Politika İnsan Davranışıyla Karşılaştığında
Bir devlet yüklenicisi, FEMA sel yardımı başvurularını işleme almak için zaman baskısı altında, felaket başvuranlarının isimlerini, adreslerini, iletişim bilgilerini ve sağlık verilerini daha hızlı işlemek amacıyla ChatGPT'ye yapıştırdı. Niyet kötü niyetli değildi — bu, baskı altında alınan bir verimlilik kararıydı. Sonuç, bir devlet soruşturması, kamuya açıklama ve yalnızca politika tabanlı AI yönetiminin temel başarısızlık modunu gösteren belgelenmiş bir olay oldu.
Kurumsal çalışanların %77'si, bunu yasaklayan politikalara rağmen, haftada en az bir kez hassas iş bilgilerini AI araçlarıyla paylaşıyor (eSecurity Planet/Cyberhaven 2025). %77'lik rakam, politika ihlalcisi bir iş gücünü değil, AI araçlarının benimsenme gerçeğini yansıtır: çalışanların zaman baskısı, tekrarlayan görevler veya karmaşık analiz gereksinimleriyle karşılaştıklarında refleksif olarak başvurdukları verimlilik araçları olarak.
Cyberhaven'ın 2025 Q4 analizi, ChatGPT'ye yapılan tüm girişlerin %34.8'inin gizli iş verileri içerdiğini buldu. Bu rakam, AI kullanım politikalarının farkında olan ve bunları ihlal etme niyeti olmayan çalışanları içerir — sadece yapıştırma anında verileri "gizli" olarak kategorize etmemişlerdir.
Politika Uyum Sorunu
AI kullanım politikaları, doğası gereği bir uygulama boşluğu ile karşı karşıyadır. Erişim kontrol politikalarının (kimlik doğrulama yoluyla teknik olarak uygulanabilir) veya veri sınıflandırma politikalarının (e-posta/depolama katmanında DLP aracılığıyla uygulanabilir) aksine, AI kullanım politikaları veri girişi anında insan yargısına dayanır.
Bir çalışanın müşteri verilerini ChatGPT'ye yapıştırma kararı verdiği an, bir saniyelik davranışsal bir karardır. Çalışan, politikayı hatırlamayabilir, verimlilik kazancının algılanan riski aştığını hesaplamış olabilir veya verilerin politikayla kapsandığını gerçekten tanımıyor olabilir. Politika eğitimi, bu kararın sıklığını azaltır ancak ölçekli olarak ortadan kaldıramaz.
FEMA olayı, arketipi gösterir: büyük bir başvuru hacmi, bir son tarih ve güçlü bir özetleme aracına erişim sağlayan bir yüklenici. Politika uyumu, AI yardımı yerine manuel işlemeyi seçmeyi gerektiriyordu. Zaman baskısı altında, araç kazandı.
Uygulama Katmanında Teknik Kontroller
Bu başarısızlık modunu ele alan tek yönetim yaklaşımı, politika katmanı yerine teknik katmanda çalışır. Chrome Eklentisi, panodaki içeriği herhangi bir web tabanlı AI arayüzüne ulaşmadan önce yakalar — ChatGPT, Gemini, Claude.ai, Perplexity veya diğerleri. Yakalama otomatik olarak gerçekleşir; kullanıcının bir politikayı uygulamayı hatırlamasına bağlı değildir.
FEMA yüklenicisi, başvuran isimlerini ve adreslerini vaka yönetim sisteminden kopyalayıp ChatGPT'ye yapıştırdığında, eklenti panodaki PII'yi tespit eder, anonimleştirir ve anonimleştirilmiş versiyonu gönderir. Yüklenici, gönderimden önce neyin değiştirileceğini gösteren bir önizleme modali görür. AI, kimlik bilgileri kaldırılmış verileri alır ve hala özetleme görevini yerine getirebilir. Başvuranın adı, adresi ve sağlık verileri asla ChatGPT sunucularına ulaşmaz.
AI yönetim endişeleri kodlama araçları (Cursor, GitHub Copilot) etrafında dönen organizasyonlar için, MCP Sunucusu uygulama katmanında eşdeğer kontrolü sağlar. AI model bağlamına yapıştırılan kod, yakalanır, kimlik bilgileri ve özel tanımlayıcılar tokenlarla değiştirilir ve AI anonimleştirilmiş versiyonu alır. Hem tarayıcı tabanlı AI hem de IDE tabanlı AI, kullanıcı davranışından bağımsız olarak çalışan teknik kontroller aracılığıyla korunabilir.
FEMA yüklenicisi senaryosu, teknik kontrollerin mevcut olması durumunda farklı bir sonuç alırdı. Yüklenici, başvuruları verimli bir şekilde işleyebilirdi; başvuran verileri asla ChatGPT'ye ulaşmazdı; soruşturma tetiklenmezdi. Politika eğitimi olayı önlemedi. Bir teknik yakalama katmanı bunu yapardı.
Kaynaklar: