Yakın zamana kadar şirket bilgilerini dışarıya sızdırmak denince akla casusluk gelirdi. Sonra siber saldırılar. Ama 2024'ün son çeyreğinden itibaren kurumsal dünya yeni bir tehditle yüz yüze geldi: Kendi çalışanlarının yarattığı ve farkına bile varmadığı veri sızıntıları.
Bu tehdidin adı "Shadow AI" Gölge Yapay Zeka. Ve siber güvenlik uzmanlarının büyük çoğunluğu, yakın gelecekte kurumsal kayıpların en büyük kalemlerinden birinin bu olmaya devam edeceğini öngörüyor.
"Ücretsiz" Olanın Bedeli: Veriniz
Sizi hemen bir sonuca götürmek için şöyle bir tablo çizelim: Beyaz yakalı bir çalışanınız, işini daha hızlı bitirmek için gizli bir finansal raporu, stratejik bir planlama belgesini ya da kritik bir yazılım kodunu ChatGPT gibi ücretsiz bir yapay zeka aracına yüklüyor. Kulağa masum bir eylem gibi geliyor, değil mi?
Ama teknik gerçek farklı bir hikaye anlatıyor. Genel kullanıma açık büyük dil modelleri, yani LLM'ler, varsayılan ayarlarında kullanıcıların girdiği verileri eğitim süreçlerinde kullanır. Bugün yüklenen "son derece gizli 2025 lansman stratejisi", iki gün sonra dünyanın en büyük yapay zeka veri havuzuna karışmış olabilir. Ve rakibiniz aynı araçlara doğru soruyu sorduğunda, sizin şirket sırrınız cevabın bir parçası olarak ortaya çıkabilir.
"Verinizi bir kez dışarıya döktüğünüzde, onu geri almak neredeyse olanaksızdır."
Hukuki Boyut: "Yanlış Anladım" Savunması Yetmez
Burada pek çok profesyonelin yeterince düşündüğü bir nokta var. "Ben sadece yardım almak istedim, kötü niyetim yoktu" savunması, kurumsal hukuk söz konusu olduğunda hiçbir koruma sağlamaz. Hukuk dünyasında niyet önemli olmakla birlikte, eylem ve sonuç çok daha belirleyicidir.
Şirket verilerinin, şirketin yetki vermediği ve verileri işleyen üçüncü bir tarafın sunucularına yüklenmesi, "Sadakat Borcu" gibi kritik bir hukuki kavramın ağır ihlali anlamına gelir. Ve bu ihlali yaptığında, İş Kanunu'nun 25. maddesinin ikinci fıkrası devreye girer: İşveren için haklı nedenle derhal fesih hakkı doğar. Kıdem ve ihbar tazminatı olmaksızın, tek bir tutanakla.
Çözüm: Yasaklamak Değil, Yönetmek
Teknolojinin yasaklanması, akan suyu durdurmaya çalışmak kadar etkisiz kalır. İnsanlar kullanmaya devam eder; tek fark, bu kullanımın görünmez olmasıdır. Asıl çözüm, süreci yönetilebilir bir sisteme oturtmaktır.
Şirket düzeyinde en acil adım, "gri alanı" ortadan kaldırmaktır. Verilerin model eğitiminde kullanılmayacağını garanti eden "Zero Data Retention" gibi kurumsal yapay zeka lisanslarına geçiş yapılmalı ve çalışanlara, neyin paylaşılabileceğini ve neyin paylaşılamayacağını netleştiren bir "AI Kullanım Anayasası" sunulmalıdır.
Bireysel düzeyde ise çözüm daha basittir ama disiplin gerektirir: Kurumsal bir güvenli araç yoksa, veri anonim hale getirilmelidir. İsim yerine "X Firma", gerçek rakam yerine temsili sayılar kullanılmalı. Küçük bir adım gibi görünebilir. Ama bu adım, kariyerinizin en önemli koruyucu kalkanlarından birini oluşturur.
• • •
Veri, 21. yüzyılın petrolüdür. Ve onu bedavaya, gün ortasında, kazara sokağa dökebilirsiniz. Profesyonellik sadece işi hızlı yapmak değildir; yaparken şirketi riske atmamaktır.
Bu kadar konuşulduktan sonra asıl soru şu: Sizin şirketinde kurallar ne kadar net? Ve "gri alan" hâlâ var mı?