Hindistan'ın Jan Dhan Accounts, Aadhar ve Mobile'dan oluşan temel dijital kamu altyapısı (DPI), dijital işlemleri erişilebilir hale getirerek finansal katılımda ve sosyal hizmet sunumunda devrim yarattı. Hindistan, öncelikle Birleşik Ödeme Arayüzü (UPI) tarafından desteklenen dijital ödemelerin hacminde ve değerinde sürekli bir artışa tanık oluyor. Dijital işlemler hacim olarak tüm işlemlerin yaklaşık %99,8'ini oluşturuyor; ödeme hacmi son on yılda 38 kat arttı ve bileşik yıllık büyüme oranı (CAGR) hacim olarak %52,5 ve değer olarak %13 arttı. Ek olarak Hindistan, 2025 yılında ayda ortalama 20 milyar UPI işlemi gerçekleştirdi.
Bu terazi iki ucu keskin bir kılıcı temsil ediyor. Her işlem bir veri noktasıdır; Her veri noktası bir saldırı yüzeyidir. Bankacılık, finansal hizmetler ve sigorta (BFSI) sektörünün birbirine bağlılığı ve güvence altına aldığı finansal verilerin hassasiyeti, benzersiz bir siber güvenlik sorunu teşkil ediyor. Son yıllarda Hint finans kurumları siber olaylarda önemli bir artışa tanık oldu ve fintech sektörü öncelikli hedef haline geldi. Yapay zeka (AI), saldırganların karmaşık ve geniş kapsamlı kimlik tabanlı saldırılar gerçekleştirmesine olanak tanıyan, erişilebilir ve giderek daha uygun fiyatlı bir araç haline geldi. Kimlik avı saldırıları tek başına ilk enfeksiyon vektörlerinin %25'ini oluşturur ve WormGPT ve FraudGPT gibi kötü amaçlı Büyük Dil Modellerinin (LLM) ortaya çıkışı, bunları her zamankinden daha ucuz ve daha ilgi çekici hale getirdi. Daha az deneyimli bir saldırgan artık hedefli kimlik avı e-postaları oluşturabilir, kötü amaçlı yazılım üretebilir ve güvenlik açıklarından geniş ölçekte yararlanabilir; bu beceriler, daha önce önemli ölçüde teknik uzmanlık gerektiren becerilerdir.
Bu, fintech siber güvenliğinin (FinSec) asimetrik bir çaba haline gelmesine neden oldu. Saldırganların sistemdeki yalnızca bir güvenlik açığından yararlanması gerekir, bu da saldırı yüzeyini büyük ölçüde artırır. Öte yandan, güvenlik operasyonlarının her güvenlik seviyesindeki olası tüm güvenlik açıklarını dikkate alması ve ortaya çıkan tehditlere karşı sürekli olarak güncel kalması gerekir. İnsanın savunmasızlığı, özellikle genetik yapay zeka çağında siber güvenlik açısından kritik bir risk olmaya devam ediyor. Stanford'da yapılan bir araştırma bu gerçeğin altını çiziyor ve siber güvenlik ihlallerinin %88'inin insan hatasından kaynaklandığını ortaya koyuyor. Ayrıca karşı önlemler, yalnızca insan kapasitesi kullanılarak gerçekleştirilemeyecek, zamanında müdahaleler gerektirir. Bu asimetriyi ele almak, tekno-yasal bir yanıt gerektirir: günümüzün tehdit ortamı için tasarlanmış düzenleyici bir mimari tarafından yönetilen otonom, ajan tabanlı yapay zeka odaklı savunma sistemleri.
Agentic AI, fintech'lerin belirli tetikleyici olaylara dayalı olarak otonom ve zamanında eylemler gerçekleştirmesine yardımcı olabilir. Yetenekleri, çeşitli bilgisayar mimarileri arasında otonom olarak gezinebilir ve SQL'den makine hızında anında enjeksiyona kadar karmaşık saldırı vektörlerini ilişkilendirebilir; aksi takdirde başarılı olmak için farklı bilgi teknolojisine (BT) ve güvenlik becerilerine sahip kişiler arasında kusursuz bir işbirliği gerekir. Optimize edilmiş tek bir ajan yapay zeka modeli, birden fazla güvenlik uzmanının yeteneklerini sentezleyebilir ve önceden belirlenmiş tetikleyicilere göre hızlı ve özerk bir şekilde hareket ederek asimetri açığını kapatmak için gereken gerçek zamanlı tespit ve etkisizleştirmeyi mümkün kılabilir.
FinSec'te ajansal yapay zekanın varlığı ilgi çekicidir ancak entegrasyonu bir paradoksu da beraberinde getirir. Otonom savunmayı gerekli kılan yapay zekanın aynı demokratikleşmesi, aynı zamanda yanlış yönetilen bir yapay zeka güvenlik mimarisinin bir varlıktan çok bir yükümlülük haline gelebileceği anlamına da geliyor. Aracı yapay zekayı dağıtmak, ön koşullar olarak erişim kontrollerinin katı bir şekilde tanımlanmasını, izinlerin eşlenmesini ve hesap verebilirlik çerçevelerinin oluşturulmasını gerektirir. Zayıf yapay zeka yönetişimi ve erişim kontrolleri kuruluşlara büyük zarar verdi: %97'si yeterli yapay zeka erişim kontrollerine sahip olmayan yapay zeka ile ilgili güvenlik olaylarını bildirdi, %63'ünün ise gölge yapay zekayı yönetmek veya önlemek için herhangi bir yapay zeka yönetişim politikası yoktu. Fintech'ler ajansal yapay zekaya doğru ilerledikçe, mesele artık daha yüksek duvarlar inşa etmek değil, yüksek değerli varlıkları korumak için doğru rollerin, kimliklerin ve izinlerin mevcut olmasını sağlamaktır. Bu temel olmadan, ajan yapay zekanın güvenlik açığı yüzeyini kapattığı kadar genişletmesi de muhtemeldir.
Aracı yapay zekanın FinSec'e dahil edilmesi, ne kuruluşlar ne de düzenleyiciler tarafından yeterince ele alınmayan bir yönetişim boşluğunda meydana geliyor. Aracı yapay zeka sistemleri, işlemlerin engellenmesi, hesapların işaretlenmesi ve olayların üst kademeye iletilmesi dahil olmak üzere otonom kararlar alırken, açık hesap verebilirlik ve denetlenebilirlik çerçeveleri tartışılamaz hale gelir. Hindistan Merkez Bankası (RBI) ÜCRETSİZ Yapay Zeka Komitesi raporu, düzenlenen kuruluşları yönetişim yapısı, risk iştahı, denetlenebilirlik, sorumluluk vb. kapsayan yapay zeka politikaları taslağı hazırlamaya yönlendiren Tavsiye 15 aracılığıyla bunu önermektedir. Bununla birlikte, daha geniş ekosistem hala yapay zekanın benimsenmesinin temelleriyle boğuştuğundan, standartlaştırılmış politika şablonları hala geliştirme aşamasındadır. Bu arada, kontrollü sanal alanlarda yapay zeka destekli güvenlik önlemlerinin düzenli olarak stres testi yapılması, düşmanlık senaryolarını simüle etmek ve bilinmeyen tehditlere hazırlıklı olmak için çok önemlidir. ÜCRETSİZ Yapay Zeka Komitesi'nin de kabul ettiği gibi, sektör birliklerinin bu süreçte küçük şirketleri destekleme konusunda oynayacakları bir rol var. Hindistan'ın, FinSec'te yapay zekanın benimsenmesine yönelik standart, sorumlu bir yaklaşımın temeli olarak NIST Yapay Zeka Risk Yönetimi Çerçevesinin “Yönet, Haritala, Ölç, Yönet” yapısını Hindistan bağlamına uyarlaması iyi olacaktır. RBI, uyumluluğun ötesinde daha geniş bir yönetişim ve siber dayanıklılık duruşuna geçmek için NIST'in Siber Güvenlik Çerçevesinden yararlandı. Bu düşünceyi finansta yapay zeka risk yönetimini kapsayacak şekilde genişletmek bir sonraki doğal adımdır.
Yapay zeka güvenliği, geleneksel siber güvenliğe benzer şekilde, çok katmanlı bir disiplin olarak görülmelidir. Modeli tek başına korumaya odaklanmak yerine, doğru bağlam için doğru modeli seçmek, kapsamlı bir şekilde test etmek ve davranışını filtreler, korkuluklar ve hesap verebilirlik çerçeveleri aracılığıyla yönetmek bir öncelik olmalıdır. Müşteri etkileşimi için kullanılan bir sohbet robotuna, finansal sisteme, sağlık hizmeti iş akışına veya dolandırıcılık motoruna yerleştirilmiş bir yapay zeka aracısı gibi davranılamaz. Her kullanım durumu farklı bir dizi korkuluk, filtre ve erişim kontrolü gerektirir. Tasarım gereği güvenlik, sürekli gözlemlenebilirlik ve CIO'dan veri koruma ekibine kadar işlevler arası gözetim artık pazarlık konusu olamaz. Yapay zeka destekli saldırıların maliyetinin hızla düştüğü bir dönemde dayanıklılık, yapay zekayı tek seferlik bir dağıtım yerine yaşayan bir sistem olarak yöneten kurumlara fayda sağlayacak. Saldırılar önümüzdeki üç ila beş yıl içinde daha karmaşık hale geldikçe, yapay zeka destekli ilk müdahale ve güvenlik standartlarının kodlanması gerekecek.
Bu yılın sonuna kadar, RBI ve Hindistan Menkul Kıymetler ve Borsa Kurulu (SEBI), ÜCRETSİZ AI Komitesi raporunda belirtilen tavsiyeleri detaylandırmak için özel yönergeler yayınlamayı hedeflemelidir. Fintech'te yapay zeka kullanımını kategorize etmek ve uygun uyumluluk gerekliliklerini empoze etmek için risk temelli bir yaklaşım düşünülebilir. Önümüzdeki birkaç yıl içinde CERT-In'in olay raporlama çerçevesini model manipülasyonu, anlık enjeksiyon ve rakip girdi gibi yapay zekaya özgü olay kategorilerini içerecek şekilde güncellemeyi düşünmesi gerekecek. Son olarak, önümüzdeki beş yıl içinde RBI, CERT-In ve Elektronik ve Bilgi Teknolojileri Bakanlığı (MeitY) gibi düzenleyicilerin, zorunlu kırmızı ekip oluşturma ve korumalı alan testi de dahil olmak üzere fintech'ler için yapay zeka yönetimine yönelik minimum standartları kodlamak üzere bir araya gelmesi gerekiyor.
Bugün sorumlu deneyler, yarın kanunlaştırılmış standartlara dayandırılmalıdır. Yönetişim çerçevelerinin istek uyandıran doğasının, kötü aktörlerin saldırılarda yapay zekayı kullanma konusunda iyi aktörlerin savunma yeteneklerinden daha iyi donanıma sahip olmamasını sağlamak için şu anda gelişmesi ve zaman içinde detaylandırılması gerekiyor.
Bu makale The Dialogue'un kıdemli araştırma görevlisi Soham Jagtap tarafından yazılmıştır.
Bir yanıt yazın