“Yapay Zeka Sistemlerinin Güvenli Geliştirilmesi ve Uygulanması Rehberi”, 18 Aralık’ta “Yapay Zekada Siber Güvenlik: İnovasyon ve Risklerin Dengelenmesi (“Cybersecurity in AI: Balancing Innovation and Risks)” başlıklı IGF atölye çalışmasında sunuldu. Kaspersky temsilcileri, yapay zekadaki inovasyonun etkili risk ve siber güvenlik yönetimiyle nasıl uyumlu hale getirilebileceğini tartışmak üzere bir uzman paneli düzenledi. Bu belge, yapay zeka destekli sistemlerle ilgili giderek karmaşıklaşan siber güvenlik sorunlarını ele almak amacıyla, önde gelen akademik uzmanlarla iş birliği içinde hazırlandı.
Bu belge, geliştiriciler, yöneticiler ve Yapay Zeka DevOps ekipleri için kritik bir kaynak olup, teknik açıkları ve operasyonel riskleri ele almak üzere detaylı ve pratik öneriler sunuyor. Rehber, özellikle üçüncü taraf yapay zeka modellerine ve bulut tabanlı sistemlere güvenen kuruluşlar için büyük önem taşıyor. Bu tür sistemlerdeki güvenlik açıkları, ciddi veri ihlalleri ve itibar kaybına yol açabiliyor.
Güvenlik-odaklı tasarım (security-by-design) ilkelerini temel alan rehber, kuruluşların yapay zeka uygulamalarını ESG gibi standartlar ve uluslararası uyumluluk gereklilikleriyle uyumlu hale getirmelerine yardımcı oluyor. Belge, temel model geliştirmeye odaklanmaksızın, yapay zeka sistemlerinin tasarımı, güvenlik en iyi uygulamaları ve entegrasyonu dahil olmak üzere geliştirme, uygulama ve işletim süreçlerindeki kritik unsurları ele alıyor.
Kaspersky’nin rehberi, yapay zeka sistemlerinin güvenliğini artırmak için aşağıdaki ilkelere vurgu yapmaktadır:
Siber Güvenlik Farkındalığı ve Eğitimi
Kaspersky, liderlik desteğinin ve özel çalışan eğitiminin önemini vurguluyor. Çalışanların, kötü niyetli aktörlerin yapay zeka hizmetlerinden yararlanmak için kullandıkları yöntemlerin farkında olması büyük önem taşıyor. Eğitim programlarının düzenli olarak güncellenmesi, gelişen tehditlerle uyumluluğu sağlıyor.
2. Tehdit Modellemesi ve Risk Değerlendirmesi
Kılavuzlar, yapay zeka geliştirmenin erken aşamalarında güvenlik açıklarını tespit etmeye yardımcı olan tehdit modellemesi yoluyla riskleri proaktif olarak belirleme ve azaltma ihtiyacını vurguluyor. Kaspersky, modelin kötüye kullanımı, veri zehirlenmesi ve sistem zayıflıkları gibi YZ'ye özgü tehditleri değerlendirmek için yerleşik risk değerlendirme metodolojilerinin (ör. STRIDE, OWASP) kullanılmasını öneriyor.
3. Altyapı Güvenliği (Bulut)
Yapay zeka sistemleri genellikle bulut ortamlarında kullanıldığından, şifreleme, ağ segmentasyonu ve iki faktörlü kimlik doğrulama gibi sıkı koruma önlemleri gerekiyor. Kaspersky, ihlallere karşı korunmak için sıfır güven (zero-trust) ilkelerini, güvenli iletişim kanallarını ve altyapının düzenli olarak yamalanmasını vurguluyor.
4. Tedarik Zinciri ve Veri Güvenliği
Kaspersky, veri sızıntıları ve elde edilen bilgilerin yeniden satış için kötüye kullanılması dahil olmak üzere üçüncü taraf yapay zeka bileşenleri ve modellerinin oluşturduğu risklerin altını çiziyor. Bu bağlamda, güvenlik sensörlerinin kullanımı ve güvenlik denetimleri gibi üçüncü taraf hizmetlere yönelik gizlilik politikaları ve güvenlik uygulamaları sıkı bir şekilde uygulanması gerekiyor.
5. Test Etme ve Doğrulama
Yapay zeka modellerinin sürekli doğrulaması, güvenilirliği sağlamak için kritik öneme sahip. Kaspersky, giriş verilerindeki sapmalar veya adversarial saldırılardan kaynaklanan sorunları tespit etmek için performans izleme ve zafiyet raporlama süreçlerini teşvik ediyor. Veri kümelerinin uygun şekilde bölümlendirilmesi ve modelin karar verme mantığının değerlendirilmesi, riskleri azaltmak için hayati önlemler arasında yer alıyor.
6. Makine Öğrenimine Özel Saldırılara Karşı Savunma
Rehber, yapay zeka bileşenlerini adversarial girişler, veri zehirlenmesi ve prompt enjeksiyon saldırıları gibi makine öğrenimine özgü saldırılara karşı korumanın önemini vurguluyor. Eğitim veri setine adversarial örneklerin dahil edilmesi, anomali tespit sistemlerinin kullanılması ve distilasyon tekniklerinin uygulanması gibi önlemler, modellerin manipülasyona karşı dayanıklılığını artırıyor.
7. Düzenli Güvenlik Güncellemeleri ve Bakımı
Kaspersky, ortaya çıkan güvenlik açıklarını gidermek için YZ kütüphanelerinin ve çerçevelerinin sık sık yamalanması gerektiğini vurguluyor. Bulut tabanlı yapay zeka modelleri için hata ödül programlarına ve yaşam döngüsü yönetimine katılım, sistem dayanıklılığını da artırabilir.
8. Uluslararası Standartlara Uygunluk
Küresel düzenlemelere (ör. GDPR, AB YZ Yasası) ve en iyi uygulamalara bağlılığın yanı sıra YZ sistemlerinin yasal uyumluluk açısından denetlenmesi, kuruluşların etik ve veri gizliliği gerekliliklerine uyum sağlamasına yardımcı olarak güven ve şeffaflığı teşvik ediyor.
Kılavuz ilkeler, önemli siber güvenlik risklerinden kaçınmak için yapay zeka sistemlerinin sorumlu bir şekilde uygulanmasının öneminin altını çiziyor ve bu sistemleri hem işletmeler hem de hükümetler için kritik bir kaynak haline getiriyor.
Kaspersky Kamu İşleri Başkan Yardımcısı Yuliya Shlychkova şu yorumu yapıyor: ““Yapay zekanın benimsenmesinin arttığı bir dönemde, güvenliğini sağlamak artık isteğe bağlı değil, zorunludur. IGF 2024’te, inovasyonu koruyacak ve ortaya çıkan siber tehditlerle mücadeleye yardımcı olacak standartları tanımlamak için çok paydaşlı bir diyaloga katkıda bulunuyoruz.”
