Çalışanların ChatGPT, Claude, Gemini, vb. platformlarda hassas şirket bilgilerini paylaşması önemli bir güvenlik riski oluşturmaktadır. BT ve siber güvenlik ekiplerinin kurum içindeki AI sohbet aracı kullanımını denetlemelerine ve güvenlik risklerini azaltmalarına yardımcı olmak için kısa bir şey hazırladım.
=> Çalışanlarınıza ChatGPT benzeri araçların kullanımı konusunda gönderebileceğiniz bir bilgilendirme e-postası şablonunu aşağıda paylaştık. Kuruluşunuzun kurumsal diline göre özelleştirmenizde fayda olacaktır.
Teknik Denetim Önerileri
1. Ağ Trafiği İzleme ve Filtreleme
· Web Filtreleme: Kurumsal proxy sunucularını veya web güvenlik ağ geçitlerini kullanarak bilinen AI sohbet platformlarının trafiğini izleyin veya filtrelemek için yapılandırın.
· DLP Entegrasyonu: Veri Kaybı Önleme (DLP) çözümlerinizi, hassas veri kalıplarını (kredi kartı numaraları, TC kimlik numaraları, müşteri verileri vb.) içeren AI sohbet platformlarına giden trafiği algılayacak şekilde yapılandırın.
· SSL İnceleme: AI platformlarına giden şifreli trafiği incelemek için SSL inceleme çözümleri uygulayın (yasal gerekliliklere uygun olarak).
· Ağ Günlükleri Analizi: Popüler AI sohbet platformlarına yapılan istekleri tanımlamak için periyodik olarak ağ günlüklerini analiz edin.
2. Endpoint Denetimi
· Yazılım Envanteri: Kurum bilgisayarlarında yüklü olan AI sohbet uygulamalarını düzenli olarak tarayın ve envantere ekleyin.
· Tarayıcı Eklentileri: AI sohbet araçlarına erişim sağlayan tarayıcı eklentilerini izleyin ve yönetin.
· Endpoint DLP: Çalışan bilgisayarlarında DLP yazılımları kullanarak, metin kopyalama-yapıştırma yoluyla hassas bilgilerin AI platformlarına aktarılmasını engelleyin.
· Not: DLP çözümlerinde “AI chat” ile ilgili anahtar kelimeler (ör. “chatgpt”, “prompt”, “ai”, “”özetle”, “tercüme et”, “çevir”, vb.) taranabilir.
3. Kullanıcı Faliyet İzleme
· SIEM Entegrasyonu: AI platformlarına erişim girişimlerini izlemek için SIEM (Güvenlik Bilgileri ve Olay Yönetimi) çözümlerini yapılandırın.
· Anormal Davranış Analizi: Belirli AI hizmetlerine yönelik olağandışı trafik modellerini algılamak için davranış analizi araçlarını kullanabilirsiniz.
· Kullanıcı Aktivite Günlükleri: Çalışanların web tarayıcılarında ziyaret ettiği sitelerin günlüklerini periyodik olarak inceleyin.
Önleyici Tedbirler
1. Teknolojik Önlemler
· Kurumsal AI Çözümleri: Şirket içi verilerle güvenli bir şekilde çalışabilen, özel kurumsal AI çözümleri sunun (örn. Microsoft Copilot for Business, OpenAI Enterprise vb.).
· Güvenli Geçiş Noktaları: Çalışanların AI platformlarına kontrollü bir şekilde erişebilecekleri ve hassas verilerin filtrelenebileceği güvenli geçiş noktaları oluşturun.
· Veri Maskelemeleme Araçları: Çalışanların AI araçlarını kullanırken hassas bilgileri otomatik olarak maskeleyen araçlar sağlayın.
· Erişim Kontrolü: Belirli görev tanımlarına dayalı olarak AI platformlarına erişimi kısıtlayan rol tabanlı erişim kontrolleri uygulayın.
2. Eğitim ve Farkındalık
· Düzenli Eğitimler: AI güvenliği konusunda düzenli farkındalık eğitimleri düzenleyin.
· Güvenli Kullanım Kılavuzları: Şirket içinde onaylanan AI araçlarının güvenli kullanımı için kapsamlı kılavuzlar hazırlayın.
· Örnek Vaka Çalışmaları: Veri sızıntısı risklerini somutlaştırmak için gerçek veya kurgusal vaka çalışmaları paylaşın.
Politika Oluşturma Önerileri
1. Yapay Zeka Kullanım Politikası
· Kabul Edilebilir Kullanım: AI araçlarının iş yerinde nasıl, ne zaman ve hangi amaçlar için kullanılabileceğini tanımlayın.
· Veri Sınıflandırma: Hangi tür verilerin AI platformlarında paylaşılabileceğini veya paylaşılamayacağını net bir şekilde sınıflandırın.
· Onay Süreçleri: Belirli AI araçlarının kullanımı için gerekli onay süreçlerini belirleyin.
· İhlal Sonuçları: Politika ihlallerinin sonuçlarını açıkça belirtin.
2. Düzenli Denetim Prosedürleri
· Denetim Takvimi: AI kullanımı için düzenli denetim takvimleri oluşturun.
· Denetim Kontrol Listesi: Denetim sırasında kontrol edilmesi gereken noktaları içeren standart kontrol listeleri hazırlayın.
· Raporlama Mekanizmaları: Denetim sonuçlarının nasıl belgeleneceğini ve raporlanacağını tanımlayın.
· Düzeltici Eylem Planları: Denetim sırasında tespit edilen sorunların nasıl ele alınacağına dair prosedürler belirleyin.
3. Tedarikçi Değerlendirme Kriterleri
· Veri İşleme Politikaları: AI tedarikçilerinin veri işleme politikalarını nasıl değerlendireceğinize dair kriterler belirleyin.
· Veri Koruma Taahhütleri: Tedarikçilerden alınması gereken veri koruma taahhütlerini standartlaştırın.
· Denetim Hakları: Tedarikçi sözleşmelerinde denetim haklarının nasıl tanımlanacağını belirleyin.
· Çıkış Stratejisi: Bir AI tedarikçisinden ayrılma durumunda verilerin nasıl güvenli bir şekilde silineceğini veya taşınacağını planlayın.
Örnek Farkındalık E-Postası İçeriği
Konu: ÖNEMLİ: AI Sohbet Araçlarının Güvenli Kullanımı Hakkında Bilgilendirme
Değerli Çalışma Arkadaşlarımız,
Son zamanlarda yapay zeka tabanlı sohbet araçlarının (ChatGPT, Claude, Gemini vb.) iş süreçlerimizde kullanımının arttığını gözlemliyoruz. Bu araçlar verimliliği artırabilmekle birlikte, şirket verileri açısından önemli güvenlik riskleri de taşımaktadır.
Bilmeniz Gerekenler:
– Bu AI sohbet sistemlerine girilen tüm veriler, üçüncü taraf sunucularda saklanmaktadır ve bu verilerin tam olarak nasıl işlendiği veya kimlerle paylaşıldığı her zaman şeffaf değildir.
– Şirket içi hassas bilgilerin, kodların, müşteri verilerinin veya fikri mülkiyet kapsamındaki içeriklerin bu platformlara girilmesi, ciddi veri ihlali risklerine yol açabilir.
İzlenmesi Gereken Kurallar:
1. Şirkete özel, gizli veya hassas bilgileri AI sohbet platformlarında ASLA paylaşmayın.
2. Müşteri verileri, şirket mali bilgileri, stratejik planlar, patentlenmemiş fikri mülkiyet veya özel yazılım kodları gibi bilgileri bu platformlara girmeyin.
3. Kurumsal AI çözümlerini kullanırken bile dikkatli olun ve yalnızca gerekli olan minimum bilgiyi paylaşın.
4. AI araçlarını kullanmadan önce, paylaşmanızın güvenli olup olmadığı konusunda emin olmadığınız durumlarda IT veya Siber Güvenlik ekibine danışın.
5. Kurumsal verilerle çalışma ihtiyacınız varsa, [onaylı kurumsal AI çözümümüzü/politikamızı] kullanın.
Güvenlik ekibimiz, kurum içindeki AI araç kullanımını takip etmektedir. Güvenli olmayan uygulamalar tespit edildiğinde, ilgili çalışanlarımızla iletişime geçilecek ve gerekli eğitimler sağlanacaktır.
Bu konudaki sorularınız için IT Yardım Masası veya Siber Güvenlik ekibimizle iletişime geçebilirsiniz.
İşbirliğiniz için teşekkür ederiz.
Saygılarımızla,
[IT/Siber Güvenlik Direktörü]