Gary Barlet
Trump yönetiminin kısa süre önce imzaladığı “One Big Beautiful Bill” (Büyük ve Güzel Yasa Tasarısı), Savunma Bakanlığı’na (DoD) 150 milyar dolarlık bir bütçe tahsis ediyor ve bu miktarın önemli bir kısmı yapay zekâ (AI) geliştirme ve uygulama girişimlerine yönlendiriliyor.
Medya raporlarına göre, hükümet saldırı amaçlı siber operasyonlar için en az 1 milyar doları ayırmayı planlıyor. Buna paralel olarak, yönetimin daha geniş kapsamlı Yapay Zekâ Eylem Planı (AI Action Plan), gelişmiş bilgi işlem yeteneklerini desteklemek üzere yeni ve güvenli veri merkezi altyapısına duyulan ihtiyacı vurguluyor; bu da AI yatırımlarının ölçeğini ve operasyonel karmaşıklığını pekiştiriyor.
Bu yatırımlar savunma modernizasyonunda cesur bir sıçramayı işaret etse de, beraberinde ele alınması gereken yeni riskleri de getiriyor.
Bu risklerin başında, siber güvenlikte karşılık gelen ilerlemeler olmadan agresif bir şekilde benimsenen yapay zekânın, görev sistemlerini, veri ortamlarını ve operasyonel altyapıyı kritik güvenlik açıklarına maruz bırakabileceği yönündeki artan endişe geliyor.
Yapay zekâ genellikle büyük miktarda hassas veriye erişim gerektirir. Ve uygun siber güvenlik yöntemleri devrede olmadığında, kötü niyetli aktörler yapay zekâyı kullanarak gelişmiş siber saldırılar geliştirebilir, ağları tarayabilir, yanlış yapılandırmaları istismar edebilir, hassas verileri çalabilir veya geleneksel savunma mekanizmalarını aşabilir.
Siber savunma temellerinin güçlendirilmesi
Birçok Savunma Bakanlığı (DoD) kurumu, eski sistemlere ve parçalı güvenlik protokollerine güvenmeye devam ediyor; bu da onları entegre, veri odaklı yapay zekâ iş akışlarının taleplerine karşı hazırlıksız bırakıyor ve artan siber tehditlere açık hale getiriyor.
Savunma Bakanlığı, yapay zekâ sistemlerini hızla savunma işlevlerine entegre ederken, bu sistemler eski siber güvenlik altyapısının başa çıkamayacağı güvenlik açıklarını da beraberinde getiriyor. Bu teknolojiler, düşmanların istismar edebileceği zehirli (poisoned) eğitim verileri, model çıkarımı ve tersine mühendislik (model extraction and inversion) ile çıkarım zamanı manipülasyonu (inference-time manipulation) gibi yeni saldırı yüzeyleri yaratıyor. Pek çok ortamda, eski sistemler ve zayıf kontroller güvensiz geçici çözümlerin ortaya çıkmasına neden oluyor ve bu da riski daha da artırıyor.
Riskleri azaltmak için, yapay zekâ eğitim ve dağıtım ortamları; güvenli, izlenen bir altyapıya sahip olmalı ve siber hijyen ile dayanıklılık uygulamalarını içermelidir. Dayanıklılık uygulamaları, ihlallerin kaçınılmaz olduğunu varsayan ve bir saldırı durumunda etkileri sınırlamaya, operasyonların sürdürülmesine ve toparlanmanın hızlandırılmasına odaklanan proaktif siber güvenlik yöntemleridir.
Yapay zekânın yaşam döngüsünün erken aşamalarında siber dayanıklılığa yatırım yapmak, yalnızca görev güvencesini güçlendirmekle kalmaz, aynı zamanda uzun vadeli teknik borcu ve ihlal olasılığını azaltmaya da yardımcı olur.
Savunma Bakanlığı’nın siber güvenliğini artırmaya yönelik öneriler
Yapay zekâ ve siber güvenlik el ele ilerlemelidir. Yapay zekâ inovasyonundaki her gelişme için, onu desteklemek ve korumak üzere “önce siber güvenlik” (cybersecurity-first) yaklaşımı benimsenmelidir. Savunma Bakanlığı, yapay zekâya yaptığı yatırımları artırırken, bu çabaların yalnızca görev etkinliği açısından değil, aynı zamanda güvenlik performansı açısından da ölçülebilir getiriler sağlaması gerekir.
Yapay zekâ sistemleri, Bakanlık’ın kritik ağları savunma ve düşmanlardan gelen siber tehditlerle mücadele etme yeteneğini güçlendirmelidir. Bu varlıkları korumak için, örtük güvenin ortadan kaldırılması şarttır. Siber hijyen uygulamaları, güvenli operasyonlar için vazgeçilmez bir gereklilik haline gelmelidir.
Uzun vadeli dayanıklılığı sağlamak amacıyla, program yönetişimi yapay zekâ yaşam döngüsü boyunca – planlamadan dağıtıma kadar – entegre siber risk değerlendirmelerini içermelidir. Savunma Bakanlığı, hazırlık ve uyumluluğu izlemek üzere açık siber güvenlik performans ölçütleri belirlemeli ve bu ölçütler yapay zekâ çabalarıyla uyumlu olarak, siber araçlar, testler ve yetkin personel için ayrılmış özel fonlarla desteklenmelidir.
Siber güvenlik şirketi olan kuruluşum tarafından yakın zamanda yapılan bir araştırmaya göre, kuruluşların yalnızca %42’si fidye yazılımlarla (ransomware) mücadele etmek amacıyla özel olarak yapay zekâyı benimsemiş durumda. Öte yandan, kuruluşların yarısından fazlası (%51), kendi organizasyonlarının yapay zekâ tarafından oluşturulan bir fidye yazılımı saldırısına maruz kalabileceğinden endişe duyuyor.
Bu bulgular, temel siber hijyen ve dayanıklılık uygulamalarının öncelik olmaya devam etmesi gerektiğini açıkça ortaya koyuyor. Güvende kalmak; doğru kişilerin doğru sistemlere erişimini sağlamak, ağ faaliyetlerini yakından izlemek ve olası tehditleri hızlı şekilde tespit etmek anlamına gelir. Ayrıca, gerektiğinde erişimi sınırlamak ve ayırmak, ihlalleri kontrol altına almaya hazır olmak, yazılımları düzenli olarak güncellemek ve hiçbir şeyin varsayılan olarak güvenli olduğunu varsaymamak da bu kapsama dâhildir. Bu tür uygulamalar, ölçeklenebilirliği sağlamak, verimliliği artırmak ve görev hazırlığını güvence altına almak açısından temel öneme sahiptir.
Son zamanlarda yaşanan siber suçlar bu tehlikeleri gözler önüne seriyor. 2024 yılının Mart ile Aralık ayları arasında, Salt Typhoon adlı siber grubun “bir ABD eyaletinin Ulusal Muhafız Ordusu ağına kapsamlı bir şekilde sızması” ve “ağın yapılandırması ile diğer tüm ABD eyaletleri ve en az dört ABD bölgesindeki muadillerinin ağlarıyla olan veri trafiğini toplaması” sonucunda, hackerlar ABD Ulusal Muhafız sistemlerine ihlalde bulundu.
Kurumlar için bir uyarı niteliğinde
Bu ihlal, kurumların siber hijyeni önceliklendiren siber güvenlik araçlarına ve stratejilerine yatırım yapmaları gerektiğine dair kritik bir uyarı niteliği taşıyor. Kurumlar, gelişmiş yapay zekâ yeteneklerinin dağıtımını hızlandırırken, bu temel siber güvenlik çabalarını geri plana itmek ciddi bir hata olacaktır.
Yapay zekâ, Savunma Bakanlığı için stratejik bir avantaj sunmaktadır, ancak bu avantaj yalnızca yapay zekâya güvenilebildiği, savunulabildiği ve yaşam döngüsü boyunca güvenli bir şekilde sürdürülebildiği sürece geçerlidir.
Savunma Bakanlığı inovasyonu hızlandırırken, bu ilerlemelerin önlenebilir siber riskler tarafından baltalanmamasını sağlamak için kritik bir fırsata sahiptir. Dayanıklı bir siber güvenlik temeli olmadan, en gelişmiş yetenekler bile saldırı karşısında çökme riskiyle karşı karşıya kalır. Ancak yetkililer siber güvenliği en başından itibaren entegre ettiğinde, yapay zekâ, bütünlüğünden ödün vermeden ulusal savunmaya dönüştürücü bir güç sağlayabilir.
