Yapay zekâ yatırımları hızla artarken, kurumların gözden kaçırdığı güvenlik riskleri de büyüyor. Global AI & Cybersecurity Strategist Gökhan Tatar, yapay zekâ güvenliğinin geleceğini, kurumların en büyük hatalarını ve CIO’lar ile CISO’ların öncelik vermesi gereken kritik başlıkları BT Günlüğü’ne anlattı.
Üretken yapay zekâ teknolojilerinin iş dünyasında hızla yaygınlaşması, kurumlara önemli verimlilik avantajları sunarken beraberinde yeni siber güvenlik risklerini de getiriyor. Yapay zekâ güvenliği alanında uzun yıllardır çalışmalar yürüten ve son olarak “Yapay Zekânın Siber Güvenliği” kitabını yayımlayan Global AI & Cybersecurity Strategist Gökhan Tatar ile yapay zekâ çağında kurumların karşı karşıya olduğu tehditleri, güvenlik stratejilerini ve geleceğin risklerini konuştuk.
“Yapay Zekânın Siber Güvenliği” kitabınızı yazmaya sizi motive eden temel unsur ne oldu? Bu kitabın özellikle hangi boşluğu doldurmasını hedeflediniz?
Yapay zekâ son birkaç yılda teknoloji dünyasının en hızlı büyüyen alanlarından biri haline geldi. Ancak dikkatimi çeken önemli bir konu vardı: Kurumlar yapay zekâ yatırımlarını hızlandırırken, güvenlik boyutu çoğu zaman aynı hızda ele alınmıyordu. Bulut dönüşümünde, mobil dönüşümde ve dijital dönüşüm süreçlerinde yaşadığımız güvenlik problemlerinin benzerlerini bugün yapay zekâ ekosisteminde yeniden görmeye başladık.
Kitabı yazarken temel amacım, yapay zekâ güvenliğini yalnızca teknik uzmanların değil; yöneticilerin, karar vericilerin ve teknoloji ekiplerinin de anlayabileceği bir çerçevede ele almaktı. Özellikle yapay zekâ sistemlerine yönelik yeni nesil tehditler, veri güvenliği, model güvenliği, saldırı senaryoları ve yönetişim konularında Türkçe kaynak eksikliğini gidermeyi ve bu alanda yapay zekaya ilgi duyan bir çok meslek grubununda bu konu hakkında ilgisini çekmeyi ve tecrübelerimi paylaşmayı hedefledim.
Yapay zekâ teknolojileri kurumlar için büyük fırsatlar sunarken aynı zamanda yeni güvenlik risklerini de beraberinde getiriyor. Bugün kurumların en fazla göz ardı ettiği yapay zekâ kaynaklı siber güvenlik tehditleri nelerdir?
Bugün kurumların en fazla göz ardı ettiği risklerin başında veri sızıntıları ve regülasyon riskleri geliyor. Çalışanlar üretken yapay zekâ araçlarını kullanırken farkında olmadan hassas şirket verilerini, müşteri bilgilerini veya fikri mülkiyet içeren içerikleri dış sistemlere aktarabiliyor. Çokça aktarıldığı ve kamu oyu ile paylaşılan ve paylaşılamayan çokça kurumdan haberdarız.
Bunun yanında model manipülasyonu, Prompt Injection saldırıları, yetkisiz veri erişimi, gölge yapay zekâ (Shadow AI) kullanımı ve yapay zekâ ajanlarının kontrolsüz yetkilendirilmesi önümüzdeki dönemde daha fazla gündeme gelecek. Birçok kurum hâlâ yapay zekâyı bir uygulama olarak görüyor. Oysa yapay zekâ artık erişim sahibi, karar verebilen ve farklı sistemlerle etkileşime girebilen bir dijital varlık haline geliyor.
Son dönemde üretken yapay zekâ platformlarının yaygınlaşmasıyla birlikte saldırı yüzeyleri de genişledi. Sizce önümüzdeki birkaç yıl içerisinde en kritik AI Security riskleri hangileri olacak?
Önümüzdeki dönemde özellikle AI Agent güvenliği en kritik başlıklardan biri olacak. Çünkü artık sadece soru cevaplayan sistemlerden değil, işlem yapan, karar veren ve diğer sistemlerle etkileşime giren otonom yapılardan bahsediyoruz.
Bunun yanında Prompt Injection saldırıları, model tedarik zinciri riskleri, eğitim verisinin manipülasyonu, zararlı araç entegrasyonları ve yapay zekâ destekli sosyal mühendislik saldırılarının ciddi şekilde artacağını düşünüyorum.
Bugün birçok kurum yapay zekâyı üretkenlik aracı olarak görüyor. Ancak birkaç yıl içerisinde bu sistemler operasyonel süreçlerin doğrudan parçası olacak. Bu da yapay zekâ güvenliğini BT güvenliğinin ayrı bir disiplini haline getirecek.
Yapay zekâ artık sadece saldırganların değil, savunma ekiplerinin de önemli bir aracı haline geliyor. Kurumlar yapay zekâyı siber güvenlik operasyonlarında nasıl daha etkin kullanabilir?
Yapay zekâ özellikle SOC operasyonlarında, tehdit avcılığında, olay müdahalesinde ve güvenlik analitiğinde ciddi avantajlar sağlıyor. Güvenlik ekiplerinin her gün karşılaştığı alarm yoğunluğu düşünüldüğünde, yapay zekâ destekli analiz mekanizmaları olay önceliklendirme ve korelasyon süreçlerinde önemli verimlilik sağlayabiliyor.
Ancak burada önemli olan nokta, yapay zekâyı uzmanlığın yerine koymak değil; uzmanlığı güçlendiren bir yardımcı olarak konumlandırmak. En başarılı kurumlar, insan uzmanlığı ile yapay zekâ destekli karar mekanizmalarını birlikte kullanan kurumlar olacak.
Kitabınızda ele aldığınız konular arasında sizi en fazla düşündüren veya iş dünyasının henüz yeterince farkında olmadığını düşündüğünüz bir başlık var mı?
Beni en fazla düşündüren konu, yapay zekâya duyulan kontrolsüz güven. Tarih boyunca yeni teknolojiler önce verimlilik vaatleriyle yaygınlaştı, güvenlik ve yönetişim boyutu ise daha sonra gündeme geldi.
Bugün birçok kurum yapay zekâ sistemlerinin ürettiği sonuçları yeterli doğrulama süreçlerinden geçirmeden kullanabiliyor. Oysa gelecekte yapay zekâ sistemlerinin karar süreçlerindeki etkisi arttıkça güven, doğrulanabilirlik ve yönetişim konuları çok daha kritik hale gelecek.
Türkiye’deki kurumların yapay zekâ güvenliği konusundaki olgunluk seviyesini nasıl değerlendiriyorsunuz? Global ölçekte baktığınızda hangi alanlarda gelişime ihtiyaç duyuyoruz?
Türkiye’de yapay zekâ farkındalığının son iki yılda ciddi şekilde arttığını görüyorum. Birçok kurum artık yapay zekâyı stratejik gündemine aldı. Ancak güvenlik tarafında henüz kurumsal olgunluk seviyesinin erken aşamalarda olduğunu söyleyebiliriz.
Global ölçekte öne çıkan kurumlar; yapay zekâ yönetişimi, veri sınıflandırması, model güvenliği, erişim kontrolleri ve AI Risk Management Framework gibi konulara yatırım yapıyor. Türkiye’de de benzer şekilde teknik yatırımların yanında politika, süreç ve yönetişim çalışmalarının hızlanması gerektiğini düşünüyorum.
Son olarak, BT Günlüğü okuyucuları arasında yer alan CIO’lar, CISO’lar ve teknoloji liderleri için bir mesaj vermek isteseniz, yapay zekâ çağında siber güvenlik stratejilerini oluştururken hangi üç konuya öncelik vermelerini önerirsiniz?
Birinci öncelik görünürlük. Kurum içinde hangi yapay zekâ araçlarının kullanıldığını, hangi verilerin işlendiğini ve hangi modellerin devrede olduğunu bilmeden güvenlik sağlamak mümkün değildir.
İkinci öncelik yönetişim. Yapay zekâ kullanım politikaları, veri koruma prensipleri, erişim yetkilendirmeleri ve risk değerlendirme süreçleri işin merkezinde olmalıdır.
Üçüncü öncelik ise güvenliği mimarinin bir parçası haline getirmek. Yapay zekâ projeleri tamamlandıktan sonra güvenlik eklemek yerine, güvenlik gereksinimlerinin tasarım aşamasından itibaren ele alınması gerekir.
Önümüzdeki dönemde yapay zekâ stratejisi ile siber güvenlik stratejisi birbirinden ayrı düşünülemeyecek. Kurumlar için asıl rekabet avantajı sadece yapay zekâ kullanmak değil, yapay zekâyı güvenli ve sürdürülebilir şekilde kullanabilmek olacak.
