Menkul Kıymetler ve Borsa Komisyonu’nun (SEC) 2023’te kabul ettiği siber güvenlik ifşa kuralları nedeniyle, ABD’deki kamu kurumlarının her türlü maddi siber güvenlik olayını ifşa etmesi gerekiyor. İleriye dönük olarak, bu kuruluşların herhangi bir güvenlik olayının etkisi, niteliği, kapsamı ve zamanlaması hakkında derinlemesine bilgiye ihtiyacı olacak. Üretken yapay zeka (GenAI) çağında bu durum daha da karmaşık hale geliyor.
Finansal hizmetler sektörü, günlük olarak kullandıkları kişisel tanımlayıcı bilgilerin (PII) inanılmaz derecede hassas yapısı nedeniyle, yeni teknolojileri tekliflerine uyarlama konusunda tarihsel olarak yavaş davranmıştır. Ancak GenAI’nin tüm sektörlere hızla yayılması ve halka erişim kolaylığı, bunu göz ardı etmeyi zorlaştırıyor. Kamu fintech kuruluşları halihazırda SEC’in raporlama gereksinimleriyle mücadele eden kuruluşlar arasında yer alıyor ve GenAI yeni bir katman veya belirsizlik ekliyor.
Fintech’te GenAI
Fintech, GenAI kullanımına en iyi yaklaşımın nasıl olacağını merak eden birçok sektörden sadece biri. Yetenekleri üretkenliğin artmasına ve verimliliğin artmasına yol açabilir ve çalışanların önceliklere daha fazla odaklanmasına olanak tanıyabilir. Özellikle GenAI, dolandırıcılık tespiti, müşteri hizmetleri ve büyük miktarda kişisel bilgi ve diğer veri koleksiyonlarının incelenmesi gibi kritik süreçleri hızlandırabilir.
Bunu yapmak için GenAI’nin her kullanım durumu için doğru ve niş verilerle eğitilmesi gerekir; aksi takdirde model halüsinasyon görecek veya altta yatan önyargıyı gösterecektir.
GenAI zaten şirketleri olumsuz haberlerin konusu haline getirmesiyle biliniyor. Son zamanlarda, Canada Air’in kötü şöhretli sohbet robotu, bir yolcunun yapay zeka ile konuştuktan sonra uçak bileti satın alması ve ölüm politikaları nedeniyle şişirilmiş son dakika ücret ücretlerinin geri ödeneceği konusunda güvence verilmesiyle sorunlara neden oldu. Yolcu daha sonra para iadesini almaya gittiğinde Canada Air onlara sohbet robotunun yanlış politika bilgileri sağladığını ve para iadesi yapılmayacağını bildirdi. Mahkemeler aksi yönde karar verdi ve AI sohbet robotlarının ilişkili şirketlerinin uzantıları olduğunu söyledi.
Hiç kimse bir yapay zeka arızası nedeniyle bir sonraki büyük manşet olmak istemez, ancak fintech şirketlerinin SEC raporlama gereklilikleri konusunda bu tür senaryoların önünde kalabilmek için daha dikkatli davranması gerekebilir.
GenAI’nin güvenlik açısından etkileri
Bazı kuruluşlar ve yönetim kurulları GenAI’nin kullanımı konusunda her şeyi kapsayan bir zihniyete sahipken, diğerleri izliyor ve bekliyor. Halihazırda GenAI’nin gücünden yararlanmaya başlayan fintech şirketlerinin, ağlar genelinde kullanımının tam olarak görülebilmesini sağlamak için temelleri atmaları gerekecek. Ve GenAI’ya daha yavaş bir yaklaşım benimseyenlerin, gölge yapay zekanın iş akışlarına sızmamasını sağlama yeteneğine ihtiyacı olacak.
Tehdit aktörleri veri sızdırma ve fidye yazılımı saldırılarını agresif bir şekilde sürdürmeye devam ettikçe, değerli PII’ye sahip endüstrilerin, aşırı veri ihlallerine yol açabilecek güvenlik açıklarını bulmak için yapay zekanın kullanılması da dahil olmak üzere, siber suçlular tarafından kullanılan yapay zeka odaklı saldırı yetenekleri konusunda da endişelenmesi gerekecektir. Tehdit aktörleri, insan çalışanları istismar etmek için gerçekçi deepfake’ler ve diğer içeriklerle yapay zeka tarafından oluşturulan hedef odaklı kimlik avı kampanyalarını halihazırda deniyor ve yapay zeka tarafından yazılan kötü amaçlı yazılımların kanıtlarını görüyoruz.
Organizasyonların en kötüsüne hazırlıklı olması gerekiyor. Hem SEC tarafından belirlenen şeffaflık gereksinimlerini karşılamak hem de GenAI’nin genel güvenlik duruşu için bir risk oluşturmamasını sağlamak amacıyla, AI altyapısının temellerini oluşturma görevi, kuruluş liderleri ve yönetim kurulları için en önemli önceliktir.
Yapay zeka altyapısının temelleri
SEC kurallarıyla uyumlu ve GenAI’nin kamuya açık olmasını sağlayan çözümler arayan yönetim kurulları ve yöneticiler, bütünsel görünürlük ve eğitime göre uyarlanmış altyapıyı vurgulamayı düşünmelidir: adli tıp, denetlenebilirlik, yapay zeka yönetişimi ve çalışan eğitimi.
Göremediğiniz şeyleri yönetemezsiniz, bu da kuruluşlar GenAI’nin iç süreçlerde nasıl kullanıldığına dair kuşbakışı bir bakış elde edene kadar, gölge yapay zeka gibi risklerin yaygınlaşacağı anlamına gelir. Dahili ağlardaki herhangi bir AI etkinliği, anormal veya istenmeyen kullanım açısından kolayca görüntülenmeli ve izlenmelidir.
Ayrıca, yapay zeka adli bilişiminin bir parçası olarak dahili ağlarda GenAI kullanımını günlüğe kaydetme ve izleme yeteneği, fintech şirketlerinin GenAI’dan kaynaklanan potansiyel güvenlik risklerini otomatik olarak belirlemesine, izlemesine ve azaltmasına olanak tanır. SEC’in gereksinimleri, güvenlik olaylarının tüm ayrıntılarının sağlanmasını içerdiğinden, iç ağlardaki yapay zeka adli bilişimi yoluyla yapay zeka etkinliğini denetleme yeteneği, ileriye dönük olarak en önemli beceri olacaktır.
Yapay zeka adli bilişiminin ve GenAI’nin denetlenebilirliğinin kilit önemde olacak bir diğer yönü, tekil istemlere kadar adli tıp bilgileri sağlama yeteneğine sahip olmaktır. Şu anda şirketlerin yapay zeka kullanımını takip edecek ve denetleyecek bir altyapısı yok. Çalışanların yanlışlıkla veya kasıtlı olarak yapay zekaya istemler şeklinde hassas bilgiler sağladığı durumlarda, dahili olarak kullanılan her bir istemi gösteren GenAI geçmişinin saklanması, raporlama amaçları açısından çok değerli olacaktır.
GenAI kullanımı konusunda çalışanların eğitimi ve öğretimi ile faydalarından sorumlu bir şekilde nasıl yararlanılacağı, SEC düzenlemelerine uyumun diğer önemli faktörleridir. ChatGPT ve Copilot gibi birçok popüler büyük dil modeli (LLM), beslendiği dilden elde edilen verilerin halka açık depolarıdır; bu, modele yanlışlıkla girilen herhangi bir PII’nin veri sızıntısı olma potansiyeline sahip olduğu anlamına gelir. Doğru eğitim ve öğretimle çalışanlar, GenAI’nin nasıl uygun şekilde kullanılacağını daha iyi anlayacak ve yanlış kullanımdan kaynaklanan veri ihlali potansiyelini en aza indirecek.
Yönetim kurulları ve organizasyon liderleri, GenAI’nin fintech genelindeki etkilerini ve bunun benimsenmesi için tam hız mı davranmaları gerektiğini yoksa beklemeleri mi gerektiğini düşünmeye devam ederken, SEC’in GenAI’nin benimsenmesi üzerindeki etkileri açıktır. Güvenlik risklerini daha iyi takip etme ve azaltma sorumluluğu artık kamu şirketlerine düşüyor ve bu da yüksek değerli endüstrileri güvenlik ve yapay zeka stratejilerini yeniden gözden geçirmeye zorluyor.
Fintech şirketleri, GenAI’nin yönetişimi ve denetlenebilirliği için temel oluşturarak, GenAI’nın benimsenmesini durdurma ve zorlamanın kaçınılmaz risklerine karşı kendilerini daha iyi hazırlayabilirler. Aslında bu bir sonraki mantıksal adımdır.