Avrupa Birliği’nin (AB) 2022/2554 sayılı Tüzük ile yürürlüğe konulan ‘Dijital Operasyonel Dayanıklılık Yasası’ (Digital Operational Resilience Act-DORA[1]), finans kuruluşlarının siber tehditlere ve bilgi iletişim teknolojisi sistemlerine yönelik diğer risklere karşı korumalarını güçlendirmek için en önde gelen Avrupa Birliği yasama girişimidir. Mevzuat 17 Ocak 2025 tarihinde tam olarak yürürlüğe girecek olsa da Dijital Operasyonel Dayanıklılık Yasası, risk yönetimi, siber tehditlerin belirlenmesi, olay bildirimi, üçüncü taraf risklerinin yönetimi, bilgi paylaşımı ve bilgi iletişim teknolojisi sistemlerinin test edilmesi için yükümlülükleri belirler. Finansın ötesinde, Dijital Operasyonel Dayanıklılık Yasası, yalnızca AB içinde değil, küresel olarak siber güvenliği artırma yükümlülüklerinin ve standartlarının nasıl uygulanacağı konusunda diğer sektörler için örnek bir ölçüt görevi görmelidir.
Test yükümlülüklerine ilişkin düzenleyici teknik standartların taslağı Avrupa Denetim Otoriteleri tarafından hazırlanmakta olup; 17 Temmuz 2024 tarihine kadar Avrupa Komisyonu’na sunulmadan önce Avrupa Merkez Bankası tarafından onaylanması gerekmektedir.
Dijital Operasyonel Dayanıklılık Yasası’nın finansal hizmetlerdeki siber riskleri ele alma konusundaki etkileri ‘Modern Finansta Siber Riskler: Operasyonel ve Düzenleyici Dayanıklılık Oluşturma’ (Cyber-Risks in Modern Finance: Building Operational and Regulatory Resilience[2]) başlıklı makalede analiz edilmiştir. Ancak, düzenleyici teknik standartlar (regulatory technical standards) tamamlanırken, Dijital Operasyonel Dayanıklılık Yasası’nın test gereksinimlerinin yapay zekâdaki devam eden gelişmelerle ne ölçüde aşılabileceğinin değerlendirilmesi faydalı olacaktır. Dijital Operasyonel Dayanıklılık Yasası’nın ne kadar ‘geleceğe dayanıklı’ olacağı konusundaki endişelere ek olarak, Dijital Operasyonel Dayanıklılık Yasası’nın yapay zekâ ile ilgili paralel AB yasama girişimleriyle nasıl tutarlı bir şekilde uyumlu hale getirilebileceği konusunda sorular vardır.
1. Dijital Operasyonel Dayanıklılık Yasası’nda Bilgi İletişim Teknolojisi Sistemlerinin Test Edilmesi
Dijital Operasyonel Dayanıklılık Yasası, geniş bir yelpazedeki ‘finansal kuruluşlar’ için geçerli olacaktır. Madde 2(1)’de belirtildiği üzere, finansal kuruluşlara örnek olarak kredi ve ödeme kuruluşları, elektronik para kuruluşları, yatırım şirketleri, kripto varlık hizmet sağlayıcıları, işlem yerleri (alım satım platformları) ve kitle fonlaması hizmet sağlayıcıları verilebilir.
Dijital Operasyonel Dayanıklılık Yasası’nın IV. Bölümü (Madde 24 ila 27), finansal kuruluşların bilgi teknolojisi araçları ve sistemlerinin dijital operasyonel dayanıklılığını test etmeleri ile ilgilidir. Madde 25(1)’de belirtildiği üzere, uygun testler arasında güvenlik açığı değerlendirmeleri ve taramaları, açık kaynak analizleri, ağ güvenliği değerlendirmeleri, senaryo tabanlı testler, yasal uyum testi, performans testi ve penetrasyon testi yer alır.
Madde 16’da belirtilen istisnalar saklı kalmak üzere -öncelikle küçük ve birbiriyle bağlantısı olmayan kuruluşlar ile ilgili- uygun finansal kuruluşlar, tehdit odaklı penetrasyon testini (threat-led penetration testing) en az üç yılda bir yapmakla yükümlü olacaktır. Madde 26(1)’de belirtildiği üzere, yetkili makamlar bu gelişmiş testin sıklığında artış veya azalma talep edebilir.
Dijital Operasyonel Dayanıklılık Yasası’nın hükümlerine göre, gelişmiş tehdit odaklı penetrasyon testinin amaçları “bir finansal kuruluşun kritik veya önemli işlevlerinin birçoğunu veya tamamını kapsamak” olmalı ve “bu işlevleri destekleyen canlı üretim sistemlerinde gerçekleştirilmelidir.”
2. Tehdit Odaklı Penetrasyon Testinin Mevcut Modelleri
Dijital Operasyonel Dayanıklılık Yasası’nın 26(11) no.lu maddesi, düzenleyici teknik standartların mevcut Tehdit İstihbaratına Dayalı Kırmızı Etik Takımı Oluşturma Çerçevesine (Framework for Threat Intelligence-Based Ethical Red Teaming) uygun olarak hazırlanması gerektiğini şart koşar. Operasyonel dayanıklılığın belirgin test modunu temsil eden Tehdit İstihbaratına Dayalı Kırmızı Etik Takımı Oluşturma Çerçevesi, esasen olası riskler ve güvenlik açıkları için bilişim teknolojisi sistemlerinin testlerini sahneleyen ‘kırmızı takımları’ içerir. Aslında, test bir siber saldırının simülasyonudur. Test öncesinde, kırmızı takımlara bir organizasyonun ‘beyaz takım’ üyeleri tarafından bilgi sağlanır. ‘Mavi takımlar’, testten kasıtlı olarak habersiz tutulan organizasyon üyelerinden oluşur.
Simülasyon egzersizleri veya ‘savaş oyunları’, bir sistemin siber risklere karşı duyarlılığını ortaya koymada öğretici olabilir. Dayanıklılık testine yönelik benzer yaklaşımlar uluslararası alanda kullanılmaktadır. Örneğin, İngiltere Merkez Bankası’nın Siber Güvenlik Test Çerçevesi-Tehdit İstihbaratı Liderliğindeki Değerlendirmeleri (Cyber Security Testing Framework Threat Intelligence-Led Assessments), Tehdit İstihbaratına Dayalı Kırmızı Etik Takımı Oluşturma Çerçevesine benzerdir.
Ancak, ekip tabanlı testler kuruluşlar için karmaşık ve genellikle maliyetli bir girişim olabilir. Tehdit odaklı penetrasyon testi yükümlülüklerinin kapsamını daha büyük finansal varlıklara ayırarak, Dijital Operasyonel Dayanıklılık Yasası finansal kurumlar üzerindeki yasal uyum yüklerini hafifletmede mantıklı bir duruş sergiliyor olabilir. Yine de, daha büyük kurumların yenilikçi teknolojilere yatırım yapma olasılığı daha yüksek olduğundan, Dijital Operasyonel Dayanıklılık Yasası’nın test yükümlülükleri yapay zekâ uygulamalarının kullanımı için bir sonraki test alanı olabilir.
3. Yapay Zekânın Siber Güvenliği Denetlemesi [Peki, yapay zekâyı kim denetliyor?]
Finansta yapay zekâ benimseme öyküsü, esas olarak yavaş ama istikrarlı bir ilerleme ile karakterize edilir. Uluslararası Ödemeler Bankası’nın (Bank for International Settlements-BIS) son araştırmasında da açıklandığı gibi [özellikle bkz. Aldasoro ve diğerleri, BIS Makalesi No.145, ‘Merkez Bankacılığında Üretken Yapay Zekâ ve Siber Güvenlik’ (Generative Artificial Intelligence and Cyber Security in Central Banking[3])], yapay zekâ uygulamalarının kullanımı merkez bankaları arasında artmaktadır. Ampirik bulgular, çoğu merkez bankasının özellikle siber güvenlik bağlamında, üretken yapay zekâ araçlarını zaten benimsediğini veya benimsemeyi planladığını göstermektedir. Öte yandan, üretken yapay zekâya daha fazla yatırım yapmanın, siber güvenlik ve yapay zekâ programlama konusunda uzman eğitimli personele daha fazla önemli yatırım gerektireceği yönünde yaygın bir beklenti vardır.
Yapay zekânın benimsenmesi merkez bankaları seviyesinden daha geniş finansal hizmetler sektörüne yayıldıkça, yapay zekânın sonunda ekip tabanlı tehdit odaklı penetrasyon testi ile aynı işlevleri yerine getirmesi oldukça olasıdır. Yapay zekânın finansal kuruluşların test gereksinimlerini yerine getirmek için kullanılması durumunda, uyum sağlama yeteneğini gösterme sorumluluğu Dijital Operasyonel Dayanıklılık Yasası ve ilişkili düzenleyici teknik standartlara yüklenecektir.
Ayrıca, yapay zekâ tabanlı sistem testlerinin insan gözetiminin nasıl sağlanabileceği konusunda şüpheler olabilir. Şu anki haliyle, yapay zekâ araçlarının döngüde insan gözetimi elde etmek ve yapay zekâ sonuçlarının açıklanabilirliğini sağlamak yapay zekâ yönetişiminin sürekli sorunlarıdır. Yapay zekâ, siber güvenlikte insan personelinin sorumluluğu olma eğiliminde olan bir gözetim rolünü üstlenirse, başka bir belirsizlik katmanı ortaya çıkabilir.
Avrupa Birliği’nin Yapay Zekâ Yasası (Artificial Intelligence Act), (AB) 2024/1689 sayılı Yönetmelik’teki yüksek riskli sistemlerin sınıflandırmasının, yapay zekânın siber güvenlik için kullanımını kapsayıp kapsamadığı tartışmalıdır. Makul bir bakış açısı, tehdit odaklı penetrasyon testinde yapay zekâ kullanımının Yapay Zekâ Yasası’nın ‘temel özel hizmetlere erişim ve bunların keyfini çıkarma’ kategorilendirmesinin III no.lu Eki gereğince ‘yüksek riskli’ (high-risk) olarak yorumlanabileceğidir. Eğer öyleyse, sistem testi için yapay zekâ dağıtımı, Yapay Zekâ Yasası’nın 14. maddesi kapsamındaki insan gözetimi yükümlülüklerini karşılamak zorunda kalacaktır, çünkü yapay zekâ test uygulamaları “kullanım sırasında gerçek kişiler tarafından etkili bir şekilde denetlenebilir” (can be effectively overseen by natural persons during the period in which they are in use).
Dijital Operasyonel Dayanıklılık Yasası test gereksinimlerine ilişkin taslak düzenleyici teknik standartların, daha büyük finansal kuruluşlar tarafından yapay zekâ kullanımına yönelik bir ivmeye yanıt vermek için yeterince esnek olması gerektiği açıktır. Takım tabanlı testlerden oluşan mevcut Tehdit İstihbaratına Dayalı Kırmızı Etik Takımı Oluşturma Çerçevesi modellerinin yapay zekâ uygulamalarıyla potansiyel olarak değiştirilmesi, Dijital Operasyonel Dayanıklılık Yasası’nın geleceğe yönelik niteliklerini zorlayacaktır. Dahası, bu değişiklikler, Avrupa Birliği’nin yasal çerçevesinin farklı unsurlarının -özellikle Dijital Operasyonel Dayanıklılık Yasası ve Yapay Zekâ Yasası- yapay zekânın gelişen kullanımlarından kaynaklanan düzenleyici boşlukları ele almak için nasıl bir araya gelebildiğinin yeniden değerlendirilmesini zorunlu kılacaktır.
[1] <https://eur-lex.europa.eu/legal-content/en/TXT/?uri=CELEX:32022R2554>
[2] <https://papers.ssrn.com/sol3/papers.cfm?abstract_id=4881572>
[3] <https://www.bis.org/publ/bppdf/bispap145.pdf>
1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.