Lloyds Banking Group, ajan yapay zeka (agentic AI) güvenliğini bir yönetim kurulu moda sözcüğü veya teorik bir tehdit olarak değil, ölçekte tasarlanması, kısıtlanması ve test edilmesi gereken bir mühendislik sorunu olarak ele alıyor. Bu yaklaşım, Infosecurity Europe 2024 kapsamında düzenlenen OWASP GenAI Güvenlik Zirvesi'nde paylaşılan pratik derslerle netleşti. Lloyds'un güvenlik ekibinden iki üye, Birleşik Krallık'ın en büyük bankasının AI güvenliğini ürün yaşam döngüleri, yönetişim ve gerçek zamanlı savunmalarla nasıl operasyonelleştirdiğini anlattı. Amaç, müşterilere güvenli hizmet sunarken regülasyon beklentilerini karşılamak.
Lloyds Güvenlik Mühendisliği ve Operasyonları Direktörü Manija Poulatova, konuşmasına dürüst bir itirafla başladı: 'AI ve ajan güvenliğini benimsemeye gerçekten entegre etmenin tek yolu, önce AI ve ajan AI'nın ne olduğunu anlamaktır.' Poulatova, şirketin AI ve inovasyon yol haritasını 11 'bahis' (bet) etrafında şekillendirdiğini ve güvenliğin 12. bahis olduğunu söyledi. 'Güvenlik ekipleri çok uzun süredir hayır bakanlığı oldu, bunu değiştirmek istiyoruz' diyerek güvenliğin artık bir engelleyici değil, kolaylaştırıcı rol üstlenmesi gerektiğini vurguladı.
Lloyds Güvenlik Veri ve AI Başkanı Kirsty Montignani ise pragmatik duruşu pekiştirdi: 'AI büyük bahislerinin tümü, müşterilerimize hizmet eden düşük riskli, yüksek değerli kullanım senaryolarıdır.' Yatırımlar, emeklilik ve müşteri desteğinin ilk öncelikler olduğunu belirten Montignani, bu alanların somut müşteri faydası sağlarken riski sınırladığını ifade etti. 'Kullanım senaryolarımızda çok hassas olmak istiyoruz' diyerek, AI'nın kontrollü ve hedefli bir şekilde devreye alındığını gösterdi.
Lloyds'un yaklaşımı, ajan yapay zekanın getirdiği yeni güvenlik zorluklarına odaklanıyor. Geleneksel AI modellerinden farklı olarak, ajan AI'lar otonom kararlar alabilir, eylemler gerçekleştirebilir ve sistemler arasında etkileşime girebilir. Bu durum, güvenlik kontrollerinin dinamik, bağlama duyarlı ve sürekli izleme gerektirdiği anlamına geliyor. Lloyds, bu zorlukları aşmak için güvenliği ürün geliştirme yaşam döngüsünün en başından itibaren entegre ediyor. Yani 'security by design' ilkesini ajan AI'ya uyarlıyor: Her yeni AI yeteneği, güvenlik ekipleri tarafından tasarım aşamasında inceleniyor, kısıtlamalar belirleniyor ve sürekli test ediliyor.
Bu stratejinin pratik çıkarımlarından biri, güvenlik ekiplerinin AI projelerine erken dahil edilmesi. Poulatova'nın 'güvenlik 12. bahis' ifadesi, aslında güvenliğin AI yol haritasının ayrılmaz bir parçası olduğunu gösteriyor. Diğer bir çıkarım ise kullanım senaryolarının dikkatlice seçilmesi: Lloyds, düşük riskli ama yüksek müşteri değeri olan alanlara odaklanarak, AI'nın faydalarını maksimize ederken riski minimize ediyor. Ayrıca, güvenlik kontrollerinin gerçek zamanlı olarak çalışması ve ajan AI'ın her adımında devreye girmesi sağlanıyor. Bu, bankanın regülasyonlara uyumunu da kolaylaştırıyor.
Sonuç olarak, Lloyds'un ajan yapay zeka güvenliği rehberi, diğer kuruluşlar için de önemli dersler içeriyor. AI güvenliğini soyut bir tehdit değil, mühendislikle çözülebilir bir problem olarak görmek, güvenlik ekiplerini 'hayır bakanlığı' rolünden çıkararak inovasyonun önünü açıyor. Kuruluşlar, Lloyds gibi düşük riskli, yüksek değerli kullanım senaryoları belirleyerek, güvenliği en baştan tasarlayarak ve sürekli test ederek, ajan AI'nın potansiyelini güvenle kullanabilir. Infosecurity Europe'da paylaşılan bu pratik yaklaşım, AI güvenliğinde yeni bir dönemin habercisi.
Kaynak: infosecurity-magazine.com