Yapay zeka, kurumsal ortamlara giderek daha fazla yerleşiyor ve operasyonel faydaların yanı sıra yeni siber güvenlik riskleri de yaratıyor. Bu değişimi ele almak için Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuruluşların siber güvenlik stratejilerini yapay zekanın benimsenmesiyle uyumlu hale getirmesine yardımcı olmayı amaçlayan Siber Yapay Zeka Profili adı verilen bir ön kılavuz taslağı yayınladı.
Bu taslak NIST yönergeleri, Yapay Zeka için Siber Güvenlik Çerçeve Profili (NISTIR 8596) olarak bilinen ve genellikle Siber Yapay Zeka Profili olarak anılan yeni bir belgede sunulmaktadır. Yayın, kuruluşların NIST Siber Güvenlik Çerçevesini, özellikle CSF 2.0’ı yapay zeka teknolojilerinin güvenli ve sorumlu kullanımına uygulamalarına yardımcı olmayı amaçlamaktadır. Amaç, yapay zekanın hızlı ilerlemesine eşlik eden siber güvenlik risklerini azaltırken yapay zekanın benimsenmesini hızlandırmaktır.
Neden Yapay Zeka Siber Güvenlik Yönergelerine İhtiyaç Duyuyoruz?
NIST’e göre yapay zeka siber güvenliği birçok şekilde etkiliyor. Kuruluşların yapay zeka sistemlerini kendileri güvence altına almaları, yapay zekanın siber savunma operasyonlarını nasıl güçlendirebileceğini düşünmeleri ve giderek büyüyen yapay zeka destekli siber saldırılara hazırlanmaları gerekiyor. Siber Yapay Zeka Profili, rehberliğini birbiriyle örtüşen üç odak alanı etrafında düzenleyerek bu gerçeği yansıtıyor: Yapay zeka sistemlerinin güvenliğinin sağlanması, yapay zeka destekli siber savunmanın yürütülmesi ve yapay zeka destekli siber saldırıların engellenmesi.
Profilin yazarlarından Barbara Cuthill, kuruluşların yapay zekayı uzak bir sorun olarak ele almayı göze alamayacağını vurguluyor. “Kuruluşların yapay zeka yolculuğunun neresinde olursa olsun, yapay zekanın ilerlemesinin gerçeklerini kabul eden siber güvenlik stratejilerine ihtiyaçları var” dedi.
Siber Yapay Zeka Profili ve Üç Odak Alanı İçinde
Siber Yapay Zeka Profili, NIST siber güvenlik ve yapay zeka uzmanlarının katıldığı ve kapsamlı halk katılımıyla desteklenen bir yıllık ortak çalışmanın sonucudur. Proje boyunca 6.500’den fazla kişi girdi sağlamak üzere ilgili topluluğa katıldı. NIST, Şubat 2025’te bir ilk konsept belgesi yayınladı, ardından Nisan 2025’te bir çalıştay ve yaz aylarında bir dizi topluluk toplantısı izledi. Bu süreç, şu anda 45 günlük kamuoyu yorumuna açık olan ön taslağın yayınlanmasına yol açtı.
Siber Yapay Zeka Profilinde ele alınan üç odak alanının her biri ayrı bir role sahiptir. Yapay zeka sistemlerinin güvenliğinin sağlanması, yapay zekanın kurumsal altyapıya ve ekosistemlere entegre edilmesiyle ortaya çıkan siber güvenlik zorluklarının belirlenmesini içerir. Yapay zeka destekli siber savunmanın gerçekleştirilmesi, yapay zekanın siber güvenlik operasyonlarını güçlendirmek için nasıl kullanılabileceğini incelerken, yapay zekanın savunma rollerinde kullanılmasıyla ilişkili riskleri de tanır. Yapay zeka destekli siber saldırıları engellemek, ölçeklerini, hızlarını veya etkinliklerini artırmak için yapay zekayı kullanan tehditlere karşı dayanıklılık oluşturmaya odaklanır.
Cuthill, “Üç odak alanı, yapay zekanın kuruluşların farkındalığına farklı şekillerde girdiği gerçeğini yansıtıyor” dedi. “Fakat sonuçta her kuruluş üçüyle de uğraşmak zorunda kalacak.”
CSF 2.0 ve NIST Siber Güvenlik Çerçevesinin yapay zekaya uygulanması
NIST Siber Güvenlik Çerçevesi merceğinden bakıldığında Siber Yapay Zeka Profili, kuruluşların yapay zeka ve CSF 2.0 ile ilgili siber güvenlik hedeflerini netleştirmesine yardımcı olur. Yapay zekayı mevcut siber güvenlik programlarına kasıtlı bir şekilde entegre ederken kuruluşların yapay zeka ile ilgili siber güvenlik endişelerini anlamalarına, değerlendirmelerine ve ele almalarına yardımcı olacak yapılandırılmış bilgiler sunar.
NIST, Siber Yapay Zeka Profilini bir “topluluk profili” olarak adlandırıyor; bu, birden fazla sektördeki ortak hedefler için CSF 2.0 için geçerli olduğu anlamına geliyor. Siber Yapay Zeka Profili imalat, finansal hizmetler, telekomünikasyon ve diğer endüstriler için geliştirilen benzer topluluk profillerine katılıyor.
Ön taslağın, NIST’in 2026’da halka açık ilk taslağını yayınlamasından önce halkın geri bildirimini toplaması amaçlanıyor. Bu sürümün, kılavuzu daha da hassaslaştırması ve ek NIST kaynaklarına genişletilmiş eşlemeler içermesi bekleniyor. Profil tamamlandığında, kuruluşların öncelikli eylemleri belirleyerek yapay zekayı siber güvenlik planlamasına dahil etmelerine yardımcı olacak.
Cuthill, yazarların Siber Yapay Zeka Profilinin pratik bir kaynak olarak gelişmeye devam edeceğini umduklarını söyledi. “Siber Yapay Zeka Profili, kuruluşların yapay zeka yolculuklarında güven kazanmalarını sağlamakla ilgilidir” dedi. “Siber güvenlik ortamlarının yapay zeka ile nasıl değişeceği hakkında konuşma ve siber güvenlik programlarıyla halihazırda yaptıklarını geliştirme konusunda kendilerini donanımlı hissetmelerine yardımcı olacağını umuyoruz.”