Yapay zeka ve blok zincir gibi yeni teknolojilerin riskleri nelerdir?

Bilgi sistemleri dünyasında “yıkıcı teknolojiler” olarak adlandırılan yapay zeka (AI) ve blok zincir, işletmelere muazzam fırsatlar sunsa da denetim ve risk yönetimi perspektifinden bakıldığında oldukça karmaşık ve dikkatle yönetilmesi gereken zafiyetleri de beraberinde getirir. Bir bilgi sistemleri denetçisi olarak, bu teknolojilerin sunduğu vaatlerin arkasındaki “karanlık noktaları” anlamanız, işletmenizin sürdürülebilirliği için hayatidir.

Aşağıda, bu teknolojilerin barındırdığı riskleri kategorize ederek ve öğretici senaryolarla derinlemesine inceleyelim.

1. Yapay Zeka ve Makine Öğrenmesi (AI/ML) Riskleri

Yapay zeka sistemleri, insana özgü muhakeme yeteneğini büyük veriyle birleştirerek “öğrenen” yapılardır. Ancak bu öğrenme süreci ve çıktıların güvenilirliği konusunda ciddi riskler bulunur:

• Veri Kalitesi ve Ön Yargı (Bias) Riski: Yapay zeka sistemlerinin performansı, beslendikleri verinin kalitesiyle doğrudan ilişkilidir. Eğer veri seti “ön yargı” içeriyorsa, çıkan sonuçlar da bu ön yargıyı taşır.

    ◦ Örnek Senaryo: Bir bankanın kredi başvurularını değerlendirmek için bir AI modeli kullandığını varsayalım. Eğer modelin eğitildiği geçmiş verilerde belli bir demografik gruba karşı ayrımcılık yapılmışsa, AI bu hatayı “doğru bir kural” gibi öğrenir ve gelecekteki dürüst başvuruları da haksız yere reddeder. Bu durum, işletme için hem müşteri kaybına hem de ciddi yasal yaptırımlara (ayrımcılık suçlaması) yol açar.

• Şeffaflık ve Açıklanabilirlik Sorunu: Birçok yapay zeka modeli “kara kutu” olarak çalışır; yani sistemin neden belirli bir karara vardığını anlamak ve açıklamak zordur. Bu durum, özellikle finansal denetimlerde kararın rasyonalize edilmesini engeller.

• Modele Yönelik Siber Saldırılar: Yapay zeka modelleri; eğitim verilerine müdahale edilmesi (data poisoning), algoritmanın manipüle edilmesi veya modelin tersine mühendislik yoluyla çalınması gibi yeni nesil saldırılara açıktır.

• Kesinlik ve Doğruluk Sorunları: AI tabanlı güvenlik sistemleri (örneğin saldırı tespit sistemleri), geleneksel sistemlere göre daha fazla “yanlış pozitif” (hata olmadığı halde hata varmış gibi uyarı verme) veya “yanlış negatif” (gerçek bir hatayı kaçırma) üretebilir.

2. Blok Zincir (Blockchain) ve Dağıtık Defter Teknolojisi (DLT) Riskleri

Blok zincir, verilerin değiştirilemezliğini ve şeffaflığı sağlasa da teknolojik ve yönetişimsel zayıflıklardan muaf değildir.

• Akıllı Sözleşme Zafiyetleri: Blok zincir üzerinde çalışan “akıllı sözleşmeler” aslında birer yazılım kodudur ve bu kodlardaki hatalar veya mantık boşlukları siber saldırganlar tarafından istismar edilebilir.

    ◦ Örnek Senaryo: Bir şirket, tedarikçilerine yapılacak ödemeleri otomatikleştirmek için bir akıllı sözleşme hazırlar. Ancak kodda yapılan bir yazım hatası, belirli bir koşulda ödemenin mükerrer (iki kez) yapılmasına sebep olur. Blok zincirdeki işlemler “değiştirilemez” olduğu için bu parayı geri almak geleneksel sistemlerdeki kadar kolay olmayacaktır.

• Teknik Saldırılar (%51, Sybil, Eclipse):

    ◦ %51 Saldırısı: Bir saldırgan grubunun ağdaki işlem gücünün (hash gücü) %51’inden fazlasını ele geçirmesi durumunda, zincirin bütünlüğünü bozabilir ve çifte harcama (double spending) yapabilirler.

    ◦ Sybil Saldırısı: Bir saldırganın ağda çok sayıda sahte hesap açarak blok üretim sürecini baltalamaya çalışmasıdır.

• Cüzdan ve Anahtar Yönetimi Riskleri: Blok zincirde mülkiyet “özel anahtarlara” (private keys) bağlıdır. Bu anahtarların saklandığı cüzdanların (özellikle internete bağlı “sıcak cüzdanların”) çalınması veya anahtarın kaybedilmesi durumunda varlıklara bir daha asla erişilemez. Bu kayıpları telafi edecek merkezi bir merci yoktur.

• Oracle (Kâhin) ve Köprü (Bridge) Riskleri: Blok zinciri dış dünyaya bağlayan kâhin uygulamaları veya farklı zincirleri birleştiren köprüler, güvenilmez veri girişi veya siber saldırı noktası haline gelebilir.

3. Ortak Teknolojik ve Yönetişimsel Riskler

Her iki teknoloji için de geçerli olan bazı “üst düzey” riskler bulunmaktadır:

• Yönetişim Eksikliği: Yeni teknolojiler genellikle kurumun geleneksel yazılım geliştirme ve işletim süreçlerinin dışında kalabilir. Eğer bu teknolojiler için özel bir yönetişim çerçevesi oluşturulmazsa, kontrolsüzlük riski doğar.

• Yasal ve Uyum Riskleri: Mevzuatın bu hızlı gelişen teknolojilerin gerisinde kalması, kurumların hukuki boşluklarda kalmasına veya sonradan çıkan düzenlemelere uyum sağlamak için büyük maliyetlere katlanmasına yol açabilir.

• Performans ve Kapasite Sorunları: Blok zincir sistemlerinde mutabakat mekanizmaları nedeniyle işlem hızı, işlem hacmi arttıkça yavaşlayabilir. Benzer şekilde yapay zeka modelleri de muazzam miktarda veri kaynağı ve işlem gücü gerektirir.

Denetim Perspektifinden Tavsiye

Bir denetçi olarak bu sistemleri incelerken, teknolojinin kendisine “hayranlık duymak” yerine, “Bu sistem iş hedeflerine nasıl hizmet ediyor ve nerede kırılabilir?” sorusuna odaklanmalısınız. Denetim planınızda mutlaka sızma testleri, kod gözden geçirme (özellikle akıllı sözleşmeler için) ve veri kalitesi analizlerine yer vermelisiniz.

Unutmayın; bir kontrolü tasarlamanın maliyeti, o riskin gerçekleşmesi durumunda oluşacak zararı aşmamalıdır, ancak yasal zorunluluklar bu kuralın istisnasıdır.