Blog
Teknoloji
Tasarım
Güvenlik
İnfografiklerABD’nin siber güvenliğinden sorumlu en üst düzey kurumu olan Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) vekil direktörünün hassas resmî belgeleri halka açık ChatGPT’ye yüklediğini düşünün. Bu, kurgusal bir senaryo değil; geçtiğimiz yıl yaşanan ve hepimiz için kritik dersler içeren gerçek bir olay. Bu örnek, teknolojiyi en dikkatli kullanması beklenen kişilerin bile ciddi veri güvenliği hataları yapabildiğini gösteriyor. Eğer CISA gibi bir kurumda bu tür bir hata mümkünse, bireysel kullanıcıların benzer risklere bilerek ya da bilmeyerek düşme olasılığı da yüksektir. Bu yazının amacı, bu riskleri somutlaştırmak ve pratik önerilerle farkındalığı artırmaktır.
Tam Olarak Ne Oldu?
Olayın merkezinde, Mayıs 2025’ten bu yana CISA’nın geçici başkanı olan Madhu Gottumukkala bulunuyor. Ağustos 2025’in başlarında Gottumukkala, gizli olmasa da “Yalnızca Resmi Kullanım İçin” olarak işaretlenmiş hassas ihale belgelerini, herkesin erişebildiği halka açık ChatGPT sürümüne yükledi. Olayı daha da dikkat çekici kılan ise, bu aracın diğer İç Güvenlik Bakanlığı (DHS) personeline yasak olduğu bir dönemde, Gottumukkala’nın bunu kullanmak için kurumun Bilgi İşlem Direktöründen “özel izin” almış olmasıydı.
Sistem Güvenlik İhlalini Nasıl Tespit Etti?
Bu hassas verilerin halka açık bir platforma yüklendiği gözden kaçmadı. Yapılan yüklemeler, federal ağlardan dışarıya veri sızmasını önlemek için tasarlanmış siber güvenlik sensörleri tarafından defalarca işaretlendi. Sadece ilk hafta içinde çok sayıda uyarı tetiklendi. Bu durum iki önemli gerçeği ortaya koyuyor: Birincisi, CISA’nın savunma mekanizmaları doğru bir şekilde çalışıyordu. İkincisi ise en gelişmiş sistemlerin bile insan hatası karşısında risk oluşturabileceği gerçeğidir. Bu uyarılar üzerine üst düzey DHS yetkilileri, ulusal güvenliğe yönelik olası zararı değerlendirmek amacıyla derhal bir iç soruşturma başlattı ve Gottumukkala’nın da dahil olduğu bir dizi üst düzey toplantı düzenledi.
Halka Açık Yapay Zekaya Veri Yüklemek Neden Bu Kadar Tehlikeli?
Bu olayın neden basit bir dikkatsizlikten çok daha fazlası olduğunu anlamak kritik önem taşıyor. Halka açık ChatGPT gibi araçlar, kullanıcıların girdiği verileri doğrudan OpenAI şirketi ile paylaşır. Bu veriler, yapay zeka modellerini daha da geliştirmek ve eğitmek için kullanılır. Bu durum, yüklenen hassas verilerin, CISA’nın her gün mücadele ettiği Rusya ve Çin gibi devlet destekli bilgisayar korsanları da dahil olmak üzere düşmanların erişebileceği modellere dahil olma riskini beraberinde getirir. İşte bu yüzden hükümetler ve büyük şirketler, verileri federal ağlar gibi kapalı sistemlerde saklayan DHSChat benzeri dahili ve güvenli yapay zeka araçlarını geliştirmeyi ve kullanmayı tercih etmektedir.
Sonuçlar ve Resmi Tepkiler
Olayın ortaya çıkmasının ardından İç Güvenlik Bakanlığı (DHS) politikaları gereği bir süreç başlattı. Bu politikalar, bu tür sızıntıların kapsamlı bir şekilde araştırılmasını, nedenlerinin değerlendirilmesini ve personele yeniden eğitim verilmesinden güvenlik izninin iptaline kadar uzanabilecek çeşitli önlemlerin alınmasını gerektirir.
Gottumukkala’nın, diğer personele yasak olan bir aracı kullanmak için özel izin alması ve ardından bu izni hassas verileri yüklemek için kullanması, kurum içinde sert bir tepkiyle karşılandı. İsmi verilmeyen bir yetkilinin olaya tepkisi, kurum içindeki gerilimi özetler nitelikteydi:
“CISA’yı kendisine ChatGPT erişimi vermeye zorladı ve sonra bu erişimi kötüye kullandı.”
Resmi tarafta ise CISA sözcüsü Marci McCarthy, Gottumukkala’nın ChatGPT’yi “DHS kontrolleri altında” ve “kısa süreli ve sınırlı” bir istisna kapsamında kullandığını ve araca en son “Temmuz 2025 ortasında” eriştiğini belirtti. Ancak bu resmi açıklama, siber güvenlik sensörlerinin sızıntıları Ağustos ayının başlarında tespit ettiği gerçeğiyle çelişiyor. Bu durum, olayın zamanlaması ve şeffaflığı konusunda soru işaretlerini beraberinde getiriyor?
Bu Olaydan Çıkarmamız Gereken Dersler Nelerdir?
Eğer siber güvenlikten sorumlu en üst düzey yetkili bile bu hatayı yapabiliyorsa, hepimizin çok daha dikkatli olması gerekir. İşte bu olaydan çıkarmanız gereken pratik dersler:
- Asla kişisel bilgilerinizi (TC kimlik numarası, adres), finansal verilerinizi (kredi kartı bilgileri) veya şirketinize / kurumunuza ait hassas bilgileri (müşteri listeleri, finansal raporlar, stratejik planlar, proje dokümanları) halka açık yapay zeka araçlarına girmeyin. Bir belgenin üzerinde “Kurum kullanımına mahsus” gibi bir ibare olmasa bile, özel kalması gereken her türlü veri bu kapsama girer.
- Kullandığınız her aracın gizlilik politikasını ve kullanım koşullarını gözden geçirin. Verilerinizi nasıl işlediklerini, kimlerle paylaştıklarını ve eğitim amacıyla kullanıp kullanmadıklarını mutlaka öğrenin.
- Eğer şirketiniz veya kurumunuz size güvenli, dahili bir yapay zeka aracı sunuyorsa, halka açık platformlar yerine daima onu kullanın. Bu sistemler, verilerinizi korumak için tasarlanmıştır.
- İnternette herhangi bir yere bir metin yapıştırmadan önce bir an durup düşünün. İçeriğin hassasiyetini tekrar gözden geçirme alışkanlığı edinin. Bu basit kontrol, sizi büyük bir güvenlik ihlalinden koruyabilir.
Sonuç: Yapay Zeka Çağında Tetikte Olmak
CISA’da yaşanan bu olay, yapay zeka gibi güçlü teknolojileri kullanırken veri güvenliği ve gizliliği konusunda ne kadar bilinçli ve dikkatli olmamız gerektiğini gösteren çarpıcı bir örnektir. Teknoloji ne kadar gelişirse gelişsin, en zayıf halka genellikle insandır. Dijital dünyada attığınız her adımda verilerinizin sorumluluğunu üstlenmek, kendinizi ve kurumunuzu korumanın ilk ve en önemli adımıdır.
Kaynak Haber: https://cybersecuritynews.com/cisa-chief-chatgpt/
Yapay Zeka Kullanırken En Üst Düzey Yetkililerin Bile Düştüğü Tuzağa Düşmeyin!