3. Taraf Risk Yönetimi, Yapay Zeka ve Makine Öğrenimi, Yönetişim ve Risk Yönetimi
Artan Üçüncü Taraf İhlali Trendi Yapay Zeka Tedarikçilerine Yayılıyor
Rahul Neel Mani (@rneelmani) •
13 Ocak 2026
Korean Air’in on binlerce çalışanına ait hassas verileri kaybettiğine ilişkin raporlar ortaya çıktığında, olay başlangıçta rutin bir veri ihlali olarak görüldü.
Ayrıca bakınız: Geleneksel M365 Veri Koruması Artık Yeterli Değil
Ancak kısa süre sonra gelen raporlar, bu ifşanın uçak içi yemeklerden ve gümrüksüz perakende satış operasyonlarından sorumlu bir catering tedarikçisine yönelik bir tedarik zinciri saldırısından kaynaklandığını gösterdi. Ancak satıcı, CVE-2025-61882 olarak takip edilen kritik önemdeki bir güvenlik açığını içeren Oracle E-Business Suite’i çalıştırıyordu. Kusur, Ekim 2025’in başlarında, birçok işletmenin saldırganlardan erişim kazanmak ve verileri çalmak için bu kusurdan yararlandıklarını iddia eden e-postalar almalarının ardından keşfedildi.
Bu, Korean Air’in temel BT ortamındaki bir arıza değildi; ihlal, güvenilir bir yukarı akış sisteminden geldi. Bu ayrım önemlidir çünkü üçüncü taraf yazılımlardan (ve şimdi de yapay zeka platformlarından) kaynaklanan tedarik zinciri risklerinin, havayolları gibi kritik altyapı sektörleri de dahil olmak üzere büyük işletmelerde nasıl ortaya çıktığını yansıtıyor.
Yazılım Bağımlılıklarından Zeka Bağımlılıklarına
Teknoloji tedarik zincirleri kusursuz değildir. Tipik olarak, BT organizasyonları satıcıları listeler, bağımlılıkları haritalandırır, sözleşmeye bağlı kontrolleri müzakere eder ve üçüncü taraf risk yönetimi çerçevelerini uygular. İhlaller meydana geldiğinde patlama yarıçapı genellikle nispeten statik yazılım ilişkileriyle sınırlanıyordu.
Yapay zeka çağına hızlı bir şekilde ilerleyin ve bu işletim modeli ortadan kaldırılıyor. Modern yapay zeka ortamları, dinamik harici temel modeller, sayısız API, açık kaynak bileşenleri, dahili ve harici sistemler genelinde sürekli veri hatları ve varsayılan yapay zeka yetenekleri üzerine kuruludur. Bu bağımlılıklar yalnızca teknik değildir. Kararların kuruluş genelinde nasıl alınacağını, otomatikleştirileceğini ve ölçeklendirileceğini şekillendirirler.
Kore Hava Kuvvetleri’nin ihlali, operasyonel bağımlılığın görünürlüğü geride bıraktığı durumlarda neler olabileceğinin mükemmel bir örneğidir. İkram tedarikçisi, havayolu operasyonlarına derinden dahil olmuştu. Oracle E-Business Suite yukarı yönde başarısız olduğunda risk aşağı yönde aktı. Yapay zeka aynı bağımlılık yapısını çok daha yüksek bir hızla sunabilir. İşletmelerin artık sadece tedarikçilerden yazılım tüketmediğini kabul edelim. Ayrıca temel iş akışlarına zekayı, karar mantığını ve akıl yürütmeyi de aktarıyorlar. Buna, stres altında yazılım tedarik zincirinden çok farklı davranan bir istihbarat tedarik zinciri demek abartı olmaz.
Yapay Zeka Tedarik Zinciri Riskinin Kontrol Altına Alınması Neden Daha Zor?
Yapay zeka tedarik zincirleri, dinamik olmaları nedeniyle geleneksel yazılım tedarik zincirlerinden farklıdır. Veriler aralıklı olarak değil sürekli olarak akar. API’ler karmaşıklığı soyutlarken kaynağı gizler. Çoğu zaman, AI özellikleri, SaaS platformlarında çok fazla mimari inceleme yapılmadan örtülü olarak tanıtılmaktadır.
Minimum kurumsal görünürlük devam ediyor. Kuruluşların çoğunluğu, büyük dil modellerinin kendi ortamlarında nerede çalıştığını, hangi modellerin hangi uygulamalar tarafından çağrıldığını ve modeller tarafından tüketilen verileri belirlemeye yönelik güvenilir yöntemlerden yoksundur. Derhal ele alınmazsa bu durum bir yönetim kabusuna dönüşebilir.
Güvenlik uzmanları, yapay zeka modeli kökeni ve bağımlılık takibinin mevcut durumunu “Vahşi Batı” olarak tanımlıyor. Bu ne anlama geliyor? Yazılım malzeme listesi gibi geleneksel yapılar, sürekli gelişen modeller ve olasılıklı sistemler için tasarlanmamıştır. Modeller, API’ler ve veri kümeleri hakkında kapsamlı bilgi olmadan her şey bir tahmin veya spekülasyondan ibaret olur.
Gartner: Strateji Bağımlılık Konusunda Geride Kalıyor
Bu çerçevede Gartner, kuruluşların yalnızca %23’ünün resmi bir yapay zeka stratejisine sahip olduğunu buldu. İyi tanımlanmış bir yapay zeka stratejisi, kurumsal dikkatlilik ve erken aşama olgunluğu anlamına gelir. Ancak Gartner verileri, yapay zekanın benimsenmesinin yapay zeka yönetişimini geride bıraktığını gösteriyor.
Hepsi olmasa da çoğu kuruluş yapay zekayı aşamalı olarak ve çoğu zaman görünmez bir şekilde benimsiyor. Yaklaşımları, belirli kullanım durumları için pilot çalışmalar başlatmak, SaaS platformlarına yapay zeka özelliklerini yerleştirmek ve geliştirici odaklı entegrasyonları mümkün kılmaktır. Birkaçı da harici API’lerle hızlı deneyler yapabilir. Bu yaklaşımda eksik olan, yapay zekayı yalnızca bir araç olarak değil, bir tedarik zinciri olarak ele alan bir mimari ve yönetişim çerçevesidir. Bu, açık bir sahiplik olmadan veri hattının yayılmasına neden oldu. Yapay zeka riskine ilişkin sorumluluk yaygındır: BT, güvenlik, veri ekipleri ve hatta iş paydaşları da dahil olmak üzere herkese aittir. Korean Air’in ihlali, bu dinamiklerin geleneksel yazılım ekosistemlerinde nasıl işlediğini gösteriyor. Yapay zeka tedarik zincirindeki başarısızlıklar çok daha büyük sistemik etkiye yol açıyor gibi görünüyor.
Veri Boru Hatları En Az Yönetilen Varlık mı?
Veri hattı, yapay zeka tedarik zincirindeki en önemli risktir. Yapay zeka sistemleri değerlerini eğitim, çıkarım ve sürekli öğrenme için aldıkları verilerden alır. Ancak birçok kuruluş hâlâ verileri statik bir varlık olarak ele alıyor.
Bu veri hatları dahili operasyonel sistemleri, iş ortağı sistemlerini, üçüncü taraf API’leri ve hatta harici yapay zeka hizmetlerini kapsar ve güvenlik, gizlilik ve güven riskleri oluşturabilir. Güvenliği ihlal edilmiş bir veri hattı yalnızca ihlale neden olmaz. Aynı zamanda karar sonuçlarını değiştirir, otomatik eylemlere önyargılı davranır ve alt sistemlere olan güveni zayıflatır.
Gerçek dünya senaryolarında, yapay zekaya özgü temel erişim kontrollerinin dahi bulunmadığı ortamlarda meydana gelen, yapay zeka ile ilgili pek çok güvenlik olayı gözlemlenmiştir. Tedarik zinciri başarısızlıkları artık teorik değil. Bunlar çoğunlukla fark edilmeyen operasyonel hatalardır.
CIO’nun Sorumluluğu Neden Kaçınılmaz Şekilde Genişliyor?
Tedarik zinciri ihlalleri, sınırlı yapay zeka görünürlüğü ve resmi bir stratejinin bulunmaması gibi sinyaller, CIO’nun rolünü yeniden tanımlamaya yetecek kadar ilgi çekicidir. İnovasyon hızı veya izole edilmiş pilot başarılara ilişkin salt güvenceler artık yönetim kurullarını ikna etmemektedir. Maruz kalma, bağımlılıklar ve dayanıklılık hakkında daha temel sorular soruyorlar.
Yönetim kurulu üyeleri şu anda riskle ilgili sorular soruyor:
- Temel operasyonlara hangi harici yapay zeka modelleri ve hizmetleri yerleştirilmiş?
- Ne tür veriler tüketiliyor ve nereye akıyor?
- Yapay zeka kullanımı uygulamalar, API’ler ve geliştirme ekipleri genelinde nasıl yönetiliyor?
- Bir yapay zeka tedarikçisinin tehlikeye atılması, kısıtlanması veya düzenlenmesi durumunda kuruluşun maruz kalabileceği durum ne olur?
Yapay zeka altyapıyı, verileri ve uygulamaları kapsadığından CIO’lar bu soruları anlayıp yanıtlayabilecek benzersiz bir konuma sahiptir. Ve CIO’lar yapay zeka tedarik zinciri esnekliğinin kitle kaynaklı olamayacağını kabul etmelidir.
Dayanıklılık için Tasarım
Korean Air olayı, bir yapay zeka tedarik zinciri ihlali içermese de CIO’lar için uyarıcı bir hikaye. İhlal, risk modellerinin beklediği yerden kaynaklanmadı. Yukarı yönde, güvenilir bir sistemden ortaya çıktı ve çok az dirençle aşağı yönde yayıldı.
Yapay zeka, önceki kurumsal teknolojilerden daha fazla yukarı akış bağımlılığı sağlar. Çoğu kuruluş bu bağımlılıkları yönetmeye hazırlıksızdır. Bu nedenle CIO’lar için soru, yapay zeka tedarik zincirlerinin var olup olmayacağı değil, bunların düzgün bir şekilde tasarlanıp tasarlanacağı, yönetileceği ve izleneceğidir.