Süni intellekt kibertəhlükəsizlikdə xilaskar, yoxsa risk mənbəyi: Qərar verdikdə məsuliyyəti kim daşıyır? — MÜSAHİBƏ

Süni intellektin kibertəhlükəsizlik sahəsində tətbiqi müasir dövrün ən aktual texnoloji tendensiyalarından biridir. Bu texnologiya böyük verilənlərin sürətli təhlili, təhlükə aşkarlanması və insidentlərin qarşısının alınması baxımından mühüm imkanlar təqdim edir. Lakin bu imkanlarla yanaşı, etik, hüquqi və texniki risklər də meydana çıxır.

Qərarvermə prosesində insan nəzarətinin rolu, süni intellektin verdiyi qərarlara görə məsuliyyət bölgüsü, SIEM sistemlərinin özlərinin təhlükə mənbəyinə çevrilə bilməsi və deepfake texnologiyasının yaratdığı yeni təhdidlər bu sahədə dərin müzakirə tələb edən mövzulardır. 

Mövzu ilə bağlı İngiltərənin London şəhərindəki Roehampton Universitetində kibertəhlükəsizlik üzrə magistratura təhsili alan həmyerlimiz İsmayıl Əsədullayev Crossmedia.az-a geniş müsahibə verib.

— İlk olaraq özünüzü təqdim etməyinizi xahiş edirəm…

— Mən İsmayıl Əsədullayev, Bakı şəhərində doğulmuşam və texnologiyalara olan marağım məni kibertəhlükəsizlik sahəsində ixtisaslaşmağa yönəldib. Təhsilimi Ankara Liseyində tamamladıqdan sonra ADA Universitetində Kompüter Elmləri üzrə bakalavr dərəcəsi əldə etmiş, hazırda isə Londonun Roehampton Universitetində Kibertəhlükəsizlik üzrə magistratura təhsili alıram. 

Karyeram ərzində müxtəlif sahələrdə təcrübə qazanmışam. TALAB (London) şirkətində əməliyyat analisti kimi əməliyyat dəyişiklikləri üzrə strategiyalar hazırlamış və texniki yeniliklərlə istifadəçi təcrübəsini yaxşılaşdırmışam. AzInTelecom-da kibertəhlükəsizlik məsləhətçisi kimi təcrübə olaraq təhlükəsizlik qiymətləndirmələri aparmış, SIEM sistemlərini (Security Information and Event Management – Təhlükəsizlik Məlumatlarının və Hadisələrinin İdarəolunması) təhlil etmişəm. PwC-də risk məsləhətçisi fəaliyyətim zamanı isə müştərilər üçün təhlükəsizlik siyasətləri hazırlamış, risklərin azaldılması üçün effektiv həllər təklif etmişəm.

Eyni zamanda, Bestcomp Group-da kompüter mühəndisi kimi sistemlərin fasiləsiz işləməsini təmin etmək üçün texniki problemləri həll etmişəm.

Peşəkar işimlə yanaşı, şəxsi layihələr üzərində də çalışıram. Onlardan biri Planogram Compliance (Planogram Uyğunluğu – pərakəndə satışda məhsul yerləşdirilməsinin yoxlanılması) layihəsidir. Bu layihədə məqsədim mağazalarda məhsul yerləşdirmənin planogramlara uyğunluğunu avtomatlaşdırılmış üsullarla yoxlamaqdır.

Bunun üçün YOLOv8 obyekt tanıma modeli (You Only Look Once – real vaxtda obyekt tanıma alqoritmi), Roboflow datasetləri (təlim məlumat bazası) və Django web tətbiqi (Python əsaslı veb framework – veb tətbiqlərin hazırlanması mühiti) üzərində işləyərək həm satışların optimallaşdırılmasına, həm də müştəri təcrübəsinin yaxşılaşdırılmasına xidmət edən bir sistem yaratmışam. Eyni zamanda, süni intellektin kiber təhlükəsizliklə inteqrasiyası mövzusunda böyük marağım var və bu istiqamətdə yeni yanaşmalar və texnologiyalar üzərində işləməyi hədəfləyirəm. Məqsədim süni intellekt və kibertəhlükəsizliyi birləşdirərək kompleks texnoloji problemlərin həllinə nail olmaq və bizneslər üçün davamlı, innovativ həllər təqdim etməkdir.

Süni intellektin istifadəsi mütləq “human-in-the-loop” yanaşması ilə müşayiət olunmalıdır

— Süni intellektin qərarvermə prosesində insan nəzarətinin rolu nə qədər vacibdir?

— Süni intellektin kibertəhlükəsizlik sahəsində tətbiqi çoxsaylı üstünlüklər təqdim edir. Bu texnologiya qısa müddət ərzində böyük verilənləri təhlil edir, ənənəvi SIEM (Security Information and Event Management – Təhlükəsizlik Məlumatlarının və Hadisələrinin İdarəolunması) sistemlərinin aylarla apardığı analizi bir neçə dəqiqədə reallaşdıra bilir. Bunun nəticəsində kibertəhdidlərin aşkarlanması və onların qarşısının alınması prosesi sürətlənir. Lakin burada diqqət mərkəzində saxlanılmalı ən əsas məsələ süni intellektin verdiyi qərarların mahiyyətidir. O, yalnız statistik nəticələr çıxarır, lakin qərarın sosial, etik və hüquqi tərəflərini qiymətləndirmək qabiliyyətinə malik deyil.

Mənim şəxsi mövqeyim ondan ibarətdir ki, süni intellektin istifadəsi mütləq “human-in-the-loop” (qərarvermə prosesində insanın iştirakı) yanaşması ilə müşayiət olunmalıdır. Yəni alqoritm ilkin qərarı formalaşdırsa da, son təsdiq və məsuliyyət mütləq insana aid edilməlidir. Əks halda, yanlış pozitiv nəticələr (false positives – səhvən təhlükəli kimi dəyərləndirilmiş hallar) baş verə bilər və bu, həm günahsız şəxslərin hüquqlarını poza, həm də şirkətlərin fəaliyyətinə ciddi zərər vura bilər. Məsələn, bank müştərisinin əməliyyatı səhvən şübhəli hesab edilərək hesabının bloklanması həm müştəri üçün maddi itkilərə, həm də bank üçün reputasiya problemlərinə gətirib çıxara bilər. Mənim fikrimcə, süni intellektin qərarvermə sürəti çox önəmlidir, lakin son sözün insana məxsus olması təhlükəsizlik və ədalət prinsipləri baxımından zəruridir.

Süni intellektin verdiyi qərarların məsuliyyəti insanlara məxsusdur

— Süni intellektin verdiyi qərarlara görə hüquqi və etik məsuliyyəti kim daşıyır?

— Bu məsələ bu gün beynəlxalq müzakirələrin əsas istiqamətlərindən biridir. Mənim düşüncəmə görə, süni intellektin verdiyi qərarlara görə məsuliyyət heç vaxt onun öz üzərinə yönəldilə bilməz, çünki o, hüquqi subyekt deyil. Burada məsuliyyət üçtərəfli bölgü əsasında müəyyənləşdirilməlidir. İlk növbədə, məsuliyyət proqramçılar və istehsalçı şirkətlərin üzərinə düşür. Onlar alqoritmləri hazırlayarkən etik prinsiplərə əməl etməli, test proseslərini şəffaf şəkildə aparmalı və riskləri minimuma endirməlidirlər. Məsələn, “Tesla”nın “autopilot” (yarı-avtomatik idarəetmə sistemi) funksiyası ilə bağlı baş verən qəzalar zamanı məsuliyyətin sürücüyə, şirkətə və ya proqramçıya aid olduğu uzun müddət müzakirə olunmuşdu. Bu, məsuliyyət bölgüsünün mürəkkəbliyini açıq şəkildə göstərir.

İkinci olaraq, istifadəçi təşkilatları – məsələn, banklar, dövlət qurumları və şirkətlər – bu sistemlərin tətbiqi və düzgün idarə olunmasına görə cavabdehlik daşıyırlar. Onlar süni intellektin fəaliyyətini izləməli, nəticələrin təhlilini aparmalı və insan nəzarətini zəiflətməməlidirlər. 

Üçüncü səviyyə isə tənzimləyicilər və dövlət qurumlarının roludur. Onların əsas vəzifəsi hüquqi çərçivə yaratmaq, məsuliyyət bölgüsünü dəqiq müəyyənləşdirmək və bu sahədə beynəlxalq standartların tətbiqini təmin etməkdir. 

Mənim şəxsi mövqeyim budur ki, süni intellektin verdiyi qərarların məsuliyyəti istənilən halda insanlara məxsusdur. Qərarın nəticəsinə görə cavabdehlik texnologiyanı yaradan, tətbiq edən və ondan istifadə edən tərəflərin üzərində qalır.

Süni intellekti yalnız “alət” kimi qəbul etmək yanlışdır

— Sİ sistemləri özləri kibertəhlükə mənbəyinə çevrilə bilərmi?

— Bu sualın cavabı birmənalı şəkildə “bəli”dir. Süni intellektin potensial təhlükəyə çevrilməsi artıq nəzəri deyil, praktiki olaraq müşahidə olunan bir haldır. Bunun birinci forması “data poisoning” (məlumat zəhərlənməsi – öyrədici verilənlərə qəsdən yanlış məlumat əlavə edilməsi) hücumlarıdır. Belə hallarda süni intellekt yanlış nəticələr çıxarır və real hücumu görməzlikdən gələ bilər. 2016-cı ildə “Microsoft”un “Tay” adlı chatbotu bunun bariz nümunəsidir: istifadəçilər ona qərəzli məlumat göndərdilər və nəticədə chatbot cəmi bir neçə saat ərzində etikadan kənar cavablar verməyə başlayır. İkinci hal isə qərəzli və natamam məlumatlarla bağlıdır. Əgər sistem öyrədilən data əsasında qərəzli nəticələr çıxarırsa, bu, həm kibertəhlükəsizlikdə, həm də sosial mühitdə ciddi fəsadlara yol aça bilər. Məsələn, təhlükəli fəaliyyətləri düzgün müəyyən etməyən sistem şirkətləri real insidentlərə qarşı müdafiəsiz qoya bilər.

Fikrimcə, süni intellekti yalnız “alət” kimi qəbul etmək yanlış yanaşmadır. Əgər insan nəzarəti zəiflədilərsə, süni intellekt özü təhlükənin mənbəyinə çevrilə bilər. Ona görə də bu texnologiyanın inkişafı paralel olaraq nəzarət və şəffaflıq mexanizmləri ilə müşayiət olunmalıdır.

Maarifləndirmə əsasdır

— Sİ-nin “deepfake” kimi texnikaları gücləndirməsi kibertəhlükəsizlik üçün hansı riskləri yaradır?

— Deepfake (dərin saxta – süni intellekt vasitəsilə yaradılan real görsənən saxta video və ya audio) texnologiyası müasir kibertəhlükəsizliyin ən narahatedici məsələlərindən biridir. Əvvəllər kibertəhlükə dedikdə əsasən viruslar, phishing e-mailləri və saxta linklər nəzərdə tutulurdusa, bu gün artıq audio və video manipulyasiyaları əsas təhdidlər sırasında yer alır.

“Deepfake”in yaratdığı ən ciddi risklərdən biri sosial mühəndislik hücumlarıdır. Məsələn, şirkətin maliyyə direktoru barədə saxta video hazırlanaraq işçilərə göndərilir və həmin videoda əməkdaşlardan təcili ödənişlərin edilməsi tələb olunur. Çox böyük ehtimalla işçilərin əksəriyyəti bu videonu real qəbul edəcək və nəticədə şirkət milyonlarla dollar itki ilə üzləşəcək. İkinci risk dezinformasiya və informasiya müharibəsidir. Siyasi liderlərin və ya ictimai xadimlərin saxta çıxışlarının hazırlanması ictimai rəyi çaşdıra və hətta dövlətlərin strateji qərarlarına təsir edə bilər. Üçüncü və ən təhlükəli nəticə isə etibarın itməsidir. Əgər insanlar gördükləri və eşitdikləri hər materiala “bu saxta ola bilər” düşüncəsi ilə yanaşmağa başlasalar, bu, informasiya təhlükəsizliyi baxımından çox böyük problem yaradacaq.

Mənim şəxsi mövqeyim ondan ibarətdir ki, deepfake ilə mübarizə yalnız texniki vasitələrlə aparıla bilməz. Bu sahədə maarifləndirmə əsas rol oynayır. İnsanlara göstərilməlidir ki, gördükləri və eşitdikləri hər bir material həqiqəti əks etdirməyə bilər. Kibertəhlükəsizlik bu mənada təkcə sistemlərin və kodların qorunması deyil, həm də insan şüurunun və cəmiyyətin etimad mühitinin qorunması deməkdir.

Nəzrin Salmanova