Etiket arşivi: GDPR
Avrupa Birliği’nden kritik uyarı: Yapay zeka demokratik süreçleri etkileyebilir
Raporlardan biri, güvenlik, şeffaflık ve hesap verebilirliğin sağlanması, önyargı ve ayrımcılığın önlenmesi, sosyal ve çevresel sorumluluğun geliştirilmesi ve temel haklara saygı konularına odaklanıyor. Buna göre, AB Komisyonu yazılım, algoritmalar ve veriler dahil olmak üzere birlikte yapay zekâ, robotik ve ilgili teknolojileri geliştirirken, uygularken ve kullanırken uyulması gereken etik ilkeleri ve yasal yükümlülükleri özetleyen yeni bir yasal çerçeve oluşturmalı. Aynı zamanda ilerleyen dönemde oluşturulacak düzenlemeler, aşağıdakiler de dahil olmak üzere çeşitli yol gösterici ilkelere göre yapılmalı:
- insan merkezli ve insan yapımı bir yapay zeka,
- güvenlik, şeffaflık ve hesap verebilirlik,
- önyargı ve ayrımcılığa karşı koruma sağlama,
- tazminat hakkı,
- sosyal ve çevresel sorumluluk; ve gizlilik ve veri korumasına saygı.
Bir diğer rapor ise sorumluluğa ilişkin. Buna göre, yüksek riskli yapay zekâ sistemleri işletenleri ortaya çıkan herhangi bir zarardan kesin bir şekilde sorumlu kılan, geleceğe yönelik bir hukuki sorumluluk çerçevesi oluşturulmalı. Oluşturulacak net bir yasal çerçeve, işletmelere hukuki belirlilik sağlayarak yeniliği teşvik etmek, vatandaşları korurken ve tehlikeli olabilecek faaliyetlerden caydırarak yapay zekâ teknolojilerine olan güvenlerini artıracak. Kurallar sağlığa, fiziksel bütünlüğe, eşyaya zarar veren faaliyetler ile maddi kayıplara neden olan faaliyetler bakımından hem fiziksel hem de sanal ortamda kullanılan yapay zekâ için geçerli olmalı.
“FİKRİ MÜLKİYET HAKKI YALNIZCA İNSANDA OLMALI”
Kabul edilen diğer rapor ise yapay zekâ konusunda etkili bir fikri mülkiyet hakları sistemi (IPR) ve yenilikçi geliştiricileri korumak amacıyla AB’nin patent sistemi için koruyucu önlemlerin alınması gerektiği, bu yapılırken insan yaratıcılarının çıkarları veya birliğin etik ilkelerine aykırı olmaması gerektiği vurgulanıyor. AP üyeleri yapay zekâ destekli insan eserleri ile yapay zekâ yaratımlarını ayırt etmenin önemli olduğuna inanıyor ve yapay zekanın hukuki kişiliğe sahip olmaması gerektiğini belirtiyor. Bu bakımdan, fikri mülkiyet hakkı yalnızca insanda olmalı. https://www.europarl.europa.eu/news/en/press-room/20201016IPR89544/parliament-leads-the-way-on-first-set-of-eu-rules-for-artificial-intelligence
Söz konusu gelişmeler ışığında, Avrupa Birliği Komisyonu’nun düzenleme önerisinin önümüzdeki yılın başlarında yapılması bekleniyor.
“YAPAY ZEKA DEMOKRATİK SÜREÇLERİ ETKİLEYEBİLİR”
Avrupa Konseyi tarafında da yapay zekâ ve hukuk odaklı gelişmeler yaşandı. Avrupa Konseyi Parlamenter Meclisi (AKPM) toplantısında aralarında Türkiye’den raporların da olduğu çeşitli raporlar sunuldu. https://pace.coe.int/en/pages/session-20201012 Bunlar;
- Yapay zekânın demokratik yönetişim ihtiyacı
- Algoritmik adalet
- Yapay zekâ kullanımından kaynaklı ayrımcılığın önlenmesi
- Beyin-bilgisayar ara yüzü: İnsan hakları konusunda yeni tehditler mi yeni haklar mı?
- Sağlık hizmetlerinde yapay zekâ: tıbbi, hukuki ve etik zorluklar
- İşgücü piyasası: Dost mu düşman mı?
- Otonom araçlara hukuki yaklaşım
Raporlardan bazılarını özetleyecek olursak;
“Yapay zekânın demokratik yönetişim ihtiyacı” raporu, yapay zekânın demokrasi üzerindeki etkisine odaklanıyor. Yapay zekâ tabanlı teknoloji kullanımının demokratik kurumların ve süreçlerin işleyişini ve vatandaşların sosyopolitik davranışlarını etkileyebileceği ve etkilediği çeşitli yollara genel bir bakış sunuyor. Yapay zekâ kullanımının ve bunun Devletler ve Devlet kurumları ile büyük özel şirketler tarafından suiistimal edilme potansiyeli olduğu, bunun hak temelli demokrasilerimizin kurumları, süreçleri ve normları için gerçek bir tehdit oluşturduğu sonucuna varıyor. https://pace.coe.int/en/files/28723
Avrupa’da yapay zeka yarışı kızıştı: 5 ülkenin strateji karşılaştırması
“KİŞİSEL SAĞLIK VERİLERİNİN GÜVENLİĞİ DAHA FAZLA TARTIŞILMALI”
“Sağlık hizmetlerinde yapay zekâ: tıbbi, hukuki ve etik zorluklar” raporu, yapay zekânın temel etik ilkeleri etrafında geniş bir küresel fikir birliğine atıfta bulunuyor ve ilgili uluslararası kuruluşların, paydaşların ortak bakış açılarına dayalı olarak sağlık hizmetlerinde yapay zekâya ilişkin etik kılavuz geliştirmeye yönelik çalışmalar destekleniyor. Yapay zekâ hem bireylerin sağlığını hem de halk sağlığını iyileştirme konusunda büyük bir potansiyele sahip, ancak aynı zamanda bireysel hakları ve halk sağlığını yeni risklerle de karşı karşıya getirebiliyor. Yapay zekâ uygulamaları, onları düzenleyen yasal çerçeveden çok daha hızlı gelişim gösteriyor. Hassas kişisel sağlık verilerinin mahremiyeti ve siber güvenliği, bilgilendirmeye dayalı rıza ve paydaşların sorumluluğu için hukuki düzenlemelere ilişkin gereklilikler konusunda daha fazla tartışmaya ihtiyaç var. https://pace.coe.int/en/files/28737/html
“Otonom araçlara hukuki yaklaşım” raporu ise kısaca şunlara vurgu yapıyor: Yarı otonom araçların yollardaki sirkülasyonunun önümüzdeki yıllarda önemli ölçüde artması muhtemel ve bazı çevreler önümüzdeki on yıl içinde tamamen otonom olan araçların kullanıma sunulabileceğini düşünüyor. Bu gelişmeler, cezai ve hukuki sorumluluk, üreticilerin ve sigorta şirketlerinin yükümlülükleri ile karayolu taşımacılığının gelecekteki hukuki düzenlemelerine ilişkin sorular ortaya çıkarıyor. Bunlar aynı zamanda önemli etik ve mahremiyet endişeleri de doğuruyor. Beklenti, otonom araçların, insanlar tarafından kullanılanlara göre önemli ölçüde daha güvenli olacağı yönünde. Bu potansiyeli gerçekleştirmek için uygun düzenlemelere ihtiyaç duyulacak. Başlangıç noktası olarak, bu düzenleme yaşam hakkına tam saygıyı sağlamalı. https://pace.coe.int/en/files/28721/html
Avrupa tarafından yaşanan bu gelişmeler yakın zamanda yapay zeka konusunda bazı hukuki standartların belirleneceğine işaret ediyor.
Veri güvenliği yasasının hayal kırıklığı: GDPR cezaları ne kadar işe yarıyor?
İlgili haber: Yapay Zeka Veri Güvenliği ve GDPR
Milyarlarca Euro’ya ulaşan çok büyük miktarda para cezaları olmadı ama AB’nin 28 veri koruma düzenleyicisi, yavaş yavaş başta büyük teknoloji şirketleri olmak üzere dev şirketlere karşı paçalarını sıvamaya başladı. GDPR’nin ilk yılından sonra, Avrupa Veri Koruma Kurulu, yasa uyarınca ülkelerin 206 bin 326 vakayı incelediklerini bildirdi. ABD’li teknoloji şirketleri konusunda yetkili olan İrlanda Veri Koruma Düzenleyicisi Helen Dixon, en az 17 çok uluslu şirkete soruşturma açtı. Bunlara Facebook ve yan kuruluşları WhatsApp ve Instagram, ayrıca Google ve Twitter da dahil. Düzenleyiciler, hâlihazırda büyük teknoloji şirketlerine ve tüketici verilerini gerektiği gibi koruyamayan diğer şirketlere karşı harekete geçtiler. İşte Avrupa’da şu ana kadar verilen GDPR cezaları ve nedenleri:
GDPR’nin Avrupa genelinde yürürlüğe girdiği gün yani 25 Mayıs 2018’de Fransız veri koruma düzenleyicisi, Google hakkında bir şikayet aldı. Üç gün sonra bir başkası Ulusal Veri Koruma Komisyonu (CNIL)’nin kapısını çaldı ve 2019’un başında CNIL, Google’a 50 milyon Euro para cezası verdi. CNIL cezanın sebebi olarak şunları sıraladı: “Şeffaflıktaki yetersizlik, bilgi eksikliği ve reklamların kişiye özel hale getirilirken alınan izinlerin yeterli olmaması”
Bulgar DSK bankası
Bulgaristan merkezli finans grubu DSK Bank, Kişisel Verileri Koruma Komisyonu tarafından, 2019’da Ağustos ayı sonunda, 30 binden fazla kişinin banka hesap numaraları, isimleri, adresleri, kimlik kartlarının kopyalarının yanlışlıkla ifşa olmasının ardından, 440 bin Pound tutarında cezaya çarptırıldı.
İspanyol futbol ligi La Liga
GDPR uyarınca şu ana kadar verilen en garip ceza İspanyol futbol ligi LaLiga’ya verilen 250 bin Euro’luk ceza oldu. İspanyol veri koruma ajansı AEPD, LaLiga’yı uygulamasını indiren kişilere yönelik casusluk faaliyetleri yaptığı gerekçesiyle cezalandırdı. Taraftarların maçları ve istatistiklerini takip etmesi amacıyla hazırlanan La Liga mobil uygulamasının, telefonların mikrofon ve GPS’ini kullanarak yasa dışı maç yayını yapan yerlerin tespitinde kullanıldığı ortaya çıkmıştı. Uygulama 10 milyondan fazla sayıda indirildi. Uygulama, etraftaki maç seslerinin tespiti için telefonun mikrofonuyla ses kaydı gerçekleştiriyor ve telefonun konum bilgileri kullanılıyor. Bu yolla LaLiga’nın lisansı olmadan maç yayını yapan mekanları tespit ettiği ve uygulamayı indirenleri bu konuda bilgilendirmediği ortaya çıkmıştı.
British Airways
İngiltere’nin Bilgi Komiseri Ofisi (ICO), dev hava yolu şirketi British Airways’in Haziran 2018 boyunca kendi uygulamasında ve web sitesinde ortaya çıkan güvenlik açığı dolayısıyla 183 milyon Sterlin para cezası vermeyi planlıyor. Havayolu şirketine henüz ceza kesilmiş değil. Ceza, ICO’nun bulgularına cevap vermesinin ardından kesinleşecek. Havayolu şirketinin sistemlerine yerleştirilen sahte kod, müşterileri 500 bin kişinin bilgilerinin gizliliğinin ihlal edildiği sahte bir siteye yönlendiriyordu. GDPR’nin güvenlik ilkesi, kullanıcı verilerini korumak için uygun teknik ve kurumsal önlemlerin alınması gerektiğini öngörüyor.
Marriott Otelleri
British Airways’e ceza kesilmesine dair teklifin ardından, ICO bir başka niyet bildiriminde bulundu. Bu kez cezanın hedefinde Marriott otelleri vardı. Önerilen ceza miktarı 99,200,396 Sterlin’di. Marriott olayında 339 milyon otel müşterisi bilgilerinin gizliliği ihlal edilmişti. ICO, niyet bildirimini yayınladığında, “2014 yılında Starwood otelleri grubu sistemleri gizliliğinin ihlal edilmesiyle güvenlik açığının başladığına inanılıyor” dedi.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
GDPR yürürlükte: En çok şikayet tele pazarlamadan
8 aylık süreçte Avrupa çapında 95 binden fazla şikayet bildirildi. En büyük şikayet konusu ise telefon üzerinden yapılan pazarlama faaliyetleri oldu. En dikkat çekici ceza ise 50 milyon Euro ile Google’a kesildi.
Avrupa Genel Veri Koruma Yönetmeliği (General Data Protection Regulation – GDPR), Avrupa’da gizlilik yasalarında son 20 yıldır yapılan en önemli reform olarak öne çıkıyor. Yönetmelik ve ilgili uygulamalar, sadece Türkiye’de değil; ABD, Japonya ve Çin gibi ülkeler tarafından da dikkatle takip ediliyor.
GDPR Yönetmeliği, veri güvenliği ve şeffaflığın sağlanabilmesi için uç nokta güvenliği (antivirüs), yedekleme, iş sürekliliği (replikasyon), veri sınıflandırma, veri sızıntısı önleme (DLP), ağ güvenliği, şifreleme (encryption) gibi güvenlik ürünlerinin kullanılması öngörüyor. Bu nedenle GDPR ile ilgili gelişmeler, bilgi güvenliği kuruluşu ESET ve Avrupa’da bu yönde hizmet sağlayan tüm kuruluşlar tarafından da dikkatle izleniyor.
Şüpheli GDPR ihlalleri 95.000’den fazla şikayete neden oldu
Avrupa Komisyonu üyeleri, Mayıs 2018’de yürürlüğe giren yönetmelikle ilgili 8 aylık güncel verileri paylaştı. Buna göre, Avrupa Birliği vatandaşlarından, kişisel verilerin yanlış kullanıldığını bildiren 95 bin 180 şikayet alındığı duyuruldu.
Yetkililer genel olarak yeni gizlilik kurallarının olumlu etkilerine övgüde bulunarak, AB vatandaşlarının veri koruma ve diğer haklarının önemi konusunda daha bilinçli hale gelmelerinin yanı sıra, aynı zamanda bu haklarını kullandıklarını da belirttiler. Açıklamada “küresel bir standart haline gelen dünyadaki en güçlü ve en modern veri koruma kuralları” vurgusu yapıldı.
Telemarketing ve tanıtım amaçlı e-posta
Avrupa genelinde GDPR uygulamalarını denetleyen Avrupa Veri Koruma Kurulu (EDPB) tarafından hazırlanan verilere göre şikayetler çoğunlukla telefon üzerinden yapılan pazarlama faaliyetlerinden (tele pazarlama) geldi. Bunu, tanıtım amaçlı e-posta gönderimleri ve video kayıt gibi faaliyetler izledi.
Kurumlardan 41 bin şikayet
Sekiz aylık sürede kurumlar da veri sızıntılarıyla ilgili 41 bin 502 adet bildirimde bulundu. GDPR, kuruluşların herhangi bir sızıntı meydana geldikten sonra 72 saat içinde denetleyici kuruma (DPA) bu ihlali bildirmelerini zorunlu kılıyor.
255 soruşturma açıldı
Bununla birlikte, denetleyici kurumlar tarafından şüpheli GDPR ihlalleri hakkında 255 soruşturma açıldı. Üç davada cezaların verildiği bildirildi. En dikkat çekici ceza ise Fransız veri koruma kurumu CNIL’in, GDPR ihlalleri nedeniyle Google’a 50 milyon Euro para cezası vermesi oldu. Teknoloji devi, bu karara itiraz edeceğini duyurdu.
Bazı ülkelerde yerel kanunlar henüz uyumlu değil
Bunun dışında, Avrupa Birliği’nin yönetim kanadı tarafından aralarında Bulgaristan, Çek Cumhuriyeti, Portekiz, Slovenya ve Yunanistan’ın yer aldığı beş AB üyesi ülkenin henüz yerel kanunlarını GDPR gereksinimleriyle uyumlu hale getiremediklerine dikkat çekildi.
Konu Türk şirketlerini de ilgilendiriyor
GDPR, Avrupa Birliği içerisinde ya da dışında, AB vatandaşlarının verilerini toplayan veya bulunduran tüm firmaları, dolayısıyla Avrupa ile iş yapan Türk firmalarını da yakından ilgilendiriyor. Bu noktada GDPR ile ilgili önlemler konusunda ESET’in Türkçe olarak hazırladığı bir özel bilgilendirme sayfası da bulunuyor: https://www.eset.com/tr/
Siber Bülten abone listesine kaydolmak için formu doldurunuz
RSA’ya GDPR damgasını vurdu
Siber güvenlik gündeminin sesi olmak iddiasıyla yola çıkan BizBize Siber Sohbet podcast serisinin son bölümünde, RSA konferansına katılan Biznet Bilişim uzmanları etkinlik hakkındaki izlenimlerini ve düşüncelerini paylaştı. Biznet İç girişimcilik Direktörü Hakan Terzioğlu’nun moderatörlüğünde düzenlenen yayına Endüstriyel Kontrol Sistemleri (EKS) Teknik Ekip Lideri Can Demirel ve Denetim Danışmanlık Birim Yöneticisi Sefa Karabulut konuk oldu.
RSA’ya katılan üçlü, yayının başında geçmişe göre bu sene dünyanın önde gelen konferansına Türkiye’den daha fazla katılım olduğunu memnuniyetle belirtirken, bazı oturumların geçen seneye göre daha ‘zayıf’ kaldığı eleştirisinde bulundu. Sefa Karabulut etkinliğin ana tema konuşmalarına katılımın düşük olmasının yarattığı hayal kırıklığına değindi. 400’ün üzerinde oturum yapılan 2018 RSA konferansında 30 saatin üzerinde sunum yapılırken, 45 bin kişiden fazla katılımcı etkinlikte yer aldı.
Yapay Zekâ güvenlik alanında daha fazla gündemde olmalı
Biznet uzmanları RSA’de konuşulan konular her yıl değişse de, değişmeyen temaların başında veri güvenliğinin olduğunu aktardı. Bunların dışında yeni bir atak vektörü olarak kripto madenciliğe vurgu yapıldığına dikkat çeken Hakan Terzioğlu, “Herkes Blokzincir’in çalışma prensiplerini biliyor ve bundan kaynaklı güvenlik tehditlerine odaklanılıyor. Kısaca yeni bir tehdidimiz oldu: “CrytoJacking”” ifadelerini kullandı.
2018’in güncel teknoloji konularının başında gelen ‘Yapay Zekâ’ konusunda yapılan oturumda dile getirilenler ise Biznet uzmanlarını tatmin etmişe benzemiyor. Karabulut, “Makine öğrenmesi tartışmalarında derinleşme beklerdim,” derken, Demirel konuşmacılardan ziyade dinleyicilerin soru ve yorumlarıyla siber güvenliğin yapay zekâ uygulama alanları konusunda tartışmaların olduğuna dikkat çekti.
‘Data is new oil’ cümlesine atıf yapan Terzioğlu ise “Yapay Zekâ ile yapılacak çok şeyler var. Derin Öğrenmenin (Deep Learning) ötesine geçip yorumlama kısmında neler yapılacağı konuşulmadı. Siber güvenliğe nasıl uygulanacağına değinilmedi. Atlanmış önemli bir tema,” ifadelerini kullandı.
Türkiye’de siber güvenlik alanında ne yapılıyorsa uluslararası iş birliği sağlamalı
EKS’lerin siber güvenliği konusunda yaptığı çalışmalarla isminden söz ettiren Can Demirel kendi çalışma alanının RSA’de geçen senelerde çok gündeme gelmediğini belirterek bu sene durumun biraz değiştiğini söyledi: “Gelecek sene gerçekleşmesi beklenen en önemli 5 saldırı çeşidinden birinin EKS’lere yönelik olması açıkçası ürpertici. Buna rağmen RSA’daki 414 oturumdan sadece 18’i endüstriyel içeriğe sahipti. IoT (Nesnelerin İnterneti) ile birleştirdiğimizde bu sayı RSA’deki oturumların yüzde 10’luk bir kısmına tekabül ediyor,” dedi. Zamanının çoğunu EKS ile ilgili oturumlarda geçiren Demirel, RSA’de EKS’ler özelinde düzenlenen CTF (Bayrağı Yakala) yarışmasının bir benzerinin EKS Siber Güvenlik Kampı’nda yapacaklarını da duyurdu.
Hakan Terzioğlu da EKS güvenliği konusunda bilgi paylaşımı ve uluslararası iş birliğine dikkat çekti: “Türkiye’de siber güvenlik alanında ne yapılıyorsa mutlaka uluslararası alanda aynı işi yapan kişi ve kurumlarla ilişki içerisinde olunmalı. Hepimiz aynı savaşı veriyoruz, ayrı ayrı deneyimliyoruz. Kaybedecek vakit yok. İhtiyaç artıyor. Bilgi paylaşımı çok kilit bir konu.”
Dünyanın önemli EKS güvenliği şirketlerinden Dragos’un CEO’su Robert Lee’nin sunumunun ilk üç slaydının Türkiye ile ilgili olduğunu aktaran Demirel, sunumda Türkiye’de yaşanmış güvenlik olayları konusunda doğru sanılan bazı yanlışların düzelttiğini aktardı. “Bu konuyla böyle uluslararası bir konferansta gündeme geliyorsak daha dikkatli olmalıyız,” dedi.
Sunumlarda sıklıkla dile getirilen bir başka konunun Olay Müdahale (Incident Response) olduğunu anlatan Sefa Karabulut, hacklenmenin kaçınılmaz kabul edildiğini ve buna karşı olay müdahale süreçlerinin mutlaka test edilmesi gerektiği konusunda uyarılarda bulunulduğunu kaydetti. Halkla ilişkilerin bu konuda önemli olduğunu belirten Terzioğlu, “Teknik önlemlerin yürütülmesinde bir kriz yönetim süreci yürütülmesi gerektiği gibi, yaşadığınız veri ihlalini halka nasıl anlatacağınız ile ilgili de bir kriz yönetim süreci yürütülmesi gerekiyor,” dedi.
Son olarak Can Demirel, olay müdahale konusunda bölgesel ittifaklar kurulduğunu anlatarak ve Malezya’daki İslami temelli olay müdahale kümelenmesini örnek gösterdi. Dünya çapında iş yapabilecek teknik uzmanların Türkiye’de bulunduğunu söyleyen Terzioğlu da, böyle kümelenmeler ile bu yetenekleri dünyaya gösterme şansı elde edileceğine dikkat çekti.
Siber Bülten abone listesine kaydolmak için formu doldurunuz