Microsoft 365 Copilot’taki Hassasiyet Etiketleri ve DLP Sorunları
Microsoft, 365 Copilot platformunda yaşanan önemli bir yazılım hatasını duyurdu. Bu hata, hassasiyet etiketlerinin ve veri kaybı önleme (DLP) politikalarının koruması gereken bazı e-postaların, Copilot Chat aracılığıyla özetlenmesine neden oldu. Sorunun, 21 Ocak’ta fark edildiği ve Copilot’un “work tab” adı verilen iş sekmesi ile bağlantılı olduğu bildirildi. Bu durum, özellikle kurumsal ortamlar için ciddi bir güvenlik riski oluşturdu. Microsoft, sorunun kaynağını araştırarak Şubat ayı başında düzeltme sürecine girdiğini açıkladı.
Olay, BleepingComputer tarafından gündeme getirildi. Dahili bir kod hatası, Copilot’un “work tab” sohbet alanındaki Sent Items (Gönderilmiş Öğeler) ve Drafts (Taslaklar) klasörlerindeki içeriklere izinsiz erişim sağlamasına yol açtı. Normalde, hassasiyet etiketleri ve DLP politikaları sayesinde korunması gereken bu içerikler, hatalı yapılandırma nedeniyle özetleme sürecine dahil edildi. Özellikle taslak klasörlerinde henüz paylaşılmamış müzakere metinleri, finansal projeksiyonlar veya düzenlenmemiş ifadeler yer alabileceği düşünüldüğünde, bu durumun potansiyel etkileri oldukça yüksek.
Gönderilmiş öğeler klasörü ise, müşteri, iş ortağı veya düzenleyici kurumlarla paylaşılan nihai içerikleri barındırdığı için ayrı bir önem taşıyor. Bu tür bilgilerin sohbet özetlerinde yer alması, kurum içindeki bilgilerin beklenenden daha geniş bir şekilde yayılmasına neden olabilir. Bu nedenle, Copilot’un bu içeriklere erişimi, veri güvenliği açısından ciddi bir tehdit oluşturuyor.
Sorunun altında yatan temel nokta, kullanıcıların e-postalarını manuel olarak Copilot’a kopyalayıp yapıştırmasının ötesinde, sistemin otomatik erişim davranışlarıyla ilgilidir. Sorun, kullanıcı hatasından ziyade arka plandaki erişim kontrol mekanizmasının beklenmedik bir şekilde çalışmasından kaynaklanıyor. Bu durum, hassas verilerin yapay zekâ destekli araçlarla işlenmesi sürecinde güvenlik sınırlarının ne kadar net çizildiğini sorgulatıyor.
Microsoft, durumu düzeltme yönünde adımlar attığını açıklasa da etkilenen kullanıcı sayısı ve sorunun ne kadar süreyle sürdüğü hakkında ayrıntılı bilgi paylaşmadı. Bu belirsizlik, güvenlik ekiplerinin olayın kapsamını değerlendirmesini zorlaştırıyor. Kurumsal BT yöneticileri için ilk öncelik, ilgili düzeltmenin kendi sistemlerine ulaşıp ulaşmadığını kontrol etmek. Ayrıca, Copilot’un “work tab” sohbet alanında etiketlenmiş e-postaları hâlâ özetleyip özetlemediğini test etmek de önemli bir adım.
Test sonuçlarının kayıt altına alınması ve denetim notlarıyla birlikte saklanması, gelecekte yapılacak güvenlik incelemeleri için kritik önem taşıyor. Ancak yalnızca teknik düzeltmelere güvenmek yerine, mevcut hassasiyet etiketleri ve DLP kurallarının gözden geçirilmesi de öneriliyor. Düzenlemeye tabi sektörlerde faaliyet gösteren firmaların daha kapsamlı bir inceleme yapması gerekebilir.
Bu gelişme, üretken yapay zekâ araçlarının kurumsal veriyle etkileşimini daha dikkatli bir şekilde yönetilmesi gerektiğini gösteriyor. Copilot gibi araçlar verimlilik sağlarken, veri erişim sınırlarının doğru bir şekilde tanımlanması büyük önem taşıyor. Güvenlik ekipleri için yalnızca teknik yamaların uygulanması değil, düzenli test ve doğrulama süreçlerinin de işletilmesi gerekiyor. Ayrıca çalışanların, yapay zekâ tarafından üretilen özetleri kesin doğru olarak algılamak yerine doğrulama alışkanlığı edinmeleri, olası riskleri azaltabilir.