Kurumsal Veri Sızıntısı Alarmı: Çalışanlar Yapay Zeka Araçlarına Hassas Veri Yüklüyor Linux

Kurumsal Veri Sızıntısı Alarmı: Çalışanlar Yapay Zeka Araçlarına Hassas Veri Yüklüyor

Zscaler 2026 AI Tehdit Raporu'na göre çalışanların yapay zeka araçlarına yüklediği hassas kurumsal veri miktarı bir yılda %93 arttı.

Yeni yayınlanan bir rapor, çalışanların yapay zeka ve makine öğrenimi uygulamalarına yüklediği hassas kurumsal veri miktarının son bir yılda neredeyse iki katına çıktığını ortaya koyuyor. Zscaler tarafından 17 Haziran'da yayınlanan 2026 AI Tehdit Raporu, bu durumun kuruluşları veri ihlalleri ve siber casusluk açısından daha büyük risk altına soktuğunu belirtiyor. Rapora göre, çalışanların AI araçlarına aktardığı verilerde yıllık bazda %93'lük bir artış yaşandı.

Veri aktarımlarının yarısından fazlası, çalışanların özellikle iki aracı kullanmasından kaynaklandı: Grammarly (%38) ve ChatGPT (%21). Diğer araçlar arasında OpenAI, Codium, GitHub Co-Pilot, Perplexity, Microsoft Co-Pilot, Google Gemini ve Claude yer alıyor. Zscaler, son bir yılda AI ve makine öğrenimi uygulamalarına toplam 18.033 TB veri aktarıldığını ve bunun yaklaşık 3,6 milyar dijital fotoğrafa eşdeğer olduğunu hesapladı.

Raporda, ChatGPT ile ilgili 410 milyondan fazla Veri Kaybını Önleme (DLP) politikası ihlali tespit edildiği ve bu sayının bir önceki yıla göre %99 arttığı belirtiliyor. Bu ihlaller; finansal kayıtlar, kişisel olarak tanımlanabilir bilgiler (PII), kaynak kodu, sağlık verileri ve diğer düzenlemeye tabi içerikler gibi hassas bilgilerle ilgiliydi. Çalışanlar genellikle kötü niyetli olmasa da, AI modellerine veri yükleyerek işlerinde daha verimli olmaya çalışıyorlar; ancak bu durum önemli veri gizliliği risklerini beraberinde getiriyor.

Zscaler, en riskli AI uygulamalarının genellikle çalışanların düşünmeden kullandığı araçlar olduğunu vurguluyor: yazma asistanları, kodlama yardımcıları veya iş birliği paketlerine entegre edilmiş AI özellikleri. Raporda, 'Kullanım kolaylıkları tam da onları daha yüksek riskli yapan şey; çalışanların gördüğü hassas içeriği, genellikle oluşturulduğu anda onlar da görüyorlar' uyarısı yapılıyor. AI kodlama asistanı Codium ise 242 milyondan fazla DLP ihlali ile önemli bir vektör oluşturuyor ve bu sayı bir önceki yıla göre %100 artış gösteriyor.

Çalışanların AI kullanımının artmasıyla ortaya çıkan potansiyel siber güvenlik risklerine karşı Zscaler bir dizi öneride bulunuyor: Tüm GenAI uygulamalarının ve AI işlevselliği içeren uygulamaların envanterini çıkarmak (her bağımsız GenAI aracını ve AI özellikleri içeren SaaS veya dahili uygulamaları sürekli güncellenen bir katalogda toplamak); riskli AI varsayılanlarını devre dışı bırakmak (SaaS ve üretkenlik uygulamalarında otomatik etkinleştirilen AI işlevlerini, risk durumunuza uygun şekilde yapılandırılana kadar kapatmak); tüm model etkileşimlerine sıfır güven uygulamak (AI modeliyle etkileşime giren her kullanıcı, hizmet ve sistem için en az ayrıcalıklı erişim sağlamak); ve satır içi inceleme ile AI güvenlik önlemlerini uygulamak (tüm AI/ML trafiğinde satır içi inceleme yaparak kötü amaçlı dış etkinliklerin AI sistemlerini tehlikeye atmasını önlemek ve hassas verilerin istemler veya çıktılar yoluyla sızmasını durdurmak).

Raporun bulguları, Zscaler bulutunda Ocak 2025'ten Aralık 2025'e kadar gerçekleşen toplam 989,3 milyar AI ve ML işleminin analizine dayanıyor. Kuruluşların, çalışanların AI araçlarını verimlilik amacıyla kullanmasını yasaklamak yerine, bu riskleri yönetmek için net politikalar, eğitim ve teknik kontroller uygulaması gerekiyor. Aksi takdirde, hassas verilerin sızması ve siber casusluk gibi ciddi sonuçlarla karşı karşıya kalınabilir.

Kaynak: infosecurity-magazine.com

Paylaş: