Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Yapay zeka birçok sektörde devrim oluşturarak benzeri görülmemiş özellikler ve verimlilikler sağlamıştır. Örneğin yapay zeka destekli üretkenlik aracımız Microsoft 365 Copilot, büyük dil modellerini (LLM' ler), Microsoft Graph'lerdeki içeriği ve Word, Excel, PowerPoint, Outlook, Teams, SharePoint ve diğerleri gibi Microsoft 365 üretkenlik uygulamalarını koordine eder. Bu tümleştirme gerçek zamanlı akıllı yardım sağlayarak kullanıcıların yaratıcılıklarını, üretkenliklerini ve becerilerini geliştirmelerini sağlar.
Müşteriler bu fırsatları keşfetmeye isteklidir ve güvenliğin önemli yönlerini de dikkate alır. Yapay zeka dönüşüm yolculuğunda olan müşterilerle etkileşimlerimizden yola çıkarak veri güvenliği, gizlilik, model sağlamlığı ve siber saldırılar gibi konuların dikkate alındığını anlıyoruz.
Microsoft, bu konuların ne kadar kritik olduğunu anlar. Bu nedenle güvenlik risklerine karşı Microsoft 365 Copilot gibi üretkenlik araçlarını korumaya yardımcı olmak için sağlam bir derinlemesine savunma stratejisi kullanıyoruz. Bu çok katmanlı yaklaşım, gelişmiş tehdit bilgileri, sıkı güvenlik uygulamaları ve proaktif korumaların bir birleşimini içerir. Örneğin, Microsoft 365 Copilot test etmek için kendi kırmızı ekip oluşturma alıştırmalarımıza ek olarak, Casaba Security ile Microsoft 365 ürün paketi genelinde dokuz Copilot uygulamasını test ettik. Open Worldwide Application Security Project'in (OWASP) LLM için ilk 10'unu belirlemeye ve uygulama altyapısını desteklemeye yönelik geleneksel güvenlik açıklarını belirlemeye odaklanan testlerinin bulgularını hemen ele aldık ve çözdük.
Microsoft, Microsoft 365 Copilot müşterilerimize yönelik mevcut gizlilik, güvenlik ve uyumluluk taahhütlerimizle uyumlu olduğundan emin olmak için kapsamlı adımlar atmaktadır. Yapay zeka teknolojileri ve kullanım örnekleri gelişmeye devam ettikçe, işimiz hiçbir zaman yapılmaz: Microsoft, Copilot için korumaları sürekli olarak geliştirmeyi, sistemlerimizi kendi izleme ve testlerimizden ve müşterilerle, iş ortaklarıyla ve daha geniş güvenlik sektörüyle çalışmayı taahhüt eder.
Bu makalede, Microsoft'un yapay zeka için genel güvenlik duruşu ve Microsoft 365 Copilot ve diğer yapay zeka uygulamalarında verilerinizin ve etkileşimlerinizin güvenliğini sağlamaya yardımcı olmak için farklı Microsoft güvenlik çözümlerinin birlikte nasıl çalıştığına genel bir bakış sunulmaktadır. Bu makaleyi yeni riskler ve çözümlerdeki yenilikler hakkında yeni bilgilerle güncelleştireceğiz.
Microsoft 365 Copilot güvenliğini sağlama
Microsoft'ta güvenlik yalnızca bir öncelik değildir; Yaptığımız her şeyin temelidir. Bu taahhüt yapay zekayı da genişletir: Microsoft Sorumlu Yapay Zeka Office'i yapay zeka yolculuğumuzda güvenlik ve güvenliğe yol göstermekle kalmaz, yakın zamanda genişletilen Güvenli Gelecek Girişimimiz de herkes için daha güvenli bir dijital manzara oluşturma konusundaki kararlılığımızı daha da yansıtmaktadır.
Yapay zeka için kapsamlı güvenlik duruşumuz aşağıdaki sütunlara sahiptir:
- Sorumlu yapay zeka geliştirme: Microsoft şampiyonları sorumlu yapay zeka ilkeleri. Bu ilkeler, yapay zeka yaşam döngüsü boyunca eşitlik, güvenilirlik ve güvenlik, gizlilik ve güvenlik, kapsayıcılık, şeffaflık ve sorumluluk gibi konuları vurgular.
- En iyi güvenlik uygulamaları: Microsoft yapay zeka ürünleriyle çalışan geliştiriciler, mühendisler ve güvenlik uzmanları için özel kaynaklar ve en iyi uygulamalar sağlıyoruz. Bu kaynaklar kuruluşların dağıtım sırasında güvenlik önlemlerini anlamasına ve uygulamasına yardımcı olur.
- Güvenlik geliştirme yaşam döngüsü (SDL):Sıkı SDL'miz, yapay zeka geliştirme sürecinin tamamında güvenlikle ilgili dikkat edilmesi gereken noktaları tümleştirir. Bu proaktif yaklaşım, güvenlik açıklarının en başından itibaren tanımlanmasını ve azaltılmasını sağlar.
- Tehdit araştırması, algılama ve azaltma: Yapay zeka modellerimize yönelik tehditleri algılamak ve azaltmak için stratejilere aktif olarak yatırım yapıyoruz. Bu, devam eden güvenlik açığı izleme ve olası saldırılara karşı önlemler geliştirmeyi içerir. Küresel araştırmacı ağımız Microsoft Threat Intelligence, yapay zeka uygulamalarından yararlanabilecek tehdit aktörleri ve siber saldırılar için tehdit ortamını da izler.
Microsoft, kullanıcı giriş aşamasından sistem çıkış aşamasına kadar Microsoft 365 Copilot yapay zeka özellikleri için gizlilik, güvenlik ve güvenilirliği korur. Microsoft 365 Copilot, Genel Veri Koruma Yönetmeliği (GDPR) ve Avrupa Birliği (AB) Veri Sınırı dahil olmak üzere mevcut gizlilik, güvenlik ve uyumluluk taahhütlerimizle uyumludur. Microsoft, bu taahhütleri yerine getirerek Bilgileri Copilot kullanılarak girilen tüm istemlerde işler ve alınan veriler ve oluşturulan yanıtlar Müşteri Verileri olarak güvenli kalır ve sözleşmeye dayalı veri işleme gereksinimlerimize tabidir.
Aşağıdaki bölümlerde Microsoft'un Microsoft 365 Copilot benimsemek için müşteri açısından önemli olan gizlilik, güvenlik ve uyumluluk konularını ele alma şekli ele alınmaktadır.
Erişim denetimi ve izin yönetimi
Microsoft 365 Copilot, kaynaklara kullanıcı adına eriştiğinden, yalnızca kullanıcının erişim iznine sahip olduğu kaynaklara erişebilir. Örneğin, kullanıcının bir belgeye erişimi yoksa, kullanıcının adına çalışan Microsoft 365 Copilot de erişimi olmaz.
Yanıt oluşturmak için kullandığı veriler Microsoft tarafından aktarım sırasında şifrelenme, gizliliğin korunmasına yardımcı olma ve veri sızıntısını önleme gibi sözleşmeye bağlı veri işleme gereksinimleri uyarınca işlenir. Ayrıca, Microsoft Graph ve SharePoint'ten alınan veriler de dahil olmak üzere Microsoft 365 verileri erişim denetim ve denetim mekanizmalarına bağlıdır.
Microsoft 365 Copilot, bilgi engelleri, Koşullu Erişim ve duyarlılık etiketleri gibi kullanıcı erişimini ve iznini daha da sınırlayan Microsoft 365, Microsoft Entra ve Microsoft Purview ilkelerine saygılıdır.
Microsoft 365 Copilot, Copilot tarafından oluşturulan yanıtların veri sızdırmasını önlemek için veri kaybı önleme (DLP) ilkelerini devralır. Ayrıca, bu yanıtlara duyarlılık etiketleri uygulayarak veri güvenliğini artırır.
Model eğitimi sırasında verileri koruma
Microsoft 365 Copilot, Microsoft tarafından barındırılan önceden eğitilmiş LLM modellerini kullanır; bu modelleri eğitmek için Müşteri Verileri'ni kullanmaz. Ayrıca, yapay zeka modellerini eğitmek için istem ve temel veriler kullanılmaz ve hiçbir zaman OpenAI veya diğer üçüncü taraflarla paylaşılamaz.
Veri yerleşimi gereksinimlerini karşılama
Microsoft, Microsoft Ürün Koşulları ve Veri Koruma Eki'nde açıklandığı gibi veri yerleşimi taahhütlerini yerine getirmektedir. Microsoft Gelişmiş Veri Yerleşimi (ADR) ve Multi-Geo Capabilities teklifleri, 1 Mart 2024 tarihinden itibaren Microsoft 365 Copilot müşterilerine yönelik veri yerleşimi taahhütlerini içerir. Microsoft, Avrupa Birliği (AB) kullanıcıları için AB Veri Sınırı'na uymaya yönelik ek güvenlik önlemlerine sahiptir. AB trafiği, AB Veri Sınırları içinde kalırken dünya çapındaki trafik, LLM işleme için AB'ye ve diğer ülke veya bölgelere gönderilebilir.
Yapay zeka işleme için gönderilen tüm veriler hem aktarımda hem de bekleme durumunda şifrelenir. Microsoft 365, işleme yaşam döngüsü boyunca verilerin güvenli kalmasını sağlamak için BitLocker, dosya başına şifreleme, Aktarım Katmanı Güvenliği (TLS) 1.2 ve İnternet Protokolü Güvenliği (IPsec) dahil olmak üzere bekleyen ve aktarılan müşteri içeriğini şifreleyen FIPS 140-2 uyumlu hizmet tarafı teknolojilerini kullanır.
İstem eklemelerine karşı sağlamlaştırma
Microsoft, birden çok katmanda içerik filtreleme, sıkı güvenlik protokolleri ve sürekli izleme için gelişmiş makine öğrenmesi birleşimini kullanır. Dolaylı veya çapraz istemli ekleme sınıflandırıcıları, birden çok katmanda istem eklemeyi algılar ve engeller. Bu arada, aşağıdakiler gibi savunmalar da çapraz istem ekleme saldırılarının (XPIA) güvenlik etkisini en aza indirmeye yardımcı olur:
XPIA sınıflandırıcıları, XPIA örneklerini algılamak ve azaltmak için kullanılır
E-posta iletisi gönderme gibi içeriği değiştirebilecek veya çıkarabilecek ayrıcalıklı eylemler ve eylemler için döngüde insan (kullanıcı tarafından başlatılan veya onaylanan eylemler) gereksinimi
Veri sızdırmayı önlemek için gereksiz veri çıkış mekanizmaları kaldırılır
Ayrıca, bir istem ekleme saldırısı bağlamında, saldırgan verilere yalnızca kullanıcının erişimi olduğu ölçüde erişebilir. Bu, saldırganın kullanıcının sistem içinde sahip olduğu izinlerle ve verilerle sınırlı olduğu anlamına gelir. Bu sınırlama, kullanıcının izinlerinin kapsamına bir istem ekleme saldırısının olası hasarını kapsamaya yardımcı olur.
Sorumlu yapay zeka ilkelerine bağlı kalarak
Microsoft Sorumlu Yapay Zeka ilkeleri, Microsoft 365 Copilot geliştirme ve kullanımına yol gösterir. Örneğin Microsoft 365 Copilot, zararlı, rahatsız edici veya şiddet içeren içerik riskini azaltmaya yardımcı olmak için Azure Yapay Zeka İçerik Güvenliği ve metaprompting gibi sınıflandırıcılar uygular. Microsoft 365 Copilot, kullanıcı istemlerinde veya oluşturulan yanıtlarda zararlı olabilecek farklı içerik türlerini işaretlemek için yapay zeka tabanlı sınıflandırıcılar ve içerik filtreleri kullanır. Bu arada metaprompting, sistemin Microsoft'un yapay zeka ilkelerine ve kullanıcı beklentilerine uygun davranmasını sağlamak da dahil olmak üzere model davranışını yönlendirir.
Microsoft ayrıca fidye yazılımı ve diğer kötü amaçlı yazılım tabanlı saldırılar için Microsoft 365 Copilot kullanımını önlemek için istem denetleme teknolojisi ve içerik filtreleri uygular. Buna ek olarak, Güvenlik Geliştirme Yaşam Döngüsü (SDL), uzaktan kod yürütülmesine karşı Microsoft 365 Copilot güvenliğinin geliştirilmesine yardımcı olur. Bunu yapmak için Copilot'un kısıtlanmamış ve kutulanmamış kod çalıştırmasını engellememiz gerekir.
Microsoft 365 Copilot, planlanmamış içeriği önlemeye yardımcı olmak için Microsoft 365 kiracı müşterilerinin içeriği hakkında bilgi sağlayabilen ayrılmış bir anlam veritabanı kullanarak alma artırılmış oluşturma (RAG) uygular. Microsoft, yanıtın temel oluşturma düzeyindeki değişiklikleri sürekli ve dikkatli bir şekilde inceler. Microsoft 365 Copilot (istem, model veya düzenleme dahil) üzerinde yaptığımız değişiklikler için kullanıcıyı olumsuz yönde etkileyebilecek regresyonları yakalarız.
Azure yapay zekada yapay zeka uygulama geliştiricilerinin daha güvenli yapay zeka uygulamaları oluşturmalarına yardımcı olarak bu korumaları daha da iyileştirmeye yardımcı olan yeni araçlar vardır.
Telif hakkı ve fikri mülkiyeti koruma
Microsoft, telif hakkı ihlali davası durumunda müşterileri savunmak ve herhangi bir olumsuz kararı telafi etmek için sektörün ilk Müşteri Telif Hakkı Taahhüdü programını da içeren korumalı içerik üretimine karşı yerleşik korumalara sahiptir.
Mevzuat gereksinimlerini karşılama
Microsoft 365 Copilot çeşitli mekanizmalar aracılığıyla eBulma, denetim günlüğü ve saklama için mevzuat gereksinimlerini karşılar:
Bekletme ilkeleri: Microsoft 365 Copilot gelen iletiler, Teams sohbetleri ve Copilot etkileşimleri adlı bekletme ilkesi konumuna otomatik olarak eklenir. Bu, kullanıcı istemlerinin ve Copilot yanıtlarının uyumluluk nedeniyle saklanabileceği ve silinebileceği anlamına gelir. Copilot iletilerinden alınan veriler, uyumluluk yöneticilerinin eBulma araçlarıyla arama yapabilecekleri Copilot'ı çalıştıran kullanıcının posta kutusunda gizli bir klasörde depolanır.
Denetim günlüğü: Microsoft 365 Copilot tarafından oluşturulan denetim günlükleri, Denetim (Standart) müşterileri için 180 güne kadar ve Denetim (Premium) lisans sahipleri için bir yıla kadar tutulabilir ve bu seçenek 10 yıla kadar uzatılabilir.
Microsoft Purview ile uyumluluk: Microsoft Purview, Copilot gibi üretken yapay zeka uygulamaları için veri güvenliği ve uyumluluk korumaları sağlar. Şu anda önizleme aşamasında olan Yapay Zeka için Microsoft Purview Veri Güvenliği Duruş Yönetimi, kuruluş içinde yapay zeka kullanımı hakkında hızla içgörü elde etmek için kullanımı kolay grafik araçları ve raporlar sağlar. Tek tıklamayla ilkeler , verilerin korunmasına ve mevzuat gereksinimlerine uymaya yardımcı olur.
Yönetici denetimleri: Yöneticiler depolanan verileri görüntülemek ve yönetmek, bekletme ilkeleri ayarlamak ve eBulma aramaları gerçekleştirmek için Microsoft Purview'u kullanabilir. Purview aracılığıyla hem yönetici hem de kullanıcı tarafından başlatılan silme seçenekleri sağlanır.
Sık sorulan sorular
Microsoft 365 Copilot sonuçları güvenilir mi?
Microsoft korumaları, herhangi bir yapay zeka uygulamasında olduğu gibi yanlış bilgi ve tehlikeye karşı güçlü tehdit azaltma sağlarken, Microsoft 365 Copilot yanıtları her zaman doğru olmayabilir. Bu yanıtları kontrol etmek için yine de insan yargısı uygulamalısınız.
Microsoft istemlerime ve yanıtlarıma nasıl davranır?
Microsoft, e-postalar, belgeler ve sohbetler gibi diğer geleneksel içerik biçimlerini ele aldığımız için istemleri ve yanıtları ele alır ve sözleşmeye bağlı taahhütlerimiz aynıdır.
Yapay zeka modellerini eğitmek için verilerimi kullanıyor Microsoft 365 Copilot?
Microsoft Graph aracılığıyla erişilen İstemler, yanıtlar ve Müşteri Verileri, Microsoft 365 Copilot tarafından kullanılanlar da dahil olmak üzere temel LLM'leri eğitmek için kullanılmaz. Ürün geliştirmeleri, müşteri tarafından bildirilen olaylar ve yapay istem oluşturma gibi tekniklerle yönlendirilir.
Beklenmeyen veya rahatsız edici içerik görürsem ne yapmalıyım?
İstem yanıtının yanındaki aşağı açılan oy (başparmak aşağı) düğmesini seçerek rahatsız edici veya şüpheli içerikleri hemen bildirin.
Microsoft 365 Copilot güvenlik açığı değerlendirme raporuna nasıl erişebilirim?
Microsoft 365 Copilot üçüncü taraf güvenlik açığı değerlendirmesi Hizmet Güveni Portalı'ndan indirilebilir.
Microsoft yapay zeka uygulamalarımda risk bulmama yardımcı olabilir mi?
Microsoft, güvenlik uzmanlarını ve makine öğrenmesi mühendislerinin kendi üretken yapay zeka sistemlerinde riskleri proaktif olarak bulmalarını sağlamayı amaçlayan bir açık erişim otomasyonu çerçevesi olan üretken yapay zeka (PyRIT) için Python Risk Belirleme Araç Seti'ni yayımladı.
Microsoft 365 Copilot içeriği temel alırken sahip olmadığım verilere erişimim var mı?
Microsoft 365 Copilot kullanıcı adına kaynaklara eriştiğinden, yalnızca erişim iznine sahip olduğunuz kaynaklara erişebilir.
Temel alma, kimliğinizin bağlamında gerçekleşir ve semantik dizin ve grafik sorguları, temel alınan içerik için izinlerinize göre "güvenlik kırpılır". Bu işlem, temel alma işlemine yalnızca yetkili içeriğin dahil edilmesini sağlar.
Microsoft 365 Copilot kullanabileceği verileri nasıl sınırlandırabilirim?
Aşağıdaki adımlar yöneticilerin kullanıcı erişimini denetlemesine ve bu nedenle Microsoft 365 Copilot hangi verileri kullanabileceğini sınırlamalarına yardımcı olabilir:
- İçerik fazla paylaşıldıktan sonra bile SharePoint site erişimini ve OneDrive içerik erişimini belirli gruplarda kısıtlayın.
- Microsoft 365 Copilot içeriğe başvurmasına izin verilen web sitelerini sınırlamak için Kısıtlı SharePoint Araması'nı kullanın.
- Microsoft SharePoint Premium - SharePoint Gelişmiş Yönetimi'ni kullanın. Bu, ortam genelinde aşırı izin verilen erişim denetimi listelerini ve paylaşım bağlantılarını analiz etmek ve yönetmek için raporlar ve araçlar sunar.
- Copilot için bilgi korumayla ilgili dikkat edilmesi gerekenleri gözden geçirin. Microsoft 365 Copilot EXTRACT izinlerini kabul eder ve başvuruda bulunan içerikten Copilot tarafından oluşturulan yanıtlara ve dosyalara duyarlılık etiketlerini otomatik olarak devralır.
- Microsoft 365 dosyalarınıza ve e-postanıza duyarlılık etiketleri uygulayın. Microsoft Purview müşterileri için yöneticiler, uygulamalar ve diğer hizmetler için kullanılabilir hale getirmek istedikleri duyarlılık etiketlerini oluşturabilir ve yapılandırabilir .
- Copilot ile paylaşılan hassas verileri keşfetmek, Copilot yanıtlarında başvurulan dosyaları görmek ve Copilot ve ilişkili SharePoint siteleri tarafından başvurulan etiketsiz dosyaları keşfetmek için yapay zeka için Microsoft Purview Veri Güvenliği Duruş Yönetimi'ni kullanın (şu anda önizleme aşamasındadır), böylece fazla kullanım riski olan dosyaları tanımlamanıza ve korumanıza izin verir.
- Eski ve kullanılmayan verileri kaldıran ve Microsoft Purview Veri Yaşam Döngüsü Yönetimi fazla veri paylaşımı nedeniyle verilerin yayılmasını sınırlayan ilkeler ayarlayın.
Verileri ve yapay zeka uygulaması etkileşimlerini korumak için Microsoft güvenlik çözümlerini nasıl kullanabilirim?
Microsoft her zaman kuruluşunuz için güçlü bir güvenlik temeli oluşturmanızı önerir. Sıfır Güven güvenlik stratejisi, bu tür bir temel için rehberlik sağlar çünkü her bağlantı ve kaynak isteğine, denetimsiz bir ağdan ve bir tehdit aktöründen geliyormuş gibi davranır. İsteğin kaynağından veya hangi kaynağa eriştiğinden bağımsız olarak, Sıfır Güven ilkelerini kullanın.
Microsoft Defender, Entra, Purview ve Intune gibi kapsamlı güvenlik çözümlerimiz, Microsoft 365 Copilot ve diğer yapay zeka uygulamalarında verilerinizin ve etkileşimlerinizin güvenliğini sağlamaya yardımcı olmak için birlikte çalışır. Bu ürünler sizi ve ekiplerinizi şu konularda güçlendiren özelliklere sahiptir:
Hassas veri sızıntıları ve yüksek riskli uygulamalara yetkisiz erişim gibi yapay zeka kullanımıyla ilgili olası riskleri belirleme
İstemler ve yanıtlar dahil olmak üzere yapay zeka uygulamalarının ve işledikleri veya oluşturdukları hassas verilerin güvenliğini sağlama
Etkileşimleri koruyarak ve günlüğe yazarak, ilke ihlallerini algılayarak ve olayları araştırarak yapay zeka kullanımını sorumlu bir şekilde yönetme
Örneğin, kısa süre önce, üretken yapay zeka uygulamalarının ve verilerinin sağlam güvenliği ve idaresi için amaca yönelik araçlar sağlayan yeni Microsoft Defender ve Purview özellikleri ekledik. Ayrıca, Microsoft Security Copilot ürünlerimiz arasında sorunsuz bir şekilde tümleştirilmesi, güvenlik analistleri için genel süreci ve deneyimi kolaylaştırır. Microsoft, güvenliği öncelik sırasına alarak ve bu gelişmiş özellikleri sunarak kuruluşların yapay zeka uygulamalarının sağladığı avantajları ve fırsatları güvenle uygulamasına olanak tanır.
Microsoft 365 Copilot ve diğer yapay zeka uygulamalarında güvenlik açıklarını nerede bildirmeliyim?
Herhangi bir yapay zeka platformunda yeni güvenlik açıkları keşfederseniz platform sahibi için sorumlu açıklama uygulamalarını izlemenizi öneririz. Microsoft'un kendi yordamı (Copilot için) şu sayfada açıklanmıştır: Microsoft AI Bounty Program.