Günlük hayatımızda neredeyse refleks haline gelen kopyala-yapıştır işlemi, siber güvenlik uzmanlarının radarında yeni yeni yer almaya başladı. Oysa kurumsal çalışanların hassas verileri yapay zeka modellerine taşımak için sıklıkla kullandığı bu basit komut, artık yanlış yapılandırılmış bulut depolama ve kimlik avı saldırıları kadar ciddi bir tehdit olarak kabul ediliyor. Özellikle ChatGPT, Claude ve Gemini gibi araçlara veri aktarımı, denetimsiz bir şekilde gerçekleştiğinde büyük bir güvenlik açığı oluşturuyor.
Çağrı merkezleri ve bankalar gibi yüksek hacimli ve sıkı düzenlemelere tabi ortamlarda çalışanlar, günde yüzlerce kez uygulamalar arasında veri taşıyor. Bir kullanıcı deneyimi çalışmasında, perakende banka çalışanlarının metin biçimlendirmesini kaldırmak için güvenlik kontrolleri olmayan Not Defteri'ni kullandığı gözlemlendi. 30 dakikalık bir görüşmede, çalışanlar bu geçici çözümü dakikada birden fazla kullanırken üç kez veri girişi hatası yaptı. Bu hızda yapılan her Ctrl+C ve Ctrl+V, yanlış yere veri yapıştırma veya uç nokta saldırılarına maruz kalma riski taşıyor.
Üretken yapay zeka, veri sızıntısı riskini hem sıklık hem de sonuçları açısından katlamış durumda. Çalışanlar iş akışlarını hızlandırmak için AI kullanmak istediklerinde, izinli veya izinsiz bir şekilde erişim buluyorlar. Örneğin, bir sigorta uzmanı kredi değerlendirme raporu yazmak için müşteri verilerini LLM'ye kopyalayabilir veya bir finans analisti müşteri portföyünden ekran görüntüleri yükleyebilir. Bu durumlarda, kişisel tanımlanabilir bilgiler (PII) ve finansal veriler, denetimsiz ve düzenlemeye tabi olmayan üçüncü taraf sistemlere aktarılmış oluyor.
Finans, sigorta ve sağlık gibi sektörlerdeki sıkı uyum gereklilikleri, riski azaltmak yerine bazen tam tersi etki yaratıyor. Çalışanlar, hantal kurumsal araçlar yerine geçici çözümler bulmaya yöneliyor. Geleneksel ağ güvenlik kontrolleri (güvenli web ağ geçitleri, VPN'ler, proxy'ler ve DLP araçları) yalnızca ağ üzerinden akan verileri izleyebilir; kullanıcının dijital çalışma alanı içinde yaptığı kopyalama, yapıştırma, ekran görüntüsü alma gibi eylemleri denetleyemez.
Bu noktada, kurumsal tarayıcı düzeyindeki kontroller devreye giriyor. Chromium tarayıcı süreci ve işletim sistemi düzeyinde uygulanan kontroller, kullanıcının onaylanmamış bir AI uygulamasına düzenlenmiş veri yapıştırmasını engelleyebilir, PII görüntülendiğinde ekran yakalamayı önleyebilir veya AI destekli dışa aktarma öncesinde verileri otomatik olarak karartabilir veya filigran ekleyebilir. Yapılandırılmış telemetri, kullanıcı eylemlerini, hangi uygulama veya URL'lerde gerçekleştiğini ve hangi politika kararlarına veya veri sınıflandırmalarına tabi olduğunu kaydederek SIEM ve XDR sistemlerine besler.
Uzun vadeli bir çözüm, panoyu (clipboard) hassas veri yolundan tamamen çıkarmaktır. Bazı kurumsal yazılımlar bu yönde ilerliyor: uygulamalar bağlamı yerel olarak paylaşarak müşteri kayıtlarının otomatik doldurulmasını sağlıyor ve AI, ayrı bir tüketici uygulaması yerine yönetilen iş akışları içinde çalışıyor. Bu ortamda, sistemler arasında kopyala-yapıştır veya dosya yükleme ihtiyacı ortadan kalkıyor. Ortadan kaldırılan her yapıştırma eylemi, potansiyel bir veri sızıntısı olayını önlemiş oluyor.
Kopyala-yapıştır henüz geçmişte kalmış bir iş akışı kalıntısı değilken, işletmelerin kontrol düzlemini ağ ucundan kullanıcının ekran eylemlerine kadar genişletmesi gerekiyor. Yapay zeka çağında uyumluluk ve güvenlik duruşu buna bağlı.
Kaynak: cybersecuritydive.com