Yapay zekanın hızla geliştiği bu dönemde, güvenlik her zamankinden daha kritik bir önem taşıyor. Google Cloud COO'su Francis de Souza, Los Angeles'ta verdiği bir röportajda, şirketlerin yapay zeka güvenliği konusunda nasıl bir yol izlemesi gerektiğine dair önemli ipuçları paylaştı. De Souza, bu sürecin bir geçiş dönemi olacağını ve sonunda daha iyi bir noktaya gelineceğini belirtse de, itiraf etmeliyiz ki bu karmaşık labirentte en büyük oyuncu Google bile hala yolunu bulmaya çalışıyor.
GÜVENLİK ARTIK SON DAKİKA İŞİ DEĞİL
De Souza'nın temel mesajı, yıllardır güvenlik profesyonellerinin yöneticilere anlatmaya çalıştığı ancak yapay zekanın aciliyetiyle birlikte daha da önem kazanan bir gerçekti: Güvenlik, sonradan eklenen bir unsur olamaz. Şirketler yapay zeka yolculuğuna çıkarken, 'platform yaklaşımı' benimsemeli. Yani güvenlik, sonradan eklenecek veya çalışanların kendi başlarına halledeceği bir mesele değil. Özellikle çalışanların kurumsal denetimden uzak tüketici araçlarına yönelmesiyle ortaya çıkan 'gölge yapay zeka' tehlikesine dikkat çeken de Souza, platformlardan en başından itibaren güvenlik, yönetim ve denetlenebilirlik talep edilmesi gerektiğini vurguladı. Ona göre, veri stratejisi ve güvenlik stratejisi olmayan bir yapay zeka stratejisi düşünülemez; bu üçü el ele gitmeli.
ÇOKLU BULUT VE HIZLA GENİŞLEYEN TEHDİT ALANI
De Souza, Google Cloud'u tek başına pazarlamadığını, aksine çoklu bulut yaklaşımını benimsediklerini belirtti. Tek bir bulutta çalıştıklarını sanan şirketlerin aslında durumun böyle olmadığını, SaaS uygulamaları ve iş ortaklarının farklı bulutları kullanabildiğini söyledi. Bu nedenle, şirketlerin bulutlar ve modeller arasında tutarlı bir güvenlik duruşuna sahip olması gerektiğini savundu. Tehdit ortamının o kadar kökten değiştiğini ve eski savunma modellerinin artık yetersiz kaldığını da ekledi. Bir ilk ihlal ile saldırının bir sonraki aşamasına geçiş arasındaki ortalama sürenin sekiz saatten 22 saniyeye düştüğünü belirtti. Saldırı yüzeyinin geleneksel ağ sınırlarının çok ötesine genişlediğini, artık modellerin, modelleri eğitmek için kullanılan veri boru hatlarının, ajanların ve istemlerin de korunması gerektiğini dile getirdi. Hatta ajanların, yıllardır unutulmuş veri depolarını ortaya çıkarabileceği uyarısında bulundu. Bu noktada çözüm, makine hızına makine hızıyla karşılık vermek. Tamamen ajan odaklı, yapay zeka tabanlı bir savunmanın yükselişte olduğunu, bunun bir liderlik ve yönetim kurulu meselesi haline geldiğini söyledi. Ancak bu noktada bile, bu savunmayı denetleyecek nitelikli insan açığı ve yapay zekanın kendisinin yarattığı güvenlik açıkları katlanarak artıyor. LinkedIn CIO'su Lea Kissner'ın 'bug-pocalypse' (hata kıyameti) olarak adlandırdığı bu durumun en az birkaç yıl süreceği öngörülüyor. Tüm bu karmaşanın ortasında, Google Cloud geliştiricilerinin, kullanmadıkları veya bilinçli olarak etkinleştirmedikleri Gemini modellerine yapılan yetkisiz API çağrıları nedeniyle beş haneli faturalarla karşılaştığına dair The Register'ın raporları da dikkat çekici. Google'ın, kullanıcıların bütçe tercihlerini zorlamaktansa hizmet kesintilerini önlemeye öncelik verdiğini belirterek otomatik katman yükseltme politikasından vazgeçme planı olmaması ise ayrı bir tartışma konusu. Üstelik, güvenliği ihlal edilmiş bir anahtarın silinmesinden sonra bile saldırganların 23 dakikaya kadar bu anahtarı kullanabilmesi, Google'ın altyapısındaki yavaş yayılma mekanizmasının bir sonucu olarak gösteriliyor. Bu durum, teknik olarak çözülebilirken öncelik meselesi olarak görülüyor. De Souza'nın tavsiyeleri değerli olsa da, platformların sunduğu çözümler ile kendi adaptasyon hızları arasındaki bu boşluk da göz ardı edilmemeli.
