‘Şirketlere Yönelik Yapay Zekâ Dezenformasyon Tehdidi’ Üzerine

Giriş

Gelişen teknolojiler zararlı yanlış bilgilerin yayılmasını hızla hızlandırabilir. Gelişen yapay zekâ tabanlı dezenformasyon tehdidi (threat of artificial intelligence-based disinformation) ise, yıkıcı itibar hasarını önlemek için risk azaltma planlaması gerektirir. Dezenformasyon tehditlerinin hızla gerçekleşebileceği göz önüne alındığında, şirketlerin iş esnekliğini sağlamak için önceden hazırlık yapması gerektiği söylenmektedir.

Bir firmanın itibarı, dezenformasyon kampanyaları için en erişilebilir saldırı noktalarından biridir. Yapay zekâ teknolojisinin ve karmaşık algoritmaların ortaya çıktığı bir çağda, bir şirketin itibarını korumak, ortaya çıkan dezenformasyon tehditlerini hesaba katan, dikkatlice düşünülmüş bir uyum programını zorunlu kılar.

Ulusal Standartlar ve Teknoloji Enstitüsü (National Institute of Standards and Technology), dezenformasyonu “düşmanları, sistemin veya kuruluşun güvenlik durumu veya siber hazırlık durumu konusunda yanıltmak veya kafalarını karıştırmak için kasıtlı olarak aldatıcı bilgiler sağlama süreci” olarak tanımlamaktadır[1].

Başlangıçta kılık değişikliği (Rusça: maskirovka) olarak adlandırılan erken modern dezenformasyon, Sovyetler Birliği’nin ilk günlerinde Rusya’nın düşmanlarının tepkilerini koşullandırmak ve Moskova’nın hedeflerine ulaşmasına yardımcı olmak için geliştirilen mükemmel “düşünümsel kontrol” (reflexive control) sanatına dönüşmüştür[2]. Yakın zamana kadar dezenformasyon kampanyaları gazetecilere, sahte yayınlara ve hatta sahte radyo yayınlarına ihtiyaç duyuyordu.

Yapay zekâ teknolojisinin ortaya çıkışı ve sosyal medya kanallarının artan etkisi, dezenformasyonun kamuoyunu hızla etkileyebilecek, kolay erişilebilen bir silaha dönüşmesini hızlandırmıştır. Ülkeler hâlâ dezenformasyon kampanyalarına katılırken, suç çeteleri ve bireyler hedefli saldırılar gerçekleştirebilmektedirler. Aslında, bir ücret karşılığında dezenformasyon kampanyalarını yönetebilecek hizmet olarak dezenformasyon sağlayıcıları bile mevcuttur.

“ChatGPT ve Claude” gibi yeni üretken yapay zekâ modelleri ikna edici metinler hazırlayabilir, yapay zekâ görüntü oluşturucuları ise hiper gerçekçi kurgusal görüntüler geliştirebilir. Yanlış ellerde, bu son teknoloji araçlar, zararlı dezenformasyona sahip hemen hemen her markayı kötü niyetli olarak hedef alan ilgi çekici içerikler oluşturabilir ve sonuçta bir şirketin kârlılığını etkileyebilir. Kötü aktörlerin 2023 yılında Pentagon’a yapılan saldırıyı tasvir eden sahte görüntüler üretip dağıtmasının ardından S&P 500 endeksinin tökezlediği durum da kesinlikle böyleydi[3].

Daha da önemlisi, yanlış söylentiler, yanlış suçlamalar veya yanıltıcı bilgiler (inaccurate rumors, false accusations or misleading information) bir şirketin imajını zedeleyebilir ve müşteri sadakatini aşındırarak itibar yönetimi kâbusu yaratabilir.

1. Dezenformasyon Saldırı Metodolojisi

Amerika Birleşik Devletleri (ABD) Siber Güvenlik ve Altyapı Güvenliği Ajansı (U.S. Cybersecurity & Infrastructure Security Agency), ortaya çıkan tehdidi fark etmiş ve kötü aktörlerin dezenformasyonu yaymak için aşağıdaki taktikleri[4] kullandığını belirlemiştir[5]:

  • Sahte veya yanıltıcı kişiler ve web siteleri oluşturulması;
  • Derin sahte ve sentetik medya oluşturulması;
  • Komplo teorileri tasarlanması veya güçlendirilmesi;
  • Halı altına süpürme ve bilgi ortamını su basması;
  • Alternatif platformların kötüye kullanılması;
  • Bilgi boşluklarından yararlanılması;
  • Şüphelenmeyen aktörlerin manipüle edilmesi,
  • Hedeflenen içeriğin yayılması.

Federal hükümet öncelikle ulusal güvenliğe yönelik dezenformasyon tehdidine odaklanırken, kötü aktörler finansal kazanç elde etmek için şirketlere saldırmak için aynı teknikleri hızla benimseyebilir.

Geleneksel bilgisayar korsanlığının aksine, dezenformasyon duygu ve zihniyet biçiminde süzülür. Sosyal medya çağında dezenformasyon dakikalar içinde viral hale gelebilir ve olumsuz tanıtım halkın güveninde keskin bir düşüşe yol açabilir. Yanlış söylentiler, yanlış suçlamalar veya yanıltıcı bilgiler bir şirketin imajını zedeleyebilir ve müşteri sadakatini aşındırabilir. Sonuçta bu, bir şirketin kârlılığını etkileyebilir.

2. Risk yönetimi ve nasıl yanıt verileceği sorunu

Benjamin Franklin, “bir parçayı önleme, bir kilo tedaviye değerdir” ifadesini icat eden kişi olarak tanınır[6]. Franklin hastalıktan ziyade riskten bahsediyordu. Her risk gibi, dezenformasyon riskini hesaba katan sağlam bir risk yönetimi programı kullanılarak saldırılara karşı hazırlık yapılabilir ve saldırılara maruz kalma riski azaltılabilir. Bu artık iş esnekliği planlamasının önemli bir parçasıdır.

Yanıt verecek kilit kişilerin yer aldığı bir dezenformasyon riskini azaltma planına sahip olmak, şirketin zorlukla kazanılan itibar değerini korumasına olanak tanıyacak önemli bir ilk adımdır. Ayrıca, ortaya çıkan tehditlerin erken tespiti, şirketi ortaya çıkan riskleri azaltmak konusunda daha güçlü bir konuma getirebilir. Dezenformasyon riskini azaltma planı geliştirmenin bazı önemli adımları şunlardır:

  • Şirketin risk profilinin anlaşılması (understand your company’s risk profile): Dezenformasyon zararını azaltmak, şirketin risk profilini geliştirmeyi gerektirir. Bu değerlendirme, tehditlerin nerede ortaya çıkabileceğinin ve nasıl hedef alınabileceğinin haritasını çıkarmaya odaklanmalıdır. Temel bir risk profili oluşturmak, güvenlik açıklarının bilinmesini ve şirketi etkileyebilecek saldırı türlerini tanımlamayı gerektirir.
  • Ortaya çıkan dezenformasyon risklerinin belirlenmesine ilişkin eğitimi içeren bir eğitim programı sağlanması (provide a training program that includes education on identifying emerging disinformation risks): Risk profili belirlendikten sonra ekibin riskler ve bir saldırının nasıl tespit edileceği konusunda eğitilmesi önemlidir. Dezenformasyon kampanyaları birden fazla yerde ortaya çıkabileceğinden, tehditleri tespit edebilecek daha fazla ekip üyesine sahip olmak savunmayı artırır. Daha da önemlisi, eğitim programı belirlenen tehditlerin gözden geçirilmesi için merkezi bir iletişim noktası sağlamalıdır.
  • Bir müdahale ve kurtarma planı geliştirilmesi (develop a response and recovery plan): Bir saldırı tespit edildikten sonra şirketin en iyi nasıl yanıt vereceğine karar verilmesi gerekir; bu da, firmanın itibarının korunmasına bağlı halkla ilişkiler dinamiklerini değerlendirebilecek kilit personelin devreye alınmasını gerektirir. Dezenformasyona nasıl tepki verildiği önemlidir. Tehdide gereğinden fazla yer vermek istenilmez. Aslında dezenformasyonu kabul etmek yerine şirketin temel değerlerini yeniden vurgulamak faydalı olabilir. Bu, duruma göre dikkatli bir değerlendirme gerektirir. Ayrıca saldırının ölçeğini ve kaynağını anlamak da önemlidir. Bu, bazı durumlarda federal veya yerel kolluk kuvvetleri de dâhil olmak üzere, yardımcı olacak doğru ortakların bir araya getirilmesine olanak tanıyacaktır. En iyi uygulama, tehdidin gerçek boyutunu anlamak için açık kaynaklı istihbarata dayalı bir araştırma gerçekleştirmektir. Bu, kamuya açık bilgilerin toplanması ve analiz edilmesi yoluyla gerçekleştirilir.
  • Sürekli tehdit izlemenin gerçekleştirilmesi (conduct ongoing threat monitoring): Ortaya çıkan tehditleri erken tespit etmek, şirketin yanıt verme konusunda daha güçlü bir konuma gelmesini sağlayacaktır. Bu, özellikle sosyal medya, sohbet odaları ve hatta karanlık ağdaki olağandışı etkinlikler için çeşitli kanalların izlenmesini gerektirir. Önemli olan geleneksel medya manşetlerinin ötesine geçmektir. Diğer siber tehdit türlerinin tanımlanmasına benzer şekilde, artık dezenformasyon tehditlerinin tespit edilmesine yardımcı olacak güçlü izleme hizmetleri mevcuttur.

3. Krizin başlamadan çözülmesi

Aktif izleme ve tam müdahale ve kurtarma planını da içeren sağlam bir dezenformasyon riski azaltma planı, şirketi ortaya çıkan tehditleri azaltmak ve bir dezenformasyon saldırısı durumunda firmanın dayanıklılığını sağlamak için daha güçlü bir konuma yerleştirecektir. Operasyonlar açısından bakıldığında, şirketin uyum veya risk ekibi, stratejiyi etkili bir şekilde uygulamak ve dezenformasyon tehditleriyle mücadele etmek için firma kaynaklarını birleştirmek için iyi bir konumdadır.

[1] <https://csrc.nist.gov/glossary/term/disinformation>

[2] <https://www.lse.ac.uk/iga/assets/documents/arena/2018/Jigsaw-Soviet-Subversion-Disinformation-and-Propaganda-Final-Report.pdf>

[3] <https://hackernoon.com/disinformation-as-a-service-content-marketings-evil-twin>

[4] İngilizce metin şöyledir: [“cultivating fake or misleading personas and websites; creating deep fakes and synthetic media; devising or amplifying conspiracy theories; astroturfing and flooding the information environment; abusing alternative platforms; exploiting information gaps; manipulate unsuspecting actors, spreading targeted content”].

[5] <https://www.cisa.gov/sites/default/files/publications/tactics-of-disinformation_508.pdf>

[6] <https://learningenglish.voanews.com/a/an-ounce-of-prevention-is-worth-a-pound-of-cure-/5326585.html>

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bini aşkın Telif Makale ve Yazı ile Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak vazgeçilmez ilkesidir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.