Yapay Zekâ Riskleri Neden Klasik IT Risklerine Benzemez?

Yapay zekâ sistemleri: 

• Zamanla öğrenir
• Ortama göre davranış değiştirir
• Aynı girdiye her zaman aynı çıktıyı üretmeyebilir
• Karar mekanizması her zaman şeffaf olmayabilir

Bu nedenle riskler: Dinamik, Davranışsal, Bağlama bağımlı hale gelir. 

Yapay Zekâ Risklerini Farklı Kılan Başlıca Alanlar

1. Model Riski (Bias, Drift, Doğruluk Kaybı)

Bir IT sistemi yanlış yapılandırıldıysa hata verir. Bir yapay zekâ modeli ise doğru çalışıyor gibi görünürken yanlış sonuçlar üretebilir. 

 Örnek: Bir kredi ön değerlendirme modeli, geçmiş verilerdeki önyargılar nedeniyle belirli müşteri gruplarını sistematik olarak daha riskli gösterebilir. Sistem “çalışıyordur” ama sonuçlar adil değildir. 

Bu risk:

• Hemen fark edilmez
• Zamanla büyür
• Güven ve itibar kaybına yol açar

Model riskine karşı alınabilecek başlıca kontroller ve önlemler:

• Model performans göstergelerinin (accuracy, precision, recall, PSI, CSI vb.) düzenli izlenmesi
• Bias ve fairness testlerinin periyodik olarak yapılması
• Model drift ve data drift için otomatik uyarı mekanizmalarının kurulması
• Champion–challenger model yaklaşımı ile alternatif modellerin paralel izlenmesi
• Belirli eşiklerin aşılması halinde model kullanımının askıya alınması veya yeniden eğitimin tetiklenmesi

2. Açıklanabilirlik Riski

 Klasik sistemlerde: “Bu işlem neden oldu?” sorusunun cevabı genelde nettir. Yapay zekâda ise cevap bazen şudur: “Model böyle tahmin etti. 

 Örnek: Bir şüpheli işlem alarmı üretildi ama neden üretildiği açıklanamıyor. Denetimde veya müşteri itirazında bu durum ciddi bir problem yaratır. 

Açıklanamayan kararlar:

• Denetlenemez
• Savunulamaz
• Hukuki risk doğurur

Açıklanabilirlik riskine karşı alınabilecek başlıca kontroller ve önlemler:

• Açıklanabilir model tekniklerinin (SHAP, LIME vb.) zorunlu tutulması
• Karar gerekçelerinin kullanıcıya ve denetime sunulabilir şekilde kayıt altına alınması
• Açıklanabilirlik seviyesi düşük modellerin sadece düşük riskli kullanım alanlarında sınırlandırılması
• Denetim ve müşteri itiraz süreçleri için açıklama şablonlarının oluşturulması
• “Açıklanamayan karar üretilemez” prensibinin politika seviyesinde tanımlanması

3. Geri Döndürülebilirlik Riski

 Bir IT hatası genellikle geri alınabilir. Bir yapay zekâ kararı ise zincirleme etki yaratabilir.

 Örnek: Yanlış pozitif üreten bir fraud modeli:

• Müşteri işlemlerini durdurur
• Güveni zedeler
• Müşteri kaybına yol açar

Karar verilmiş, süreç tetiklenmiş ve etki çoktan oluşmuştur.

Geri Döndürülebilirlik riskine karşı alınabilecek başlıca kontroller ve önlemler:

• Yapay zekâ kararlarının kritik süreçlerde “ön karar / öneri” olarak konumlandırılması
• İnsan onayı olmadan geri döndürülemez aksiyonların tetiklenmemesi
• Yanlış pozitif / yanlış negatif oranlarının düzenli raporlanması
• Karar sonrası manuel müdahale ve telafi mekanizmalarının tanımlanması
• Model çıktılarının loglanması ve geriye dönük izlenebilirliğin sağlanması

4. İnsan–Makine Sorumluluk Bulanıklığı

Klasik sistemlerde sorumluluk nettir. Yapay zekâda ise sıkça şu cümle duyulur: “Ben yapmadım, sistem yaptı.” 

 Örnek: Bir modelin önerisi onaylanıyor ama kimse gerçekten değerlendirme yapmıyor. İnsan sadece “onaylayan” konumuna düşüyor.

Bu durum:

• Sorumluluğu bulanıklaştırır
• Kontrol mekanizmalarını zayıflatır
• Kurumsal riskleri artırır

İnsan–Makine Sorumluluk Riskine karşı alınabilecek başlıca kontroller ve önlemler:

• Yapay zekâ kararlarında nihai sorumluluğun insanda olduğunun açıkça tanımlanması
• Onay veren rolün pasif değil, aktif değerlendirme sorumluluğu taşımasının sağlanması
• “Human-in-the-loop” ve “Human-on-the-loop” kullanım senaryolarının netleştirilmesi
• Rol ve sorumlulukların politika ve prosedürlerle yazılı hale getirilmesi
• Sorumluluk zincirinin denetimlerde izlenebilir olması

5. Veri Kaynaklı Riskler

Yapay zekânın kalitesi, doğrudan veriye bağlıdır.

Örnek: Güncel olmayan, hatalı ya da eksik veriyle eğitilmiş bir model, teknik olarak sorunsuz çalışsa bile yanlış sonuçlar üretir.

Bu risk:

• Siber saldırı olmadan da oluşur
• Sessiz ilerler
• Sonuçta “neden oldu?” sorusu geç sorulur

Veri Kaynaklı oluşabilecek risklere karşı alınabilecek başlıca kontroller ve önlemler:

• Eğitim ve üretim verileri için veri kalite kontrollerinin tanımlanması
• Eksik, güncel olmayan veya tutarsız veri kullanımının otomatik tespiti
• Veri kaynağı değişikliklerinin modele etkisini analiz eden süreçlerin kurulması
• Veri versiyonlama ve veri soy ağacı (data lineage) takibinin yapılması
• Modelin hangi veriyle, ne zaman eğitildiğinin kayıt altına alınması

6. Güvenlikten Bağımsız Gibi Görünen Ama Güvenliği Etkileyen Riskler

Yapay zekâ riskleri her zaman “bilgi güvenliği” etiketi taşımaz. Ama etkisi doğrudan güvenliği vurur.

Örnek: Yanlış alarm üreten bir sistem, bir süre sonra kullanıcılar tarafından ciddiye alınmaz. Gerçek alarm geldiğinde ise gözden kaçabilir.

Bu, klasik IT’de nadir görülen ama yapay zekâda sık yaşanan bir durumdur.

Güvenliği etkileyen risklere karşı alınabilecek başlıca kontroller ve önlemler:

• Alarm kalitesinin (precision / false positive oranı) izlenmesi
• Alarm eşiklerinin statik değil, dinamik olarak belirlenmesi
• Model çıktılarının operasyonel ekiplerden geri bildirimle düzenli iyileştirilmesi
• Alarm körlüğü riskine karşı periyodik farkındalık ve eğitim çalışmalar
• Model performansının sadece teknik değil, operasyonel etkiyle de ölçülmesi

Sonuç: Aynı Araçlarla Aynı Riskler Yönetilemez

Yapay zekâ risklerini:

• Sadece teknik kontrollerle
• Sadece IT perspektifiyle
• Sadece “sistem çalışıyor mu?” sorusuyla yönetmek mümkün değildir.

Bu riskler:

• İnsan
• Süreç
• Veri
• Model
• Yönetişim

boyutlarıyla birlikte ele alınmalıdır. Belki de en önemli fark şudur:

Yapay zekâ riskleri fark edilmeden büyür.

Bu yüzden erken farkındalık, doğru sınırlar ve sürekli değerlendirme yapılmalı aksi halde Yapay Zeka  riskleri klasik IT risklerinden çok daha kritik hale gelir.