Connect with us

Düşünce Liderleri

AI’yi Yasaklamak Güvenlik Risklerini Artırır ve Kurumların Nasıl Yanıt Vermesi Gerektiği

mm
Published
Updated

ABD genelinde okul bölgeleri ve kamu sektöründe faaliyet gösteren organizasyonlar, üretken AI (GenAI) teknolojilerine veya belirli araçlara erişimini kısıtlamak veya engellemek için hareket ediyorlar. Colorado’da Boulder Valley Okul Bölgesi son olarak ChatGPT’yi okul ağlarında yasakladı, kötüye kullanım, güvenlik ve akademik bütünlük endişelerini gerekçe göstererek.

Güvenlik olaylarına veya veri kötüye kullanımına maruz kalma riskini azaltma isteği anlaşılabilir. DeepSeek gibi zayıf güvenlik önlemlerine sahip veya belirsiz gizlilik taahhütlerine sahip platformlar, kısıtlamayı ve incelemeyi hak eder. Ancak GenAI araçlarına erişimini yasaklamak, riski anlamlı bir şekilde azaltmaz; genellikle sadece gözetim ortadan kalkan ortamlara kaydırır.

Bir College Board anketi buldu 84% lise öğrencilerinin okul çalışması için GenAI kullandığını rapor etti, aynı zamanda 45% okul müdürlerinin okulda en az bazı AI erişimi kısıtlamaları olduğunu bildirdi. Benzer şekilde, bir IBM raporu buldu ki 80% ofis çalışanı AI kullanıyor, ancak yalnızca %22’si yalnızca işveren tarafından sağlanan araçlara güveniyor.

Erişim politikaları alone davranışı belirlemiyor. Öğrenciler telefonlarını çıkarıp AI aracını hücresel veri ağı üzerinden kullanabilir veya evde veya kamu Wi-Fi’de platformu kullanabilir. Ayrıca, kısıtlamaları atlatmak için VPN’ler, uzaktan masaüstü ve eklentiler kullanabilir. Çalışanlar da işyeri kontrollerini atlatmak için aynı şeyi yapabilir.

Kurumlar, AI kullanma isteği olduğunda, bir yol bulunduğunu varsaymalıdır. Teknoloji, kurumsal görünürlük ötesine itildiğinde, gölge AI riski artar. Hangi bilginin.promptlara girildiği veya model tarafından hangi verilerin saklandığı konusunda hiçbir denetim yoktur. Güvenlik kontrolü hemen kaybolur.

Gölge AI riskinin ötesinde, yasaklar, öğrencileri geleceğin önemli bir parçası olacak teknolojiyi kullanmaya tamamen hazırlıksız bırakarak bir okuryazarlık açığı yaratır. Bu araçlar, arama motorlarına, iş platformlarına, üretkenlik paketlerine ve kişisel cihazlara giderek daha fazla entegre ediliyor. Bir Pew Research anketi buldu ki %62 ABD’li yetişkin, en az haftada birkaç kez AI ile etkileşime girdiğini söylüyor. Kurum politikalarına bakılmaksızın, öğrencilerin ve çalışanların GenAI sistemleriyle karşılaşacağı neredeyse garantidir.

Bu ortamda, kötüye kullanım veya güvenlik endişelerine karşı en güvenilir güvenlik, eğitimdir ve öğrencilerin ve işçilerin, kariyerleri için entegre bir araç olacak aracı kullanmaya iyi hazırlanmasını sağlar. Sorumlu ve etik kullanımın öğretimi, kullanıcıları veri risklerini tanımaya ve bu sistemlerle karşılaştıkları her yerde bilinçli kararlar almaya hazırlar.

Eğitim programları, büyük dil modellerinin (LLM’ler) nasıl veri işlediğini ve sakladığını, nasıl hallucinations tanımlanacağını, nasıl AI tarafından üretilen çıktıların doğrulanacağını ve nasıl phishing kampanyaları ve AI tarafından üretilen görsellerin tanımlanacağını öğretmelidir. Kullanıcıları şüpheci olmaya teşvik edin. AI çıkışları genellikle kendinden emin bir şekilde ve parlak bir dilde sunulur, bu da otorite izlenimi yaratabilir. Eğitim olmadan, kullanıcılar iyi formatlı bir yanıtın doğası gereği doğru olduğunu varsayabilir.

Dijital içeriği sorgulama yeteneği, deepfake’ler ve AI geliştirilmiş phishing kampanyalarının daha da sofistike hale geldiği ön cephe savunmasıdır. Gartner’ın bir anketi buldu ki %62 organizasyon, geçen yıl bir deepfake saldırısına maruz kaldı ve %32’si AI uygulamalarına yönelik bir saldırıya maruz kaldı. Bu tür olayların sıklığı ve kapsamı yalnızca artmaya devam edecek.

Okul gibi kamu kurumları ve yerel yönetimler, faaliyetlerinin büyük częği kaydedildiği ve kamuoyuna açık olduğu için deepfake ile etkinleştirilen sosyal mühendislik için özellikle açıktır. Kamu toplantılarından ses parçaları manipüle edilebilir ve inandırıcı sesli aramalar üretmek için kullanılabilir. Tehdit aktörlerinin bu tür teknikleri kullanarak, özellikle hassas işlemler sırasında fonları yönlendirmek gibi sahtekarlık yaptıklarını gördük. Bu, genellikle hedeflenen vakalarda olur, ancak bu teknikleri tanımaya veya mümkün olduklarını bilmeye eğitilmemiş kullanıcılar, başlangıçta dezavantajlıdır.

Eğitimin ardından, kurumların AI kullanımına ve yönetimine ilişkin açıkça iletilen politikaları olmalıdır. Bu politikalar, onaylı araçları, kabul edilebilir kullanım durumlarını ve hangi verilerin hangi model(ler)ine girilebileceğini tanımlamalıdır. Politikalar, departmanlardan departmanlara değişmek yerine tutarlı bir şekilde uygulanmalıdır. Açık beklentiler belirsizliği azaltır ve hesap verebilirliği güçlendirir.

Genel kısıtlamalar yerine, kurumlar teknolojinin nasıl kullanıldığını şekillendirmelidir. Bir kurum, erişilebilir, güvenli ve iyi çalışan bir aracı onayladığında, bu çoğu kullanıcı için varsayılan haline gelir. Gölge AI kullanımı, kullanıcının VPN indirmek zorunda kalmadan kullanabileceği basit bir alternatif olduğu için azalır.

Kurumlar ve kuruluşlar, LLM’lere güvenli erişim sağlamak ve verilerini güvende tutmak ve paylaşılmamasını veya eğitim için kullanılmamasını istiyorlar. AI etkinleştirme ve güvenlik araçlarının bir kategorisi, tam da bunu yapmak için ortaya çıkıyor. Birden fazla LLM’ye erişim sağlayabilirken, kuruluşun verilerini güvenli bir şekilde kapsülleyebilir. Zero veri saklama anlaşmaları, kuruluşun verilerinin şirketin veya kuruluşun mülkiyetinde kalmasını sağlayan yasal çerçeveyi sağlar ve LLM’nin bu verilerle eğitilmesini engeller. Ayrıca, bir çalışanın kuruluştan ayrılması durumunda, AI kullanımı, iş akışları veya veriler kuruluşun mülkiyetinde kalır.

Teknik güvenlik önlemleri ayrıca özellik düzeyinde uygulanabilir. Bir kurum, onaylı bir LLM içinde genel sorular sormaya izin verebilir, ancak dosya yüklemeleri, belge paylaşımı veya diğer yüksek riskli özellikleri devre dışı bırakabilir. Bu yapılandırmalar, veri maruziyetinin kapılarını açmadan üretkenlik avantajlarını korur.

Daha gelişmiş araçlar, hassas bilgileri modelle ulaşmadan önce otomatik olarak anonim hale getirebilir. Örneğin, doktorlar ve hemşireler GenAI’yi kullanırken korunan verileri maruz bırakmadan, hasta isimlerini veya tanımlayıcıları nötr yer tutucularla değiştirebilir. Diğerleri, sosyal güvenlik numaraları, finansal hesap verileri veya diğer düzenlenmiş bilgileri prompt’lara girmesini tespit eden ve engelleyen veri kaybı önleme kontrollerini entegre eder.

Açık politikalar, teknik güvenlik önlemleri ile birlikte, en iyi savunmayı oluşturur, özellikle teknoloji bu kadar hızlı değişirken. GenAI, meisten kamu sektöründeki organizasyonlardan ve bütçelerinden daha hızlı evrim geçiriyor. Her yeni model ortaya çıktığında onu engellemeye çalışmak sürdürülemez, çünkü bir platform kısıtlandığında, bir diğeri already traction kazanmış oluyor. AI risklerini anlamaya eğitilen kullanıcılar, araçlar ve sürümler arasında adapte olabilir.

AI destekli bir ortamda güvenlik, GenAI’nin artık günlük hayatın bir parçası olduğunu kabul etmeyi gerektirir. Cini şişeden çıkardıktan sonra geri koymak mümkün değil. Genel yasaklar, temkinliliği sinyal verebilir, ancak genellikle görünür, yönetilebilir riski görünmez, yönetilemeyen maruziyetle takas eder. Bir kişiye AI’yi sorumlu bir şekilde kullanmayı öğretin ve her ne gelirse gelsin hazır olacaklar.

Related Topics:
mm

Christopher Morton, Logically’s Bilgi İşlem Müdürü olarak görev yapmakta ve IT Ops, Teknik Ürün Geliştirme, Ağ İşlemleri Merkezi ve Bulut Hizmetleri ekiplerine liderlik etmektedir. The Network Support Company'nin 2021 yılında satın alınmasından sonra Logically ekibine katılmış ve burada daha önce CTO olarak görev yapmıştır. Morton, kariyerine 2005 yılında The Network Support Company'de başlamış ve yönetilen hizmet tekliflerinin başlatılmasına, yönetimine ve büyümesine yardımcı olmak konusunda önemli bir rol oynamıştır.