Kasıtsız veri sızıntısından hatalı kodlara kadar, şirketinizde gölge yapay zekâ kullanımına neden dikkat etmeniz gerektiğini açıklıyoruz
Gölge BT, uzun zamandır kurumsal güvenlik ekiplerinin baş belası olmuştur. Sonuçta, göremediğiniz şeyi yönetemez veya koruyamazsınız. Ancak durum çok daha kötüye gidebilir. Yapay zekânın (AI) ölçeği, erişimi ve gücü, gölge yapay zekâyı tüm BT veya güvenlik liderleri için bir endişe kaynağı hâline getirmektedir.
Siber riskler, kabul edilebilir kullanım politikalarının arasındaki karanlık alanlarda gelişir. Henüz yapmadıysanız en büyük güvenlik kör noktanız olabilecek şeye ışık tutmanın zamanı gelmiş olabilir.
Gölge yapay zekâ nedir ve neden şimdi?
Yapay zekâ araçları, uzun süredir kurumsal BT’nin bir parçasıdır. 2000’li yılların başından beri güvenlik ekiplerine olağan dışı etkinlikleri tespit etmede ve spam gibi tehditleri filtrelemede yardımcı olmaktadırlar. Ancak bu sefer durum farklı. OpenAI’nin ChatGPT aracının 2023’te büyük başarı elde etmesinden bu yana, chatbot ilk iki ayında 100 milyon kullanıcıya ulaştı ve çalışanlar, hayatlarını kolaylaştıracak üretken yapay zekânın potansiyelinden çok etkilendiler. Ne yazık ki şirketler bu trene binmekte daha yavaş davrandılar.
Bu durum, hayal kırıklığına uğramış kullanıcıların doldurmak için can attığı bir boşluk yarattı. Doğası gereği gölgede kalan bir trendi doğru bir şekilde ölçmek imkânsız olsa da Microsoft, yapay zekâ kullanıcılarının %78’inin artık kendi araçlarını işe getirdiğini tahmin ediyor. BT liderlerinin %60’ının üst düzey yöneticilerin bu teknolojiyi resmî olarak uygulamak için bir planı olmaması konusunda endişeli olması tesadüf değildir.
ChatGPT, Gemini veya Claude gibi popüler sohbet robotları, BYOD cep telefonlarına veya evden çalışma dizüstü bilgisayarlarına kolayca indirilebilir ve kullanılabilir. Bu robotlar, bazı çalışanlara iş yükünü azaltma, teslim tarihlerini kolaylaştırma ve daha yüksek değerli görevlere zaman ayırma gibi cazip bir olasılık sunuyor.
Halka açık yapay zekâ modellerinin ötesinde
ChatGPT gibi bağımsız uygulamalar, gölge yapay zekâ sorunlarının büyük bir kısmını oluşturur. Ancak bunlar sorunun tüm boyutunu temsil etmez. Bu teknoloji, tarayıcı uzantıları aracılığıyla da işletmelere sızabilir. Hatta kullanıcıların BT departmanının bilgisi olmadan etkinleştirdiği meşru iş yazılımı ürünlerinde de bulunabilir.
Bir de ajanlı yapay zekâ var: Otonom ajanlar etrafında şekillenen ve insanlar tarafından kendilerine verilen belirli görevleri bağımsız olarak tamamlamak üzere tasarlanmış yapay zekâ inovasyonunun bir sonraki dalgası. Doğru koruma önlemleri alınmazsa bu ajanlar hassas veri depolarına erişebilir ve yetkisiz veya kötü niyetli eylemler gerçekleştirebilir. Farkına varıldığında ise artık çok geç olabilir.
Gölge yapay zekâ riskleri nelerdir?
Bunların tümü, kuruluşlar için büyük potansiyel güvenlik ve uyumluluk riskleri oluşturur. Öncelikle, kamuya açık yapay zekâ modellerinin izinsiz kullanımını ele alalım. Her komutta, çalışanların hassas ve/veya düzenlemeye tabi verileri paylaşma riski vardır. Bu veriler toplantı notları, IP, kod veya müşteri/çalışanların kişisel olarak tanımlanabilir bilgileri (PII) olabilir. Girilen her şey modeli eğitmek için kullanılır ve bu nedenle gelecekte diğer kullanıcılara aktarılabilir. Ayrıca üçüncü taraf sunucularda, muhtemelen sizinle aynı güvenlik ve gizlilik standartlarına sahip olmayan yargı bölgelerinde depolanır.
Bu durum, veri koruma düzenleyicileri (ör. GDPR, CCPA vb.) tarafından hoş karşılanmayacaktır. Ayrıca chatbot geliştiricisinin çalışanlarının hassas bilgilerinizi görmesine olanak tanıyarak kuruluşu daha da riske atar. Çinli sağlayıcı DeepSeek’te olduğu gibi, veriler bu sağlayıcı tarafından sızdırılabilir veya ihlal edilebilir.
Sohbet robotları, kuruluşu farkında olmadan hedefli tehditlere maruz bırakan yazılım güvenlik açıkları ve/veya arka kapılar içerebilir. İş amaçlı bir sohbet robotu indirmek isteyen herhangi bir çalışan, makinesinden gizli bilgileri çalmak için tasarlanmış kötü amaçlı bir sürümü yanlışlıkla yükleyebilir. Bu amaçla açıkça tasarlanmış birçok sahte GenAI aracı bulunmaktadır.
Riskler veri ifşasından öteye uzanır. Örneğin, kodlama araçlarının izinsiz kullanımı, çıktıların uygun şekilde incelenmemesi durumunda müşteriye sunulan ürünlere istismar edilebilir hatalar getirebilir. Modeller önyargılı veya düşük kaliteli verilerle eğitilmişse yapay zekâ destekli analiz araçlarının kullanımı bile riskli olabilir ve hatalı karar almaya yol açabilir.
Yapay zekâ ajanları ayrıca sahte içerik ve hatalı kodlar ekleyebilir veya insan sahiplerinin haberi olmadan yetkisiz eylemlerde bulunabilir. Bu tür ajanların çalışması için ihtiyaç duyduğu hesaplar, dijital kimlikleri güvenli bir şekilde yönetilmezse ele geçirilmeye yönelik popüler bir hedef hâline gelebilir.
Bu risklerin bazıları hâlâ teorik, bazıları ise değil. Ancak IBM, geçen yıl kuruluşların %20’sinin gölge yapay zekâ ile ilgili güvenlik olayları nedeniyle ihlal yaşadığını iddia ediyor. Gölge yapay zekâ seviyesi yüksek olanlar için ortalama ihlal maliyetlerine 670.000 ABD doları kadar ek maliyet getirebileceğini hesaplıyor. Gölge yapay zekâ ile bağlantılı güvenlik ihlalleri, uyum cezaları da dâhil olmak üzere önemli mali ve itibar kaybına neden olabilir. Ancak hatalı veya bozuk çıktılara dayalı iş kararları, özellikle fark edilmeyebilecekleri için en az güvenlik ihlalleri kadar zararlı olabilir.
Gölge yapay zekâyı aydınlatmak
Bu risklerle başa çıkmak için ne yaparsanız yapın, bulduğunuz her yeni gölge yapay zekâ aracını bir “reddetme listesine” eklemek yeterli olmayacaktır. Bu teknolojilerin kullanıldığını kabul etmeniz, ne kadar yaygın ve hangi amaçlarla kullanıldığını anlamanız ve ardından gerçekçi bir kabul edilebilir kullanım politikası oluşturmanız gerekir. Belirli araçlarda güvenlik ve uyum risklerinin nerede olduğunu anlamak için şirket içi testler ve yapay zekâ satıcıları üzerinde gerekli özenin gösterilmesi ile yapılmalıdır.
Hiçbir kuruluş birbirine benzemez. Bu nedenle, politikalarınızı kurumsal risk iştahınıza göre oluşturun. Belirli araçların yasaklandığı durumlarda, kullanıcıları bu araçlara geçmeye ikna edebileceğiniz alternatifler bulmaya çalışın. Ayrıca çalışanların henüz keşfetmediğiniz yeni araçlara erişim talep edebilecekleri sorunsuz bir süreç oluşturun.
Bunu son kullanıcı eğitimiyle birleştirin. Çalışanlara gölge yapay zekâ kullanarak ne gibi riskler alabileceklerini bildirin. Ciddi veri ihlalleri bazen kurumsal atalet, dijital dönüşümün durması ve hatta iş kayıplarıyla sonuçlanabilir. Veri sızıntısı risklerini azaltmak ve yapay zekâ kullanımına ilişkin görünürlüğü artırmak için ağ izleme ve güvenlik araçlarını değerlendirin.
Siber güvenlik her zaman riskleri azaltmak ve üretkenliği desteklemek arasında bir denge olmuştur. Gölge yapay zekâ sorununu aşmak da bundan farklı değildir. İşinizin büyük bir kısmı, kuruluşun güvenliğini ve uyumluluğunu sağlamaktır. Ancak aynı zamanda iş büyümesini desteklemek de işinizin bir parçasıdır. Ve birçok kuruluş için önümüzdeki yıllarda bu büyüme yapay zekâ tarafından desteklenecektir.
