Siber Güvenlik Uzmanları Uyarıyor: Yapay Zekâ Hızla Yayılıyor Ancak Güvenliği İhmal Ediliyor
İngiltere Ulusal Siber Güvenlik Merkezi’nin (NCSC) CYBERUK 2025 konferansında çarpıcı bir gerçek ortaya çıktı. Yapılan konferansta kuruluşların yapay zekâyı hızla benimsediğini ancak güvenlik risklerini göz ardı ettiğini ortaya çıkardı.
Güvenlik Uzmanları Bile Yapay Zekâ Risklerini Tam Anlayamıyor
Mindgard CEO’su Peter Garraghan, 200 kişilik güvenlik odaklı bir kitleye iki basit soru sordu: “Kuruluşunuzda üretken yapay zekâyı yasakladınız mı?” Üç el kalktı. “Yapay zekâ sistemlerinin kontrolündeki güvenlik risklerini derinlemesine anladığınıza inanıyor musunuz?” Hiçbir el kalkmadı.
Garraghan, bu durum karşısında “Herkes üretken yapay zekâ kullanıyor ama sistemin ne kadar güvenli olduğu konusunda kimsenin fikri yok” sözleriyle durumu özetledi. Bu örnek, NCSC’nin neden kurumları gelişigüzel yapay zekâ kullanımından uzak tutmaya çalıştığını da açıklıyor.
NCSC, konferansın ilk gününde bu konuyla ilgili kapsamlı bir rapor yayınladı. Raporda, 2027 yılına kadar gelişmiş saldırganların yapay zekâ destekli saldırılarla kritik sistemleri hedef alma ihtimalinin “gerçekçi bir olasılık” olduğu belirtildi. Ayrıca, bu tehditlere karşı savunma için yapay zekâyı siber güvenlik altyapılarına entegre etmeyen kurumların, yeni nesil siber suçlular karşısında daha savunmasız hâle geleceği uyarısında bulunuldu.
Yapay Zekâ Güvenlik Önlemi Alınmadan Entegre Ediliyor
NCSC raporu, yapay zekânın kurumların sistemlerine hızla entegre edildiğini ve bunun genellikle güvenlik önlemleri sağlanmadan gerçekleştiğini vurguluyor. Şirketler hızla pazarda yer kapma telaşına düşerken, güvenli geliştirme ilkeleri çoğu zaman göz ardı ediliyor. Bu da doğrudan ve dolaylı saldırıların, yazılım açıklarının ve tedarik zinciri risklerinin daha kolay işletme sistemlerine sızmasına neden oluyor.
Peter Garraghan’ın verdiği örneklerden biri ise tehlikenin ne kadar yaygınlaştığını gösteriyor. Bir mum dükkanına ait yapay zekâ destekli sohbet robotu, satışları artırmak amacıyla geliştirilmişti. Ancak sistem doğru yapılandırılmadığı için basit bir güvenlik testiyle kırıldı. Bu durum hem güvenlik hem güvenlik dışı hem de ticari açıdan çeşitli riskleri beraberinde getirdi. Örneğin, kötü niyetli kullanıcılar sistemdeki açıklardan yararlanarak veri sızdırabilir, kullanıcıları tehlikeye atacak bilgiler ürettirebilir ya da firmanın ticari sırlarını öğrenebilir.
NCSC’nin uyarısına göre, veri işleme süreçlerinin ve yapılandırmaların güvenli olmaması hâlinde iletilen veriler dinlenebilir, kullanıcı bilgileri çalınabilir ve hedefli saldırılarla kurumlar istismar edilebilir. Bu senaryolar yalnızca teorik değil, hali hazırda yaşanmakta olan güvenlik açıklarının habercisi.
Tedarik Zinciri Saldırıları Artabilir
Raporda, özellikle yapay zekâyı güvenli şekilde entegre etmeyen kurumların tedarik zincirlerinde zayıf halka hâline gelebileceği belirtiliyor. Bu zafiyetlerin istismarı, tüm sektörel altyapılar için zincirleme tehditler yaratabilir. NCSC, tedarik zinciri güvenliğiyle ilgili yeni rehberler yayımlayarak şirketlerin riskleri daha iyi anlamasına ve yönetmesine yardımcı olmayı hedefliyor.
Bir NCSC yetkilisi, “Yapay zekâ destekli tehditlere karşı savunmasını güçlendirmeyen sistemler, tedarik zincirlerinde kırılganlık noktası olabilir. Bu durum ülkenin dijital altyapısını daha da savunmasız hâle getirir” açıklamasını yaptı.
Yapay zekâ tabanlı tehditlere karşı hazırlıklı olmak için NCSC, kurumlara sağlam bir siber güvenlik altyapısı kurmalarını öneriyor. Kuruluşlar için yıl boyunca yayımlanacak yeni rehber ve tavsiyelere dikkat çekiliyor. Ayrıca büyük teknoloji şirketlerine de tedarikçisi oldukları küçük işletmeleri bu tehditlere karşı korumakla ilgili daha fazla sorumluluk üstlenmeleri çağrısında bulunuluyor.
NCSC’ye göre siber tehdit aktörleri, yapay zekâyı hâlihazırda kendi saldırı tekniklerini güçlendirmek için kullanıyor. Bu nedenle hem kamu kurumları hem de özel sektör, bu gelişmelere karşı hızla önlem almalı.
