Yönetilen güvenlik hizmetleri sağlayıcısı (MSSP) Bridewell’in CEO’su Anthony Young, “2020’de yapay zekanın [artificial intelligence] Savunma stratejilerinin yeniden şekillendirileceği iyimser görünüyordu; bugün sade görünüyorlar.
Yapay zekanın gerçek dünyadaki siber saldırıları ne ölçüde yönlendirdiğini ve bu saldırıların gerçekte ne kadar ciddi olduğunu kesin olarak ölçmek hala zor olsa da, yapay zekanın siber savunmaları destekleyeceği fikrini tartışmak zor.
Aryaka’nın güvenlik mühendisliği ve yapay zeka stratejisinden sorumlu başkan yardımcısı Aditya Sood, 2025’e dönüp baktığında şunları söylüyor: “Yapay zeka destekli kod oluşturma, geliştirmeyi hızlandırdı ancak aynı zamanda modeller, eksik talimatlara dayalı boşlukları doldurduğunda mantık kusurlarını da ortaya çıkardı. Yapay zeka destekli saldırılar daha özelleştirilmiş ve ölçeklenebilir hale geldi, bu da kimlik avı ve dolandırıcılık kampanyalarının tespit edilmesini zorlaştırdı.”
Peki 2025 yılı bu temellerin temellerinin atıldığı yıl olduysa, 2026 yılı da betonun ciddi anlamda dökülmeye başladığı yıl olacak.
“Ders [of 2025] yapay zeka doğası gereği güvensiz değil miydi; AI, onu çevreleyen kontrolleri veya kontrol eksikliğini güçlendiriyordu. … Yapay zeka güvenliği, yüksek lisans eğitimleri de dahil olmak üzere ekosistemin tamamıyla ilgilidir [large language models]GenAI [generative AI] uygulamalar ve hizmetler, yapay zeka aracıları ve temel altyapı,” diyor Sood.
Olgunlaşan yaklaşımlar
Forescout’un güvenlik istihbaratı başkan yardımcısı Rik Ferguson, siber endüstrinin yapay zekaya yaklaşımının bu yıl olgunlaşacağını söylüyor.
“Savunma tarafında yapay zekanın daha ciddi ve daha az abartıya dayalı olarak benimsenmesini görmeyi bekliyorum: BT ve uzatma genelindeki zayıf sinyallerin ilişkilendirilmesi [operational technology]bulut ve kimlik, varlıkları ve riskleri sürekli olarak haritalandırıp önceliklendiriyor ve önceliklendirmeyi otomatikleştirerek analistler üzerindeki bilişsel yükü azaltıyor” diyor Ferguson.
Yapay zeka yalnızca müdahaleyi hızlandırmıyor; güvenlik profesyonellerinin becerilerini nasıl geliştireceklerini, konuşlandırılacaklarını ve sonuçta nasıl sorumlu tutulacaklarını tamamen yeniden tanımlayacak şekilde ayarlanmıştır.
Haris Plarinos, Kutuyu Hackle
Ancak bunun mutlaka işsiz siber analistlerin sokak köşelerinde durup “Gıda İçin Kırmızı Takım Olacak” yazan pankartlar taşıdıkları anlamına gelmediğini de ekliyor.
Ferguson, “Düzgün yapıldığında, bu insanları değiştirmekle ilgili değil; onlara düşünmeleri ve daha ödüllendirici şeylere dalmaları için kafa alanı vermekle ilgilidir” diyor.
Hack The Box’ın kurucu ortağı ve CEO’su Haris Pylarinos şunları ekliyor: “Yapay zeka yalnızca müdahaleyi hızlandırmak değil; güvenlik profesyonellerinin nasıl becerilerini geliştireceklerini, konuşlandırılacaklarını ve sonuçta nasıl sorumlu tutulacaklarını tamamen yeniden tanımlayacak şekilde tasarlandı.
“Sektör, becerilerin tespitten yargılamaya ve nasıl öğrenileceğini öğrenmeye doğru kaydığı bir aşamaya giriyor. Başarılı olan kuruluşlar, en çok otomasyonu gerçekleştirenler değil, iş gücü modellerini ve karar almayı akıllı sistemler etrafında yeniden tasarlayanlar olacak.”
Plarinos için bu yeni iş gücü modelleri, hibrit insan-yapay zeka ekibini kanıtlamaya odaklanacak. Geleceğin siber güvenlik profesyonellerinin teknoloji uzmanları değil, doğrulayıcılar, muhalif düşünürler ve davranışsal denetçiler olacağını öne sürüyor.
“En değerli siber güvenlik uygulayıcıları, gerçekçi koşullar altında yapay zeka davranışını baskı testine tabi tutabilen ve makine hızının insan muhakemesini geride bırakmamasını sağlayan kişiler olacaktır” diyor.
Bugcrowd CEO’su Dave Gerry’ye göre yapay zekanın kurumsal düzeyde benimsenmesinin yaygınlaşması, daha fazla insanı işin içinde tutmak için bir neden.
“Üretken yapay zeka sitelerine gelen trafik %50 arttı [between February 2024 and January 2025]Çalışanların %68’i ücretsiz katmanlı araçlar kullandı ve %57’si bunlara hassas veriler yapıştırdığını kabul etti. Bununla birlikte, yapay zeka tarafından oluşturulan istismarların ve yanlış bilgilerin zaten burada olduğunu hatırlamak çok önemli” diyor.
“Güvenlik topluluğunun, anında enjeksiyon gibi model manipülasyon tekniklerine odaklanması ve bu yapay zeka sistemlerini saldırganların gözüyle proaktif bir şekilde test etmesi gerekiyor. Kalabalık liderliğindeki testler, yeni ve gelişen saldırı vektörlerinde bile en güçlü savunmalarımızdan biri olmaya devam ediyor. Çeşitli insan araştırmacıları, başkalarının kaçırdıklarını yakalayabilir.”
Savunma geçişi
Bu arada Aryaka’dan Sood, güvenlik profesyonelinin değişen rolünü yönlendiren temel teknik geçişlere odaklanıyor.
Kuruluşların yapay zekaya (özellikle de aracılar şeklinde sunulan yapay zekaya) olan bağımlılıkları arttıkça güvenlik ekiplerinin önceliklerinin kusurlara ve diğer sorunlara yanıt vermekten ve bunları düzeltmekten kuruluş içindeki karar alma yollarını kontrol etmeye kayacağını göreceklerini öne sürüyor.
Siber güvenliğin geleceği sadece sistemlerin güvenliğini sağlamakla ilgili değil, aynı zamanda onları yönlendiren mantığı, kimliği ve özerkliği de güvence altına almakla ilgili
Aditya Sood, Aryaka
Bunun bir dizi “yeni” savunma stratejisini ortaya çıkaracağını söylüyor. İlk olarak, güvenlik ekiplerinin herhangi bir otomatik eylemi doğrulamak, yetkilendirmek, gözlemlemek ve potansiyel olarak tersine çevirmek için yapay zeka aracısı iş akışları etrafında yönetim katmanları oluşturduğunu göreceğiz.
Sood, “Odak noktası veriyi korumaktan davranışı korumaya kadar genişleyecek” diyor.
Siber ekiplerin ayrıca, aracılar ve diğer yapay zeka sistemleri hassas verileri taşırken, dönüştürürken ve çoğaltırken, verilerin sessiz yayılması, gölge veri kümelerinin oluşması ve istenmeyen erişim yollarının oluşması riskini de ele alması gerekecektir. Güçlü veri kökeni takibi ve hatta daha sıkı erişim kontrolleri bir zorunluluk olacaktır. Kullanıcı davranışı analitiği insan hesapları için gelişip olgunlaştığı gibi, yapay zeka için beklenen ve izin verilen davranışları oluşturmak için de aynısını tekrar yapması gerekecek.
2026’daki savunma stratejilerinin de değişen güven ortamlarına göre ayarlanması gerekecek. Yapay zeka kuruluşu tüm katmanlarda güven doğrulaması gerektiriyor; bu nedenle Sood, güvenlik ekiplerinin yapay zeka kimliklerinin, çıktılarının ve otomatik kararların sürekli denetime ve doğrulamaya tabi olduğu, güveni en aza indirilmiş mimarilere yönelmesi gerektiğini söylüyor.
Kimlik konusunda, insan olmayan kimlikler (NHI’ler) için daha güçlü yaşam döngüsü yönetimine de öncelik verilmelidir. Uyum zorunluluğu olarak sıfır güven de giderek daha önemli hale gelecek.
Son olarak, diyor Sood, siber saldırılar 2026’da yasal araçları kullanmaya devam edeceğinden, eylemlerin yalnızca gerçekleştiğini tespit etmek yerine “neden” gerçekleştiğini analiz etmeye çağrılan sistemlerle, gelişmiş amaca dayalı tespite ihtiyaç duyulacak.
“2025 bize güvenin silah haline getirilebileceğini öğrettiyse, 2026 da bize güveni daha güvenli ve daha bilinçli bir şekilde nasıl yeniden inşa edeceğimizi öğretecek. Siber güvenliğin geleceği sadece sistemlerin güvenliğini sağlamak değil, aynı zamanda onları yönlendiren mantığı, kimliği ve özerkliği de güvence altına almakla ilgilidir” diyor.
AI güvenli ve emniyetli bir şekilde nasıl satın alınır?
Advent IM ticari direktörü Ellie Hurst, 2026’da yapay zeka konusunda bilgili alıcıların BT tedarikçilerine giderek daha zor sorular soracağını söylüyor.
Hurst, birkaç yıl önce “Yapay Zekayı sorumlu bir şekilde kullanmak” hakkındaki basmakalıp metni kopyalayıp yapıştırmanın slayt gösterisine uçmuş olabileceğini, ancak 2026’da satış elemanının bunu denemeye cesaret ederse haklı olarak otoparka doğru kurbağa gibi yürüyeceğini söylüyor.
Hurst, “Özellikle hükümet, savunma ve kritik ulusal altyapıdaki kurumsal alıcılar artık yapay zekayı ağırlıklı olarak kendileri kullanıyor. Risk dilini anlıyorlar. Yapay zeka, veri koruma, operasyonel esneklik ve tedarik zincirine maruz kalma arasında bağlantılar kuruyorlar” diyor.
Kendisi, 2026’da satın alma ekiplerinin tedarikçilerinin yapay zekayı kullanıp kullanmadığını sormasının yeterli olmayacağını, bunun yerine onu nasıl yönettiklerini sormanın yeterli olacağını açıklıyor.
Hurst, 2025 yılı boyunca yapay zeka ile ilgili teklif taleplerinde ve ihale davetlerinde kullanılan dilin önemli ölçüde sertleştiğini, alıcıların veri egemenliği, insan gözetimi, model sorumluluğu ve veri koruma, güvenlik ve entelektüel uygun düzenlemeye uyum gibi konuları giderek daha fazla talep ettiğini söylüyor.
Bu değişiklik, yapay zekanın büyük ölçüde geçici olarak kullanıldığının ve çoğu BT liderinin kendi gözetiminde tam olarak ne olup bittiğini bildiklerini kesin olarak söyleyemediklerinin anlaşılması sayesinde gerçekleşiyor. Bütün bunlar büyük bir yönetişim, risk ve uyumluluk (GRC) baş ağrısına yol açıyor.
Ancak Hurst’a göre iyi haber şu ki bu durum tersine çevrilebilir. Doğru yapıldığında yapay zeka yönetişimi, yeniliği yavaşlatmak veya yasaklamakla ilgili değildir; kullanımının açıklanabilmesi, ölçeklenebilmesi ve kritik olarak savunulabilmesi için onu kurumsal GRC uygulamasına katmak anlamına gelir.
Alıcılar, yapay zekanın tedarikçilerinin hizmetlerinde nerede kullanıldığı, hangi iş akışlarının hassas verilere dokunduğu, hangi üçüncü taraf yapay zeka modellerinin veya platformlarının kullanıldığı ve insanların ne tür gözetime sahip olduğu hakkında sorular sormayı düşünmelidir. Hurst ayrıca alıcılara, siber de dahil olmak üzere yapay zeka yaşam döngüsü yönetimi için yeni bir standart olan ISO IEC 42001’e uygun tedarikçiler aramalarını tavsiye ediyor.
Sonuç olarak, eğer potansiyel tedarikçi yeterince hazırlıklıysa, daha geniş güvenlik ve GRC çerçevesinin bir parçası olarak yapay zekanın nasıl yönetildiğine dair net bir hikaye sunabilmeleri gerektiğini söylüyor.
Kazananlar ve kaybedenler
Yeni yıl henüz bir hafta oldu ve 2026’nın tam hikayesi elbette henüz yazılmadı. Kuşkusuz siber güvenlik dünyası için yine çalkantılı bir yıl olacak ancak Bridwell’den Young, 2026’nın güvenlik açısından en felaketli yıl olmasa bile yapay zekanın bizi bir uçuruma getirdiğini ve bundan sonra ortaya çıkacak olayların önümüzdeki 12 ayı gerçekten çok anlamlı kılabileceğini söylüyor.
Young şu sonuca varıyor: “Kuruluşların yatırımı yeniden canlandırmak, siber becerileri yeniden inşa etmek ve yapay zekayı sorumlu bir şekilde yönetmek için şimdi yapacağı seçimler, eğrinin dayanıklılığa mı yoksa daha fazla kırılganlığa mı doğru yöneleceğini belirleyecek.”