Veri gizliliği ve güvenliği önemlidir. Bu göz önüne alındığında, makine öğreniminin bunları uygulamayı kolaylaştırabilmesi çok önemli olacaktır. Peki, CIO’lar ve diğer güvenlik düşünce liderleri, makine öğreniminin gizlilik ve güvenlik için geçerli olduğunu nasıl düşünüyor? Risklere bakarak başlayalım ve ardından teknolojinin bunları ele almayı nasıl kolaylaştırdığını tartışalım.
En Büyük Gizlilik ve Güvenlik Riskleri
Peki gizlilik ve güvenlik riskleri nasıl algılanıyor? İşletmeler için en büyük riskler nelerdir? Bu riskleri ele almanın bir sahibi var mı? Ve bir o kadar da önemlisi, bunları ele alacak bütçeleri ve yetkileri var mı? Yakın tarihli bir konuşma sırasında birkaç CIO’dan konuyu değerlendirmesini istedim.
Geçici CIO ve danışman Anthony McMahon, “Çıkıp söyleyeceğim. Bu insanlar. Ek olarak, kuruluşlar veri güvenliğine yeterince yatırım yapmama eğilimindedir. Bir kuruluşun doğru miktarda yatırım yapması veya yapmaması bir karardır.”
Analist Jack Gold, “En büyük güvenlik riski, tüm çalışanların güvenlik planına sahip olmaması ve bu plan için eğitim almamasıdır. Teknoloji yeterli değildir, ancak tüm insan hatalarını ortadan kaldıramayacağınız için gereklidir. Burası ‘Sıfır Güven’in oynamak istediği yer ama daha kat etmesi gereken çok yol var. Sahibi C-Suite olmalı.”
Eski CIO Isaac Sacolick, ilginç bir şekilde “en büyük gizlilik ve güvenlik riskinin, yetkisi veya bütçesi olan bir mal sahibi olmadığında ortaya çıktığına” inanıyor. Ve ne yazık ki bunu düzeltecek sihirli bir değnek yok.” Constellation Araştırma Analisti Dion Hinchcliffe, insanların ve yatırımın ötesindeki risklerin neler olduğu konusunda şunları söylüyor: “Çoğu için büyük gizlilik ve güvenlik riskleri şu şekilde özetlenebilir:
- Siber güvenlik ihlalleri
- İçeriden gelen tehditler
- Yanlışlıkla veri sızıntısı veya sızıntısı
- İkinci dereceden tüketimde kötüye kullanılan veriler
- BT ve dijital departmanlar (ör. pazarlama ve dijital müşteri deneyimi)
İlginç bir soru, güvenlik ekibinin aynı zamanda gizlilik ekibi olması gerekip gerekmediğidir. Elbette örtüşmeler olacaktır. Ancak dijital gizlilik aynı zamanda uyumluluk, yasal, DevOps ve hatta kurumsal mimarinin sorumluluğunda olmalıdır.” Hinchcliffe, “DevOps bu alanlar için mantıklı. Ama sonra, önce güvenlik olmak istiyorsanız ve bunu daha sonra aşılamaya çalışmak istemiyorsanız, DevSecOps’a ihtiyacınız olduğunu fark edersiniz. Aynı zamanda, siber güvenlik, uygulama geliştirmeyi mümkün kılan bir etken değildir. Yavaşlatmanın bir yolu. Bu nedenle güvenliği içselleştirmemiz gerekiyor.”
Standartların Etkisi
Ardından, standartların uygulanmasının önemini ve kuruluşların ISO, NIST ve ‘Tasarım Yoluyla Gizlilik’ gibi ilkeleri benimseyip benimsemediğini sordum. McMahon, geçmişte birlikte çalıştığı kuruluşlardan birinin NIST’ten büyük ölçüde etkilendiğini ve diğer ikisinin kendilerine ISO 27001’in rehberlik ettiğini söyledi. Pek çok kuruluş artık ISO ve NIST sertifikasına sahiptir, ancak bunlar genellikle uyumluluk derecelerine göre farklılık gösterir. Henüz çok azı ‘Tasarım gereği Gizlilik’ yolundan gitti ve HIPAA, PCIDSS, CCPA ve GDPR en etkili olmaya devam ediyor.
Miami Üniversitesi CIO’su David Seidl, standartlara açık olduğunu ancak henüz standartları uygulamaya koymadığını aktardı. “Gizlilik, her türden kuruluş için odaklanması gerektiğini düşündüğüm bir konu. Her zamanki gibi, ulusal düzeyde mahremiyet mevzuatının eksikliği hakkında davul çalacağım. Devlet düzeyindeki parça parça çabalar kaotik ve uyumluluk kabusları yaratıyor.”
Yapay zeka çoğaldıkça, şüphesiz yeni standartlar bir zorunluluk haline gelecektir. Yakın tarihli bir HBR makalesi, Yapay Zeka Düzenlemesi Geliyor, diyor ki, “Yapay zeka potansiyel önyargı ölçeğini artırıyor: Herhangi bir kusur milyonlarca insanı etkileyerek şirketleri toplu davalara maruz bırakabilir.” Bu, kuruluşların yalnızca özel bilgileri kontrol etmekle kalmayıp, aynı zamanda özel bilgilerin veri modellerine uygulanmasını da kontrol etmesi gerektiği anlamına gelir. Veriler sağlanırken, önyargılı sonuçlara yol açabilecek makine öğrenimi veri modellerine erişim kontrol edilmelidir. Tom Davenport ile kişisel bir görüşmede, “önyargı modellerden değil verilerden gelir” dedi.
Gizlilik ve Güvenlik Alanında Makine Öğrenimi İçin En Büyük Fırsatlar?
CIO’ların potansiyel hakkında çeşitli düşünceleri vardı. Bunlar dahil:
- Anormallik/dolandırıcılık tespiti
- Tahmine dayalı analitik
- Potansiyel tehditlere karşı proaktif önlem
- İçeriği gizli veriler için analiz etmek ve kazara/kasıtlı sızıntıyı önlemek için bunlarla ilgili önlemler almak
- Güvenliği artırmak için koçluk ile geliştirme boru hatlarındaki yazılım ve kodun otomatik analizi
Fırsatları paylaşmadan önce Hinchcliffe, “Yapay zeka tehditleri ve riskleri var. Daha da kötüsü, CISO’ların bunlar hakkında daha proaktif olamamasının birkaç nedeni olduğunu düşünüyorum:
- Yoğun günlük operasyonel dikkat dağıtıcı unsurlar
- Güvenlik/gizlilik standartlarının endüstri ölçeğinde muazzam bir taahhüt olduğuna dair bir inanç.
- Sıfır Güven’in büyük odak noktası olduğu ve gerçekleşmesinin yıllar alacağı inancı.”
CISO’lar ve onların CIO’ları için sorunun bir kısmı, gizliliği boşverin, siber güvenliğin bir alan olarak ne kadar büyük hale geldiğidir. Hinchcliffe’in siber güvenlik için geliştirdiği en son olgunluk modeli bunu gösteriyor. Yapacak çok şey var.
Hinchcliffe sözlerine şöyle devam etti: “Güvenliği içsel hale getirmeliyiz. Makine öğrenimi için en büyük fırsatlar, aşağıdakileri yapmak için gizlilik ve güvenliktir:
- Kuruluş genelinde net politikalar oluşturma
- Onları makinede okunabilir yapma
- Tutarlı bir şekilde uyumlu makine öğrenimi modelleri oluşturmanın ve çalıştırmanın yolu olarak MOP’ları ve ModelOps’u zorunlu kılma
- Tüm makine öğrenimi operasyonlarında GRC doğrulamasını otomatikleştirin
- Sistem yaklaşımı sistemi
Yine de herkesin Siber güvenlik ve gizliliğin birbiriyle ilişkili ancak farklı olduğunu hatırlaması çok önemli.”
Makine Öğrenimi Açık Veri Risklerini Bütünsel Olarak Keşfederek Riskleri Ortadan Kaldırabilir mi?
Hinchcliffe, “Sonuçta yalnızca otomasyonun BT güvenliğini sağlayabileceğini söyleyebilirim. Riski azaltmak için statik ve dinamik tehdit analizine yönelik bütünsel bir makine öğrenimi yaklaşımına geçmeliyiz. Yapay zeka aynı zamanda kötü aktörlerin istismarları ve beyaz şapkaları bulmasına yardımcı olacak ve umarım önce onları düzeltecektir.” Ancak Seidl, “tüm alanı kaplamayacaklar. Kontrollerinizin bir parçası olabilirler. Bundan sonraki tur, ilginç şekillerde nasıl bozulduklarını görmek için yapay zekayı hedef alacak.”
Privacera CEO’su Balaji Ganesan, “Dion Hinchcliffe haklı. AI yardım edebilir ve zarar verebilir. Bu nedenle, “Gizlilik Mühendisi Manifestosu”nun yazarlarının veri güvenliği ve gizliliğinin ‘zeka aşaması’ olarak adlandırdığı şeyi yönlendirmek için yapay zeka ve Makine Öğrenimini kullanan müşterilerimizi görüyoruz. Burada yapay zeka ve makine öğrenimi hassas verileri bulur ve ardından verilere uygun olmayan veya doğal olmayan erişimi fark etmek de dahil olmak üzere erişimin akıllıca verildiğinden emin olmak için bunu kullanır. Ayrıca, veri modellerinin önyargıya yol açabilecek verilere erişimini sınırlayarak model yanlılığıyla başa çıkabilir.”
ayrılık sözleri
Kuruluşlar için güvenlik ve mahremiyetin öneminin arttığı açık görünüyor. Makine öğrenimi, işlerin uygulanmasını kolaylaştırma potansiyeli sunarken, aynı zamanda riskler de yaratır. Kötü insanlar, hiç bitmeyen bir silahlanma yarışında daha sofistike hale gelecek. Bununla birlikte, olgunluk önemlidir. yazarlarının sözleriyle AI Çağında Rekabet, “Dikkatli veri güvenliği ve yönetişimi için güvenli, merkezi bir sistem oluşturmamız, erişim ve kullanım üzerinde uygun kontroller ve dengeler belirlememiz, varlıkların dikkatlice envanterini çıkarmamız ve tüm paydaşlara gerekli korumayı sağlamamız gerekiyor.” Nihayet, hassas verilere model erişimini de kontrol ederek etik yapay zekayı yönlendirmemiz gerekiyor. Daniel Yankelovich yazdığında haklıydı”Pazarlama Segmentasyonu için Yeni Kriterler. Burada demografinin pazarlama segmentasyonu için etkili bir temel olmadığını söyledi. Bunu yapmak, verilerin uygulanmasında önyargı ve gizlilik kaybını önleyecektir.
