Yapay zeka (AI), günümüz teknolojisinin en çarpıcı ilerlemelerinden biri olarak, her geçen gün daha fazla ilgi çekmeye ve hayatımızın birçok alanında kendine yer bulmaya devam ediyor. ChatGPT‘nin 2022’nin sonlarında piyasaya sürülmesiyle başlayan bu ilgi dalgası, AI’nin topluma sağlayabileceği faydaların yanı sıra, bu teknolojinin güvenli ve sorumlu bir şekilde geliştirilmesinin önemini de gündeme getiriyor. Özellikle AI’nin gelişim hızının yüksek olduğu ve potansiyel risklerin henüz tam olarak bilinmediği bir dönemde, güvenlik konusundaki endişeler kaçınılmaz olarak öne çıkıyor. Bu bağlamda, yöneticilerin, yönetim kurulu üyelerinin ve üst düzey yöneticilerin, teknik uzman olmasalar bile AI’dan kaynaklanabilecek potansiyel riskler hakkında bilgi sahibi olmaları ve bu konularda anahtar personelle tartışmalar yapabilmeleri gerekiyor.
Yapay Zeka Nedir?
Yapay zeka, genellikle insan zekasını gerektiren görevleri yerine getirebilen herhangi bir bilgisayar sistemini tanımlamak için kullanılan bir terimdir. Bu, görsel algılama, metin üretimi, konuşma tanıma veya diller arası çeviri gibi işlemleri içerebilir. Son dönemde, özellikle DALL-E gibi araçlar tarafından doğal dil tanımlarından dijital görüntüler oluşturabilen generatif AI araçları dikkat çekiyor. Gelecekteki modellerin, daha geniş bir yelpazede içerik üretebilme kapasitesine sahip olması bekleniyor, ancak yapay genel zeka – otonom bir sistemin insan yeteneklerini aşan distopik gelecek vizyonu – gerçeğe dönüşüp dönüşmeyeceği konusunda henüz bir fikir birliği yok.
Yapay zeka (AI) Nasıl Çalışır?
Çoğu Yapay zeka aracı, insan geliştiricilerin açıkça programlaması gerekmeden veri içindeki desenleri bulabilen veya otomatik olarak sorunları çözebilen makine öğrenimi (ML) teknikleri kullanılarak inşa edilir. Örneğin, büyük dil modelleri (LLMs), insan tarafından oluşturulan içeriği taklit eden farklı metin stilleri üretebilen bir tür generatif AI’dır. Bu sağlanırken, bir LLM, tipik olarak internetten toplanan büyük miktarda metin tabanlı veri üzerinde “eğitilir”. Bu eğitim süreci, içeriğin tamamının filtrelendiği bir hacme sahip olduğundan, modelin içinde “tartışmalı” (veya basitçe yanlış) materyal bulunması muhtemeldir.
Yapay Zekaya İlgi Neden Bu Kadar Fazla?
ChatGPT‘nin 2022 Aralık ayında piyasaya sürülmesiyle birlikte, hem iç hem de müşteri kullanımı için AI entegrasyonlarına sahip ürün ve hizmetler geliştiren organizasyonlar gördük. Bu, geniş bir kitle arasında AI’nin diğer uygulamalarına olan ilgiyi artırdı. NCSC (Ulusal Siber Güvenlik Merkezi), AI’nin tam potansiyelinden herkesin faydalanabilmesini istiyor. Ancak, AI’nin fırsatlarının tam olarak gerçekleşebilmesi için, güvenli ve sorumlu bir şekilde geliştirilmesi, dağıtılması ve işletilmesi gerekiyor. Siber güvenlik, AI sistemlerinin güvenliği, direnci, gizliliği, adil olması, etkinliği ve güvenilirliği için gereklidir.
Yapay Zeka Kullanımında Siber Güvenlik Riskleri Nelerdir?
Generatif Yapay zeka, özellikle LLM’ler, farklı durumlarda ikna edici içerik üretebilme yeteneğiyle kuşkusuz etkileyicidir. Ancak, bu araçlar tarafından üretilen içerik, yalnızca üzerinde eğitildikleri veri kadar iyidir ve teknoloji, aralarında ‘AI halüsinasyonu’ olarak bilinen yanlış beyanları gerçekler olarak sunma kusuru da dahil olmak üzere bazı ciddi kusurlar içerir. Ayrıca, öncü sorulara karşı genellikle önyargılı ve saf olabilir, zehirli içerik oluşturmaya kandırılabilir ve ‘istismar enjeksiyon saldırılarına’ karşı savunmasızdır. Veri zehirleme saldırıları, bir AI modelinin eğitildiği verilere müdahale edilerek istenmeyen sonuçların üretilmesi durumudur ve LLM’ler özellikle üçüncü taraf uygulamalara ve hizmetlere veri aktarmak için giderek daha fazla kullanıldıkça, bu saldırılardan kaynaklanan riskler artacaktır.
Liderler AI’nin Güvenli Bir Şekilde Geliştirilmesini Nasıl Sağlayabilir?
NCSC ve ABD’nin Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) ile 17 diğer ülkenin ajanslarının geliştirdiği Güvenli AI Sistem Geliştirme İlkeleri, AI sistemlerinin tasarımı, geliştirilmesi, dağıtımı ve işletilmesi konusunda tavsiyelerde bulunur. Bu ilkeler, geliştiricilere uygulanacak statik bir adım listesi sağlamaktan ziyade, kuruluşların güvenli sonuçlar elde etmelerine yardımcı olur. AI bileşenleri içeren sistemlerin genel güvenliğini düşünerek, bir organizasyonun tüm düzeylerindeki paydaşlar, sistem başarısızlığına yanıt vermek ve bunlara bağlı kullanıcılar ve sistemler üzerindeki etkiyi uygun şekilde sınırlamak için hazırlanabilir.
Özellikle, Yapay zeka sistemlerini güvenli tutmak, teknik önlemler kadar organizasyon kültürü, süreç ve iletişimle de ilgilidir. Güvenlik, organizasyonunuzdaki tüm AI projeleri ve iş akışlarına başlangıçtan itibaren entegre edilmelidir. Bu, ‘güvenli tasarım’ yaklaşımı olarak bilinir ve güvenliğin yalnızca teknik bir düşünce değil, iş önceliği olduğundan emin olmayı gerektiren güçlü liderlik gerektirir.
Liderler, bir AI sisteminin bütünlüğü, kullanılabilirliği veya gizliliği tehlikeye girerse organizasyona ne gibi sonuçlar doğurabileceğini anlamalıdır. Operasyonel ve itibar kaybı gibi sonuçlar olabilir ve organizasyonunuzun uygun bir yanıt planı olmalıdır. Yöneticiler olarak, ayrıca AI ile ilgili veri güvenliği konusundaki endişelerin farkında olmanız özellikle önemlidir. Organizasyonunuzun, bu sistemlerle ilgili verileri ele alırken yasal olarak uygun olduğunu ve kabul edilen en iyi uygulamalara uyduğunu anlamalısınız.
AI ürünlerinin güvenli kullanımı konusundaki yükün bireysel kullanıcılara düşmemesi de önemlidir; müşteriler genellikle AI ile ilgili riskleri tam olarak anlamak veya ele almak için gerekli uzmanlığa sahip olmayacaktır. Yani, AI modelleri ve sistemleri geliştirenler, müşterilerinin güvenlik sonuçlarından sorumlu olmalıdır.
NCSC‘nin AI Güvenlik İlkeleri ek olarak, kuruluşların ML kullanımı konusunda bilinçli kararlar almasına ve bunun getirebileceği riskleri değerlendirmesine yardımcı olmak için bağlam ve yapı sağlar. İlkelerin bazıları, özellikle üst düzey karar verme ve yönetici veya yönetim kurulu düzeyindeki rollerde olanlar için özellikle önemlidir. Bu ilkeler, ilkelerin ön sayfasındaki hızlı referans tablosunda vurgulanmıştır.
Organizasyonunuzun AI Sistemlerinin Güvenliği Hakkında Sorulacak Sorular
Yöneticiler, yönetim kurulu üyeleri ve üst düzey yöneticiler, organizasyonunuzun AI/ML tehdidiyle nasıl başa çıktığını anlamanıza yardımcı olmak için teknik ve güvenlik personeliyle tartışmalarda aşağıdaki soruları kullanabilir.