Üretken yapay zeka (GenAI) ve büyük dil modelleri (LLM’ler), yıkıcı teknolojilerdir. du jour, işletmelerin nasıl iş yaptığını yeniden tanımlıyor ve yapay zekanın gelecekte medeniyetin bilgisayarlarla etkileşim biçimini ne kadar değiştireceği konusundaki tartışmayı alevlendiriyor. Sosyal bilimciler ve uzmanlar, daha akıllı ve potansiyel olarak proaktif bilgi işlem nedeniyle medeniyetin karşı karşıya olduğu Ahir Zaman’ı tartışırken, abartı destansı boyutlara ulaşıyor. Belki bazı bakış açıları yerindedir.
İsrailli girişim şirketi Team8’den yakın tarihli bir rapor, “Üretken Yapay Zeka ve ChatGPT Kurumsal Risk,”, GenAI ve LLM’lerin kurumsal yönetim kurulları, C-suites ve siber güvenlik personeli üzerindeki bazı gerçekçi teknik, uyumluluk ve yasal riskleri ele alıyor. • Bir endişe, yani ChatGPT gibi bir GenAI uygulamasına gönderilen özel verilerin ifşa edilmesinin, bu verilerin başkaları tarafından neredeyse gerçek zamanlı olarak kullanılabilir hale gelmesine yol açabileceği endişesi, raporda geçersiz kılındı.
Raporda, “Bu yazı yazıldığı sırada, Büyük Dil Modelleri (LLM’ler) kendilerini gerçek zamanlı olarak güncelleyemezler ve bu nedenle birinin girdilerini diğerinin yanıtına döndüremezler, bu da bu endişeyi etkili bir şekilde çürütür.” “Ancak, bu modellerin gelecekteki sürümlerinin eğitimi için bu mutlaka doğru değildir.”
Rapor, risk kategorisine göre çeşitli potansiyel tehditleri tanımlar. Yüksek riskler arasında:
- Kamuya açık olmayan kurumsal ve özel verilerin veri gizliliği ve gizliliği.
- Kamuya açık olmayan ve kurumsal verilerin kurumsal, hizmet olarak yazılım (SaaS) ve üçüncü taraf güvenliği.
- Kurumsal verilerin hızlı müdahalesi gibi AI davranışsal güvenlik açıkları.
- Yasal ve düzenleyici uyumluluk.
Orta risk kategorisine giren tehditler arasında şunlar yer alır:
- Kimlik avı, dolandırıcılık ve sosyal mühendislik gibi saldırılar için tehdit aktörü evrimi.
- Bir kuruluşun yasal olarak maruz kalmasına yol açan telif hakkı ve mülkiyet güvenlik açıkları.
- Güvenli olmayan kod üretimi.
- Önyargı ve ayrımcılık.
- Güven ve kurumsal itibar.
Team8’de yerleşik CISO ve raporun yazarlarından biri olan Gadi Evron, “CISO, kendi şemsiyesi altında olması gerekmeyen ve rollerini etkileyebilecek süreçleri destekleyecek teknik bilgiye sahip olacak bir konumdadır” diyor. “Yaklaşan Avrupa Birliği düzenlemesinin bazı yorumları, yapay zeka söz konusu olduğunda CISO’yu sorumluluk pozisyonuna itebilir. Bu, CISO’yu ‘güven elçileri’ oldukları bir sorumluluk pozisyonuna yükseltebilir ve bu, CISO için olumlu bir şeydir. CISO rolü.”
Nasdaq’ta siber güvenlik danışmanı ve Panzura’nın Müşteri Güvenliği Danışma Konseyi başkanı Chris Hetner, ilk risk değerlendirmesinin kimin erişimi olduğu, ne yapılabileceği ve teknolojinin mevcut uygulamalar ve veri depolarıyla nasıl etkileşime gireceği ile ilgili olası sorunları belirleyeceğini söylüyor.
“Platforma kimin erişebileceğini, hangi düzeyde veri ve kod sunacaklarını belirlemeniz gerekiyor. [and does] bu veriler ve kod, işletmeye herhangi bir özel mülkiyet teşhiri getiriyor” diyor. “Bu kararlar verildikten sonra, ilerlemek için bir süreç var.”
Kuruluşların GenAI ile karşılaştığı tehdit yeni değil, ancak özel verilerin daha geniş bir kitleye ulaşmasını hızlandırabilir.
Traceable AI baş güvenlik sorumlusu Richard Bird, “Güvenlik söz konusu olduğunda, çoğu şirketin, şirketlerinin ve müşterilerinin çalınma veya sızdırılma risklerini azaltmak için altı ay öncesine göre çok daha kötü durumda olduğu açıktır.” . “Entelektüel ve tarihsel olarak kendimize karşı dürüst olursak, şirketlerin büyük çoğunluğu zaten üretken yapay zekanın yükselişinden önce aynı verileri güvende tutmak için mücadele ediyordu.
“Çalışanların zaten çok az güvenlik kontrolü olan veya hiç güvenlik kontrolü olmayan yapay zeka teknolojilerinden yararlandığı kullanım ve erişim kolaylığı, şirketler için artan riskleri şimdiden gösteriyor.”
İnsan Unsuru
Bird, GenAI’ye pragmatik bir yaklaşım benimsiyor ve şirketlerin verilerini, müşterilerini, tedarik zincirlerini ve teknolojilerini korumak için hızlı hareket edeceklerini ve uyumluluk taleplerini beklemeyeceklerini ekliyor. Kullanıcılar, “yapay zeka kullanmanın istenmeyen güvenlik sonuçlarının farkında olmamayla birlikte tam bir kısıtlama eksikliği” gösterdiler. “Bu zehirli kombinasyon, şirketlerin hızla ele almak için çalışması gereken şeydir. Buradaki ana tehdit yapay zeka değil. İnsan davranışı.”
Henüz tam olarak analiz edilmemiş olan bir konu, kullanıcıların mevcut alışkanlıklarına ve deneyimlerine dayanarak GenAI ile nasıl etkileşimde bulunduklarıdır. Cobalt Labs CISO’su Andrew Obadiaru, örneğin iPhone kullanıcılarının zaten Siri aracılığıyla AI ile yerel deneyime sahip olduğunu ve bu nedenle bu deneyime sahip olmayan kullanıcılara göre daha hızlı adapte olacaklarını belirtiyor. Bird gibi Obadiaru da bu alışkanlıkların, bir kuruluşun doğrudan kontrolünden çıkmaması gereken verileri girerek bu kullanıcıları uygulamaları kötüye kullanmaya daha yatkın hale getirebileceğini düşünüyor.
“Endişeler, ‘Ek riskler nelerdir?’ Herkesin içine girme yeteneği vardır [GenAI technology] mutlaka bir güvenlik incelemesinden geçmeden” diyor. “Ve bunu onların kişisel cihazında yapabilirsiniz.”
Obadiaru, çalışanların iş yapmak için BT departmanının kontrolü dışında kişisel cihazlar kullanması veya Siri veya benzeri uygulamaları kullanırken GenAI’yi kullanmasının bir güvenlik riski oluşturabileceğini ekliyor. GenAI’yi kişisel bir dijital asistan gibi kullanmak potansiyel olarak gizli verileri riske atabilir.
Ağ Riskleri
Indiana Üniversitesi Kelley İşletme Fakültesi’nde Veri Bilimi ve Yapay Zeka Laboratuvarı’nda yardımcı doçent olan Sagar Samtani, yapay zeka modellerinin açık kaynaklı yazılım ortamı aracılığıyla kapsamlı bir şekilde paylaşıldığı konusunda uyarıyor. Bu modeller, içlerinde önemli miktarda güvenlik açığı içerir ve bunlardan bazılarının CISO’ların farkında olması gerekir.
Samtani, “Bu güvenlik açıkları, kuruluşların hangi açık kaynak modellerini kullandıklarını, hangi güvenlik açıklarını içerdiklerini ve yazılım geliştirme iş akışlarının bu güvenlik açıklarını yansıtacak şekilde nasıl güncellenmesi gerektiğini anlamaları için kuruluşlara ivme kazandırıyor” diyor.
Varlık yönetimi, herhangi bir güçlü siber güvenlik programının kritik bir yönüdür, diye ekliyor.
“[It’s] heyecan verici bir cevap değil, ama önemli bir bileşen,” diyor Samtani. “Verileri ve varlıkları algılamak ve kategorize etmek için otomatik araçlar, kurumsal ağların haritasını çıkarmada çok önemli bir rol oynayabilir. … Üretken yapay zeka, olası varlık yönetimi ve güvenlik açığı yönetimi görevleri için kurumsal ağların düzenlerini sağlamaya yardımcı olabilir. Envanter listeleri, öncelik listeleri, zafiyet yönetimi stratejileri oluşturmak, [and] olay müdahale planlarının tümü daha fazla olabilir [easily] özellikle LLM’lerle yapılır.”