Yapay Zeka ve Veri Güvenliği: Yeni Bir Dönem Başlıyor
Son yıllarda, güvenlik liderleri yapay zekayı “gelişen” bir teknoloji olarak görmekteydi. Ancak, AI & Browser Security şirketi LayerX’in yayınladığı yeni rapor, bu düşüncenin ne denli çağ dışı olduğunu kanıtlıyor. Artık yapay zeka, kurumsal veri sızıntısı için en büyük kontrolsüz kanal haline gelmiş durumda. Gelecek kaygıları yerine, günümüz iş akışlarındaki sorunlar karşımıza çıkıyor. Hassas veriler, çoğunlukla yönetilmeyen hesaplar üzerinden ChatGPT, Claude ve Copilot platformlarına akıyor. Geleneksel Veri Kaybı Önleme (DLP) araçları, bu yeni tehditleri gözden kaçırıyor.
İki Yılda “Gelişen” Teknolojiden Temel Bir İhtiyaca
Yapay zeka araçları, iki yıl gibi kısa bir sürede, e-posta ve çevrimiçi toplantılar gibi teknolojilerin benimsemesi için on yıllar alan seviyelere ulaştı. Kurumsal çalışanların neredeyse yarısı (%45) şu anda üretken yapay zeka araçları kullanıyor; yalnızca ChatGPT’nin benimseme oranı %43’e ulaştı. Diğer SaaS araçları ile kıyaslandığında, yapay zeka kurumsal uygulama faaliyetlerinin %11’ini oluşturuyor. Ancak, bu hızlı büyüme yeterli yönetim ile desteklenmedi. Yapay zekanın %67’si, yönetilmeyen bireysel hesaplar üzerinden kullanılıyor, bu da CISOs’un kimlerin ne kullandığını takip etmesini zorlaştırıyor.
Hassas Veriler Her Yerde ve Yanlış Yöne Akıyor
Dikkate değer bir tespit, hassas verilerin yapay zeka platformlarına ne kadar hızla aktığıdır. %40 oranında dosya yüklemeleri, kişisel kimlik bilgileri (PII) veya ödeme kartı bilgileri (PCI) içermekte ve çalışanlar, bu yüklemelerin neredeyse %40’ını kişisel hesaplar üzerinden gerçekleştiriyor. Faillerin gerçek tehdit noktası ise yalnızca dosyalar değil; kopyala/yapıştır işlemleri. Çalışanların %77’si verileri yapay zeka araçlarına yapıştırmakta ve bu aktivitelerin %82’si yönetilmeyen hesaplardan gelmektedir. Günde ortalama 14 kopyala/yapıştır işlemi gerçekleştiren çalışanların en az 3’ü hassas veri taşımaktadır.
Bu durum, kopyala/yapıştır işleminin kurumsal verilerin kontrolden çıkmasının en büyük kanalı haline gelmesine neden olmaktadır. Bu sadece teknik bir göz ardı meselesi değil, aynı zamanda kültürel bir sorun. Güvenlik programları, ekleri tarayıp yetkisiz yüklemeleri engellemeye adayken, en hızlı büyüyen tehditleri gözden kaçırmaktadır.
Kurum Kimliği Yanılsaması: Kurumsal Hesaplar Güvenli Değil
Güvenlik liderleri genelde “kurumsal” hesapların güvenli erişimi garanti ettiğini düşünmektedir. Ancak veriler başka bir hikaye anlatıyor. Çalışanlar, CRM ve ERP gibi yüksek risk taşıyan platformlarda kurumsal kimlik bilgilerini kullansa bile, SSO (Single Sign-On) sistemlerini genellikle atlamaktadır: CRM oturumlarının %71’i ve ERP oturumlarının %83’ü federasyonsuzdur. Bu durum, bir kurumsal girişin işlevsel olarak kişisel bir girişle ayırt edilemez hale gelmesine yol açıyor.
Anlık Mesajlaşma: Sessiz Tehdit
Yapay zeka, veri sızıntısının en hızlı büyüyen kanalıyken, anlık mesajlaşma en sessiz olanıdır. Kurumsal chat kullanımının %87’si yönetilmeyen hesaplar üzerinden gerçekleşmektedir ve kullanıcıların %62’si PII/PCI verilerini bu platformlara yapıştırmaktadır. Gölge AI ve gölge chat olgusunun birleşimi, hassas verilerin sürekli olarak izlenmeyen ortamlara sızdığı bir ikili göz ardı yaratmaktadır.
Bu bulgular, güvenlik ekiplerinin yanlış savaş alanlarına odaklandığını ortaya koyuyor. Verilerin güvenliği, dosya sunucularında veya belirlenmiş SaaS üzerinde değil; çalışanların kişisel ve kurumsal hesaplar arasında geçiş yaptığı, izlenmeyen araçlar kullandığı ve hassas verileri her iki ortamda da hareket ettirdiği tarayıcıda gerçekleşiyor.
AI Çağında Kurumsal Güvenliği Yeniden Düşünmek
Raporun önerileri net ve sıradışı:
- AI güvenliğini temel bir kurumsal kategori olarak ele almalı, yönetim stratejileri AI’yi e-posta ve dosya paylaşımında olduğu gibi değerlendirmelidir.
- Dosya merkezli DLP’den, eylem merkezli DLP’ye geçiş yapılmalıdır. Veri yalnızca dosya yüklemeleriyle değil, aynı zamanda kopyala/yapıştır, chat ve prompt enjeksiyonu gibi dosya içermeyen yöntemlerle de çıkmaktadır.
- Yönetilmeyen hesapların kullanımı kısıtlanmalı ve federasyon her yerde uygulanmalıdır. Kişisel hesaplar ve federasyonsuz oturum girişleri işlevsel olarak aynı olduğu için bu acil bir gereklilik haline geliyor.
- Yüksek riskli kategorilere odaklanılmalıdır: AI, chat ve dosya depolama. Tüm SaaS uygulamaları eşit değildir; bu kategoriler hem yüksek benimseme hem de yüksek hassasiyet gerektirdiği için sıkı kontrol gerektirir.
Güvenlik liderleri için bu bulguların aciliyeti göz ardı edilemez. Yapay zekayı “gelişen” olarak görmekten vazgeçilmeli. Zira araçlar günü kurtarmaktan daha fazlasını yaparak, veri kaybının en önde gelen vektörü olmaktadır.
