Siber güvenlik açısından işyerindeki “gölge yapay zeka”ya üç yaklaşım

MIT’nin yakın zamanda yayınladığı “GenAI Divide: State of AI in Business 2025” (Yapay Zeka Jenerasyonu Ayrılığı: 2025’te İş Dünyasında Yapay Zeka Durumu) başlıklı rapor, teknoloji hisselerinde önemli bir durgunluğa neden oldu. İş dünyasında yapay zeka uygulamasının ekonomisi ve organizasyonu hakkında ilginç gözlemler sunarken, siber güvenlik ekipleri için de değerli bilgiler içeren raporda yazarlar, güvenlik meseleleriyle ilgilenmemişler; “güvenlik”, “siber güvenlik” veya “emniyet” kelimeleri raporda hiç geçmiyor. Bununla birlikte, bulguları yeni kurumsal yapay zeka güvenlik ilkeleri planlanırken dikkate alınabilir ve alınmalıdır.

Önemli bir gözlem, ankete katılan kuruluşların yalnızca %40’ının LLM aboneliği satın almış olmasına rağmen, çalışanların %90’ının iş görevleri için düzenli olarak kişisel yapay zeka destekli araçlar kullandığı. Raporda kullanılan terim olan “gölge yapay zeka ekonomisi”nin, resmi yapay zeka ekonomisinden daha etkili olduğu söyleniyor. Şirketlerin yalnızca %5’i yapay zeka uygulamalarından ekonomik fayda sağlarken, çalışanlar kişisel verimliliklerini başarıyla artırabiliyorlar.

Yapay zeka uygulamasında yukarıdan aşağıya yaklaşım genellikle başarısız oluyor. Bu nedenle yazarlar, “gölge kullanımından ders alınmasını ve kurumsal alternatifler satın alınmadan önce hangi kişisel araçların değer sağladığının analiz edilmesini” öneriyor. Peki bu tavsiye siber güvenlik kurallarıyla nasıl bir uyum içinde?

Gölge yapay zekanın tamamen yasaklanması

Birçok CISO’nun tercih ettiği bir ilke, yapay zeka araçlarını test edip uygulamak veya daha da iyisi, kendi araçlarını geliştirmek ve ardından diğer tüm araçları yasaklamaktır. Bu yaklaşım ekonomik açıdan verimsiz olabilir ve şirketin rakiplerinin gerisinde kalmasına neden olabilir. Uyumun sağlanması hem zor hem de maliyetli olabileceğinden, uygulanması da zordur. Ayrıca bazı yüksek düzeyde düzenlemeye tabi sektörler veya son derece hassas verileri işleyen iş birimleri için yasaklayıcı bir ilke tek seçenek olabilir. Bunu uygulamak için aşağıdaki yöntemler kullanılabilir:

• Ağ filtreleme aracını kullanarak ağ düzeyinde tüm popüler yapay zeka araçlarına erişimi engelleyin.
• DLP sistemini, verilerin yapay zeka uygulamalarına ve hizmetlerine aktarılmasını izlemek ve engellemek için yapılandırın. Buna, panoya büyük metin bloklarının kopyalanıp yapıştırılmasının engellenmesi de dahildir.
• Kurumsal cihazlarda uygulama izin listesi ilkesi kullanarak, çalışanların doğrudan yapay zeka erişimi için kullanılabilecek veya diğer güvenlik önlemlerini atlatabilecek üçüncü taraf uygulamaları çalıştırmasını önleyin.
• Kişisel cihazların iş amaçlı kullanımını yasaklayın.
• Video analizi gibi ek araçlar kullanarak, çalışanların kişisel akıllı telefonlarıyla bilgisayar ekranlarının fotoğrafını çekme olanağını tespit edin ve sınırlayın.
• Yönetim tarafından onaylanan listeye dahil olan ve kurumsal güvenlik ekipleri tarafından dağıtılanlar dışında herhangi bir yapay zeka aracının kullanımını yasaklayan bir şirket ilkesi oluşturun. Bu ilke resmi olarak belgelendirilmeli ve çalışanlar gerekli eğitimi almalıdırlar.

Yapay zekanın sınırsız kullanımı

Şirket, yapay zeka araçlarını kullanmanın risklerini önemsiz buluyorsa veya kişisel veya diğer hassas verileri işlemeyen departmanları varsa, bu ekipler tarafından yapay zeka kullanımı neredeyse sınırsız olabilir. Şirlet, kısa bir hijyen önlemleri ve kısıtlamalar listesi belirleyerek; LLM kullanım alışkanlıklarını gözlemleyebilir, popüler hizmetleri belirleyebilir ve bu verileri gelecekteki eylemleri planlamak ve güvenlik önlemlerini iyileştirmek için kullanabilir. Bu demokratik yaklaşıma rağmen, yine de aşağıdakilerin yapılması gerekir:

• Siber güvenlik modülünün yardımıyla çalışanlara sorumlu yapay zeka kullanımının temelleri konusunda eğitim verin. İyi bir başlangıç noktası olarak önerilerimize göz atabilir veya şirketin güvenlik farkındalık platformuna özel bir kurs ekleyebilirsiniz..
• Yapay zeka kullanımının ritmini ve kullanılan hizmet türlerini analiz etmek için ayrıntılarla uygulama trafiği günlüğü oluşturun.
• Tüm çalışanların iş cihazlarına bir EPP/EDR aracısı yüklediğinden ve kişisel cihazlarında güçlü bir güvenlik çözümü kullandığından emin olun. ("ChatGPT uygulaması", 2024–2025 yıllarında bilgi hırsızlarını yaymak için dolandırıcıların tercih ettiği yem olmuştur.)
• Yapay zekanın ne sıklıkla ve hangi görevler için kullanıldığını öğrenmek için düzenli anketler yapın. Telemetri ve anket verilerine dayanarak, ilkelerinizi ayarlamak için kullanımının etkisini ve risklerini ölçün.

Yapay zeka kullanımıyla ilgili dengeli kısıtlamalar

Şirket genelinde yapay zeka kullanımı söz konusu olduğunda, ne tamamen yasaklamak ne de tamamen serbest bırakmak uygun bir çözüm değildir. Daha çok yönlü bir yaklaşım, kullanılan verinin türüne göre farklı düzeylerde yapay zeka erişimi sağlayan bir ilke olacaktır. Böyle bir ilkenin tam olarak uygulanması için aşağıdakiler gereklidir:

• Hem belirli türdeki hassas verileri (adlar veya müşteri kimlikleri gibi) kaldırarak sorguları anında temizleyen hem de rol tabanlı erişim kontrolünü kullanarak uygunsuz kullanım durumlarını engelleyen özelleştirilmiş bir yapay zeka proxy.
• Çalışanların temel modeller ve hizmetlerden özel uygulamalar ve tarayıcı uzantılarına kadar yapay zeka araçlarını kullandıklarını beyan etmeleri için bir BT self servis portalı.
• Her hizmet için belirli istekler düzeyinde yapay zeka kullanımının izlenmesi ve kontrol edilmesi için bir çözüm (NGFW, CASB, DLP veya diğerleri).
• Yalnızca yazılım geliştiren şirketler için: Yapay zeka tarafından oluşturulan kodu otomatik olarak tanımlamak ve ek doğrulama adımları için işaretlemek üzere değiştirilmiş CI/CD işlem hatları ve SAST/DAST araçları.
• Sınırsız senaryoda olduğu gibi, düzenli çalışan eğitimi, anketler ve hem iş hem de kişisel cihazlar için sağlam güvenlik önlemleri.

Listelenen gerekliliklerle donanmış olarak, farklı departmanları ve çeşitli bilgi türlerini kapsayan bir ilke geliştirilmelidir. Şöyle bir şey olabilir:

Bu ilkeyi uygulamak için, teknik araçların yanı sıra çok katmanlı bir organizasyonel yaklaşım da gereklidir. Her şeyden önce, çalışanlara veri sızıntıları ve halüsinasyonlardan hızlı enjeksiyonlara kadar yapay zeka ile ilişkili riskler konusunda eğitim verilmelidir. Bu eğitim, kuruluşun tüm çalışanları için zorunlu olmalıdır.

İlk eğitimin ardından, daha ayrıntılı ilke geliştirmek ve bölüm başkanlarına ileri düzeyde eğitim vermek çok önemlidir. Bu, genel yapay zeka araçlarıyla belirli verilerin kullanımına ilişkin talepleri onaylayıp onaylamama konusunda bilinçli kararlar almalarını sağlayacaktır.

İlk ilkeler, kriterler ve önlemler daha başlangıçtır; düzenli olarak güncellenmeleri gerekir. Bu; verilerin analiz edilmesi, gerçek dünyadaki yapay zeka kullanım örneklerinin iyileştirilmesi ve popüler araçların izlenmesini içerir. Çalışanların hangi yapay zeka araçlarını hangi amaçlarla kullandıklarını açıklayabilmeleri adına, stres içermeyen bir self servis portalı gereklidir. Bu değerli geri bildirimler; analizlerinizi zenginleştirir, yapay zeka benimseme için iş gerekçesi oluşturmanıza yardımcı olur ve doğru güvenlik ilkelerini uygulamak için rol tabanlı bir model sunar.

Son olarak, ihlallere müdahale etmek için çok katmanlı bir sistem şarttır. Olası adımlar:

• Otomatik bir uyarı ve söz konusu ihlale ilişkin zorunlu mikro eğitim kursu.
• Çalışan ile bölüm müdürü ve bilgi güvenliği sorumlusu arasında özel bir toplantı.
• Yapay zeka destekli araçların geçici olarak yasaklanması.
• İnsan kaynakları departmanı aracılığıyla sıkı disiplin cezası.

Yapay zeka güvenliğine kapsamlı bir yaklaşım

Burada tartışılan ilkeler, üretken yapay zeka için SaaS çözümlerinin kullanımıyla ilişkili olarak nispeten dar bir risk yelpazesini kapsamaktadır. İlgili risklerin tümünü ele alan kapsamlı bir ilke oluşturmak için, Kaspersky'nin diğer güvenilir uzmanlarla işbirliği içinde geliştirdiği yapay zeka sistemlerini güvenli bir şekilde uygulamaya yönelik kılavuzlara göz atabilirsiniz.