Bir önceki yazımda, Kıbrıs firmaları için en çok göz ardı edilen yapay zeka riskinin makinelerin "kontrolden çıkması" olmadığını savunmuştum.
Risk çok daha basit.
Yapay zeka, sistemlerinizde zaten var olan yetkileri kullanıyor ve bu yetkilerin büyük bölümü makineler düşünülerek tasarlanmadı.
O halde sıradaki soru çok pratik: Yapay zeka günlük işlerinize zaten katılıyorsa, gerçekte neyi görmeye ve yapmaya yetkili?
Yaygın bir senaryoyu ele alalım. Lefkoşa merkezli bir profesyonel hizmet firması, taslak hazırlama ve özetleme sürecini hızlandırmak için bir yapay zeka asistanını belge platformuna bağlıyor. Çalışanlar bu sistemi seviyor ve hızla benimsiyor. Bir hafta içinde arama yapma, madde çıkarma ve müşteri yanıtları hazırlama işlerinde varsayılan araç haline geliyor. Ardından bir müşteri durum tespiti sorusu soruyor: "Yapay zekanız tam olarak neye erişebiliyor?" Firma bu soruya güvenle yanıt veremiyor çünkü yapay zeka, asistanın görevinin gerektirdiğinden çok daha fazlasını gören ortak bir hesap altında çalışıyor.
Hiçbir arıza yaşanmadı. Sistem tam olarak yetkilendirildiği şeyi yapıyor. İşte makine yetkisi budur.
Kuruluşlar yıllarca erişim yapılarını insanlar etrafında kurdu. Çalışanlar işe başlıyor, kimlik bilgileri alıyor ve rollerine uygun izinler veriliyor. Ayrıldıklarında erişim iptal ediliyor. Model kusursuz değil ama ilke açık: yetki, tanımlanabilir insanlar üzerinden akıyor.
Yapay zeka bu varsayımı temelden yıkıyor.
Yapay zeka; kimlik bilgileri, izinleri ve erişim kapsamıyla iş akışlarının içinde çalışan insan dışı bir aktör. Onu bir özellik gibi ele alırsanız, mevcut tüm yetkileri sessizce devralacaktır. Bir aktör gibi ele alırsanız, onu yönetebilirsiniz.
Kıbrıs firmalarının çoğu için uygulanabilir bir yaklaşım karmaşık değil. Üç disiplinli değişiklik gerektiriyor.
Birincisi: Yapay zekaya kendi kimliğini verin.
Yapay zeka sistemlerini üst düzey çalışanların hesapları veya eski entegrasyon projeleri için oluşturulmuş geniş kapsamlı hizmet hesapları altında çalıştırmayın. Her yapay zeka sistemi için tanımlanmış bir iş işlevine bağlı, amaca yönelik makine kimlikleri oluşturun. Bu size hesap verebilirlik sağlar; sistemin tam olarak neye eriştiğini görebilirsiniz. Ayrıca kontrol de sağlar çünkü insan kullanıcıları etkilemeden erişimi askıya alabilirsiniz.
İkincisi: İzinleri gerekli minimumla sınırlayın.
Yapay zeka sistemlerinin çoğunun kurumsal çapta görünürlüğe ihtiyacı yoktur. Müşteri hizmetleri özetleyicisinin finans klasörlerine erişmesi gerekmez. Hukuki taslak hazırlama asistanının pazarlama dosyalarını görmesi gerekmez. Erişimi daraltmak, hata ve yanlış yapılandırma durumlarında patlama yarıçapını azaltır.
Uygulamada kural basittir: Yapay zeka yalnızca açıkça onaylanmış veri setlerine, klasörlere veya dosyalara erişmelidir. Sistemin rolü "aktif müşteri dosyaları" ise kapatılmış dosyaları okuyamamalıdır. Rolü "gelen sorguları özetlemek" ise tüm belge kitaplığında arama yapamamalıdır.
Üçüncüsü: Yetkiyi görünür ve iptal edilebilir kılın.
Yapay zeka makine hızında çalışıyor. Bu da birçok firmanın hâlâ isteğe bağlı saydığı iki yeteneğe ihtiyaç duyduğunuz anlamına gelir: denetim izleri ve acil durdurma mekanizması.
Bir yapay zeka sisteminin neye ve neden eriştiğini yeniden oluşturamıyorsanız, risk durumunuzu bir yönetim kuruluna, denetçiye, sigortacıya veya büyük bir müşteriye inandırıcı şekilde açıklayamazsınız. Bir şeyler ters gittiğinde erişimi derhal askıya alamıyorsanız, yetkiyi kontrol etmiyorsunuz demektir. Sadece düzgün davranmasını umuyorsunuz.
Bu yalnızca iyi bir uygulama değil. Düzenlemelerin gittiği yönle de örtüşüyor.
Kıbrıs, NIS2 direktifini ulusal hukuka aktardı. Bu direktif, yönetim organlarından siber güvenlik risk yönetimi tedbirlerini onaylamasını, uygulamayı denetlemesini ve başarısızlıklardan sorumlu tutulmasını açıkça bekliyor. DORA, Ocak 2025'ten itibaren kapsamdaki finansal kuruluşlar için uygulanabilir hale geldi; yönetişim, olay yönetimi, dayanıklılık testleri ve üçüncü taraf teknoloji riski konusundaki standartları yükseltiyor. AB Yapay Zeka Yasası ise yapay zeka yönetişiminin bazı bölümlerini, şeffaflık ve izlenebilirlik dahil, uygulanabilir yükümlülüklere dönüştürüyor.
Yerel denetim otoriteleri de aynı yönde ilerliyor. CySEC, olay raporlama konusundaki zayıflıklara dikkat çekti ve iyi belgelenmiş bir BİT risk yönetimi çerçevesi, bağımsız gözetim ve düzenli denetim ihtiyacını vurguladı.
Kıbrıs için sonuçlar düzenlemelerin ötesine geçiyor. Ticari boyutu da var.
Adanın ekonomisi sınır ötesi güvene dayanıyor: yatırım hizmetleri, ödeme sistemleri, profesyonel hizmetler, fintech ve uluslararası müşterilere hizmet veren dijital varlık işletmeleri. Bu pazarlarda durum tespiti giderek daha spesifik hale geliyor. Müşteriler yalnızca yapay zeka kullanıp kullanmadığınızı değil, onu nasıl kontrol ettiğinizi bilmek istiyor.
Asıl rekabet ayrımı da tam burada oluşuyor. Yapay zekayı benimseyen firmalarla benimsemeyenler arasında değil; yapay zekalarının neyi görmeye ve yapmaya yetkili olduğunu sade bir dille açıklayabilen firmalarla açıklayamayanlar arasında.
Yapay zeka zaten birçok kurumun içinde faaliyet gösteriyor.
Geriye kalan tek soru, onun yönetilmeyen bir misafir olarak mı yoksa kontrollü bir katılımcı olarak mı geldiğidir.
Makine yetkisini şimdi tanımlayan firmalar yalnızca riski azaltmakla kalmayacak. Daha hızlı hareket edecek, zor sorulara güvenle yanıt verecek ve yapay zeka yönetişimini bir güven avantajına dönüştürecek.
Çünkü makine aktörleri çağında en önemli yönetişim sorusu artık çalışanlarınızın ne yapmaya yetkili olduğu değil, yazılımınızın halihazırda hangi yetkileri kullandığıdır.
*Petros Nearchou, ABD merkezli bir Kurumsal Siber Güvenlik ve Kimlik Erişim Yönetimi firmasının direktörüdür.
