Kopyala-yapıştır, neredeyse refleks haline gelmiş bu klavye kısayolu, uzun süre siber güvenlik riski olarak algılanmadı. Ancak günümüzde kurumsal çalışanlar hassas verileri büyük dil modellerine (LLM) taşırken, bu davranış ciddi bir siber güvenlik tehdidi olarak kabul ediliyor. Yanlış yapılandırılmış bulut depolama ve kimlik avı saldırılarıyla aynı seviyede bir risk oluşturuyor.
Çalışanlar, ChatGPT, Claude ve Gemini gibi yapay zeka araçlarına hassas verileri kopyalayıp yapıştırıyor. Çoğu zaman sadece işlerini daha hızlı yapmaya çalışıyorlar. Ancak binlerce çalışanın günde yüzlerce kez yaptığı bu işlemler, toplamda kurumsal veri sızıntısının en önemli kaynaklarından biri haline geliyor. Geleneksel veri kaybı önleme (DLP) sistemleri bu tür riskleri engellemek için tasarlanmamıştı.
Her kopyala-yapıştır hatası, veri sızıntısı için bir fırsattır. Özellikle çağrı merkezleri ve bankalar gibi yüksek hacimli ve sıkı düzenlemelere tabi ortamlarda, çalışanlar günde yüzlerce kez uygulamalar arasında veri taşır. Bir banka şubesinde yapılan kullanıcı deneyimi çalışmasında, çalışanların metin biçimlendirmesini kaldırmak için güvenlik kontrolleri olmayan Not Defteri'ni kullandığı gözlemlendi. 30 dakikalık bir görüşmede, çalışanlar bu geçici çözümü dakikada birden fazla kez kullandı ve üç kez yazım hatası yaptı.
Önemli Gelişmeler
Yapay zeka, çalışanlara hassas veriler için yeni bir yüksek riskli hedef sunuyor. Daha önce büyük olan risk yüzeyi, yapay zeka ile daha da genişledi. Kopyala-yapıştır, dosya yükleme ve ekran görüntüsü alma gibi eylemlerle veri sızıntısının sıklığı ve sonuçları arttı. Çalışanlar, iş akışlarını hızlandırmak için yapay zeka kullanmak istediklerinde, izinli olsun ya da olmasın bir yol buluyorlar. Bu, bir sigortacının hesap verilerini kopyalayıp LLM'ye yapıştırarak kredi raporu yazması veya bir finans analistinin müşteri portföyünden ekran görüntüleri yükleyerek rapor oluşturması şeklinde olabilir. Her iki durumda da müşteri PII ve finansal verileri, denetim izi veya politika uygulaması olmayan yetkisiz bir üçüncü taraf sistemine aktarılmış olur.
Gelecekte Ne Bekleniyor?
Finans, sigorta, sağlık ve diğer düzenlemeye tabi sektörlerdeki katı uyumluluk gereksinimlerinin riski azaltması gerekirken, bazen tam tersi bir etki yaratıyor. Çalışanlar, kullanmaları beklenen hantal ve katı kurumsal araçlara geçici çözümler bulmaya yöneliyor. Geleneksel DLP çözümleri, kullanıcının dijital çalışma alanı içinde ne yaptığını izleyemez. Güvenli web ağ geçitleri, VPN'ler, proxy'ler ve DLP araçları, verileri hareket halindeyken izler ve kötü amaçlı indirmeleri veya dosya aktarımlarını engeller. Ancak ağ düzeyindeki kontroller, kullanıcının çalışma alanı içinde ne kopyaladığını, yapıştırdığını, ekran görüntüsü aldığını veya yetkisiz bir LLM'ye yüklediğini denetleyemez.
Sonuç ve Değerlendirme
Çözüm, kurumsal tarayıcı düzeyindeki kontrollerde yatıyor. Tarayıcı, modern bilgi çalışanlarının ana platformudur. Chromium tarayıcı süreci ve işletim sistemi düzeyindeki kontroller, kullanıcının düzenlenmiş verileri onaylanmamış bir yapay zeka uygulamasına yapıştırmasını engelleyebilir, ekranda PII görüntülendiğinde ekran yakalamayı önleyebilir veya yapay zeka destekli bir dışa aktarma işleminden önce verileri redakte edebilir veya filigran ekleyebilir. Ayrıca, tarayıcı düzeyindeki kontroller, kullanıcıyı yapay zeka uygulamaları arasında takip edebilir ve yapılandırılmış telemetri ile hangi eylemlerin, hangi uygulamalarda ve hangi politika kararlarına karşı yapıldığını kaydedebilir.
Uzun vadeli bir çözüm, panoyu hassas verilerin yolundan tamamen çıkarmaktır. Bazı kurumsal yazılımlar bu yönde ilerliyor: uygulamalar bağlamı yerel olarak paylaşıyor, müşteri kayıtları alanları önceden dolduruyor ve yapay zeka ayrı bir tüketici uygulaması yerine yönetilen iş akışları içinde çalışıyor. Böyle bir ortamda, sistemler arasında kopyala-yapıştır veya dosya yükleme ihtiyacı kalmaz. Ortadan kaldırılan her yapıştırma eylemi, potansiyel bir veri sızıntısı olayını önler.
Nasıl Önlem Alınmalı?
Kopyala-yapıştır henüz geçmişte kalmış bir işlem değilken, işletmelerin kontrol düzlemini ağ sınırından kullanıcının ekran eylemlerine kadar genişletmesi gerekiyor. Yapay zeka çağında uyumluluk ve güvenlik duruşları buna bağlı.
Kaynak: cybersecuritydive.com