Kurumlarınızda Gemini (Google’s Bard), ChatGPT (Microsoft), Rufus (Amazon) ya da yakında çıkması beklenen Apple veya Facebook’un generative AI programlarının kullanımı serbest mi? Yoksa kullanıldığından haberiniz yok mu?
Bahsedilen araçlara sorduğunuz her soru ve yazdırdığınız her yazı, bu araçların merkezdeki bilgisayarlarına gidiyor, depolanıyor ve bu yazılımların üzerinde çalıştıkları eğitim notları haline geliyor. Ticari casusluk için ideal değil mi? Bu üretken yapay zeka yazılımları, şirketlerin ilgili bölümündeki elemanların ne üzerine çalıştığını, yapılan sorgulardan biliyor. Merkezdeki yazılım, sorgu yapan kişilere yanıt olarak farklı bilgiler gönderiyor, bazen sorguları cevaplamıyor veya şirketlerin verilerini, kendisine bu hizmetin bedelini ödemiş bir başka kişi ya da şirkete gösterebiliyor. Peki kurumunuzdaki veri setlerini kullanacak bir AI uygulaması geliştirmeyi/geliştirtmeyi düşündünüz mü? Kodu tamamen sizde olan, dahilinizdeki verilerle çalışan… Bu durumda dış dünyadan bihaber olacaksınız ama toplantı notlarını sizin yazılımınız derleyecek. Onca insan-gün maliyeti ile oluşturulan rapor özetleri, rakiplerin birkaç tuş hareketi ile ellerinde olamayacak…
Peki GPT teknolojilerini kullanan yabancı yazılımları kullandığımızda, veri güvenliği konusunda ne kadar hassas olabiliriz? Yeni nesil toplantı notlarının derlemesini de AI yazılımları yapabiliyor; yüklenen bir raporu AI uygulaması okuyup bir yönetici özeti çıkarabiliyor. Yazılım yurt dışında ama kullanımı burada. Her türlü veri bu şekilde yurt dışına çıkıyor. Bu durumda GDPR, KVKK delinmiş olmuyor mu?
Veri korumanın temelinde sorumluluk ve şeffaflık yer alsa da AI araçları şimdilik bu konuda dışarıya karşı hayli ketum durumda. Pazarın büyükleri, müşterileri sadece kendilerine bağlamak, rakiplerinin de aynı havuzdan yararlanmalarını önlemek için ellerinden geleni yapacaklardır. Buna, ücretli yazılımları ücretsiz kullanmak da dahil olacak. Örneğin Microsoft, iş dünyasının bilgisayarlarında hala Office uygulamaları ile yerini sağlam tuttuğundan, Office365’in eriştiği her yerdeki veriyi/görüntüyü kullanıcının da yardımıyla kolaylıkla çekebilir, analiz edip saklayabilir. Her kullanıcının bilgisayarında konuşlanan programın bu kadar reklamının yapılması, aynı zamanda istihbarat birimlerinin de dikkatini çoktan çekmiş olmalı. Counterintelligence ekipleri de bu durumda boş durmayacak. Geçmiş dönemde Bill Gates’in “Netscape vs Explorer” çatışmasında aldığı tavır gibi, hatalı bilgileri yayabilirler, belki de çoktan yapmaya başlamışlardır…
Bu nedenle, herhangi bir AI uygulamasını kurum içinde kullanıma açmadan önce, siber güvenlik birimlerinin incelemesi gereken bir kontrol listesi oluşturulması kaçınılmaz bir gerçek. Peki nereden ve nasıl başlamalı?
1. Hangi AI uygulaması ve işlevleri kullanılmak isteniyor? Ücretsiz mi yoksa bedeli mukabili mi kullanılacak? Kurum içinde var olan yazılımlara ek olarak mı yoksa yalnız başına mı çalışacak? Sorulan soruların, sunulan verilerin hassasiyetini kim, nasıl kontrol edecek?
2. AI uygulamalarına özgün hukuk ve işletmenin onayladığı ticari şartlar sözleşmelerde yer alıyor mu?
3. AI uygulama sağlayıcının kabul ettiği hukuki ve ticari koşullar var mı?
4. Uygulama sağlayıcısı, verileriniz üzerinden kendisini eğitecek mi? Bunları kendi verisi gibi kullanacak mı?
5. Gelecekte nasıl bir geliştirme olacak ve kurumunuz bundan nasıl yararlanacak?
Veri korumakla mükellef birimler, AI ve kullanımı konusunda kurum içi yönergeleri hazırlamalı, dahili değerlendirmeleri yapmalı. Neredeki hangi data, hangi yöntemlerle kimlerce erişilebilir ve ne tip sorgulamalar için kullanılabilir, hangi tip/seviye toplantı notu AI’da üretilebilir, hangi raporun özeti oluşturtulabilir? Gelecekte bizi bekleyen tehlikeler neler olabilir? Tüm bunlar ve daha fazlası, üzerinde detaylı düşünülmesi elzem olan ve siber güvenlikçilerin gündeminde olması gereken konular…
