Haziran ayının sonunda, siber güvenlik şirketi Group-IB, dikkate değer bir veri ortaya çıkardı. ChatGPT hesaplarını etkileyen güvenlik ihlali. Şirket, her biri ChatGPT kimlik bilgilerine sahip olan ve daha sonra geçen yıl boyunca yasadışı Dark Web pazar yerlerinde ticareti yapılan 100.000 kadar ele geçirilmiş cihaz tespit etti. Bu ihlal, hassas bilgiler içeren arama sorguları bilgisayar korsanlarının eline geçtiğinden, ChatGPT hesaplarının tehlikeye atılmış güvenliğinin ele alınması için acil müdahale çağrılarına yol açtı.
Başka bir olayda, bir aydan kısa bir süre içinde Samsung, çalışanlarının yanlışlıkla ChatGPT aracılığıyla hassas bilgileri sızdırdığı belgelenmiş üç olay yaşadı. ChatGPT, kendi performansını artırmak için kullanıcı girdi verilerini sakladığından, Samsung’a ait bu değerli ticari sırlar artık AI hizmetinin arkasındaki şirket olan OpenAI’nin mülkiyetindedir. Bu, Samsung’un özel bilgilerinin gizliliği ve güvenliği ile ilgili önemli endişeler doğurur.
ChatGPT’nin, veri toplama ve kullanma konusunda katı yönergeler zorunlu kılan AB’nin Genel Veri Koruma Yönetmeliği’ne (GDPR) uygunluğuyla ilgili bu tür endişeler nedeniyle, İtalya ülke çapında yasak getirdi ChatGPT kullanımı hakkında.
Yapay zeka ve üretken yapay zeka uygulamalarındaki hızlı ilerlemeler, iş zekası, ürünler ve operasyonlarda büyümeyi hızlandırmak için yeni fırsatlar yarattı. Ancak siber güvenlik programı sahiplerinin, yasaların geliştirilmesini beklerken veri gizliliğini sağlamaları gerekiyor.
Genel Motora Karşı Özel Motor
Kavramları daha iyi anlamak için genel yapay zekayı ve özel yapay zekayı tanımlayarak başlayalım. Genel yapay zeka, genellikle kullanıcılardan veya müşterilerden alınan veri kümeleri üzerinde eğitilmiş, herkesin erişebileceği yapay zeka yazılım uygulamalarını ifade eder. Herkese açık yapay zekanın en iyi örneği, metin makaleleri, resimler ve videolar dahil olmak üzere İnternet’teki herkese açık verilerden yararlanan ChatGPT’dir.
Genel yapay zeka, belirli bir kullanıcıya veya kuruluşa özel olmayan veri kümelerini kullanan algoritmaları da kapsayabilir. Sonuç olarak, herkese açık yapay zeka müşterileri, verilerinin tamamen gizli kalamayacağının farkında olmalıdır.
Özel AI ise, belirli bir kullanıcı veya kuruluşa özgü veriler üzerinde eğitim algoritmaları içerir. Bu durumda, faturalar veya vergi formları gibi belirli bir veri kümesini kullanarak bir modeli eğitmek için makine öğrenimi sistemlerini kullanırsanız, bu model kuruluşunuza özel olarak kalır. Platform satıcıları, verilerinizi kendi modellerini eğitmek için kullanmaz, bu nedenle özel yapay zeka, verilerinizin rakiplerinize yardımcı olmak için herhangi bir şekilde kullanılmasını engeller.
AI’yı Eğitim Programlarına ve Politikalarına Entegre Edin
En iyi uygulamalara bağlı kalarak AI uygulamalarını denemek, geliştirmek ve ürün ve hizmetlerine entegre etmek için siber güvenlik personeli aşağıdaki politikaları uygulamaya koymalıdır.
Kullanıcı Farkındalığı ve Eğitimi: Kullanıcıları yapay zeka kullanmanın riskleri konusunda eğitin ve hassas bilgileri iletirken dikkatli olmaları konusunda teşvik edin. Güvenli iletişim uygulamalarını teşvik edin ve kullanıcılara AI sisteminin gerçekliğini doğrulamalarını tavsiye edin.
- Veri Minimizasyonu: Yapay zeka motoruna yalnızca görevi gerçekleştirmek için gereken minimum miktarda veri sağlayın. Yapay zeka işlemeyle ilgili olmayan gereksiz veya hassas bilgileri paylaşmaktan kaçının.
- Anonimleştirme ve Kimliksizleştirme: Mümkün olduğunda, verileri yapay zeka motoruna girmeden önce anonimleştirin veya kimlik bilgilerini gizleyin. Bu, kişisel olarak tanımlanabilir bilgilerin (PII) veya yapay zeka işlemesi için gerekli olmayan diğer hassas özelliklerin kaldırılmasını içerir.
Güvenli Veri İşleme Uygulamaları: Hassas verilerinizi işlemek için katı politikalar ve prosedürler oluşturun. Erişimi yalnızca yetkili personelle sınırlayın ve yetkisiz erişimi önlemek için güçlü kimlik doğrulama mekanizmaları uygulayın. Çalışanları veri gizliliği en iyi uygulamaları konusunda eğitin ve veri erişimini ve kullanımını izlemek için günlük kaydı ve denetim mekanizmalarını uygulayın.
Saklama ve İmha: Veri saklama ilkelerini tanımlayın ve artık gerekmediğinde verileri güvenli bir şekilde atın. Artık gerekli olmayan verilerin kurtarılamamasını sağlamak için güvenli silme veya kriptografik silme gibi uygun veri imha mekanizmalarını uygulayın.
Yasal ve Uyumluluk Hususları: AI motoruna girdiğiniz verilerin yasal sonuçlarını anlayın. Kullanıcıların yapay zekayı kullanma şeklinin, veri koruma yasaları veya sektöre özgü standartlar gibi ilgili düzenlemelere uygun olduğundan emin olun.
Satıcı Değerlendirmesi: Üçüncü taraf satıcı tarafından sağlanan bir yapay zeka motoru kullanıyorsanız güvenlik önlemlerini kapsamlı bir şekilde değerlendirin. Satıcının, veri güvenliği ve mahremiyet için sektördeki en iyi uygulamaları takip ettiğinden ve verilerinizi korumak için uygun güvenlik önlemlerine sahip olduğundan emin olun. Örneğin, ISO ve SOC tasdiki, bir satıcının tanınmış standartlara bağlılığının ve bilgi güvenliği taahhüdünün değerli üçüncü taraf doğrulamalarını sağlar.
Yapay Zeka Kabul Edilebilir Kullanım Politikasını (AUP) resmileştirin: Bir AI kabul edilebilir kullanım politikası, AI teknolojilerinin sorumlu ve etik kullanımını vurgulayarak politikanın amacını ve hedeflerini özetlemelidir. AI kullanımı için kapsamı ve sınırları belirterek kabul edilebilir kullanım durumlarını tanımlamalıdır. AUP, yapay zeka kullanımında şeffaflığı, hesap verebilirliği ve sorumlu karar almayı teşvik ederek kuruluş içinde etik yapay zeka uygulamaları kültürünü teşvik etmelidir. Düzenli incelemeler ve güncellemeler, politikanın gelişen yapay zeka teknolojileri ve etik ile ilgili olmasını sağlar.
Sonuçlar
Program sahipleri, bu yönergelere bağlı kalarak hassas bilgileri korurken ve etik ve profesyonel standartları korurken yapay zeka araçlarından etkin bir şekilde yararlanabilir. Yanıt istemleri oluşturmaya giden girilen verileri eşzamanlı olarak korurken, yapay zeka tarafından üretilen materyali doğruluk açısından gözden geçirmek çok önemlidir.