Yıllardır CISO'ların kabusu olan gölge BT sorunu, yapay zeka çağında bambaşka bir boyuta ulaştı. Artık sorun sadece çalışanların izinsiz uygulamalar kullanması değil; asıl tehdit, yönetim kurulu odalarından geliyor. Microsoft çözüm ortağı TrustedTech tarafından yapılan bir ankete göre, üst düzey yöneticilerin neredeyse üçte ikisi (%65) şirket onayı olmayan yapay zeka araçlarını kullanıyor. Bu oran, alt kademe çalışanlarda sadece %31. Yani, en tehlikeli gölge AI kullanıcıları, en yetkili kişiler.
Gölge AI'nın bu kadar yaygın olması, çalışanların büyük çoğunluğunun (%75) bu uygulamanın güvenlik ve veri gizliliği risklerini kabul etmesine rağmen gerçekleşiyor. Bu durum, bilinçli bir risk alma davranışını gösteriyor. Yöneticiler, rakiplerinin gerisinde kalmamak veya operasyonel verimliliği artırmak adına, güvenlik protokollerini bilerek ihlal ediyor. Ancak bu, şirket verilerini ifşa etme, yasal yükümlülükleri ihlal etme ve itibar kaybı gibi ciddi sonuçlar doğurabilir.
Peki, bu yöneticiler hangi AI araçlarını kullanıyor? Genellikle ChatGPT, Google Bard, Midjourney gibi popüler üretken yapay zeka platformları tercih ediliyor. Bu araçlar, toplantı notlarından pazarlama metinlerine, kod yazmadan stratejik analizlere kadar birçok alanda kullanılıyor. Ancak bu araçlara girilen veriler, şirket dışındaki sunucularda işleniyor ve çoğu zaman bu verilerin nasıl saklandığı, kimlerle paylaşıldığı bilinmiyor. Özellikle hassas müşteri verileri, fikri mülkiyet veya stratejik planlar bu şekilde sızdırılabiliyor.
Geleneksel gölge BT'den farklı olarak, gölge AI'nın tespit edilmesi çok daha zor. Çalışanlar, izinsiz bir uygulama yüklemek yerine bir web tarayıcısı üzerinden AI hizmetlerine erişiyor. Bu nedenle, geleneksel güvenlik duvarları ve ağ izleme araçları bu kullanımı engellemekte yetersiz kalıyor. Ayrıca, yöneticiler genellikle kendi cihazlarını kullandığı için kurumsal güvenlik politikalarının kapsamı dışında kalıyorlar. Bu, CISO'lar için yeni bir mücadele alanı yaratıyor.
Gelecekte Ne Bekleniyor?
Bu sorunu çözmek için yasaklayıcı politikalar yeterli olmuyor. Aksine, yöneticilerin AI kullanma ihtiyacını anlamak ve onlara güvenli alternatifler sunmak gerekiyor. Şirketler, kurumsal düzeyde onaylanmış AI araçları belirlemeli ve bu araçların güvenlik standartlarını karşıladığından emin olmalı. Örneğin, verilerin şirket içinde işlenmesini sağlayan özel AI çözümleri veya veri gizliliği taahhüdü olan ticari sürümler tercih edilebilir. Ayrıca, yöneticilere yönelik özel farkındalık eğitimleri düzenlenmeli ve AI kullanımının riskleri net bir şekilde anlatılmalı.
Sonuç olarak, gölge AI bir güvenlik sorunu olmaktan çok, bir yönetişim ve kültür sorunudur. CISO'lar, üst yönetimin desteğini alarak, AI kullanımını yasaklamak yerine yönlendirmeli ve güvenli kullanım alışkanlıkları oluşturmalıdır. Unutulmamalı ki en büyük tehdit, yetkili ellerdeki bilinçsiz AI kullanımıdır. Şirketler, bu yeni çağda güvenlik stratejilerini güncellemezse, yenilikçilik ile güvenlik arasında bir denge kuramazsa, rekabet avantajını kaybetme riskiyle karşı karşıya kalacak.
Kaynak: csoonline.com