Bir şirket çalışanın görevlerini yerine getirirken kullandığı bilişim elemanları sayesinde verimlilik ve yaratıcılık gibi artılar elde edebildiği gibi; bu sistemlerin güvenlik açıkları ve hukuki sınırlamalara tabi olmamasından kaynaklı veri sızıntılarına dayalı büyük risklere de maruz kalıyor. Günümüzde ciddi boyuta ulaşan bu denetimsiz bilişim sistemi kullanım durumuna “shadow IT” denmektedir.

Popülerleşen yapay zeka kullanımı neticesinde ticari öneme sahip birçok bilgi, çalışanlar tarafından kontrolsüz biçimde yapay zekalarla paylaşılıyor. Bu yapay zekalar mevcut işin ekosistemi için tasarlanmış, güvenliği ölçülmüş ve yetkilendirilmiş sistemler olmadığından sisteme girilen verinin akıbetini kontrol etmek mümkün olmuyor. Şunu da belirtmek gerekir ki, çalışan bunu bilerek dahi yapmıyor olabilir. Zira artık tarayıcıda yapılan basit bir arama sonucunda dahi “sürükle ve bırak” sistemiyle çalışan ve elde ettiği veriyi depolayan “AI tool”lar mevcut.

Yapay zekaların elde ettiği veriyi işlemesi, onunla eğitilmesi ve öğrenilmiş veriyi başka kullanıcılarla paylaşabilmesi mümkün. Bilinirliği ve kullanıcısı oldukça yüksek olan Chat GPT örneği üzer inden incelendiğinde, ChatGPT'nin arkasındaki şirket olan OpenAI, kullanıcılar aksine bir tercih yapmadığı sürece, modelin eğitimi için kullanıcının sunduğu verileri kullanıyor ve bu da özel veya hassas verilerin ifşa edilmesi potansiyeli taşıyor.

Ayrıca henüz çözülmemiş olan “AI bias” yani yapay zeka ön yargı sorunu, yazılımın hukuki regülasyonları gözetmemesi, paylaşılan verinin ayrıca başkaca fikri mülkiyet ve sair veri haklarını ihlal edebilecek olması gibi nedenlerle, üretilen çıktının güvenilirliği de yüksek değil.

Peki bu durumda ne yapmalı? Bir kez güvenli ortamın dışına çıkarılıp paylaşılan verinin güvenliğinin tekrar sağlanması imkansız olduğundan, verinin en baştan bilinçli yönetilmesi gerekmektedir. Bu açıdan, çalışanların yapay zeka yazılımları hakkında bilgilendirilmesi, şirket tarafından onaylanmamış yazılımların ne tür riskler barındırdığı, çalışanın veriyi onaylanmamış yazılımlarla paylaşması durumunda kendi sorumluluklarının ne olacağı, bu konuda bilgi alabileceği yetkililer ve sair hususlarda bilgilendirilmesi ve şirketin güncel net bir politikası olması esastır. Bu politika işlenebilecek veri türlerini, yasaklanmış faaliyetleri ve herkesin uyması gereken güvenlik protokollerini belirtmelidir.

Çalışanları AI riskleri ve onaylanmış uygulamalar hakkında eğitmek, shadow AI risklerini azaltmanın en etkili yollarından biridir. Anketler veya atölyeler düzenlemek, çalışanların kullandıkları onaylanmamış araçları ve çalışanı o araca yönelten nedenleri açığa çıkarır. Bu sayede, yönetişim zayıflıklarını belirlemek, çalışanların onaylı çözümlerle ihtiyaçlarını giderebilmeleri için önlem almak ve ürün geliştirmek mümkün olur.

Daha az hassas veriler için iyi bir çözüm, hem girdiler hem de çıktılar için veri gizliliği ve mahremiyet açısından garantiler sunabilen üçüncü parti yapay zeka sistemlerine erişim sağlamaktır. Daha hassas veriler için ise en güvenli yaklaşım, verilerin bulunduğu yerde AI çözümleri geliştirmektir. Bu sayede verileri harici sistemlere aktarma riski oluşmaz.