketleri benimsenmeyi önde götürüyor. Mali hizmetler organizasyonlarının neredeyse %90’ı onaylı dahili AI modellerine sahip, ve %46.9’u sıfırdan özel modeller oluşturuyor, genel ortalamanın üzerinde.

Bu sektörler hızlı hareket etmek için güçlü teşviklere sahip. Mali hizmetlerde AI, doğrudan dolandırıcılık tespiti, risk yönetimi ve gelir oluşturma üzerinde etkili oluyor. Teknoloji şirketlerinde AI, ürün tekliflerinin ve platform yeteneklerinin çekirdeğinde yer alıyor.

Ancak hızlı benimseme genellikle yönetişimi geride bırakıyor.

Gölge AI Geniş Bir Problem Haline Geliyor

Araştırma, gölge AI‘nin – resmi denetim olmadan dağıtılan araçlar veya modeller – zaten yaygın olduğunu doğruluyor.

Yalnızca %34.8’i organizasyonlarında hiç gölge AI olmadığını bildiriyor, geri kalanı en az bazı yönetilmeyen AI kullanımını kabul ediyor.

Bu model, daha önce “gölge BT” dalgasını takip ediyor, burada çalışanlar resmi satın alma süreçlerinin dışında bulut hizmetleri veya SaaS araçlarını benimsiyordu.

Bölgesel farklılıklar da ortaya çıkıyor. EMEA’daki organizasyonlar gölge AI olmadan çalışmanın daha yüksek oranlarına sahip (%45.7), muhtemelen diğer bölgelere kıyasla daha güçlü düzenleyici çerçeveler ve daha katı satın alma süreçleri nedeniyle.

Bununla birlikte, rapor, geleneksel güvenlik araçlarının AI modellerini, veri kümelerini ve hizmetlerini dağıtılmış geliştirme ortamlarında izlemek için tasarlanmadığını uyarıyor.

Lisans ve Hukuki Riskler Başka Bir Büyük Kör Nokta

Teknik yönetim ötesinde, çalışma AI benimsemesi ile ilgili yasal ve uyum meydan okumalarını da vurguluyor.

AI modellerinin ve veri kümelerinin lisans koşullarını, fikri mülkiyet haklarını ve kullanım kısıtlamalarını anlamak birçok organizasyon için zor blijiyor. Anket, şunları buldu:

  • %93’ü AI lisansları ve IP yükümlülüklerini yönetmede iyileşme alanı olduğunu söylüyor
  • %54.6’sı bu konuda güçlü bir şekilde anlaşmaya varıyor

Bu riskler, organizasyonlar açık ağırlıklı modelleri iç verilerde eğittiğinde veya özel veri kümelerini üçüncü taraf AI bileşenleriyle birleştirdiğinde özellikle kritik hale geliyor.

Daha güçlü yönetim çerçeveleri olmadan, şirketler üretim sistemlerine lisans ihlallerini veya uyum açıklarını istemeden tanıtabilir.

Operasyonel Uyum Gerçek Meydan Oku Olabilir

Güvenlik araçlarının devam ettiği halde, raporun önerdiği gibi, etkili AI tedarik zinciri güvenliğinin en büyük engelinin teknoloji olmayabileceği yönündedir.

Çoğu organizasyon, parçalı sahiplik, bağlantısız iş akışları ve yazılım ve AI bileşenleri için paylaşılan bir kayıt sistemi eksikliği ile mücadele ediyor.

En sık belirtilen kısıtlamalar şunları içerir:

  • %47.3 organizasyonel kısıtlamalar
  • %36.3 yetersiz beceriler
  • %35.7 bütçe kısıtlamaları
  • %34.8 yönetim anlama eksikliği
  • %32.6 personel eksikliği

Bu operasyonel boşluklar, güvenlik sinyallerinin tutarlı politika uygulama veya ölçülebilir risk azaltımı olarak tercüme edilmesini zorlaştırıyor.

Neden AI Tedarik Zinciri Güvenliği Stratejik Öncelik Haline Geliyor

AI, şirket yazılımlarının her katmanına gömüldükçe, yazılım tedarik zinciri kavramı modelleri, eğitim veri kümelerini, çıkarım hizmetlerini ve üçüncü taraf AI platformlarını içerecek şekilde genişliyor.

Manifest raporu, organizasyonların noktadan noktaya görünürlük araçlarından öte, AI tedarik zincirleri üzerinde sürekli, operasyonel kontrol oluşturması gerektiğini kếtüklüyor.

Bu, şunları içerir:

  • Geliştirme ortamları boyunca kullanılan tüm AI modellerini izleme
  • Eğitim verilerinin kökenini ve lisansını doğrulama
  • Geliştirme ve dağıtım sırasında yönetim politikalarını uygulama
  • AI bileşenleri için SBOM’lere benzer sürekli envanterleri koruma

Bu mekanizmalar olmadan, AI benimseme ile AI yönetişimi arasındaki boşluk devam edecek.

Ve çalışmanın gösterdiği gibi, bu boşluk zaten birçok şirketin içinde mevcut.

mm

Antoine bir vizyoner lider ve Unite.AI'in kurucu ortağıdır ve AI ve robotik geleceğini şekillendirmek ve tanıtmak için sarsılmaz bir tutkuyla hareket etmektedir. Bir seri girişimci olarak, toplum için elektrik kadar yıkıcı olacağına inandığı AI'nin potansiyeli hakkında sık sık konuşur ve coşkusunu dile getirir.
Bir futurist olarak, bu yeniliklerin dünyamızı nasıl şekillendireceğini keşfetmeye adanmıştır. Ayrıca, Securities.io kurucusudur, bu platform geleceği yeniden tanımlayan ve tüm sektörleri yeniden şekillendiren teknolojilere yatırım yapmaya odaklanmıştır.