GÖKTUĞ DOĞAN / NETSMART, VERİ GÜVENLİĞİ ÇÖZÜMLERİ MÜDÜRÜ

Dijital Dalgada Görünmeyen Resif: Denizcilik ve Liman Sektöründe "Gölge Yapay Zeka" Tehdidi ve Güvenlik Rehberi

Yönetici Özeti

Limanlarımız ve gemilerimiz artık sadece beton ve çelikten ibaret yapılar değil; Terminal İşletim Sistemleri (TOS), otonom vinçler ve dijitalleşen tedarik zincirleri (Smart Ports) ile devasa birer veri merkezine dönüşmüş durumdalar. Sektör, verimlilik adına Üretken Yapay Zeka (Generative AI) araçlarına hızla adapte olurken, "Gölge Yapay Zeka" (Shadow AI) olarak adlandırılan sessiz bir tehdit, ISPS (Uluslararası Gemi ve Liman Tesisi Güvenlik Kodu) duvarlarını içeriden aşındırıyor. Bu makale, kurumsal verilerin yapay zeka araçlarına sızmasının yarattığı riskleri teknik ve operasyonel açıdan analiz etmekte ve denizcilik sektörü için kapsamlı bir güvenlik yol haritası sunmaktadır.

1. Tehdidin Anatomisi: Veri Limandan Nasıl Sızıyor?

Cyberhaven’ın 2023 araştırmasına göre, çalışanların ChatGPT ve benzeri araçlara yapıştırdığı verilerin %11’i doğrudan gizli veri kategorisindedir. Denizcilik sektöründe bu durum, basit bir veri kaybından öte, operasyonel süreklilik ve fiziksel güvenlik riskidir.

Sızıntı genellikle üç ana vektör üzerinden gerçekleşir:

a. Model Eğitimi (Training) Tuzağı: Halka açık (Public) AI servislerinin çoğu, kullanıcı tarafından girilen verileri modellerini eğitmek için kullanır. Bir liman mühendisinin hata ayıklamak için sisteme girdiği kod bloğu, rakip bir yazılım firmasının sorgusunda "öğrenilmiş bilgi" olarak karşısına çıkabilir.

b. Gölge AI (Shadow AI) Fenomeni: BT departmanının onayı dışında, çalışanların kişisel hesaplarıyla AI araçlarını kullanmasıdır. Bu durum, limanın güvenlik duvarlarının (Firewall) etrafından dolaşılarak verinin kontrolsüzce buluta taşınmasına neden olur.

c. Sektörel Körlük: Çalışanlar, bir konşimento özetinin veya gemi planının "gizli veri" olduğunu fark etmeden, sadece işi hızlandırmak amacıyla bu araçları kullanmaktadır.

2. Denizcilik Sektörü İçin Kritik Risk Senaryoları

Bir e-ticaret şirketinde veri sızıntısı finansal kayıptır; ancak denizcilikte veri sızıntısı, can güvenliği (SOLAS) ve ulusal güvenlik sorunudur. İşte sektörden somut risk örnekleri:

a. "Akıllı" Kaçakçılık ve Manifestolar

Bir gümrük operasyon memuru, karmaşık bir yük listesini analiz etmek için ChatGPT'ye yükler ve şunu talep eder: "Bu listedeki yüksek değerli elektronik yükleri ve varış tarihlerini özetle."

• Risk: Bu verinin sızması veya 3. taraflarca erişilmesi, organize suç örgütleri için liman sahasında hangi konteynerin "hedef" olduğunu nokta atışı tespit etmelerini sağlar. Ayrıca Manifesto verileri yalnızca yükün içeriğini değil, tüm lojistik zincirinin güvenlik zaaflarını açığa çıkarır. LLM’e yüklenen tek bir Excel dosyası, bir organize suç örgütüne haftalar süren saha keşfi değerinde bilgi sağlayabilir.

b. IT/OT Yakınsaması ve Sabotaj

Limanın otomasyon ekibinden bir mühendis, vinçleri yöneten SCADA/PLC sistemindeki bir Python kodunu düzeltmek için AI'a sorar: “Kodun içindeki IP adresleri, port bilgileri veya zafiyetler model havuzuna karışır.”

• Risk: Bu bilgi, limanı felç etmek isteyen bir fidye yazılımı (Ransomware) grubu için "arka kapı" anahtarı olabilir. LLM’e yüklenen tek bir PLC/SCADA kod parçacığı, yalnızca veri sızıntısı değil; limanın tüm OT altyapısını zincirleme etkileyebilecek, fiziksel kazalara varabilecek, ekosistem ölçeğinde yıkıcı sonuçlar yaratabilecek bir saldırı yüzeyi oluşturur.

c. Tehlikeli Yük (IMDG) ve Fiziksel Güvenlik

Yanıcı veya patlayıcı maddelerin liman sahasındaki konum bilgilerinin AI araçlarına girilmesi, sabotaj planları için kritik istihbarat sağlar. IMDG verilerinin LLM’e yüklenmesi, yalnızca bir konteynerin yerinin ifşası değil, zincirleme patlamadan terör eylemine, devriye zaafiyetinden kimyasal sabotaja kadar çok boyutlu ve uluslararası etkileri olan bir güvenlik açığı yaratır.

d. Rekabetçi İstihbarat ve Ticari Avantaj Kaybı

Bir hat operatörü veya terminal planlama biriminde çalışan bir uzman, gemi çağrı sıklığı (call frequency), boş/dolu konteyner oranı, demuraj süreleri, elleçleme tarifeleri veya navlun trendleri gibi ticari açıdan yüksek değer taşıyan analitik verileri iyileştirmek için AI aracına yükler ve şu komutu verir: “Bu sezon için bu rotadaki hat kârlılığını nasıl optimize edebilirim?”

• Risk: Bu tür operasyonel ve ticari verilerin halka açık bir LLM’e yüklenmesi, rakip şirketler açısından kritik rekabet istihbaratı anlamına gelir. Rekabete dayalı operasyonlarda ticari verinin AI ortamında sızması, sadece bir gizlilik ihlali değil; aynı zamanda piyasa manipülasyonu, stratejik üstünlük kaybı ve uluslararası rekabet düzenlemelerinin ihlali anlamına gelebilecek sistemik bir tehdittir.

3. Regülasyon Boyutu: IMO ve ISPS Uyumluluğu

Bu yeni tehdit, denizcilik sektörünün tabi olduğu uluslararası regülasyonlarla doğrudan çelişmektedir:

• IMO MSC.428(98): Siber risk yönetimi artık Gemi Güvenlik Yönetim Sistemlerinin (SMS) bir parçasıdır. Verinin kontrolsüzce halka açık AI sunucularına gönderilmesi, bu kararın ihlali anlamına gelir.

• ISPS Code (Bölüm A/B): Liman tesisi güvenlik planları, hassas bilgilerin korunmasını şart koşar. AI sızıntıları, fiziksel güvenlik planlarını ifşa ederek ISPS uyumluluğunu tehlikeye atar.

4. Liman Otoriteleri ve Şirketler İçin Güvenlik Rehberi (Guideline)

Denizcilik sektörünün dinamiklerine uygun, 3 katmanlı savunma stratejisi:

Katman 1: Stratejik Önlemler ve Politika

• Denizci Odaklı Politika : Genel geçer kurallar yerine net tanımlar yapın. "Gemi manifestoları, mürettebat pasaport bilgileri, TOS logları ve liman giriş kartı verileri asla halka açık AI araçlarına girilemez."

• Tedarik Zinciri Yönetimi: Acenteler ve lojistik partnerlerinizle yaptığınız sözleşmelere "Yapay Zeka Gizlilik Taahhütnamesi" ekleyin.

Katman 2: Teknik Kontroller (DLP & Gateway)

• DLP (Veri Kaybı Önleme): Ağ geçitlerinde "IMO Numarası", "Konteyner ID" (Örn: MSCU1234567 formatı) gibi paternleri tanıyan ve AI sitelerine gönderimini engelleyen kurallar yazın.

• Enterprise Lisanslar: Verilerin model eğitiminde kullanılmadığını taahhüt eden kurumsal lisansları (Azure OpenAI, ChatGPT Enterprise vb.) tercih edin.

Katman 3: Operasyonel Farkındalık

Çalışanlara yasaklamak yerine, "Nasıl Güvenli Kullanılır?" eğitimi verin. Aşağıdaki tabloyu referans olarak kullanabilirsiniz:

Operasyon Departmanı İçin:

• ❌ Riskli Kullanım: "Şu geminin yükleme planını (Stowage Plan) optimize et." (Bu komutla tüm gemi denge hesapları ve yük bilgisi dışarı sızar.)

• ✅ Doğru Kullanım: "Konteyner istifleme optimizasyonu için kullanılan genel matematiksel formüller nelerdir?" (Hassas veri içermez, sadece yöntem bilgisi istenir.)

• Hukuk ve P&I Departmanı İçin:

• ❌ Riskli Kullanım: "X gemisinin karıştığı kazaya dair ekteki hasar raporunu özetle." (Gizli kaza detayları ve gemi ismi ifşa olur.)

• ✅ Doğru Kullanım: "Deniz hukukunda 'Müşterek Avarya' ilanı için gerekli genel şartlar ve yasal prosedürler nelerdir?" (Genel hukuki bilgi sorgulanır.)

• Teknik ve IT Departmanı İçin:

• ❌ Riskli Kullanım: "Liman vinçlerini kontrol eden şu PLC kodundaki hatayı bul." (Limanın kritik altyapı kodları ve IP yapıları sızar.)

• ✅ Doğru Kullanım: "Python'da endüstriyel veri okumak için kullanılan kütüphanelerdeki genel bağlantı hatası ('connection timeout') nasıl çözülür?" (Kodun tamamı yerine sadece hata türü araştırılır.)

5. Uygulama Yol Haritası (İlk 90 Gün)

Riskleri minimize etmek için önerilen eylem planı:

• İlk 30 Gün (Durum Tespiti): Ağ trafiğini analiz ederek liman içinde hangi AI araçlarının (Shadow AI) kullanıldığını tespit edin. Kritik veri akışını haritalandırın.

• 30-60 Gün (Temel Koruma): Kurumsal AI politikasını yayınlayın. Kritik departmanlar (Operasyon, Finans, IT) için DLP kurallarını devreye alın.

• 60-90 Gün (Güvenli Mimari): "Private AI" ortamını kurun. Operasyonel verilerle (internet kapalı) kendi yerel modelinizi beslemeyi değerlendirin.

Sonuç

Yapay zekâ, denizcilik ve liman sektöründe operasyonel verimliliği kökten dönüştüren geri dönülmez bir gerçekliktir. Ancak bu dönüşüm, yalnızca hız ve otomasyon ekseninde değil; güven, süreklilik ve egemenlik ekseninde de yönetilmek zorundadır. Bugün yapay zekâ araçlarına kontrolsüz şekilde taşınan her veri; bir limanın operasyonel bütünlüğünü, bir geminin fiziki güvenliğini ve bir ülkenin ticari egemenliğini doğrudan etkileme potansiyeline sahiptir.

Bu nedenle mesele, yapay zekâyı kullanıp kullanmamak değil; onu hangi mimari, hangi kurallar ve hangi denetim mekanizmalarıyla yönettiğimizdir. Dijitalleşmenin hızlandığı bu yeni çağda, siber güvenlik artık destekleyici bir fonksiyon değil, denizcilik güvenliğinin ayrılmaz bir parçasıdır. Gemi güvenliği nasıl SOLAS ile, liman güvenliği nasıl ISPS ile standardize edildiyse; yapay zekâ güvenliği de benzeri bir disiplinle ele alınmak zorundadır.

Geleceğin güvenli limanları; en gelişmiş vinçlere, en akıllı terminallere değil, verisini en iyi yöneten, en sıkı biçimde koruyan ve yapay zekâyı kontrollü bir rota üzerinde işleten limanlar olacaktır.

KAYNAKÇA