Yapay zeka (YZ), kurumların işleyişine hızla entegre olurken, güvenlik politikaları aynı hızda ilerleyemiyor. ISACA tarafından 5 Mayıs'ta yayınlanan yeni bir araştırmaya göre, dijital güven profesyonellerinin %90'ı kurumlarında çalışanların YZ araçlarını kullandığını düşünüyor. Ancak bu araçların yönetimi için kapsamlı bir YZ politikasına sahip olduğunu belirtenlerin oranı sadece %38. Bu durum, şirketleri veri ihlalleri, gizlilik ihlalleri ve diğer siber tehditlere karşı savunmasız bırakıyor.
Araştırma, YZ politikalarının yetersizliğine dikkat çekiyor. Katılımcıların %30'u sınırlı bir politikaya sahip olduklarını söylerken, %25'i ise hiçbir politikalarının olmadığını belirtti. Bu politika eksikliği, 'Shadow AI' (Gölge Yapay Zeka) olarak adlandırılan bir olguya yol açıyor. Çalışanlar, günlük işlerini kolaylaştırmak için büyük dil modelleri (LLM) gibi araçları kullanıyor, ancak bu sırada hassas şirket bilgilerini YZ modelleriyle paylaşabiliyor. ISACA'nın Yıllık YZ Pulse Anketi'ne katılanlar, güvenlik ve BT ekiplerinin bilmediği bir Shadow AI aracının neden olduğu bir güvenlik olayını önleyip önleyemeyeceklerinin belirsiz olduğunu ifade etti.
YZ sistemlerinin kapatılması konusunda da belirsizlikler var. Katılımcıların %56'sı, bir güvenlik olayı durumunda bir YZ sistemini durdurmanın ne kadar süreceğini bilmediğini söyledi. Sadece %20'si, YZ'nin kötü niyetli faaliyetlerde bulunması veya veri zehirleme saldırılarından etkilenmesi gibi durumlarda YZ sistemlerini kapatmak veya devre dışı bırakmak için bir süreçleri olduğunu belirtti. Bu durum, YZ yönetişimindeki zafiyetlerin boyutunu gözler önüne seriyor.
Sonuç ve Değerlendirme
ISACA'nın Yükselen Trendler Çalışma Grubu üyesi ve Smarter Contracts'ın gizlilik ve veri etiği sorumlusu Ulrika Dellrud, konuya ilişkin değerlendirmesinde, 'Uygulayıcıların sadece %38'inin yönetim kurulunun YZ risklerini anladığına güvenmesiyle, liderlik açığı teknoloji açığı kadar gerçek' dedi. Dellrud, etkili YZ yönetişiminin veri yönetiminden geçtiğini, güçlü veri ve gizlilik yönetişimi olmadan kurumların YZ riskini yönetemeyeceğini, güveni sağlayamayacağını veya sürdürülebilir değer yaratamayacağını vurguladı.
Uzmanların Görüşleri
Araştırma, YZ destekli siber güvenlik tehditlerinin arttığını ve birçoğunun fark edilmediğini de ortaya koyuyor. Katılımcıların %71'i, YZ destekli kimlik avı ve sosyal mühendislik saldırılarını tespit etmenin zorlaştığını, %58'i ise YZ'nin dijital bilgilerin doğrulanmasını önemli ölçüde zorlaştırdığını belirtti. Ayrıca, %38'i geleneksel tehdit tespit yöntemlerine olan güvenlerinin azaldığını ifade etti. Tüm bu zorluklara rağmen, %43 katılımcı YZ tabanlı siber güvenlik araçlarının kurumlarının tehditleri tespit ve yanıt verme yeteneğini geliştirdiğini düşünüyor.
Teknik Analiz
ISACA'nın YZ Pulse Anketi, BT denetimi, yönetişim, siber güvenlik, gizlilik ve yükselen teknoloji rollerindeki 3400 küresel dijital güven profesyonelinin yanıtlarına dayanıyor. Sonuçlar, YZ benimsenmesinin hızla arttığı bir dönemde, kurumların güvenlik politikalarını ve yönetişim çerçevelerini acilen güncellemeleri gerektiğini gösteriyor. Aksi takdirde, Shadow AI ve artan YZ destekli tehditler karşısında ciddi siber risklerle karşı karşıya kalacaklar.
Kaynak: infosecurity-magazine.com