Dijital Çağda (Bağımsız Dış) Denetim: Riskin Yapay Zekâ Hassasiyetiyle Değerlendirilmesi

1. Giriş

Protiviti ve İç Denetçiler Enstitüsü (Institute of Internal Auditors-IIA) tarafından yakın zamanda yapılan bir ankete göre, teknoloji denetim (audit) liderlerinin %82’si de dâhil olmak üzere yanıt verenlerin neredeyse %75’i, siber güvenliği yüksek riskli bir alan olarak görüyor ve bunun da haklı bir nedeni vardır.

Teknolojiler iş fonksiyonlarına giderek daha fazla entegre oldukça, bu iş fonksiyonlarına bağlanan cihazların sayısı giderek artan organizasyonlarda önemli güvenlik açıkları yaratıyor. Kötü aktörler, güvenlik protokollerinin ilerisinde kalabilmek için sürekli olarak yeni saldırı yöntemleri geliştiriyor. İstilacı bir bitkinin evinizin temelindeki çatlaklara girme yolunu bulması gibi, güvenlik açıklarını belirlemek ve bunlardan yararlanmak için bu teknolojilerden yararlanabilirler.

Yeterli vasıflı güvenlik uzmanı bulunsa bile, ne yazık ki işletmenin temellerini koruyacak kadar güçlü tek bir dijital böcek ilacı yoktur. İyi haber şu ki, teknoloji tüm siber riskleri önleyemese de, bize bunları tespit etmek ve bunlarla mücadele etmek için daha fazla yol sunuyor. Örneğin yapay zekâ (artificial intelligence), güvenlik ekiplerinin iş fonksiyonlarındaki davetkâr açıkları istismar edilmeden önce düzeltmelerine, ihlal riskini azaltmalarına ve güvenlik duruşunu verimli ve etkili bir şekilde iyileştirmelerine yardımcı olan önemli bir araç olarak ortaya çıkmıştır.

Yapay zekâ, milyonlarca olayı hızlı bir şekilde analiz edebilir ve kötü amaçlı yazılımlardan başarılı kimlik avı saldırılarına yol açabilecek riskli kullanıcı davranışlarına kadar birçok tehdit türünü tespit edebilir. Yapay zekâ, yeni saldırı türlerini belirlemek için geçmişten yararlanarak zamanla öğrenir. Kullanıcılar, varlıklar ve ağlar hakkında profiller oluşturmak için davranış geçmişlerini kullanarak yapay zekânın yerleşik normlardan sapmaları tespit etmesine ve bunlara yanıt vermesine olanak tanır.

Yapay zekâyı devreye almak göz korkutucu görünebilir, ancak buna sadık kalınarak firma ve müşteriler için yeni bir yeterlilik ve stratejik risk danışmanlığı çağı başlatılabilir.

2. Yapay zekânın risk değerlendirmesindeki rolü

Riski değerlendirmek için, tehditlerin ve müşterinin sistemlerindeki güvenlik açığının kapsamlı bir şekilde analiz edilmesi gerekir. Gelişmiş yapay zekâ (yani tam kelime eşleşmelerinin aksine kelimelerin anlamlarını anlayan yapay zekâ), kurumsal bilgi sistemlerinden gelen verileri analiz eden ve kurumsal saldırı yüzeyi ile ilgili milyonlarca veya milyarlarca sinyal arasındaki kalıpların korelasyonunu gerçekleştiren sürekli kendi kendine öğrenme özelliği nedeniyle siber güvenlik sorunlarını çözmeye idealdir.

Yapay zekâ bu şekilde, geçmiş olaylarla ilgili kalıpları ileriye dönük olarak tanımlar ve olayları ve proje riskini tahmin etmek için makul senaryolar oluşturulabilir. Yapay zekâ, süreçler ile risk arasında şeffaf bir bağlantı sağladığından, riski azaltmak için düzeltici önlemlerin alınmasını sağlamak üzere kontroller ve yeterlilik değerlendirilebilir.

Yapay zekâ, örnekleme yerine tüm veri ve işlem gruplarını analiz ettiğinden, denetçiler ek inceleme için anormallikleri belirlemek üzere daha eksiksiz bir dijital denetime sahip olur. Bu aynı zamanda daha küçük işlemlerin daha büyük işlemlerle aynı düzeyde incelemeye tabi tutulmasını sağlar.

3. Politikalar, süreçler ve prosedürler hakkında daha fazla bilgi

Yapay zekâ, geçmiş anormallikleri ve davranışları ele almanın yanı sıra, bilgi teknolojisi yönetişimi ve sektördeki en iyi uygulamalarla uyumu sağlamak için politikaları, süreçleri ve prosedürleri test edip inceleyerek koruma ve tespit desteği de sağlar. Bir organizasyonun her kademesi ile koordinasyon ve iletişim kurarak ve siber saldırılar da dâhil olmak üzere çeşitli felaketlere karşı hazırlık yaparak iş sürekliliğini ve kriz yönetimini kolaylaştırır. Bu, saldırının başarılı olduğu durumlarda bile önemlidir çünkü iş sürekliliği yönetimi, 3,92 milyon Amerika Birleşik Devletleri (ABD) dolarlık bir ihlale dayalı olarak veri ihlalinin maliyetini yaklaşık 280 bin ABD doları azaltabilir.

Yapay zekâ sayesinde insan ekipleri, aşağıdakiler de dâhil olmak üzere birçok siber güvenlik kategorisinde zekâyı artırdılar:

  • Bilgi teknolojisi varlık envanteri (Information Technology asset inventory);
  • Tehdide maruz kalma (threat exposure);
  • Etkinliği kontrol etme (controls effectiveness);
  • İhlal riskini tahmin etme (breach risk prediction),
  • Olaylara yanıt verme (incident response).

4. Dijital denetimlerde otomasyondan yararlanma

Şirketler, otomasyonu yapay zekâ tabanlı sistemlere dâhil ederek sonuçları tahmin etme doğruluğunu artırabilir ve gerçek değerleri anında doğrulayabilir. Bu, risk yöneticilerinin ve denetçilerin artık kendilerini sunulan kanıtlarla sınırlamak zorunda olmadıkları proaktif bir kontrol doğrulama süreci yaratır. Derin öğrenme gibi gelişmiş algoritmalar, sözleşmeler, konferans görüşmeleri ve elektronik postalar (e-posta) gibi çeşitli kaynaklardan anlamlı ve bağlamsal bilgiler çıkararak destekleyici kanıt görevi görebilir.

Güncellenen veriler olduğunda, yapay zekâ sistemi bunu anında analiz edebilir ve eyleme geçirilebilir bilgilere dönüştürebilir. Derin öğrenme algoritmaları sayesinde sürekli kontrol izleme sistemi, önceki sonuçlardan elde edilen geri bildirimlere göre kendini yeniden yapılandırabilir. Bu yaklaşım, minimum insan müdahalesiyle kontrollerin optimum tasarımını, konfigürasyonunu ve uygulanmasını sağlar.

5. İnsan zekâsını ilerletme

Yapay zekâ teknolojisi birçok fayda sağlasa da asla insanın yerini tutamaz. Çıktıyı yorumlamak, bilginin doğru olup olmadığını belirlemek ve genel bağlamda herhangi bir anormalliğin, içyüzünü anlamanın veya modelin sonuçlarını anlamak için insan bakışı ve deneyimine sahip olmak önemlidir.

Yapay zekâ ve otomasyon, tehditleri ve güvenlik açıklarını tespit etmeye yönelik daha derin analizleri gerçekleştirebildiğinden denetçiler, güvenlik açıklarını aramak yerine daha üst düzey iş büyütme görevlerine odaklanabilir. Yapay zekâ ayrıca risk değerlendirme aşamasından sonra risk tedavi planlarının taslağını hazırlamak için daha az zaman harcamalarına da olanak tanır ki; bu da şirketlerin yalnızca istilacı tehditleri engellemekle kalmayıp aynı zamanda bir yaprak sapı sistemde bir çatlak bulduğunda bunları köklerinden yok edebileceği anlamına gelir.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.