Günümüzde birçok kişi işleri için ChatGPT gibi yapay sinir ağlarına dayalı dil modellerini kullanıyor. Rusya’da yapılan bir Kaspersky anketi, katılımcıların %11’inin sohbet robotlarını kullandığını ve yaklaşık %30’unun gelecekte işlerin yerini alma potansiyeline inandığını ortaya koydu. Diğer anketler, Belçikalı ofis çalışanlarının %50’sinin ve Birleşik Krallık’takilerin %65’inin ChatGPT’ye güvendiğini gösteriyor. Ayrıca Google Trends’te “ChatGPT” arama teriminin hafta içinde öne çıkması, muhtemelen işle ilgili taleplere bağlı olarak kullanımda belirgin bir artış olduğunu gösteriyor.
Ancak sohbet robotlarının iş yerindeki artan kullanımı çok önemli bir soruyu gündeme getiriyor: Hassas kurumsal veriler bu robotlara emanet edilebilir mi? Kaspersky araştırmacıları, ChatGPT’nin iş amaçlı kullanımıyla ilgili beş temel risk belirledi.
Sağlayıcı tarafında veri sızıntısı veya sisteme sızma
Her ne kadar LLM tabanlı sohbet robotları teknoloji devleri tarafından işletiliyor olsa da, onlar bile bilgisayar korsanlığına veya sızıntılara karşı bağışık değildir. Örneğin ChatGPT kullanıcılarının başkalarının sohbet geçmişlerindeki mesajları görebildiği bir olay gerçekleşti.
Sohbet robotları aracılığıyla veri sızıntısı
Teorik olarak sohbet robotlarıyla yapılan yazışmalar gelecekteki modelleri eğitmek için kullanılabilir. LLM’lerin model kalitesini artırmayan, ancak gizlilik riskleri oluşturan telefon numaraları gibi benzersiz dizileri hatırladıkları ve “kasıtsız ezberlemeye” duyarlı oldukları düşünüldüğünde, eğitim geçmişindeki herhangi bir veriye yanlışlıkla veya kasıtlı olarak diğer kullanıcılar tarafından bu model aracılığıyla erişilebilir.
Kötü niyetli istemci
Bu, ChatGPT gibi resmi hizmetlerin engellendiği yerlerde büyük bir endişe kaynağıdır. Kullanıcılar programlar, web siteleri veya mesajlaşma botları gibi resmi olmayan alternatiflere başvurabilir ve mevcut olmayan istemci veya uygulama olarak gizlenmiş kötü amaçlı yazılımları indirebilir.
Hesap ele geçirme
Saldırganlar, kimlik avı saldırıları veya kimlik bilgisi doldurma yoluyla çalışan hesaplarına girerek verilerine erişebilir. Bunun yanında Kaspersky Digital Footprint Intelligence, dark web forumlarında düzenli olarak chatbot hesaplarına erişim satan gönderiler buluyor.
Yukarıda bahsi geçen veri kaybı, sohbet robotlarını kullanan kullanıcılar ve işletmeler için önemli bir gizlilik endişesi oluşturuyor. Sorumlu geliştiriciler, gizlilik politikalarında verilerin model eğitimi için nasıl kullanıldığını ana hatlarıyla belirtir. Kaspersky’nin ChatGPT, ChatGPT API, Anthropic Claude, Bing Chat, Bing Chat Enterprise, You.com, Google Bard ve Alloy Studios tarafından geliştirilen Genius App gibi popüler sohbet botları üzerinde yaptığı analiz, B2B sektöründe kurumsal bilgilerin açığa çıkma riskinin daha yüksek olması nedeniyle daha yüksek güvenlik ve gizlilik standartları olduğunu gösteriyor. Sonuç olarak, veri kullanımı, toplanması, depolanması ve işlenmesine ilişkin hüküm ve koşullar, B2C sektörüne kıyasla daha fazla korumaya odaklanıyor. Bu çalışmadaki B2B çözümleri genellikle sohbet geçmişlerini otomatik olarak kaydetmiyor ve bazı durumlarda sohbet robotu müşterinin ağında yerel olarak çalıştığı için şirketin sunucularına hiçbir veri göndermiyor.
Kaspersky Güvenlik ve Gizlilik Uzmanı Anna Larkina, şunları söylüyor: “LLM tabanlı sohbet robotlarının iş amaçlı kullanımına bağlı potansiyel riskleri inceledikten sonra, hassas veri sızıntısı riskinin en fazla çalışanların iş yerinde kişisel hesaplarını kullandıkları durumda ortaya çıktığını gördük. Bu durum, çalışanların chatbot kullanımının riskleri konusunda bilinçlendirilmesini şirketler için en önemli öncelik haline getiriyor. Diğer yandan çalışanların hangi verilerin gizli veya kişisel olduğunu, ticari sır teşkil ettiğini ve neden bir chatbot’a verilmemesi gerektiğini anlamaları gerekiyor. Diğer yandan şirketlerin de bu tür hizmetleri kullanmak için net kurallar belirlemesi gerekiyor.”
Kaspersky uzmanları, şirketlerin sohbet robotlarını kullanmanın avantajlarından yararlanmaya devam etmeleri ve güvende kalmaları için şunları öneriyor:
- Güçlü, Benzersiz Parolalar Kullanın: Her bir hesabınız için karmaşık parolalar oluşturun ve doğum günleri veya isimler gibi kolayca tahmin edilebilecek bilgileri kullanmaktan kaçının.
- Kimlik Avına Dikkat Edin: Kişisel bilgilerinizi isteyen istenmeyen e-postalara, mesajlara veya aramalara karşı dikkatli olun. Herhangi bir hassas veriyi paylaşmadan önce gönderenin kimliğini doğrulayın.
- Çalışanlarınızı Eğitin: Çalışanlar en son çevrimiçi tehditler ve çevrimiçi güvende kalmak için en iyi uygulamalar hakkında bilgi sahibi olmalıdır.
- Yazılımlarınızı Güncel Tutun: İşletim sisteminizi, uygulamalarınızı ve antivirüs programlarınızı düzenli olarak güncelleyin. Bu güncellemeler genellikle en son güvenlik yamalarını içerir.
- Kurumsal Bilgi Paylaşımını Sınırlayın: Kişisel bilgileri sosyal medyada veya herkese açık forumlarda paylaşma konusunda dikkatli olun. Sadece kesinlikle gerekli olduğunda bu bilgileri paylaşın.
- URL’leri ve Web Sitelerini Doğrulayın: Özellikle oturum açma kimlik bilgilerini girmeden veya alışveriş yapmadan önce ziyaret ettiğiniz web sitelerinin URL’sini iki kez kontrol edin.
- Kurumsal Güvenlik Çözümü Kullanın: Çalışanların iş amacıyla güvenilmeyen sohbet robotlarına bağımsız olarak danışmasını önlemek için bulut hizmeti analitiği içeren bir güvenlik çözümü kullanabilirsiniz.