Kurumsal Veri Sızıntısı Tehlike Saçıyor: Yapay Zeka Araçlarına Yüklenen Hassas Veriler Bir Yılda İkiye Katlandı Yazılım

Kurumsal Veri Sızıntısı Tehlike Saçıyor: Yapay Zeka Araçlarına Yüklenen Hassas Veriler Bir Yılda İkiye Katlandı

Zscaler raporu, çalışanların AI araçlarına yüklediği hassas verilerin bir yılda %93 arttığını, Grammarly ve ChatGPT'nin en riskli uygulamalar olduğunu

Yeni bir rapor, çalışanların yapay zekâ ve makine öğrenimi uygulamalarına yüklediği hassas kurumsal veri miktarının son bir yılda neredeyse iki katına çıktığı konusunda uyarıyor. Zscaler 2026 AI Tehdit Raporu'na göre, çalışanların yapay zekâ araçlarına aktardığı verilerde yıllık bazda %93'lük bir artış yaşandı. Bu artış, kuruluşları veri ihlali ve siber casusluk açısından daha büyük bir risk altına sokuyor. Raporda, toplamda 18.033 TB verinin (yaklaşık 3,6 milyar dijital fotoğrafa eşdeğer) AI ve ML uygulamalarına aktarıldığı belirtiliyor.

Veri aktarımlarının yarısından fazlası, çalışanların iki popüler aracı kullanmasından kaynaklandı: Grammarly (%38) ve ChatGPT (%21). Diğer araçlar arasında OpenAI, Codium, GitHub Co-Pilot, Perplexity, Microsoft Co-Pilot, Google Gemini ve Claude yer alıyor. Özellikle ChatGPT ile ilgili olarak Zscaler, 410 milyondan fazla Veri Kaybını Önleme (DLP) politikası ihlali tespit etti; bu, bir önceki yıla göre %99'luk bir artış anlamına geliyor. Bu ihlaller; finansal kayıtlar, kişisel olarak tanımlanabilir bilgiler (PII), kaynak kodu, sağlık verileri ve diğer düzenlenmiş içerikler gibi hassas bilgileri kapsıyor.

Rapor, çalışanların genellikle kötü niyetli olmadığını, aksine işlerinde daha verimli olmak için verileri yapay zekâ modellerine aktarmaya çalıştıklarını vurguluyor. Ancak bu bilgilerin yapay zekâ modellerine yüklenmesi, potansiyel olarak önemli veri gizliliği sorunlarına yol açabiliyor. Zscaler, 'En riskli yapay zekâ uygulamaları genellikle çalışanların düşünmeden kullandığı araçlardır; yazma asistanları, kodlama yardımcıları veya iş birliği paketlerine eklenmiş yapay zekâ özellikleri. Kullanım kolaylıkları tam da onları daha riskli kılan şeydir; çalışanların gördüğü hassas içeriği, genellikle oluşturulduğu anda onlar da görürler' uyarısında bulunuyor.

Önemli Gelişmeler

Yapay zekâ kodlama asistanı Codium da önemli bir DLP ihlali vektörü oluşturuyor. Zscaler, 242 milyondan fazla ihlal tespit etti ve bu da bir önceki yıla göre %100'lük bir artış anlamına geliyor. Bu durum, kaynak kodu ve tescilli mantık için sızıntı riskinin arttığını gösteriyor; bu da işletmeler için oldukça zararlı olabilir. Rapor, çalışanların artan yapay zekâ kullanımına karşı siber güvenlik risklerini azaltmak için çeşitli önerilerde bulunuyor.

Zscaler'ın önerileri arasında şunlar yer alıyor: Tüm GenAI uygulamalarının ve AI işlevselliğine sahip uygulamaların envanterini çıkarmak (her bağımsız GenAI aracının ve AI özellikleri içeren tüm SaaS veya dahili uygulamaların sürekli güncellenen bir kataloğunu oluşturmak); riskli AI varsayılanlarını devre dışı bırakmak (SaaS ve üretkenlik uygulamalarında otomatik olarak etkinleştirilen AI işlevselliğini, risk durumunuza uyacak şekilde incelenip yapılandırılana kadar kapatmak); tüm model etkileşimlerine sıfır güven uygulamak (bir AI modeliyle etkileşime giren her kullanıcı, hizmet ve sistem için en az ayrıcalıklı erişim uygulamak); satır içi inceleme ile AI güvenlik önlemlerini zorunlu kılmak (harici kötü amaçlı etkinliklerin AI sistemlerini tehlikeye atmasını önlemek ve hassas verilerin istemler veya çıktılar yoluyla sızmasını durdurmak için tüm AI/ML trafiğinde satır içi inceleme sağlamak).

Raporun bulguları, Zscaler bulutunda Ocak 2025'ten Aralık 2025'e kadar 989,3 milyar toplam AI ve ML işleminin analizine dayanıyor. Bu veriler, kuruluşların yapay zekâ kullanımının getirdiği güvenlik açıklarını ele almak için proaktif önlemler alması gerektiğini gösteriyor. Özellikle Grammarly ve ChatGPT gibi yaygın araçların kullanımı, veri kaybını önleme politikalarının sıkılaştırılmasını ve çalışan eğitiminin artırılmasını zorunlu kılıyor.

Kaynak: infosecurity-magazine.com

Paylaş: