ABD siber güvenlik kurumunun başkanının hassas devlet belgelerini ChatGPT’ye yüklediği bildirildi

 (dexerto.com)
2 puan yazan GN⁺ 2026-01-30 | 1 yorum | WhatsApp'ta paylaş
  • ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) geçici başkanının gizlilik düzeyinde devlet sözleşme belgelerini ChatGPT’ye yüklediği bildirildi
  • Söz konusu belgeler “For Official Use Only” olarak işaretlenmişti ve kurum içi güvenlik alarmı ile federal soruşturmayı tetikledi
  • Diğer İç Güvenlik Bakanlığı çalışanlarına kapalı olan ChatGPT erişimi için özel istisna yetkisi talep ettiği öne sürüldü
  • CISA sözcüsü, kullanımın “kısa süreli ve sınırlı” olduğunu belirtirken, olay sonrası hasar değerlendirme süreci başlatıldı
  • Olayın federal hükümetin yapay zeka kullanımını genişletme politikası sırasında yaşanması, kamu kurumlarında yapay zeka güvenlik yönetiminin önemini öne çıkardı

ChatGPT’ye yükleme olayının özeti

  • ABD hükümetinin en üst siber güvenlik kurumu olan CISA’nın geçici başkanı Madhu Gottumukkala’nın ChatGPT’nin herkese açık sürümüne hassas devlet belgeleri yüklediğini Politico bildirdi
    • Yüklenen belgeler, “For Official Use Only” ibaresi taşıyan devlet sözleşmeleriyle ilgili belgelerdi
    • Olay 2025 yazında yaşandı ve kurum içi siber güvenlik izleme sistemi bunu ağustos başında tespit etti
  • Tespitin ardından, İç Güvenlik Bakanlığı (DHS) öncülüğünde bilginin açığa çıkıp çıkmadığını incelemek için derhal bir hasar değerlendirmesi (damage assessment) başlatıldı
  • ChatGPT’nin herkese açık sürümü kullanıcı girdilerini OpenAI ile paylaştığı için, hassas verilerin kurum içi ağ dışına sızmış olabileceği endişesi doğdu

CISA’nın yanıtı ve resmi açıklaması

  • CISA sözcüsü Marci McCarthy, Gottumukkala’nın “DHS denetimi altında ChatGPT kullanma izni aldığını” açıkladı
    • Kullanımın “kısa süreli ve sınırlı” olduğu özellikle vurgulandı
  • Gottumukkala, 2025 Mayıs ayından beri geçici başkan olarak görev yapıyor; Senato ise Sean Plankey’yi hâlâ kalıcı başkan olarak onaylamış değil
  • Politico, görev süresi sırasında yaşanan başka sorunlu örneklere de değindi
    • Daha önce üst düzey bilgi erişimi için yapılan karşı istihbarat polygraph testinde başarısız olmuştu
    • Ancak kendisi yakın tarihli bir Kongre oturumunda bu değerlendirmeyi reddederek itiraz etti

Federal hükümetin yapay zeka politikası ve olayın zamanlaması

  • Olay, Donald Trump yönetiminin federal kurumlar genelinde yapay zeka benimsenmesini hızlandırdığı bir dönemde yaşandı
    • Başkan Trump, 2025 Aralık ayında eyalet düzeyindeki yapay zeka düzenlemelerini sınırlayan bir başkanlık kararnamesi imzaladı
    • ABD Savunma Bakanlığı (Pentagon), askeri alanda yapay zeka kullanımını genişletmek için “AI-first” stratejisini açıkladı
  • Bu politika akışı içinde olay, kamu sektöründe yapay zeka kullanımının güvenlik risklerini gösteren bir örnek olarak dikkat çekiyor

Kurum içi güvenlik alarmı ve soruşturma süreci

  • Siber güvenlik izleme sistemi, ChatGPT’ye yapılan yüklemeyi tespit eder etmez kurum içi alarm devreye girdi
    • Ardından DHS, bilgi ifşası olup olmadığını ve zararın kapsamını değerlendirmek için resmi soruşturma başlattı
  • Habere göre ChatGPT erişimi normalde DHS çalışanlarının geneli için engellenmişti, ancak Gottumukkala özel istisna talebiyle erişim aldı
  • OpenAI’nin veri işleme yönteminin hükümet iç ağ güvenliği politikalarıyla çelişebileceği, federal kurumlar içinde bir endişe konusu olarak gündeme geldi

Olayın etkileri ve anlamı

  • Bu olay, federal hükümetteki üst düzey güvenlik yetkililerinin bile yapay zeka araçlarını kullanırken güvenlik risklerine maruz kalabileceğini gösteriyor
  • Kamu kurumlarında yapay zeka kullanım yönergelerinin güçlendirilmesi ve veri koruma mekanizmalarının yeniden gözden geçirilmesi gereği öne çıkıyor
  • Yapay zeka teknolojilerinin benimsenmesi hızlanırken, güvenlik kontrolleri ve şeffaf kullanım süreçlerinin önemi daha da belirginleşiyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-01-30
Hacker News görüşleri

  • Böyle durumları görünce GovCloud için özel bir LLM’in kesinlikle gerekli olduğunu düşünüyorum
    Hükümet sanki ‘atanmış yeğenlerin yeğenleri’ tarafından yönetiliyormuş gibi görünüyor; bu da insanı bunaltıyor
    HBO’nun Chernobyl mini dizisi aklıma durmadan geliyor — bilim dairesi başkanının ayakkabı fabrikasından geldiği sahne gibi; artık kimsenin kendi işinde yetkin olmasının gerekmediği bir çağdaymışız gibi hissettiriyor

    • Habere göre ChatGPT, DHS çalışanlarının çoğu için engellenmişti ve yalnızca Gottumukkala özel izinle sınırlı biçimde kullanabiliyordu
      Buna rağmen güvenlik incelemesine takılmış olması, hükümetin bunun yaygın kullanımını güvenli bulmadığı anlamına geliyor
      Zaten OpenAI ile birlikte kamuya özel bir model olan ChatGPT Gov üzerinde çalıştıkları söyleniyor
    • Yetersiz insanları güç sahibi konumlara koymak, sadakati garanti altına almak için kullanılan klasik bir siyasi araçtır
      O konuma kendi becerileriyle gelmedikleri için yalnızca kendilerini atayan kişiye sadık olurlar ve yapılan işin kalitesini umursamazlar
      Zayıf liderler bu yönteme daha çok başvurur ve ne yazık ki oldukça etkilidir
    • “Atanmış yeğenlerin yeğenleri” demişken, Large Adult Sons’u da unutmamak gerek
      İlgili meme için The New Yorker yazısına ve KnowYourMeme sayfasına bakılabilir
    • Hükümeti bilerek beceriksiz görünür hale getirip, sonunda işi arkadaşların ya da aile üyelerinin işlettiği özel şirketlere devretmek için tasarlanmış kasıtlı bir strateji gibi duruyor
      Böylece kaynakları çok daha verimli şekilde hortumlayabiliyorlar
    • Bu arada HBO’nun Chernobyl dizisi kurgudur. Gerçekte ‘ayakkabı fabrikası müdürü’nün votka içtiği gibi bir sahne yaşanmadı

  • Bu yönetimin operasyonel güvenlik seviyesi (op-sec) neredeyse ‘Barney Fife’ düzeyinde dağınık ve özensiz

    • Venezuela’daki Maduro koruma ekibi bu yoruma hafifçe itiraz edebilir
    • Fife en azından niyeti düzgün bir karakterdi. Üstelik amiri ona silah bile taşıtmıyordu
    • Bu yönetimin genel yetersizlik düzeyi adeta ‘yapıştırıcıyla oynayan çocuk’ seviyesinde
    • Bu beceriksizlik bir hata değil, bir özellik olabilir
    • Ben de satın alma ve satış tarafında 10 yıl çalıştım; bunu görünce gülmeden edemiyorum
      Satın alma süreçlerini bilmeyen birinin internette aramayla çözmeye çalışması, 2007’de “RFP nedir?” diye aratan bir yöneticiyle aynı şey

  • Birinin zaten Azure tabanlı güvenli ChatGPT Pro kullanabiliyor olması gerekirken gidip herkese açık 4o’yu kullanması tuhaf
    Hükümetin zaten ayrıştırılmış güvenli ortamları vardı
    Sonunda izin alıp yalnızca “resmî olmayan belgeler” düzeyinde kullanmış olsa da, böyle temel bir hata CISA lideri için kabul edilebilir değil

    • Ama eğer kendisi yerleştirilmiş bir kuklaysa, bu araçları düzgün tanımaması da şaşırtıcı olmazdı

  • Asıl metni Politico haberinde okumak daha iyi olur

  • Kuralları çiğneyenler her zaman üst kademedekiler oluyor
    Askerî haberleşme tarafında çalışmış insanlar tanıyorum; üst düzey subaylar sırf uğraştırıyor diye güvenlik prosedürlerini görmezden geliyordu

  • İnsanlar zaten herkese açık sosyal medyada da dikkatsizdi
    LLM’ler yaygınlaştıkça bu eğilim daha da kötüleşecek gibi görünüyor

    • Asıl tehlike burada. Şu an LLM’lerden veri silinmesini talep etmenin bile bir yolu yok

  • ITAR/EAR düzenlemelerine tabi sektörlerde (havacılık-uzay, savunma vb.) ChatGPT.com erişiminin engellenmesi şart
    Zaten böyle yapılmıyor olması şok edici

    • Katılıyorum. Yalnız ITAR ve EAR kuralları özellikle yükseköğretim alanında son derece muğlak
    • Rapora göre Gottumukkala, ChatGPT erişimi için özel istisna izni talep etmiş

  • Buradaki yeterlilik seviyesi tam da beklendiği gibi

    • Kendisi doğrudan Kristi Noem tarafından atandı
      Wikipedia profilinde yazdığına göre, Nisan 2025’te DHS bakan yardımcısı olarak atanmış ve Mayıs ayından itibaren CISA’nın vekil direktörü olarak görev yapmaya başlamış

  • Çerez ayarlarını tek tek kapatmak epey eğlenceliydi
    1668 iş ortağı şirketin üçte biri ‘meşru menfaat’ iddiasında bulunuyor
    Privacy Badger’ın yalnızca 19 tanesini engellemesine bakılırsa, bazıları alanı sahte çerezlerle dolduruyor olabilir
    Sonunda haberi okumayı unuttum

    • Aynı çerez birden fazla ortakla paylaşılabilir ya da toplanan veriler onlara aktarılabilir
      Bu sadece basit bir ‘çerez yasası’ değil, kişisel verilerin paylaşımına ilişkin bir yasa
      Örneğin SSN’imi ve e-postamı 1668 şirkete satmak istiyorsanız, her biri için ayrı rıza almanız gerekir

  • Görünüşe göre hükümet sonunda bunu zorla Grok ile entegre ederek çözmeye çalışacak

    • DOGE zaten ihtiyaç duyduğu verilerin tamamını çıkarmış olabilir ama yine de daha fazlasını isteyecektir