Siber güvenlik sektörü, yapay zekanın (YZ) sorumlu kullanımı için önemli bir adım attı. CREST tarafından 9 Temmuz'da başlatılan Yapay Zeka Şartı (AI Charter), 70'ten fazla siber güvenlik kuruluşu tarafından imzalandı. Bu şart, YZ destekli siber güvenlik faaliyetleri için dokuz temel ilke etrafında şekilleniyor. İlkeler, Mart ayında duyurulan taslak metnin olgunlaştırılmış hali olarak karşımıza çıkıyor: hesap verebilirlik ve yönetişim, kullanım şeffaflığı, dokümantasyon ve denetlenebilirlik, sınırlar ve kontrol, veri işleme ve egemenlik, güvenlik ve gizlilik, YZ araçlarının güvenli geliştirilmesi, tedarik zinciri güvencesi ile dayanıklılık ve iş sürekliliği.
Şartın temel taşlarından biri hesap verebilirlik, yönetişim ve şeffaflık. İmza sahibi firmalar, tüm YZ destekli faaliyetlerin kapsamını ve amacını net bir şekilde tanımlamayı, hizmet sunumu, müşteri sonuçları, veri işleme ve operasyonel riskler üzerindeki etkilerini titizlikle değerlendirmeyi taahhüt ediyor. Yönetişim ve test kontrollerinin, YZ dağıtımının ölçeğiyle orantılı olması gerekiyor. Ayrıca firmalar, araçlarında veya metodolojilerinde YZ kullandıklarında müşterilerini bilgilendirme ve ilgili faydaları, sınırlamaları ve riskleri açıkça açıklama sözü veriyor.
Güven ve operasyonel bütünlüğü korumak için şart, dokümantasyon, denetlenebilirlik, insan gözetimi ve sıkı veri egemenliğine vurgu yapıyor. İmza sahipleri, YZ kullanımlarının izlenebilir ve incelenebilir kayıtlarını tutmayı, doğrulama ve kalite güvence süreçleriyle uyum denetimlerini desteklemeyi kabul ediyor. YZ araçları çeşitli özerklik seviyelerinde çalışabilse de, şart nitelikli personelin nihai gözetimi elinde bulundurmasını, müdahale etme, çıktıları inceleme ve kararlara itiraz etme yetkisini saklı tutmasını zorunlu kılıyor.
Sonuç ve Değerlendirme
Veri işleme konusunda da katı kurallar getiriliyor: Firmalar, müşteri verilerinin modelleri eğitmek için kullanılıp kullanılmayacağını veya yargı bölgeleri arasında aktarılıp aktarılmayacağını açıkça beyan etmeli; tüm veri kullanımının yasal, düzenleyici ve sözleşmeye dayalı taahhütlerle tam uyumlu olmasını sağlamalı. Şartın kalan sütunları, teknolojinin güvenliğini sağlamaya ve uzun vadeli operasyonel dayanıklılık oluşturmaya odaklanıyor. Firmalar, müşteri istemlerini, çıktılarını ve YZ tarafından üretilen varlıkları güçlü güvenlik ve gizlilik kontrolleriyle korumak, YZ araçlarının tüm yaşam döngüsü boyunca güvenli geliştirme ve entegrasyon uygulamalarına bağlı kalmakla yükümlü.
Detaylar ve Etkileri
Bu güvenlik anlayışı tedarik zincirine de uzanıyor; imza sahiplerinin herhangi bir üçüncü taraf YZ bağımlılığının risklerini tanımlaması ve yönetmesi gerekiyor. Son olarak, iş sürekliliğini sağlamak için firmalar, olası YZ arızalarına karşı proaktif planlama yapmalı, pratik yedek düzenlemeler oluşturmalı ve sistem kesintilerinin hizmet seviyelerini ve kurtarma beklentilerini nasıl etkileyebileceği konusunda müşterilere tam şeffaflık sağlamalı.
CREST, bu ilkeleri geliştirirken mevcut YZ kullanım çerçevelerini inceledi, üyelerinden katkılar aldı, CRESTCon Liderler Günleri ve diğer etkinliklerde sektör liderlerinden geri bildirim topladı ve teknik komite onayını aldı. Bir CREST sözcüsü, seçilen ilkelerde belirleyici faktörün "YZ odaklı siber hizmetleri geleneksel olanlardan ayıran şeyin ne olduğu" sorusu olduğunu belirtti. CREST, bu lansmanı desteklemek için siber güvenlik sağlayıcılarının %69'unun artık günlük hizmet sunumunda YZ kullandığını ve %76'sının bu kullanımın son bir yılda arttığını söylediğini açıkladı.
CREST AI Şartı'nın 73 kurucu imza sahibi, kuruluşun üyelerinin %10'unu temsil ediyor ve Avrupa, Kuzey Amerika, Orta Doğu ve Asya-Pasifik'e yayılıyor. İmzacı firmalar arasında penetrasyon testi, güvenlik açığı değerlendirmesi, olay müdahalesi, güvenlik operasyonları ve tehdit istihbaratı gibi birçok siber güvenlik alanında faaliyet gösteren şirketler bulunuyor. CREST CEO'su Nick Benson, AI Şartı'nın "sadece bir başlangıç" olduğunu ve kuruluşların, hükümetlerin ve sağlayıcıların bu ortak ilkeleri benimsemesiyle bir kartopu etkisi beklediklerini söyledi.
Teknik Analiz
CREST, modelini "işleyen, başarılı bir pazarı mümkün kılmayı amaçlayan bir öz-düzenleme modeli" olarak tanımlıyor ve AI Şartı'nın "düzenlemeyi daha az gerekli ve uyum yükünü daha hafif" hale getirebileceğini umuyor. Bununla birlikte Benson, "ilkelerin ötesine geçerek bağımsız olarak değerlendirilebilecek kapsamlı standartlar oluşturmanın kesinlikle kritik olduğunu" vurguladı. Ayrıca, sektör kuruluşunun "düzenleyicilerin bu ilkeleri desteklemesini ve işaretlemesini memnuniyetle karşılayacağını" ekledi. Benson, "Ulusal standartların CREST standartlarıyla uyumlu hale getirilmesi, uyumlaştırmayı, sınır ötesi birlikte çalışabilirliği teşvik edecek ve hem alıcılar hem de satıcılar için sürtünme maliyetlerini en aza indirecektir" diyerek sözlerini tamamladı.
Kaynak: infosecurity-magazine.com