ABD’nin siber savunmasından sorumlu kurum olan CISA’nın geçici başkanının, “for official use only” ibaresi taşıyan bazı dokümanları herkese açık bir ChatGPT sürümüne yüklemesi, teknik bir ihlalin ötesinde, yönetişim ve karar alma reflekslerine dair ciddi sorular doğuruyor.
Öncelikle altı çizilmesi gereken nokta şu: Söz konusu belgeler gizli değil. Ancak bu durum, riskin düşük olduğu anlamına gelmiyor. Günümüz tehdit ortamında en büyük sorun alanı, sınıflandırılmamış ama hassas kabul edilen veriler. Yapay zekâ araçları bu verileri saniyeler içinde kurumsal sınırların dışına taşıyabiliyor. Bu olay, “gizli değilse sorun yoktur” yaklaşımının artık geçerli olmadığını net biçimde ortaya koyuyor.
Haberde dikkat çeken bir diğer unsur, kurum içindeki AI kullanım çerçevesi. ChatGPT, o dönemde birçok DHS çalışanı için yasaklıyken, kurumun en üst yöneticisi özel izinle bu aracı kullanabiliyor. Bu tablo, yapay zekâ politikalarının kâğıt üzerinde var olmasının yetmediğini, bağlama ve role göre netleşmemiş kuralların pratikte risk ürettiğini gösteriyor. AI yönetişimi, “kim kullanabilir” sorusundan çok, “hangi veri, hangi ortamda, hangi risk kabulüyle kullanılabilir” sorusuna cevap vermek zorunda.
Teknik tarafta ise sistemlerin aslında çalıştığını görüyoruz. Dosyalar yüklendiğinde otomatik güvenlik alarmları tetikleniyor ve hatta DHS seviyesinde bir hasar değerlendirmesi başlatılıyor. Yani DLP ve izleme mekanizmaları devrede. Ancak olay bize şunu söylüyor: Alarm üretmek tek başına yeterli değil. Üst düzey kullanıcılar söz konusu olduğunda, bu alarmların nasıl ele alındığı ve hangi noktada durdurucu mekanizmaya dönüştüğü asıl belirleyici faktör.
Belki de en kritik boyut, liderlik ve rol model etkisi. Ülkenin siber güvenliğinden sorumlu kurumun başındaki ismin yaptığı bir hata, organizasyon genelinde sessiz bir mesaj üretir. “Ben yapabiliyorsam, bu o kadar da riskli değildir” algısı, yazılı politikalardan çok daha hızlı yayılır. Bu nedenle yapay zekâ okuryazarlığı artık sadece teknik ekiplerin değil, karar vericilerin de temel sorumluluğu haline gelmiş durumda.
Bu olay, yapay zekânın ne kadar güçlü olduğundan çok, onu nasıl yönettiğimizle ilgili. Kurumlar için asıl soru artık “AI kullanıyor muyuz?” değil; “AI’ı hangi sınırlar, hangi kontroller ve hangi liderlik anlayışıyla kullanıyoruz?” sorusu. Yanıtı net olmayan her senaryoda, risk kaçınılmaz olarak büyüyor.
