Kontrol Kimde?

Strategic Advisor at Web2 & Web3 Bülent Bulut, Fintechtime Nisan sayısı için yazdı “Kontrol Kimde?”

“Sektörde hız ve maliyet avantajı nedeniyle bulut tabanlı çözümlere olan eğilim, stratejik bir körlük yaratma riski taşıyor. Yapay zekânın sadece bir destek birimi olmaktan çıkıp bizzat “karar verici” konumuna yükseldiği bu yeni evrede, finans kuruluşlarının en değerli varlığı olan verinin dışarı çıkması, aslında egemenliğin devri anlamına geliyor. Bülent Bulut’un vurguladığı on-prem dönüşü, bir teknoloji nostaljisi değil; aksine finteklerin kendi geleceklerini başkasının sunucusuna emanet etmeme refleksidir. Önümüzdeki dönemde “en hızlı olan” değil, “karar sürecine en çok hakim olan” kurumların güven endeksinde üst sıralara tırmandığını göreceğiz.”

Kontrol Kimde?

Geçen hafta bir fintek CTO’su ile konuşuyordum. “Artık süreçleri ajanlara bıraktık” dedi. İşlemleri izleyen, veriyi analiz eden, karar alan ve gerektiğinde aksiyon alan otonom yapay zekâ ajanları. Kural yazmıyorsun, akış tasarlamıyorsun, sistem kendi çalışıyor.

Güzel. Sonra şunu sordum: Veri nerede işleniyor?

Kısa bir duraksama oldu. “Cloud’da… ama vendor güvenli” dedi. Aslında konuşmanın geri kalanı pek önemli değildi. Mesele orada netleşti.

Fintek ekosistemi hızla büyüyor. Daha hızlı onboarding, daha akıllı scoring, daha otomatik karar mekanizmaları. Ama bu dönüşümde asıl kırılım artık modeller değil, ajanlar. Çünkü sistem sadece analiz etmiyor; karar veriyor ve uyguluyor. Yapay zekâ bir araç olmaktan çıkıp operasyonun kendisine dönüşüyor.

Tam da bu noktada, görünmeyen bir risk katmanı oluşuyor.

Bu riskler klasik güvenlik açıkları değil. Hack, veri sızıntısı ya da kesinti gibi net olaylar değil. Daha sessiz, daha yapısal ve zaman içinde biriken bir kırılganlık: kontrol kaybı.

Eskiden finansal sistemler veri saklardı. Bugün veri sürekli işleniyor. Her işlem bir ajana giriyor, her davranış analiz ediliyor, her karar anlık olarak veriliyor. Ama bu kararların önemli bir kısmı kurumun kendi sınırlarının dışında üretiliyor.

Bugün birçok fintek şirketi “vendor secure” diyerek rahatlıyor. Oysa mesele güvenlikten önce geliyor. Veri nerede, kim erişiyor, hangi pipeline’dan geçiyor, log’lar kimde?

Bu soruların net bir cevabı yoksa sistem aslında parçalıdır.

Çünkü her API çağrısı küçük bir kontrol devridir. Tek başına önemsiz görünür ama biriktiğinde sistemi değiştirir; kontrol dağılır, sorumluluk bulanıklaşır ve görünmeyen risk tam burada başlar. Sistem çalışmaya devam eder, ödemeler geçer, kullanıcılar işlem yapar, ajanlar karar verir, her şey normal görünür. Ama kontrol incelir. Veri dışarıdadır, model dışarıdadır, karar süreci parçalanmıştır ve bir noktadan sonra soru basitleşir: sistemi gerçekten kim yönetiyor?

Bu kırılganlık en net şekilde fraud tarafında ortaya çıkmaya başladı. Son dönemde bazı sistemlerde gördüğümüz şey şu: saldırganlar sistemi kırmıyor, sistemi yönlendiriyor. Küçük, normal görünen işlemlerle modeli besliyor, davranışı yavaşça kaydırıyor. Ajan için her şey normal kalıyor ama zamanla “normal” tanımı değişiyor. Sistem hacklenmiyor, sistem eğitiliyor. Ve eğer bu süreç senin kontrolünün dışında gerçekleşiyorsa, bunu ne kadar erken fark edebileceğin belirsiz.

Son dönemde on-prem yeniden konuşuluyor. Bu bir trend değil, bir refleks. Çünkü görünmeyen risklerin ortak noktası aynı: verinin ve kararın kurum dışına taşınması. On-prem yaklaşımda veri, model ve karar içeride kalır; ajan içeride çalışır, karar içeride alınır. Bu sadece teknik bir tercih değil, riskin doğrudan azaltılmasıdır. Cloud’da veri hareket eder, katmanlardan geçer ve her adım yeni bir yüzey açar. On-prem’de veri yerinde kalır, sistem daha az dışa açılır; daha az bağımlılık, daha az kırılganlık demektir.

Finansal sistemlerin en hassas verilerle çalıştığını düşündüğümüzde bu fark daha da büyür. Veri dışarı çıktığında sadece gizlilik değil, kontrol de kaybolur; içeride kaldığında ise her şey netleşir. Yapay zekâ ajanlarıyla birlikte bu risk daha da büyür, çünkü sistem artık sadece önermez; karar verir ve uygular. Eğer bu ajanların nerede çalıştığı ve nasıl karar verdiği kontrol edilemiyorsa, aslında sistem de kontrol edilemiyor demektir.

Sonuçta mesele dışarıdan gelen bir saldırı değil, sistemin içeriden kontrolünü kaybetmesidir. Bu bir anda olmaz; sessiz ilerler, sistem çalışmaya devam eder ama birikir. Ve bir noktadan sonra soru değişir: daha hızlı mıyız değil, daha akıllı mıyız değil — kontrol gerçekten bizde mi? Çünkü veri dışarıdaysa kontrol de dışarıdadır, model dışarıdaysa karar da dışarıdadır. Bu yüzden on-prem yeniden konuşuluyor; trend olduğu için değil, kontrolü geri almak için.

Çünkü fintek ekosistemini sarsacak olan şey her zaman büyük bir saldırı olmayabilir. Bazen kimsenin fark etmeden büyüyen ama herkesin içinde yaşadığı o görünmez kayıptır — ve o kayıp genelde verinin senden çıktığı anda başlar.