Bu Help Net Security röportajında Appfire’ın CISO’su Doug Kersten, yapay zekaya insan gibi davranmanın siber güvenlik profesyonellerinin yapay zeka araçlarını kullanma şeklini nasıl değiştirebileceğini açıklıyor. Bu değişimin, yapay zekanın sınırlamalarını kabul ederken nasıl daha işbirlikçi bir yaklaşımı teşvik ettiğini tartışıyor.
Kersten ayrıca yapay zekanın iş hedefleriyle uyumlu olmasını ve güvende kalmasını sağlamak için güçlü gözetim ve hesap verebilirlik ihtiyacını da tartışıyor.
Yapay zekaya insan gibi davranmak onun gelişimini hızlandırabilir. Bu yaklaşımın siber güvenlik profesyonellerinin yapay zeka araçlarıyla etkileşimde bulunma şeklini nasıl değiştirdiğini açıklayabilir misiniz?
Yapay zekaya insan gibi davranmak, siber güvenlik liderlerinin çalışma şeklini temelden değiştirecek bir perspektif değişikliğidir. Bu değişim, güvenlik ekiplerini yapay zekayı insan hatalarıyla işbirliğine dayalı bir ortak olarak düşünmeye teşvik ediyor. Örneğin yapay zeka giderek daha özerk hale geldikçe kuruluşların, bir yandan kendi egemenliği üzerinde makul kontrolü sürdürürken, bir yandan da yapay zekanın kullanımını iş hedefleriyle uyumlu hale getirmeye odaklanması gerekecek. Ancak kuruluşların politika ve kontrol tasarımında yapay zekanın gerçeği manipüle etme ve tıpkı insanlarda olduğu gibi yetersiz sonuçlar üretme potansiyelini de dikkate alması gerekecek.
Yapay zeka son derece yenilikçi yeteneklere sahip olmasına ve inkar edilemez derecede dönüştürücü bir katma değere sahip olmasına rağmen, aynı zamanda kandırılabilir ve kullanıcılarını kandırabilir. Bu insan özelliği, yapay zeka güvenlik kontrollerinin insan odaklı kontrollere benzer şekilde değerlendirilmesini gerektirir. Yapay zeka istemi oluşturma eğitimi pratik bir örnektir çünkü amacı, kullanılan dilin her iki tarafça da aynı şekilde yorumlanmasını sağlayarak yapay zekadan doğru yanıt almaktır. Bu son derece insani bir sorundur ve çok az sayıda teknolojik ilerleme bu etkiyi yaratmıştır.
Sonuç olarak, gelişen yeteneklerden yeni ortaya çıkan satıcılara kadar yapay zeka gelişmelerinin hızlı temposu, daha önce deneyimlediğimizden daha dinamik bir ortam yarattı. Siber güvenlik liderlerinin, yapay zeka ile çalışırken stratejik uyum ve kapsamlı gözetim sağlamak için hızla uyum sağlaması ve hukuk, gizlilik, operasyon ve satın alma ekipleriyle yakın koordinasyon içinde olması gerekecek. Erişimi kontrol etmek ve veri kaybını en aza indirmek gibi geleneksel en iyi uygulamalar hala geçerlidir, ancak bunların yapay zekanın esnekliğine ve kullanıcı odaklı ancak insan benzeri doğasına uyum sağlayacak şekilde gelişmesi gerekir.
“Güven ama Doğrula” yapay zeka etkileşiminin merkezinde yer alır. Siber güvenlik ekipleri yapay zeka tarafından üretilen çıktılara körü körüne güvenirlerse karşılaşabilecekleri yaygın hatalar nelerdir?
‘Güven ama doğrula’ ilkesi, siber güvenliğin en iyi uygulamalarının merkezinde yer alır. Bu prensip yapay zekada da kullanılıyor: Çıktılarının doğru, güvenilir ve kurumsal önceliklerle uyumlu olmasını sağlamak için insan uzmanlığını uygularken yapay zekanın hızından ve verimliliğinden yararlanmak. Yapay zeka çıktılarına körü körüne güvenmek, siber güvenlik ekiplerinin güvenlik ve karar alma süreçlerinde taviz vermesine yol açabilir. İnsanlar gibi yapay zeka da güçlü olmasına rağmen yanılmaz değildir; hatalar yapabilir, önyargıları yayabilir veya kurumsal hedeflerle uyumlu olmayan çıktılar üretebilir.
Yaygın yapılan hatalardan biri, üzerinde eğitim aldığı verileri sorgulamadan yapay zekanın doğruluğuna aşırı güvenmektir. Yapay zeka modelleri yalnızca tükettikleri veriler kadar iyidir ve bu veriler eksik, taraflı veya güncel değilse çıktılar kusurlu olabilir. Siber güvenlik ekipleri, yapay zeka tarafından oluşturulan önerileri yerleşik bilgi ve gerçek dünya koşullarına göre doğrulamalıdır. Güvenlik açısından bu, yanlış pozitiflerin ortadan kaldırılmasına yardımcı olur.
Diğer bir risk ise düşmanca manipülasyonun izlenmemesidir. Saldırganlar, gerçek tehditleri maskelerken yanlış bilgiler üretmek amacıyla algoritmalarından yararlanmak için yapay zeka sistemlerini hedef alabilir. Uygun gözetim olmadan ekipler farkında olmadan tehlikeye atılmış çıktılara güvenerek sistemleri savunmasız bırakabilir.
Siber güvenlik bağlamında, yapay zekanın etkili insan gözetimi nasıl görünüyor? Yapay zekanın etik ve doğru karar vermesini sağlamak için hangi çerçeveler veya süreçler mevcut olmalıdır?
Etkili insan gözetimi, yapay zeka riskinin haritalandırılmasına, yönetilmesine ve ölçülmesine yönelik politika ve süreçleri içermelidir. Aynı zamanda sorumluluk yapılarını da içermelidir, böylece ekipler ve bireyler yetkilendirilir, sorumlu olur ve eğitilir.
Kuruluşlar ayrıca bir yapay zeka sistemiyle ilgili risklerin çerçevesini oluşturacak bağlamı da oluşturmalıdır. Sürecin bir kısmından sorumlu olan yapay zeka aktörleri nadiren diğer kısımlar üzerinde tam görünürlüğe veya kontrole sahip olur. İlgili yapay zeka paydaşları arasındaki karşılıklı bağımlılıklar, sistemlerde devam eden değişiklikler de dahil olmak üzere yapay zeka sistemlerinin etkilerini tahmin etmeyi zorlaştırabilir.
Performans göstergeleri, yapay zeka riskinin ve ilgili etkilerin analiz edilmesini, değerlendirilmesini, kıyaslanmasını ve nihai olarak izlenmesini içerir. Yapay zeka risklerinin ölçülmesi, güvenilir özellikler, sosyal etki ve insan-yapay zeka bağımlılıklarına ilişkin ölçümlerin izlenmesini içerir. Bazen ödünleşimler gerekebilir ve bu, insan etkileşimi için kilit bir noktadır. Güvenilirliği sağlamak için tüm ölçüm ve ölçüm metodolojileri bilimsel, yasal ve etik normlara uygun olmalı ve şeffaf bir süreçte gerçekleştirilmelidir.
Yapay zekayı etkili bir şekilde yönetmek için riskleri önceliklendirmeye ve düzenli izleme ve iyileştirmeye yönelik planlar mevcut olmalıdır. Bu, kuruluşların yapay zekadaki hızlı değişim hızına ayak uydurabilmesini sağlamak için sürekli risk değerlendirmesini ve iyileştirmeyi içerir.
Yakın zamanda yayımlanan gerçekten ilginç bir çerçeve, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) Yapay Zeka Risk Yönetimi Çerçevesidir. Bu çerçeve, yapay zekayla ilişkili bireylere, kuruluşlara ve topluma yönelik riskleri daha iyi yönetmek ve güvenilirliği ölçmek için tasarlandı.
Yapay zekanın güvenlik sonuçlarını etkileyen kararlar almasıyla birlikte, yapay zeka sistemi hata yaptığında veya yanlış karar verdiğinde sorumluluk nerede yatıyor?
Sorumluluk, yapay zeka yaratıcılarıyla, yani yapay zeka sistemlerinin eğitimi ve entegrasyonundan sorumlu ekiplerle başlar. Bu ekipler, yapay zeka araçlarının, kararların nasıl alınması gerektiğine ilişkin iyi tanımlanmış parametrelere sahip, sağlam, çeşitli ve etik veri kümeleri üzerine oluşturulduğundan emin olmalıdır. Bir yapay zeka sistemi aksarsa, hatanın nerede meydana geldiğini (önyargılı verilerden mi, hatalı algoritmalardan mı yoksa sistem tasarımındaki öngörülemeyen bir güvenlik açığından mı kaynaklandığını) anlamak çok önemlidir.
Ancak sorumluluk bununla bitmiyor. Güvenlik liderleri, hukuk ekipleri ve uyumluluk görevlileri, özellikle siber güvenlik gibi hassas alanlarda yapay zeka odaklı kararların uygun şekilde hesap verebilirliğini sağlayan yönetişim yapıları oluşturmak için işbirliği yapmalıdır. Bu yapılar, bir yapay zeka sistemi yanlış karar verdiğinde, herhangi bir olumsuz etkiyi azaltmak için hızlı müdahaleye olanak tanıyan net bir üst kademeye iletme süreçlerini içermelidir.
İnsan gözetimi her zaman yapay zekanın hesap verebilirliğini sağlamada kritik bir faktör olmaya devam edecektir. Yapay zeka araçları asla boşlukta çalışmamalıdır. Karar vericiler, sistemin etkinliğini sürekli olarak değerlendirmeli ve etik standartlarla uyumlu olmasını sağlayarak, yapay zekanın çıktılarıyla aktif olarak ilgilenmeli. Bu gözetim, kuruluşların hem teknolojiyi hem de onu yöneten kişileri herhangi bir hata veya yanlış karardan sorumlu tutmasına olanak tanır.
Yapay zeka değerli bilgiler sağlayabilir ve kritik işlevleri otomatikleştirebilirken, teknik, güvenlik, hukuk ve liderlik ekipleri genelindeki insanlar, hatalar meydana geldiğinde sorumluluğun sürdürülmesini sağlamalıdır.
Yapay zekanın daha az insan gözetimine ihtiyaç duyacağı veya insan etkileşiminin her zaman sürecin kritik bir parçası olacağı bir noktayı öngörüyor musunuz?
Günümüzün yapay zekası, insan yargısının yerine geçmek için değil, yardımcı olmak için tasarlandı. Güvenlik açısından bakıldığında, yapay zekanın insan işbirliği olmadan bağımsız olarak çalışması pek olası değil. İnsan gözetimi olmadan otonom yapay zeka operasyonuna izin vermek, güvenlik duruşunda kasıtsız boşluklara yol açabilir. Bunu akılda tutarak, siber güvenlik ekiplerinin katılımını sürdürmeli ve gözetim sağlamalıdır. Devam eden bu işbirliği, yapay zekanın potansiyel bir sorumluluk yerine güvenilir bir ortak olarak hizmet edebilmesini sağlar. Ancak hiç kimse geleceği tahmin edemez ve günümüzün yapay zekası daha bireysel, insan benzeri, bağımsız çalışabilen bir teknoloji haline gelebilir.