Kurumsal Alanda Kontrolsüz Yapay Zeka Kullanımı: “Shadow AI” Riski
Çalışanların şirket onayı olmaksızın iş süreçlerinde kişisel yapay zeka araçlarını kullanması, “Shadow AI” olarak tanımlanan ciddi bir güvenlik ve yönetim zafiyeti oluşturuyor. Microsoft,...
Çalışanların şirket onayı olmaksızın iş süreçlerinde kişisel yapay zeka araçlarını kullanması, “Shadow AI” olarak tanımlanan ciddi bir güvenlik ve yönetim zafiyeti oluşturuyor. Microsoft, LinkedIn ve IBM verileri, yapay zeka kullanım hızı ile denetim mekanizmaları arasında büyük bir uçurum olduğunu gösterirken, bu durum şirket verilerinin gizliliğini ve operasyonel güvenliği tehdit ediyor. Firmaların yalnızca yasaklayıcı politikalara değil, güvenli ve alternatif çözüm yolları sunan kapsamlı bir denetim stratejisine ihtiyaç duyduğu belirtiliyor.
Kurumsal Güvenlik İçin Gizli Tehdit: Shadow AI
Çalışanların, şirketin Bilgi Teknolojileri (IT) departmanından habersiz bir şekilde sözleşme taslaklarını analiz etmeleri, müşteri verilerini işlemeleri veya özel chatbot uygulamalarını iş süreçlerine dahil etmeleri “Shadow AI” olgusunu ortaya çıkarıyor. Bu durum, sadece iç kuralların ihlali değil, aynı zamanda kurumun veri güvenliği ve karar alma süreçleri üzerindeki hakimiyetini kaybetmesi anlamına geliyor.
Shadow AI; toplantı notu çıkaran uygulamalardan, kod yazan araçlara veya tarayıcı eklentilerine kadar geniş bir yelpazeyi kapsıyor. Erişim kolaylığı, bu durumu geçmişteki yetkisiz yazılım problemlerinden ayırıyor; zira bir çalışanın kurumsal bir sistemin dışında, sadece kişisel e-posta adresiyle bu araçları kullanması saniyeler alabiliyor.
Veri Güvenliği ve Operasyonel Riskler
Çalışanlar genellikle iyi niyetle, işlerini hızlandırmak veya hata payını düşürmek amacıyla kurum verilerini dış sistemlere yüklüyor. Ancak bu süreçte sözleşmeler, kaynak kodlar veya finansal bilgiler gibi kritik veriler, kurumun denetiminin dışında kalan üçüncü taraf araçlara aktarılıyor. IBM’in 2025 yılı verilerine göre, yapay zeka ile ilişkili güvenlik ihlalleri yaşayan kurumların yüzde 97’sinde, erişim kontrol mekanizmalarının yetersiz olduğu görülüyor.
AI Act Kapsamında Yasal Sorumluluklar
AI Act, doğrudan “Shadow AI” yasağı getirmese de kurumların yüksek riskli sistemlerde insan gözetimi ve denetim mekanizmaları kurmasını zorunlu kılıyor. Şirketin varlığından haberdar olmadığı bir yapay zeka aracı tarafından alınan kararlar veya yapılan işlemler, hukuki süreçlerde kurumu savunmasız bırakabiliyor. 2 Şubat 2025 tarihinde yürürlüğe giren AI Act’in 4. maddesi, çalışanların yapay zeka konusundaki yetkinliklerinin geliştirilmesini ve sistemlerin kullanımında uygun düzeyde bilgi sahibi olunmasını zorunlu kılıyor.
Yasaklamak Yerine Denetim ve Strateji Geliştirme
Kurumların sadece kullanımı yasaklaması, çoğu zaman etkisiz bir yöntem olarak kalıyor. İhtiyaca yönelik yasal ve güvenli alternatiflerin eksikliği, çalışanları Shadow AI kullanmaya itiyor. Etkili bir politika; hangi araçların, hangi verilerle ve hangi görevler için kullanılabileceğini net bir şekilde tanımlayan, düzenli denetimler içeren bir yapıda olmalıdır.
Shadow AI, yalnızca BT departmanının sorumluluğunda olan teknik bir sorun değil, yönetim kurulunun da doğrudan takip etmesi gereken bir stratejik risk yönetimi konusudur. Şirketlerin resmi politikaları ile sahadaki pratiklerin uyumlu hale getirilmesi, kurumsal güvenliğin korunması açısından kritik bir öneme sahiptir.
Kaynak : GazetaPrawna






