Connect with us

Şirketler Neden AI’den Çekiniyor — Ve Nasıl Güvenle Dağıtabilirler

Düşünce Liderleri

Şirketler Neden AI’den Çekiniyor — Ve Nasıl Güvenle Dağıtabilirler

mm
Published
Updated

AI dünyayı fırtınalar halinde sarıyor. Bazı organizasyonlar erken benimseyenler olsa da, birçok şirket daha ihtiyatlı bir yaklaşım benimsemiştir — gizlilik, uyumluluk ve operasyonel sorunlar konusunda endişe duyuyorlar.

Yüzlerce AI güdümlü güvenlik aracı dağıtımı üzerinde çalıştım ve benzer bir modelin ortaya çıktığını gördüm. Şampiyonlar erken bir coşku getirirler. Pilotlar umut vaat eder. Ardından iç tartışmalar, yasal incelemeler ve sonunda bir duraklama gelir; organizasyonlar analiz felaketine düşer. AI’nin güvenlik operasyonlarını dönüştürme potansiyeli olmasına rağmen, birçok şirket onu tamamen benimsemeye hala isteksizdir.

Siber güvenlikte, ihtiyat thường doğru bir içgüdüdür. Ancak AI uygulamalarını geciktirmek, artık büyüyen ve artan AI güdümlü tehditleri durdurmayacaktır. Gerçek zorluk, AI’yi nasıl güvenli, bilinçli ve güveni tehlikeye atmaksızın benimseyeceğinizdir.

Burada, ön cepheden neler öğrendiğimi ve güvenle ilerlemek isteyen güvenlik liderleri için neler önerdiğimi paylaşacağım.

1. Veri Güveni Problemi

İlk ve en büyük engel veri yönetimidir. Çok sayıda şirket, hassas verilerin sızdırılacağı, kötüye kullanılacağı veya — en kötüsü — bir rakip yararına bir modeli eğitmek için kullanılacağından korkuyor. Yüksek profilli ihlaller ve belirsiz satıcı garantileri bu korkuları pekiştiriyor.

Bu paranoya değil. Müşteri PII, fikri mülkiyet veya düzenlenmiş verilerle uğraşırken, bunları bir üçüncü tarafa devretmek kontrolü kaybetmek gibi hissedebilir. Satıcılar, veri ayrımı, saklama, dördüncü taraf katılımı ve model eğitimi politikalarını netleştirmeyi daha iyi yapana kadar, benimseme ihtiyatlı kalacaktır.

Burada yönetim kritik hale geliyor. CISO’lar, NIST AI Risk Management Framework veya ISO/IEC 42001 gibi ortaya çıkan çerçeveleri kullanarak satıcıları değerlendirmelidir; bu çerçeveler, AI sistemlerinde güven, şeffaflık ve hesap verebilirlik konusunda pratik rehberlik sunar.

2. Ölçemediğiniz Şeyi İyileştiremezsiniz

Diğer bir yaygın engel, temel metriclerin eksikliğidir. Çok sayıda şirket mevcut performansı nicelendirerek, AI araçlarının ROI’ını kanıtlamak neredeyse imkansız hale getiriyor. Bir görevi otomatikleştirmeden önce kaç saat sürdüğünü kimse takip etmediyse, %40’lık bir verimlilik artışı iddiasında bulunabilir misiniz?

MTTD (ortalama tespit süresi), yanlış pozitif oranları veya SOC analisti saatleri gibi, şirketlerin mevcut iş akışlarını ölçmeye başlamaları gerekiyor. Bu verileri olmadan, AI için yapılan savunma anlatıları anlatısal kalır — ve yönetici sponsorlar gerçek, savunulabilir rakamlar olmadan büyük ölçekli girişimlere imza atmazlar.

Aşağıdaki ana KPI’leri şimdi takip etmeye başlayın:

  • Ortalama tespit / yanıt süresi (MTTD/MTTR)
  • Yanlış pozitif, yanlış negatif ve bilet hacminin azaltılması
  • Her olayda analist zamanı kazancı
  • Geliştirilmiş kapsama (örneğin, taranan ve düzeltme yapılan güvenlik açıkları)
  • Çıkışsız çözülen olaylar

Bu temel değerler, AI’nin haklılaştırma stratejinizin omurgasını oluşturacaktır.

3. Araçlar Çok İyi Çalıştığında

Ironik olarak, AI benimseme nedenlerinden biri de bazı araçların çok iyi çalışması — organizasyonun ele almasına hazır olmadığından daha fazla risk ortaya çıkarmasıdır.

Gelişmiş tehdit istihbarat platformları, karanlık web izleme araçları ve LLM güdümlü görünürlük çözümleri thường çalınan kimlik bilgilerini, benzer alan adlarını veya daha önce tespit edilmemiş güvenlik açıklarını ortaya çıkarır. Bunun yerine netlik yaratmak yerine, bu aşırı görünürlük yeni bir sorun yaratır: Nereden başlayacağımızı bilemiyoruz?

Gelişmiş taramaları devre dışı bırakan takımları gördüm; çünkü bulguların hacmi siyasi veya bütçe rahatsızlığı yaratıyordu. Daha iyi görünürlük, daha iyi önceliklendirme gerektirir — ve sorunlarla doğrudan yüzleşmeye isteklilik.

4. Eski Sözleşmelere Kilitlenmek

Daha iyi araçlar mevcut olsa da, birçok şirket eski satıcılar ile çok yıllı anlaşmalara kilitlenmiştir. Bu sözleşmelerden bazıları, sözleşmeyi orta vadede sonlandırmanın mümkün olmadığı kadar ağır cezai şartlar taşır.

E-posta güvenliği klasik bir örnektir. Modern çözümler şimdi AI güdümlü tehdit tespiti, davranışsal modelleme ve hibrit ortamlar için yerleşik esneklik sunar. Ancak mevcut satıcı bunu takip etmediyse ve beş yıllık bir anlaşmaya kilitlendiyse, sözleşme bitene kadar temelde yerinde sayıyorsunuz.

Bu sadece teknolojiyle ilgili değil. Zamanlama, satın alma ve stratejik planlama ile ilgilidir.

5. Gölgeli AI’nin Yükselişi

AI benimseme sadece üstten aşağıya değil, her yerde gerçekleşiyor — genellikle güvenlik bilinci olmadan. Araştırmamız gösteriyor ki, çalışanların %85’ten fazlası zaten AI araçları gibi ChatGPT, Copilot ve Bard’ı kullanıyor. (DeepSeek ve TikTok’u unutmayın!)

Proper denetim olmadan, çalışanlar hassas verileri kamu araçlarına girebilir, hayali çıktılara güvenebilir veya istemeden şirket politikalarını ihlal edebilir. Bu, bir uyum ve veri koruma kabusu — ve bunun olmadığını iddia etmek sorunu çözmez.

Güvenlik liderleri, proaktif bir tavır takınarak:

  • Kabul edilebilir kullanım politikaları oluşturmalıdır
  • Gerektiğinde onaylanmamış AI uygulamalarını engellemeli ve bu kullanıcıları yetkili araçlara yönlendirmelidir
  • Onaylı, güvenli AI platformlarını dahili kullanım için dağıtmalıdır
  • Çalışanları sorumlu AI kullanımına eğitmelidir

Alan Notu: AI Kullanım Politikaları kullanımını değiştirmeyecektir. Bilmediğiniz şeyi zorlayamazsınız, bu nedenle ilk adım, kullanımı ölçmek ve sonra uygulamayı başlatmaktır.

6. Dış Kaynak Kullanımı Kendi Risklerini Getirir

Az sayıda şirket, büyük modelleri kendi içinde oluşturup barındırmak için altyapıya sahiptir. Bu, dış kaynak kullanımının genellikle tek uygulanabilir yol olduğu anlamına gelir — ancak bu, CISO’ların çok iyi tanıdığı üçüncü taraf ve tedarik zinciri risklerini getirir.

SolarWinds, Kaseya ve recent Snowflake ihlali gibi olaylar, dış ortaklara görünüm olmadan güvenmenin nasıl büyük maruziyetlere yol açabileceğini vurguluyor. AI altyapısını dış kaynak olarak aldığınızda, satıcının güvenlik duruşunu — iyi veya kötü — miras alıyorsunuz.

Bir markaya güvenmek yeterli değil. Aşağıdakiler hakkında netlik talep edin:

  • Model yaşam döngüsü ve güncelleme sıklığı
  • Olay yanıt protokolleri
  • Satıcı güvenlik kontrolleri ve uyumluluk geçmişi
  • Veri izolasyonu ve kiracı kontrolleri

7. AI Saldırı Yüzeyi Genişliyor

Organizasyonlar AI’yi benimsedikçe, AI’ye özgü tehdit vektörlerine de hazırlanmalılar. Saldırganlar already:

  • Model zehirlenmesi (eğitim verilerini gizlice değiştirme)
  • İki yönlü enjeksiyon (LLM davranışını manipüle etme)
  • Karşıt girdiler (tespit sistemlerini atlatma)
  • Hayal gücünün sömürülmesi (kullanıcıları yanlış çıktılara güvenmeye ikna etme)

Bu teorik değil. Gerçekler ve büyüyor. Savunucular AI’yi benimsedikçe, kırmızı takım, izleme ve yanıt stratejilerini bu yeni ve benzersiz saldırı yüzeyini hesaba katmak için uyarlamalıdır.

8. İnsanlar ve Süreç Gerçek Tıkanıklık Olabilir

En çok gözden kaçan zorluklardan biri organizasyonel hazırlıktır. AI araçları genellikle iş akışlarındaki, beceri setlerindeki ve zihniyetlerindeki değişiklikler gerektirir.

Analitiklerin AI’ye ne zaman güveneceğini, ne zaman meydan okuması gerektiğini ve nasıl etkili bir şekilde yükselteceğini anlamaları gerekir. Liderlerin AI’yi karar alma süreçlerine entegre etmesi gerekir — ancak riski körlemesine otomatikleştirmeden.

Eğitim, oyun kitapları ve değişiklik yönetimi teknolojileriyle birlikte evrimleşmelidir. AI benimseme sadece bir teknoloji girişimi değil, bir insan dönüşümü girişimidir.

Öyleyse Ne Yapabiliriz?

Zorluklara rağmen, güvenlikte AI’nin faydalarının risklerden çok daha ağır bastığına inanıyorum — doğru yapıldığında. İşte organizasyonların nasıl ilerlemesini öneriyorum:

  • Küçük Başlayın ve Kapsamlı Test Edin
  • Ölçülebilir bir etkiye sahip dar bir kullanım örneği seçin. Kontrollü pilotlar çalıştırın. Performansı doğrulayın. Verilerle, değil reklamla güven oluşturun.
  • Legal, Risk ve Güvenlik Ekibini Erken Aşamada Dahil Edin
  • Sözleşme aşamasını beklemeyin. Veri işleme şartlarını, düzenleyici riskleri ve tedarik zinciri etkilerini önceden değerlendirmek için yasal ve uyumluluk ekibini dahil edin.

Her Şeyi Ölçün

Uygulamadan önce ve sonra KPI’leri takip edin. Güvenlik ve iş terimlerinde konuşan paneller oluşturun. Metrikler AI finansmanını yapar veya bozar.

Gerçekleşmiş Projelerin Gerçek Kanıtlarına Sahip Ortakları Seçin

Sadece demo’ları geçin. Referanslar isteyin. Satış sonrası destek, dağıtım karmaşıklığı ve sizin gibi ortamlardaki sonuçlar hakkında sorun.

Sonraki Adım: İzlenmeye Değer Olan Yeni Kullanım Örnekleri

AI güvenlik yolculuğunun masih başındayız. İleri düşünen CISO’lar already:

  • Yangın Duvarı Yönetimi, GRC ve uyumluluk otomasyonu için AI kaptanları
  • Sıfır gün tehdit yanıt hızını ve doğruluğunu hızlandıran AI güçlendirilmiş tehdit akışlarını kullanma
  • Üretken kırmızı takım ve saldırı simülasyonu
  • Kendiliğinden iyileşen çok satıcılı altyapı
  • Davranışsal AI ile güçlendirilmiş risk tabanlı kimlik kontrolleri

Bu kullanım örnekleri inovasyon laboratuvarlarından üretime geçiyor. Şimdi kas geliştiren organizasyonlar, bundan yararlanmak için çok daha iyi bir konumda olacak.

Son Düşünce: Gecikme Savunma Değildir

AI burada ve AI güdümlü saldırganlar da burada. Beklediğiniz sürece, daha fazla geri kalırsınız. Ancak bu, körlemesine dalmanız gerektiği anlamına gelmez.

Dikkatli planlama, şeffaf yönetim ve doğru ortaklarla, organizasyonunuz AI’yi güvenle benimseyebilir — yeteneklerini artırmadan kontrolü feda etmeden.
The future of security is augmented. The only question is whether you’ll lead or lag behind.

mm

Pete Nicoletti, Check Point Software Technologies'de Amerika CISO'su olarak görev yapmakta,以前 Cybraics Defense, Hertz Global ve Virtustream'de liderlik rollerinde bulunmuştur.