Giriş
Şirketlerde çalışanlar, AI yazılım asistanları ve kodlama yardımcıları gibi araçları hızlı bir şekilde benimseyerek Verimliliklerini artırmaya çalışıyor. Ancak, bu araçların yetersiz denetimi, güvenlik açıklarına ve veri ihlallerine yol açarak büyük bir tehdit oluşturuyor.
- Giriş
- Saldırı Nasıl Çalışıyor?
- Etkilenen Sistemler
- Çözüm ve Korunma
- 1. Kullanılan Araçların Tam Resmini Oluşturun
- 2. Çalışanlarla Uyumlu Bir Politika Yazın
- 3. Yeni Araç Talepleri İçin Hızlı Bir Yolda Oluşturun
- 4. İzleme Kullanarak Ortak Bir Güvenlik Katmanı Oluşturun
- 5. İyi Güvenlik Davranışlarını Kolaylaştırın
- Sonuç
Saldırı Nasıl Çalışıyor?
Çalışanlar, AI araçları kullanarak günlük işlerini yaparken, genellikle IT departmanlarının onaylamadığı ve kurumsal veri ile bağlantı kuran uygulamalara erişim sağlıyorlar. Bu durum, verilerin gizliliği açısından önemli riskler taşıyor. Gartner tarafından yapılan bir araştırma, şirketlerin %69’unun çalışanlarının yasaklı AI araçlarını kullandığından şüphelandığını veya bunu doğruladığını göstermektedir. Ayrıca, sadece %37’sinde bir AI yönetim politikası bulunmaktadır. Bu durum, çalışanların çalışma yöntemleri ile güvenlik ekiplerinin görebildiği bilgiler arasında ciddi bir uyumsuzluğa sebep oluyor.
Etkilenen Sistemler
Gizli AI faaliyetleri genellikle şu üç ana alanda yoğunlaşıyor:
- OAuth bağlantıları: AI araçları genellikle Google Workspace veya Microsoft 365’e erişim talep eder. Bu işlem, güvenlik ekiplerinin kontrol edemediği bir veri akışına yol açar.
- Tarayıcı uzantıları: Birçok AI aracı, tarayıcı uzantısı olarak çalışır ve geleneksel uç nokta yönetim araçları tarafından tespit edilmez.
- Onaylı araçlar içinde yer alan AI özellikleri: Microsoft Copilot veya Google Gemini gibi araçlar, güvenlik değerlendirmelerini atlayarak kritik verilere erişim sağlayabilir.
Çözüm ve Korunma
AI benimsemesini güvenli, görünür ve onaylı bir yola yönlendiren bir program geliştirmek, hem güvenlik ekiplerinin ihtiyaç duyduğu görünürlüğü sağlamakta hem de çalışanlara ihtiyaç duydukları araçları sunmaktadır. İşte böyle bir program oluşturmanın beş adımı:
1. Kullanılan Araçların Tam Resmini Oluşturun
Güvenlik programları yalnızca görebildikleri şeyleri yönetebilir. Öncelikle, organizasyon genelinde hangi AI araçlarının kullanıldığını keşfetmek gerekmektedir.
2. Çalışanlarla Uyumlu Bir Politika Yazın
Onaylı ve yasaklı araçları tanımlayan bir politika, çalışanların iyi kararlar vermesi için bir temel oluşturmalıdır. Politika, açıkça tanımlanmış süreçler ve verilerin nasıl sınıflandırılacağı konusunda net bilgiler sağlamalıdır.
3. Yeni Araç Talepleri İçin Hızlı Bir Yolda Oluşturun
Resmi onay sürecinin, AI ürünlerinin yayılma hızına ayak uyduramaması durumunda, çalışanlar kaçamak yollar aramaktadır. Bu nedenle süreci hızlandıracak adımlar atılmalıdır.
4. İzleme Kullanarak Ortak Bir Güvenlik Katmanı Oluşturun
AI araçlarının kullanımıyla ilgili sürekli bir görünürlük sağlamak, hem güvenlik ekiplerine hem de çalışanlara fayda sağlar. Tarayıcı tabanlı izleme, trafiği yeniden yönlendirmeden görünürlüğü artırır.
5. İyi Güvenlik Davranışlarını Kolaylaştırın
Güvenlik programları, en kolay seçenek olarak güvenli olanı sağlamalıdır. Bu, çalışanların doğru araçları kullanmalarını teşvik edecektir.
Sonuç
Şirketler, AI benimsemelerini artıracak programlar geliştirerek çalışanların güvenli bir şekilde çalışmasını sağlayabilir. Güncel araçların onaylı listesi ve anlık izleme gibi uygulamalar sayesinde, gizli AI kullanımının zamanla azaldığı gözlemlenmektedir. Çalışanlar güvenli ve onaylı araçlara erişim sağladıklarında, sistemden kaçma dürtüsü büyük ölçüde ortadan kalkmaktadır.
Bu bağlamda, şirketinizin AI araçlarını düzenli olarak gözden geçirerek güncellemelerini sağlamak ve yetkilendirilmemiş araçların kullanımını engellemek önemlidir.
