çalışanlarınız gizli gizli ai araçları kullanıyor, ne yapacaksınız
arkadaşlar, günümüzün en büyük baş ağrılarından biri geliyor: shadow ai. yani çalışanlarınız it’den izin almadan chatgpt, copilot, ai yazma asistanı falan ne buluyorlarsa kullanıyor. istatistiklere göre ortalama bir çalışan günde 3-5 tane ai aracı kullanıyormuş. bunların çoğu da it’nin haberdar olmadığı şeyler.
şimdi durum şu: adam akıllı çalışan, işini hızlı yapmanın yolunu arıyor. kod yazarken copilot açıyor, toplantı notlarını ai’ya özetletiyor, mail yazarken chatgpt’den yardım alıyor. gayet normal yani, verimlilik diye buna derler. ama işin güvenlik tarafında büyük sıkıntı var.
sorun ne peki
shadow ai dediğimiz olay şu: çalışanlar şirket verilerini, kodlarını, müşteri bilgilerini bu araçlara yüklüyor. hangi araç ne yapıyor, veri nereye gidiyor, kim biliyor? it bilmiyor, güvenlik ekibi bilmiyor. yarın öbür gün bir veri sızıntısı olduğunda “ya bu veri nasıl dışarı çıktı” diye kafayı yersiniz.
dikkat: bazı ai araçları verilerinizi model eğitiminde kullanabiliyor. yani bugün yazdığınız gizli kod, yarın başka birinin prompt’unda çıkabilir.
peki ne yapmalı
1. panik yapmayın, yasaklamayın
klasik it hareketi: “ai yasak, kullanmayın”. sonuç: herkes gizli gizli kullanmaya devam ediyor, siz de hiçbir şey göremiyorsunuz. daha da kötü oluyor yani.
bunun yerine şunu yapın:
- hangi araçların kullanıldığını tespit edin
- çalışanlarla konuşun, neden kullanıyorlar, ne işe yarıyor
- “yasaklıyoruz” değil “güvenli alternatifleri sunuyoruz” deyin
2. görünürlük sağlayın
agalar, önce neyle uğraştığınızı görmeniz lazım. sspm (saas security posture management) denen araçlar var, bunlar şirket ağında hangi ai araçlarının kullanıldığını gösteriyor.
yapmanız gerekenler:
# ağ trafiğini izleyin
# hangi ai servislerine bağlanılıyor
# openai, anthropic, google ai vs.
# browser extension'ları kontrol edin
# çalışanların hangi eklentileri kullandığına bakın
# api çağrılarını logla
# hangi uygulamalar dış ai servislerine bağlanıyor
3. risk değerlendirmesi yapın
her ai aracı aynı risk seviyesinde değil. kimileri verilerinizi saklıyor, kimileri saklamıyor. kimileri gdpr uyumlu, kimileri değil.
| risk seviyesi | açıklama | örnek |
|---|---|---|
| 🔴 yüksek | veri saklıyor, model eğitiminde kullanıyor | ücretsiz chatgpt |
| 🟠 orta | veri saklıyor ama eğitimde kullanmıyor | bazı ücretli ai araçları |
| 🟢 düşük | veri saklamıyor, enterprise sözleşmeli | microsoft copilot enterprise |
4. onaylı araç listesi oluşturun
“yasak” değil “bunları kullanın” deyin. güvenli, şirket politikalarına uygun ai araçlarının listesini yapın.
örnek onaylı araçlar:
- kod yazma: github copilot enterprise (veri paylaşımı kapalı)
- metin yazma: microsoft 365 copilot (şirket tenancy’de)
- toplantı özeti: teams premium ai özellikleri
spoiler: çalışanlara “neden bu araçları kullanmalısınız” diye açıklama yapın. “güvenlik” demeniz yetmez, “verileriniz dışarı çıkmıyor, gdpr uyumlu, şirket datasını koruyor” diye detay verin.
5. politika ve eğitim
agalar, politika yazıp unutmayın. çalışanlara düzenli eğitim verin:
- hangi verileri ai’ya verebilirsiniz, hangilerini veremezsiniz
- müşteri bilgileri, kod, ticari sır gibi hassas veriler yasak
- onaylı araçlar neler, nasıl kullanılır
- bir sorun olduğunda kime bildirmeliler
örnek politika maddeleri:
✅ yapabilirsiniz:
- genel sorular sormak (hassas veri olmadan)
- onaylı araçları kullanmak
- kod template'leri oluşturmak (genel amaçlı)
❌ yapamazsınız:
- müşteri verilerini ai'ya yüklemek
- şirket kodunu onaysız araçlara vermek
- gizlilik sözleşmeli bilgileri paylaşmak
pratik adımlar
şimdi ne yapacaksınız:
- bu hafta: ağ trafiğini analiz edin, hangi ai araçları kullanılıyor tespit edin
- bu ay: çalışanlarla konuşun, ihtiyaçları anlayın, onaylı araç listesi yapın
- 3 ay içinde: politika yazın, eğitim verin, izleme sistemi kurun
- devam eden: düzenli denetim yapın, yeni araçları değerlendirin
son söz
arkadaşlar, shadow ai gerçek bir sorun ama çözülemez değil. çalışanları suçlamak yerine onlarla birlikte çalışın. güvenli araçlar sunun, neden önemli olduğunu anlatın.
edit: gartner’ın araştırmasına göre 2025 sonunda şirketlerin %75’i shadow ai sorunuyla karşılaşacakmış. yani bu trenin önüne geçemezsiniz, yönetmeyi öğrenmeniz lazım.
unutmayın: yasaklamak çözüm değil, yönetmek çözüm.
kaynaklar
- orijinal haber - the hacker news
- gartner shadow ai araştırmaları
- sspm vendor’larının dokümantasyonları
bu içerik yapay zeka tarafından oluşturulmuştur.