Günümüz iş dünyasında verimliliği artırmak amacıyla sıkça başvurulan yapay zeka uygulamaları, şirketler için beklenmedik ve devasa bir güvenlik riskine dönüşüyor. Güvenlik yazılımı firması LayerX tarafından yayımlanan "Kurumsal Yapay Zeka ve SaaS Veri Güvenliği Raporu 2025", çalışanların masum görünen "kopyala-yapıştır" alışkanlıklarının, hassas şirket verilerini nasıl korumasız bıraktığını gözler önüne serdi.
Rapora göre, bir e-postayı daha profesyonel hale getirmek veya bir raporu özetletmek gibi günlük görevler için ChatGPT gibi üretken yapay zeka araçlarını kullanan çalışanlar, bu platformlara farkında olmadan kritik şirket bilgilerini yüklüyor. Müşteri kimlik bilgileri, ödeme verileri ve iç yazışmalar gibi sırların bu yolla sızdırılması, şirketleri ciddi tehlikelerle karşı karşıya bırakıyor.
Raporun Çarpıcı Bulguları
LayerX'in araştırması, kontrolsüz yapay zeka kullanımının boyutlarını rakamlarla ortaya koyuyor:
- Yaygın Kullanım: Çalışanların yaklaşık yüzde 45'i, iş süreçlerinde ChatGPT benzeri üretken yapay zeka araçlarından faydalanıyor.
- Veri Aktarımı Alışkanlığı: Bu kullanıcıların yüzde 77'si, sohbet robotlarına düzenli olarak veri kopyalayıp yapıştırıyor.
- Hassas Veri Sızıntısı: Kopyalanan bu verilerin yüzde 22'si, müşteri kimlik bilgileri (PII) ve ödeme kartı bilgileri (PCI) gibi "hassas" olarak sınıflandırılan verilerden oluşuyor.
En Büyük Tehlike: Denetimsiz Kişisel Hesaplar
Araştırmanın en endişe verici bulgusu ise bu veri sızıntılarının büyük bir kısmının görünmez bir alanda gerçekleşmesi. Hassas veri girişlerinin yüzde 82'sinin, şirketlerin denetleyemediği kişisel çalışan hesapları üzerinden yapılıyor.
Bu durum, şirketlerin hangi verilerin dışarıya çıktığından, nerede depolandığından veya yapay zeka platformları tarafından nasıl işlendiğinden tamamen habersiz kalmasına neden olan dev bir "Gölge BT" (Shadow IT) sorunu yaratıyor. Raporda ayrıca yapay zeka platformlarına dosya olarak yüklenen belgelerin yaklaşık yüzde 40'ının da kişisel ve finansal bilgiler içerdiği belirtildi.
Tehdit Artık İçeride
LayerX CEO'su Or Eshed, bu riskin sadece teorik olmadığını, geçmişte yaşanan somut olaylarla kanıtlandığını belirtti. Eshed, 2023 yılında bir Samsung çalışanının, şirkete ait hassas kaynak kodlarını ChatGPT'ye yüklemesiyle ortaya çıkan krizi hatırlattı. Bu olayın ardından Samsung, veri sızıntısı riskine karşı çalışanlarının ChatGPT kullanımını geçici olarak yasaklamak zorunda kalmıştı.
Sonuç olarak rapor, günümüzün en büyük siber güvenlik tehdidinin artık dışarıdan saldıran hacker'lar değil, verimlilik artırma çabasıyla farkında olmadan devasa güvenlik açıkları yaratan "içerideki" çalışanlar olabileceğini vurguluyor. Bu durum, şirketlerin yapay zeka kullanımına yönelik acil, net ve uygulanabilir politikalar oluşturmasını zorunlu kılıyor.
