Sahada sıklıkla karşılaştığımız, ancak çoğu zaman halı altına süpürülen bir gerçek var: Çalışanlarınızın büyük bir kısmı, muhtemelen şu an, şirketinizin en hassas verilerini ChatGPT gibi halka açık yapay zeka araçlarına kopyalıyor. Sizin bundan haberiniz olmayabilir, ancak inanın bana KVKK’nın çok yakından haberi var.
Geçtiğimiz günlerde sohbet ettiğim bir IT direktörünün anlattıkları, aslında tablonun ne kadar ciddi olduğunu özetliyor. Şirketin müşteri segmentasyon raporunu hazırlayan ekipten kıdemli bir analist, işleri hızlandırmak için aylarca tüm raporları yapay zekaya yazdırmış. Tabii ki bütün ham müşteri verilerini, satış rakamlarını ve iletişim bilgilerini sisteme kopyalayarak… Durum tamamen tesadüf eseri, bambaşka bir iç denetim sırasında ortaya çıkıyor.
Buradaki asıl üzücü nokta ise çalışanın kötü niyetli olmaması. Sadece işini daha hızlı ve iyi yapmaya çalışıyordu. Ancak kurum ona güvenli, kapalı bir alternatif sunmadığı için kendi çözümünü üretmek zorunda kalmıştı.
Rakamlar Gidişatın Vahametini Gösteriyor
Bu maalesef izole bir vaka değil. Türkiye’de ve dünyada pek çok işletmede süreç benzer şekilde ilerliyor. Literatürde buna “Gölge Yapay Zeka” (Shadow AI) diyoruz ve önümüzdeki dönemin en baş ağrıtıcı kurumsal güvenlik sorunu olmaya son derece aday.
Araştırmalar da bu gerçeği destekliyor. Geçtiğimiz yıl yayınlanan MIT Media Lab’in Project NANDA raporuna göre, şirketlerin yalnızca %40’ı resmi bir yapay zeka aboneliğine sahipken, çalışanların %90’ı iş yerinde her gün yapay zeka kullandığını belirtiyor. Bu durum “Gölge Yapay Zeka” kullanımının ne kadar yaygınlaştığını açıkça ortaya koyuyor. Ayrıca Kaspersky’nin META bölgesi raporuna göre de çalışanların neredeyse %80’i iş yerinde yapay zeka kullanıyor. İşin tehlikeli kısmı ise şu; bu kişilerin sadece dörtte biri kurumlarından güvenli kullanıma dair bir yönlendirme almış. Geri kalan herkes kendi inisiyatifiyle, el yordamıyla ilerliyor.
AIPA Turkey’in saha araştırmasında tespit edilebilen oran %7.5 civarında görünse de, takdir edersiniz ki kimse gizlice veri sızdırdığını anketlerde itiraf etmez. Buzdağının görünmeyen kısmı çok daha büyük. Üstelik bu işin faturası da ağır; IBM’in raporuna göre, Gölge AI kaynaklı bir ihlalin maliyeti, standart ihlallere kıyasla kurumlara yaklaşık 670 bin TL daha pahalıya patlıyor. Çünkü ihlali fark edip müdahale edene kadar haftalar, hatta aylar geçebiliyor. Kimse orada o aracın kullanıldığını bilmiyor ki izlesin.
KVKK Açısından Durum Ne?
İşin hukuki boyutu da giderek daralıyor. KVKK, yayınladığı rehberlerle yönünü çok net belli etti. Temel kural basit: Veri sorumlusu olarak kurum, çalışanının hangi veriyi, hangi araca, ne amaçla yüklediğini bilmek zorundadır. Olası bir sızıntıda “Haberim yoktu” demek sizi kurtarmıyor, aksine ihlali daha da ağırlaştırıyor.
Bu noktada karşımıza çıkan en kritik riskler şunlar:
- Veri Sızıntısı: Bedava bir araca yüklenen müşteri verisi, o modelin eğitim setine dahil olur ve sonrasında kimin elinde olduğu bilinemez.
- Fikri Mülkiyet Kaybı: Kurumun stratejik planlarının veya Ar-Ge dokümanlarının kontrolsüzce bir modele verilmesiyle, rakiplerinizin aynı soruları sorarak bu bilgilere ulaşma ihtimali her zaman vardır.
- Uyumsuzluk: ISO 27001 veya GDPR gibi standartlar belgelenebilir süreçler ister. Gölge AI ise doğası gereği iz bırakmaz ve belgelenemez.
- Güvenlik Açıkları: Kurum ağına tarayıcı eklentisi olarak giren onaylanmamış araçlar, güvenlik yazılımlarının radarına çoğu zaman takılmaz.
Yasaklamak Çözüm Değil, Alternatif Sunmak Şart
Kurumların ilk refleksi genelde “ChatGPT’yi engelleyelim” oluyor. Ancak yasaklamanın ömrü en fazla bir hafta sürer. Çalışanlar telefonlarından girer veya daha az bilinen başka bir araç bulurlar. Bir ayın sonunda IT ekibiniz sadece kara liste güncellemekten yorulmuş olur. Çalışan iş yükünü hafifletecek bir yöntem bulduysa, bunu elinden almak yerine ona denetlenebilir ve güvenli çok daha iyi bir alternatif sunmalısınız.
İşte UpperMind olarak bizim tam olarak devreye girdiğimiz ve kurumlar için inşa ettiğimiz yapı bu. Kurumların bir tarafta üretkenliklerini artırmak isterken, diğer tarafta verilerini dışarıya çıkartmak istememesi birbiriyle çelişen durumlar değil.
Güvenli bir yapay zeka entegrasyonu ile sistem; kurumun kendi CRM, ERP veya ortak dosya arşivindeki veriyi okuyup anlamlandırabilir, bu veriler ışığında güvenli sınırlar içerisinde analizler yapabilir ve günün sonunda ihtiyacınız olan iş çıktılarını (e-posta taslağı, raporlar, mesajlar vb.) üretebilir. En önemlisi de bu süreçlerin tamamı ISO 27001 ve KVKK standartlarına uygun olarak, veriniz kurum dışına asla sızmadan, kimin neyi sorduğunun loglandığı ve tamamen denetlenebilir bir altyapıda gerçekleşir. Bir denetimde “bilmiyorduk” mazeretine sığınmak zorunda kalmazsınız.
Hemen Pazartesi Sabahı Atabileceğiniz Adımlar
Tüm bu tabloyu değiştirmek ve kontrolü ele almak için sırasıyla izlenebilecek oldukça net bir harita var:
- Mevcut Durumu Analiz Edin: Ekibinizle açık bir iletişim kurarak hangi AI araçlarını kullandıklarını öğrenin.
- Kullanım Politikası Belirleyin: Hangi verilerin (müşteri bilgileri, finans, sağlık vb.) asla dışarıya açık araçlara yüklenmemesi gerektiğini basit ve anlaşılır bir dille netleştirin.
- Güvenli Bir Alternatif Sunun: Politikanızın sürdürülebilir olması için ekibinize güvenli bir kurumsal yapay zeka (LLM) çözümü sağlayın.
- İzleme Mekanizmaları Kurun: Modern uç nokta (EDR) çözümlerinden faydalanarak ağınızda nelerin olup bittiğini tam olarak görün ve stratejinizi bu gerçeklere göre ayarlayın.
Gölge AI yalnızca bir teknoloji sorunu değil, çok ciddi bir yönetişim meselesidir. Unutmayın; yapay zeka ile çalışmak kontrolü tamamen elden bırakmak anlamına gelmez, aksine kontrolün şeklini modern çağın gereksinimlerine göre yeniden yapılandırmaktır.
