AMED TV - Nisan 2024'te yayımlanan bir araştırmaya göre ChatGPT, şirket içinde bilgi güvenliği ve BT ekiplerinin bilgisi olmadan kullanılan hizmet olarak yazılım çözümlerinin başında geldi. Bu duruma literatürde 'gölge BT' adı verildiğini söyleyen Oktay, “Bir kurumsal şirkette kullanılan her türlü bulut tabanlı ya da lokal yazılımın BT ekipleri veya siber güvenlik ekipleri tarafından denetlenmesi gerekir. Söz konusu yazılımların nasıl, hangi koşullarda kullanılacağına, hangi olağandışı durumlarda ekiplerin bilgilendirilmeleri gerektiğine dair yönetişim ilkelerini benimseme görevi BT ve siber güvenlik ekiplerinindir. Başka bir deyişle şirket içinde bu ekiplerin bilgisi olmadan kullanılan herhangi bir yazılım, riskleri de beraberinde getirir" dedi.
“Organize siber saldırı gerçekleşme riski artırıyor”
Oktay, "ChatGPT gibi, büyük veri setlerini kullanarak gelişen ve daha iyi sonuçlar veren üretken yapay zeka çözümleri, şirketler için bu açıdan büyük bir risk teşkil ediyor. Çalışanların gerçek verileri, iş verilerini, ticari sırları verimli çıktılara dönüştürmek için ChatGPT gibi ürünleri güvenlik kriterlerine dikkat etmeden kullanması, bu sırların açığa çıkması veya şirkete yönelik organize siber saldırılar gerçekleştirilmesi risklerini artırıyor. Öte yandan kişisel bilgilerin şirket dışına çıkarılması, şirketler için KVKK ve GDPR gibi kişisel veri odaklı kanunları da delmeye ve regülatif yaptırımlarla karşılaşmaya sebep olabiliyor" diye konuştu.
“Eklentiler kişiden onay isteyerek yüklenebiliyor ve bu onayın kötü amaçlı kullanılma olasılığı var”
ChatGPT'nin bireysel geliştiricilere de yeni ve özel amaçlara hizmet eden GPT'ler geliştirme olanağı sunduğunu hatırlatan Oktay, “ChatGPT, farklı amaçlar için geliştirilmiş eklentiler ve üçüncü taraf yazılımlara da erişme olanağı sunuyor. Üçüncü taraf geliştiricilerin devreye aldığı eklentileri kullanmanın riskleri daha da artırma olasılığı, bilimsel nitelikteki çalışmalarla kanıtlanıyor. Üçüncü taraflar, işletmelerin veya kullanıcıların hassas verilerini bir biçimde ele geçirebiliyor. Herhangi bir siber saldırgan için yalnızca bir kişisel ve hassas bilgiye sahip olması dahi tüm saldırı planını değiştiriyor ve başarı şansını artırıyor. Öte yandan bu eklentiler kişiden onay isteyerek yüklenebiliyor ve bu onayın kötü amaçlı kullanılma olasılığı var. Bir bilgisayara zararlı yazılım yüklendiği anda saldırgan, kurumsal ağa sızmış demektir. Bu durumda risklerin gerçek zarara dönüşmesi neredeyse kaçınılmaz hale gelebilir" ifadelerini kullandı.
“Kimlik avı saldırısı e-postalarının yüzde 1.265 artmasında ChatGPT'nin hızının etkisi yadsınamaz”
ChatGPT gibi araçları, bilgi güvenliği konusunda farkındalık olmadan kullanmaya dair risklerin, üçüncü taraf uygulamalarla sınırlı olmadığını vurgulayan Oktay, “Herhangi bir kişisel bilgi kullanılarak oluşturulacak bir oltalama e-postası, şirket için kritik verilerin paylaşılmasına, şirket ağlarının kilitlenmesine ve fidye talebine kadar uzanabilen ciddi riskler doğuruyor. 2022'nin son çeyreğinden 2024'ün ilk çeyreğine kadar kimlik avı saldırısı e-postalarının yüzde 1.265 artmasında ChatGPT'nin hızının etkisi yadsınamaz" dedi.
“10 geliştiriciden neredeyse 9'u, yapay zeka kodlama araçlarına güvenmiyor”
Yazılımcıların da kodlarını düzeltmek veya kontrol etmek için ChatGPT'den veya yazılımcılar için geliştirilmiş üretken yapay zeka araçlarından yararlanabildiğini dile getiren Onur Oktay, “Öte yandan yılın başında yayımlanan bir araştırmada, 10 geliştiriciden neredeyse 9'u, yapay zeka kodlama araçlarını kullanmanın, güvenlik açısından yaratabileceği sonuçlardan endişe duyacağını dile getiriyor. Bu doğru bir yaklaşım, zira kod parçası satır satır okunmadan gizlenen zararlı bölümün keşfedilmesi mümkün olmayabiliyor. İnternete bağlı bir bilgisayarla etkileşime geçen herhangi bir ticari veya kişisel bilgi ise siber saldırganların hedeflerine ulaşması anlamına geliyor" ifadelerini kullandı.