Microsoft Copilot tekoälyratkaisun tietoturva ja haavoittuvuudet: Uhka-analyysi ja suojausmenetelmien kehittäminen
Kähtävä, Stiina (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121134801
https://urn.fi/URN:NBN:fi:amk-2025121134801
Tiivistelmä
Opinnäytetyössä tutkittiin Microsoft Copilot tekoälyratkaisun tietoturvaa ja siihen liittyviä haavoittuvuuksia. Työn tarkoituksena oli tunnistaa Copilotin käyttöön liittyvät keskeiset riskit ja laatia niiden pohjalta uhka-analyysi, jota hyödyntäen kehitettiin suojausmenetelmiä tietoturvan vahvistamiseksi. Tavoitteena oli tuottaa ajantasaista ja sovellettavaa tietoa erityisesti niistä haavoittuvuuksista, jotka syntyvät Copilotin laajasta pääsystä Microsoft 365 ympäristön dataan ja käyttäjäkohtaisiin oikeuksiin.
Tietoperusta muodostui suurten kielimallien tietoturvariskeistä, tekoälyn eettisestä ja teknisestä turvallisuudesta sekä Microsoft Copilotin arkkitehtuuriin liittyvistä keskeisistä käsitteistä. Menetelmänä käytettiin laadullista dokumenttianalyysiä. Riskien järjestelmälliseen tunnistamiseen sovellettiin STRIDE uhkamallia, jonka avulla Copilotin tietoturvauhat voitiin luokitella ja arvioida eri näkökulmista.
Analyysi osoitti, että riskejä aiheuttivat tiedon paljastuminen, käyttöoikeuksien liiallinen laajuus sekä prompt-injektiot ja tilanteet, joissa RAG-arkkitehtuuri saattoi käyttää tietoa asiayhteyteen sopimattomalla tavalla. Copilotin havaittiin voivan yhdistää ja näyttää tietoa käyttäjälle, jolla ei tulisi olla siihen pääsyä, mikä tekee tiedonhallintakäytäntöjen ja dataluokittelun tasosta keskeisen turvallisuustekijän. Työssä kehitetyt suojausmenetelmät painottavat vahvaa identiteetinhallintaa, least privilege periaatteen mukaista käyttöoikeuksien hallintaa, datan luokittelua sekä ympäristön jatkuvaa auditointia ja valvontaa.
Tulokset osoittavat, että Copilotin turvallinen käyttöönotto edellyttää monikeroksista tietoturva-arkkitehtuuria, jossa tekniset ratkaisut ja käyttäjien toimintatavat tukevat toisiaan. Työtä voidaan hyödyntää organisaatioiden Copilot käyttöönotoissa, tietoturvakartoituksissa ja tekoälyn turvallisen käytön ohjeistuksissa. Lisäksi se tarjoaa yleisesti hyödynnettävää tietoa tekoälyjärjestelmien riskeistä ja niiden vaikutuksista organisaatioiden tiedonhallintaan
Tietoperusta muodostui suurten kielimallien tietoturvariskeistä, tekoälyn eettisestä ja teknisestä turvallisuudesta sekä Microsoft Copilotin arkkitehtuuriin liittyvistä keskeisistä käsitteistä. Menetelmänä käytettiin laadullista dokumenttianalyysiä. Riskien järjestelmälliseen tunnistamiseen sovellettiin STRIDE uhkamallia, jonka avulla Copilotin tietoturvauhat voitiin luokitella ja arvioida eri näkökulmista.
Analyysi osoitti, että riskejä aiheuttivat tiedon paljastuminen, käyttöoikeuksien liiallinen laajuus sekä prompt-injektiot ja tilanteet, joissa RAG-arkkitehtuuri saattoi käyttää tietoa asiayhteyteen sopimattomalla tavalla. Copilotin havaittiin voivan yhdistää ja näyttää tietoa käyttäjälle, jolla ei tulisi olla siihen pääsyä, mikä tekee tiedonhallintakäytäntöjen ja dataluokittelun tasosta keskeisen turvallisuustekijän. Työssä kehitetyt suojausmenetelmät painottavat vahvaa identiteetinhallintaa, least privilege periaatteen mukaista käyttöoikeuksien hallintaa, datan luokittelua sekä ympäristön jatkuvaa auditointia ja valvontaa.
Tulokset osoittavat, että Copilotin turvallinen käyttöönotto edellyttää monikeroksista tietoturva-arkkitehtuuria, jossa tekniset ratkaisut ja käyttäjien toimintatavat tukevat toisiaan. Työtä voidaan hyödyntää organisaatioiden Copilot käyttöönotoissa, tietoturvakartoituksissa ja tekoälyn turvallisen käytön ohjeistuksissa. Lisäksi se tarjoaa yleisesti hyödynnettävää tietoa tekoälyjärjestelmien riskeistä ja niiden vaikutuksista organisaatioiden tiedonhallintaan