ChatGPT'ler işletmelerin gizliliğini tehdit ediyor
Bilişim güvenlik sistemleri üreticisi Kaspersky, ChatGPT kullanan işletmeleri, gizlilik riski ile ilgili uyardı
16 Ekim 2023 - 14:08
Günümüzde birçok kişi işleri için ChatGPT gibi yapay sinir ağlarına dayalı dil modellerini kullanıyor. Rusya'da yapılan Kaspersky anketine katılanların %11'i sohbet robotlarını kullanıyor, %30'u gelecekte işlerin yerini alma potansiyeline inanıyor. Diğer anketler, Belçikalı ofis çalışanlarının %50'sinin, Birleşik Krallık'takilerin %65'inin ChatGPT'ye güvendiğini gösteriyor. Google Trends'te "ChatGPT" aramasının öne çıkması, işle ilgili talep nedeniyle kullanımının arttığını gösteriyor. Sohbet robotlarının iş yerinde artan kullanımı önemli bir soruyu gündeme getiriyor; Hassas kurumsal veriler robotlara emanet edilebilir mi? Kaspersky araştırmacıları, ChatGPT'nin iş amaçlı kullanımında beş temel risk belirledi.
LLM tabanlı sohbet robotları teknoloji devlerince işletilse de bilgisayar korsanlığı veya sızıntılara karşı bağışık değil. ChatGPT kullanıcılarının başkalarının sohbet geçmişlerindeki mesajları görebildiği ortaya çıktı. Teorik olarak sohbet robotlarıyla yapılan yazışmalar yeni modelleri eğitmek için kullanılabilir. LLM'lerin model kalitesini artırmayan, gizlilik riskleri oluşturan telefon numaraları gibi benzersiz dizileri hatırladıkları ve "kasıtsız ezberlemeye" duyarlı oldukları düşünüldüğünde, eğitim geçmişindeki herhangi bir veriye yanlışlıkla veya kasıtlı olarak diğer kullanıcılar tarafından bu modelle erişilebilir.
Bu, ChatGPT gibi resmi hizmetlerin engellendiği yerlerde büyük bir endişe kaynağıdır. Kullanıcılar programlar, web siteleri veya mesajlaşma botları gibi resmi olmayan alternatiflere başvurabilir ve mevcut olmayan istemci veya uygulama olarak gizlenmiş kötü amaçlı yazılımları indirebilir.
Saldırganlar, kimlik avı saldırıları veya kimlik bilgisi doldurma yoluyla çalışan hesaplarına girerek verilerine erişebilir. Bunun yanında Kaspersky Digital Footprint Intelligence, dark web forumlarında düzenli olarak chatbot hesaplarına erişim satan gönderiler buluyor.
ChatGPT ve Synthesia kurumsal hesabına 40 Dolar karşılığında erişim satan dark web gönderisi, veri kaybı, sohbet robotlarını kullananlar ve işletmeler için önemli gizlilik endişesi oluşturuyor. Sorumlu geliştiriciler, gizlilik politikalarında verilerin model eğitimi için nasıl kullanıldığını ana hatlarıyla belirtir. Kaspersky'nin ChatGPT, ChatGPT API, Anthropic Claude, Bing Chat, Bing Chat Enterprise, You.com, Google Bard ve Alloy Studios’un geliştirdiği Genius App gibi popüler sohbet robotları üzerinde yaptığı analiz, B2B sektöründe kurumsal bilgilerin açığa çıkma riskinin yüksekliği nedeniyle yüksek güvenlik ve gizlilik standartları olduğunu gösteriyor. Veri kullanımı, toplanması, depolanması ve işlenmesine ilişkin hüküm ve koşullar, B2C sektörüne kıyasla daha fazla korumaya odaklanıyor. Bu çalışmadaki B2B çözümleri genelde sohbet geçmişlerini otomatik olarak kaydetmiyor ve bazı durumlarda sohbet robotu müşterinin ağında yerel olarak çalıştığı için şirketin sunucularına hiçbir veri göndermiyor.
Kaspersky Güvenlik ve Gizlilik Uzmanı Anna Larkina, sohbet robotlarının kullanımı için önerilerde bulundu; "LLM tabanlı sohbet robotlarının işte kullanımının risklerini inceledikten sonra, hassas veri sızıntısının çalışanların ofiste kişisel hesaplarını kullandıkları durumda ortaya çıktığını gördük. Bu durum, chatbot riskleri konusunda bilinçlendirilmeyi şirketler için en önemli öncelik haline getiriyor. Çalışanlar hangi verilerin gizli, kişisel, ticari sır teşkil ettiğini, neden chatbot'a verilmemesi gerektiğini anlamalı. Şirketler bu hizmetleri kullanmak için net kurallar belirlemeli. Her hesapta karmaşık, güçlü, benzersiz parolalar kullanılmalı. Doğum günü, isim gibi kolay tahmin edilecek bilgiler kullanılmamalı. Kimlik avına dikkat edilmeli. Kişisel bilgi isteyen e-mail, mesaj ve aramalara dikkat edilmeli. Hassas veri paylaşmadan gönderenin kimliği doğrulanmalı. Çalışanlar eğitilmeli. Çalışanlar çevrimiçi tehditler ve güvende kalmak için en iyi uygulamalar hakkında bilgi sahibi olmalı. İşletim sistemi, uygulamalar ve antivirüs programları düzenli olarak güncellenmeli. Bu güncellemeler genelde en son güvenlik yamalarını içerir. Kurumsal bilgi paylaşımı sınırlanmalı. Kişisel bilgileri sosyal medya veya herkese açık forumlarda paylaşırken dikkat edilmeli. Sadece gerekli olduğunda paylaşılmalı. URL ve Web siteleri doğrulanmalı. Oturum açma kimlik bilgilerini girmeden veya alışveriş yapmadan önce sitenin URL'si iki kez kontrol edilmeli. Kurumsal güvenlik çözümü kullanılmalı. Güvenilmeyen sohbet robotlarına danışmayı önlemek için bulut hizmeti analitiği içeren güvenlik çözümü kullanabilir. Kaspersky Endpoint Security Cloud, özellikleri arasında bulut hizmetlerini yönetmek ve kullanım risklerini değerlendirmek için Cloud Discovery’i içerir.”
LLM tabanlı sohbet robotları teknoloji devlerince işletilse de bilgisayar korsanlığı veya sızıntılara karşı bağışık değil. ChatGPT kullanıcılarının başkalarının sohbet geçmişlerindeki mesajları görebildiği ortaya çıktı. Teorik olarak sohbet robotlarıyla yapılan yazışmalar yeni modelleri eğitmek için kullanılabilir. LLM'lerin model kalitesini artırmayan, gizlilik riskleri oluşturan telefon numaraları gibi benzersiz dizileri hatırladıkları ve "kasıtsız ezberlemeye" duyarlı oldukları düşünüldüğünde, eğitim geçmişindeki herhangi bir veriye yanlışlıkla veya kasıtlı olarak diğer kullanıcılar tarafından bu modelle erişilebilir.
Bu, ChatGPT gibi resmi hizmetlerin engellendiği yerlerde büyük bir endişe kaynağıdır. Kullanıcılar programlar, web siteleri veya mesajlaşma botları gibi resmi olmayan alternatiflere başvurabilir ve mevcut olmayan istemci veya uygulama olarak gizlenmiş kötü amaçlı yazılımları indirebilir.
Saldırganlar, kimlik avı saldırıları veya kimlik bilgisi doldurma yoluyla çalışan hesaplarına girerek verilerine erişebilir. Bunun yanında Kaspersky Digital Footprint Intelligence, dark web forumlarında düzenli olarak chatbot hesaplarına erişim satan gönderiler buluyor.
ChatGPT ve Synthesia kurumsal hesabına 40 Dolar karşılığında erişim satan dark web gönderisi, veri kaybı, sohbet robotlarını kullananlar ve işletmeler için önemli gizlilik endişesi oluşturuyor. Sorumlu geliştiriciler, gizlilik politikalarında verilerin model eğitimi için nasıl kullanıldığını ana hatlarıyla belirtir. Kaspersky'nin ChatGPT, ChatGPT API, Anthropic Claude, Bing Chat, Bing Chat Enterprise, You.com, Google Bard ve Alloy Studios’un geliştirdiği Genius App gibi popüler sohbet robotları üzerinde yaptığı analiz, B2B sektöründe kurumsal bilgilerin açığa çıkma riskinin yüksekliği nedeniyle yüksek güvenlik ve gizlilik standartları olduğunu gösteriyor. Veri kullanımı, toplanması, depolanması ve işlenmesine ilişkin hüküm ve koşullar, B2C sektörüne kıyasla daha fazla korumaya odaklanıyor. Bu çalışmadaki B2B çözümleri genelde sohbet geçmişlerini otomatik olarak kaydetmiyor ve bazı durumlarda sohbet robotu müşterinin ağında yerel olarak çalıştığı için şirketin sunucularına hiçbir veri göndermiyor.
Kaspersky Güvenlik ve Gizlilik Uzmanı Anna Larkina, sohbet robotlarının kullanımı için önerilerde bulundu; "LLM tabanlı sohbet robotlarının işte kullanımının risklerini inceledikten sonra, hassas veri sızıntısının çalışanların ofiste kişisel hesaplarını kullandıkları durumda ortaya çıktığını gördük. Bu durum, chatbot riskleri konusunda bilinçlendirilmeyi şirketler için en önemli öncelik haline getiriyor. Çalışanlar hangi verilerin gizli, kişisel, ticari sır teşkil ettiğini, neden chatbot'a verilmemesi gerektiğini anlamalı. Şirketler bu hizmetleri kullanmak için net kurallar belirlemeli. Her hesapta karmaşık, güçlü, benzersiz parolalar kullanılmalı. Doğum günü, isim gibi kolay tahmin edilecek bilgiler kullanılmamalı. Kimlik avına dikkat edilmeli. Kişisel bilgi isteyen e-mail, mesaj ve aramalara dikkat edilmeli. Hassas veri paylaşmadan gönderenin kimliği doğrulanmalı. Çalışanlar eğitilmeli. Çalışanlar çevrimiçi tehditler ve güvende kalmak için en iyi uygulamalar hakkında bilgi sahibi olmalı. İşletim sistemi, uygulamalar ve antivirüs programları düzenli olarak güncellenmeli. Bu güncellemeler genelde en son güvenlik yamalarını içerir. Kurumsal bilgi paylaşımı sınırlanmalı. Kişisel bilgileri sosyal medya veya herkese açık forumlarda paylaşırken dikkat edilmeli. Sadece gerekli olduğunda paylaşılmalı. URL ve Web siteleri doğrulanmalı. Oturum açma kimlik bilgilerini girmeden veya alışveriş yapmadan önce sitenin URL'si iki kez kontrol edilmeli. Kurumsal güvenlik çözümü kullanılmalı. Güvenilmeyen sohbet robotlarına danışmayı önlemek için bulut hizmeti analitiği içeren güvenlik çözümü kullanabilir. Kaspersky Endpoint Security Cloud, özellikleri arasında bulut hizmetlerini yönetmek ve kullanım risklerini değerlendirmek için Cloud Discovery’i içerir.”
YORUMLAR