• Anasayfa
  • Mercek
  • Prof. Dr. Alptekin Küpçü: “Siber güvenlikte insan hem en önemli hem en zayıf halkadır”
02 Ocak 2026

Prof. Dr. Alptekin Küpçü: “Siber güvenlikte insan hem en önemli hem en zayıf halkadır”

Yapay zekâ destekli sistemlerin yaygınlaşmasıyla birlikte veri güvenliği ve mahremiyet dijital dünyanın en kritik konuları haline geldi. Koç Üniversitesi Bilgisayar Mühendisliği Bölümü’nden Prof. Dr. Alptekin Küpçü yapay zekâ çağında verinin korunması, siber güvenlik kültürü ve kriptolojinin bu ekosistemdeki rolü üzerine değerlendirmelerde bulundu.  

Yapay zekânın hızla geliştiği, dijital sistemlerin hayatın her alanına entegre olduğu günümüzde siber güvenlik, veri güvenliği ve güvenilirlik kavramları her zamankinden daha kritik hale geliyor. Bu dönüşüm, yalnızca bireysel kullanıcıları değil; kurumları ve küresel güvenlik ekosistemini de etkiliyor. Günümüzde bir yandan yapay zekâ destekli savunma mekanizmaları geliştirilirken, diğer yandan veri gizliliğini korumaya yönelik yeni yaklaşımlar tartışılıyor. Bu kapsamda, Koç Üniversitesi Bilgisayar Mühendisliği Bölümü’nden Prof. Dr. Alptekin Küpçü ile kurucusu olduğu Kriptoloji, Siber Güvenlik ve Gizlilik Araştırma Grubu’nun çalışmalarını, veri güvenliğinin geleceğini, siber güvenliğin kurumlar açısından taşıdığı önemi ve kriptolojinin dijital dünyadaki rolünü konuştuk.

Yapay zekâ çağında veri güvenliği konusundaki en büyük riskleri ve bu risklere karşı geliştirilen koruma mekanizmalarını nasıl değerlendiriyorsunuz? Bu çerçevede, yapay zekâ çağında verilerimizin ne ölçüde güvende olduğunu söyleyebiliriz?

Çoğu insan aslında bu konudaki risklerin ya da boyutunun ciddiyetinin farkında değil. Hem verilerimizin gizliliği hem yapay zekânın bize verdiği yanıtların doğruluğu açısından ciddi problemler var. Buradaki savunma mekanizmaları halen araştırma konusu ve çözülebilmiş değil. Sürekli yeni mekanizmalar geliştiriliyor, bu mekanizmalara tekrar saldırılar oluyor ve bu, her geçen gün devam ediyor. Bizlerin de hem saldırı hem savunma tarafında çalışmalarımız var. Burada çok ilginç bir noktanın altını çizmek isterim. Eskiden beri kriptoloji ve siber güvenlik uzmanları olarak şikâyetimiz şudur: Maalesef bir sistem güvenlik düşünülmeden tasarlanıyor, güvenlik sonra sağlanmaya çalışılıyor. Bunu internetin tasarımında çok yaşadık. En başta güvenlikle birlikte tasarlamayınca sonradan güvenliği ve gizliliği sağlamak çok daha zor oluyor. Yapay zekâda da durum böyle. “Önce sistemi oluşturalım, bir şekilde yapay bir düşünme yapabilsin, çeşitli çözümler sunabilsin” diyerek yola çıkılıyor. Elbette bunlar çok önemli araştırmalar ama güvenlik ve gizlilik konuları ilk baştan konuya dahil edilmiyor. Bu noktada da konunun uzmanları ilerleyen süreçte devreye girmek durumunda kalıyor. Bizim birebir yaşadığımız bir örnekten bahsedeyim. ABD'deki Massachusetts Institute of Technology'de güvenlik uzmanı olmayan ünlü bir grup hocanın Split Learning isimli bir çözümü var. Ana fikir şu şekilde: Günümüzdeki yapay zekâ çözümleri çok ciddi kaynak gerektiriyor. Ben bunu kendi cihazımda yapamıyorum. Bulutu taşeron olarak kullanacağım. Modelin bir bölümünü kendi cihazımda yapacağım; kalan işin yoğun kısmını buluta aktaracağım. Böyle bir çözüm öneriyorlar ve diyorlar ki “Bulut modelin tamamını görmediği için bu güvenlidir.” Bizim ve bizim gibi farklı grupların da gösterdiği üzere bu, güvenlik sağlamıyor. Burada gösterdiğimiz saldırılar mevcut. Bunun güvenliğinin nasıl düzgün sağlanması gerektiğine yönelik sunduğumuz çözümler de var. 

Kullanıcı açısından baktığımızda ise bu sistemleri kullanırken çok dikkatli olmamız ve verilerimizin gizli kalmayacağını varsaymamız gerek. Yani sisteme kritik bir veri vermememiz lazım. Diyelim ki bir alanda araştırma yapıyorum. Bu alandaki bazı makaleleri bulmak ya da belli bir bölümü anlayabilmek istiyorum. Yapay zekâyı burada kullanabilirim. Neden? Çünkü bu makaleler zaten gizli veri değil. İnternet ortamında bunlara herkes erişebilir. Ama örneğin bir şirketin henüz açıklanmamış finansal verilerini buraya yükleyip analiz ettirmek, bizim tavsiye ettiğimiz bir yöntem değil.  

Kriptoloji dijital dünyada bireysel mahremiyetin korunmasında ve güvenli iletişim altyapılarının oluşturulmasında kritik bir rol üstleniyor. Siz bu disiplinin dijital güvenlik ekosistemindeki yerini ve önemini nasıl tanımlarsınız?

Kriptoloji aslında çok büyük bir alan. Genelde kriptografi diye adlandırdığımız taraf savunma; kriptanaliz ise saldırı tarafı. Kriptoloji bence bizim siber güvenlik ekosistemimiz içerisinde hak ettiği yerde değil. Bunun sebebi ise şu: Bir şeyin güvenliğini sağlamak isteyerek, "Oraya kriptografik bir protokol koyalım” dediğinizde bu sisteme mutlaka bir yavaşlama getiriyorsunuz. Bu kaçınılmaz bir şey. Hem bireysel düzeyde hem şirketler nezdinde güvenlik ve gizlilik genelde ikinci plana atılıyor. “Ben yavaşlama istemiyorum. Öncelikli hedef performans olsun” şeklinde düşünülüyor. Bu yüzden de kriptoloji hak ettiği yere koyulmamış oluyor. Kullanıcılar da bunu yeterince talep etmiyor. Belki neler yapılabildiğini bilmediklerinden belki başka sebeplerden, ama kullanıcı tarafından da mutlaka bir talep gelmesi gerek. HTTPS ile bağlandığımız tüm web sitelerinden örnek vereyim. Oradaki “s” harfi “secure” (güvenli) anlamına geliyor. Yani arkada bir kriptolojik protokol çalışıyor. 

Eskiden HTTPS sistemi çok yaygın değildi. Edward Snowden'ın birtakım belgeleri ifşa etmesi üzerine insanlar “Bir sürü verimiz alınıyormuş, biz daha çok gizlilik talep ediyoruz” diyerek seslerini yükselttiler ve bunun üzerine firmalar HTTPS kullanımını arttırdı. O yüzden şu an 10 sene öncesine göre çok daha yaygın. Bu noktada hem bu servisleri sağlayan firmalara hem de bunları kullanan bizlere daha fazla güvenlik ve gizlilik talep etme noktasında önemli bir görev düşüyor. 

Çok ilginç bir örnek daha vermek istiyorum. Şimdi size bir şeyi bildiğimi kanıtlayacağım. Siz sonunda buna ikna olacaksınız, ama neyi bildiğimi öğrenmeyeceksiniz. Bir kapı düşünün. 

Bu kapı sadece bir pin kodu girilerek açılabiliyor. Ben size bir iddiada bulunuyorum ve pin kodunu bildiğimi söylüyorum ama bu bilgiyi size vermek istemiyorum. Peki bunu bildiğimi nasıl kanıtlayabilirim? Kapının bir tarafına ben geçerim, diğer tarafına siz geçersiniz ve kapıyı üstüme kilitlersiniz. Eğer ben bu kapıyı açıp sizin yanınıza gelebiliyorsam bu, doğru pin numarasını girdiğim anlamına gelir. O zaman siz de ikna olursunuz. Evet, ben doğru pin numarasını biliyorum ama siz bu bilgiye dair hiçbir şey öğrenmediniz. Biz buna sıfır bilgi ile kanıt diyoruz. Kriptoloji kullanarak matematiksel olarak neredeyse her şeyi sıfır bilgi ile kanıtlamak mümkün. Diyelim ki bir hastaneye gittiğinizde ya da bir polis çevirmesinde kimlik göstermeniz gerekiyor. Aslında kimlik bilgilerinizin detaylarını belirtmeden, sıfır bilgi ile kanıt sayesinde o aracı sürmeye yeterli bir ehliyetiniz olduğunu ispatlayabilirsiniz. Bunlar hayatımızda çok daha güzel yerlere gelebilmesi gereken çözümler. 

alptekinkupcu3.jpg

Kuantum bilgisayarların kriptoloji alanındaki yeri nedir ve bu teknoloji mevcut şifreleme yaklaşımlarını nasıl yeniden şekillendiriyor?

Biz ne kadar pratik bir halini görürüz bilemiyorum ama kuantum bilgisayarlar bir noktada yaygın hale gelecek diye düşünülüyor. Kuantum bilgisayarların inanılmaz yetenekleri var. Pek çok hesaplamada ciddi hızlanma sağlayabiliyorlar. Ancak her şeyi yapamıyorlar. Normal bilgisayarlarımızın da yeteneklerinin sınırı var. Hiçbir zaman yapamayacakları şeyler olduğu gibi, çok uzun zaman harcayarak yapabilecekleri şeyler var. Kuantum bilgisayarlarda da durum böyle. Tabii ki sınırlar aynı değil. Ama onların da hiçbir zaman yapamayacağı ya da çok uzun sürede yapabileceği şeyler söz konusu. Kriptoloji özelinde bu, şu anlama geliyor: Şu anda bilinen ve kullanımdaki bazı kriptografik protokolleri kuantum bilgisayarlarla çok hızlı kırmak mümkün olacak. Ancak şu an bu konuda standardizasyon çalışmaları da yürütülüyor. Kuantum bilgisayarların dahi kıramayacağı yöntemler geliştiriliyor ve bu konuda çok ciddi araştırmalar mevcut. Benim tahminime göre, kuantum bilgisayarlar gelişip yaygın bir hale geldiği noktada zaten onlara karşı güvenlik sağlayan uygun kriptografik protokoller de olgunlaşmış olacak. O anlamda korkacak bir şeyimiz yok. Yeter ki çözümlerimizi değiştirelim ve şu anki güvensiz çözümleri bırakıp daha güvenli çözümlere geçiş yapalım.

Sizce kurumların güçlü bir siber güvenlik kültürü oluşturması için en kritik bileşenler nelerdir? 

Aslında en önemli etken bu kültürün oluşmasının istenmesi, kurumların ve yöneticilerin bilinçli olması, kriptolojik güvenliği talep etmesi… Siber güvenlikte insan hem en önemli hem en zayıf halkadır. Örneğin, içinde yer aldığımız kurumun bilgisayarını kullanırken “Bilişim teknolojileri departmanı bunu doğru ayarlamıştır, ben de istediğim gibi kullanırım” diyemeyiz. O kullanımın da bilinçli olması gerek. O yüzden kişilerin siber güvenlik ve kriptolojinin doğru kullanımı konusunda eğitim almaları gerekli. Araştırmacılar açısından baktığımızda ise kullanılabilir güvenlik çözümleri üretilmesi çok önemli. Ürettiğimiz kriptolojik çözümün kullanılabilir olması lazım. Çok karmaşık ve zor olmamalı. İnsan buradaki en önemli etken ve insan etkenini doğru tasarlayamazsak yanlış yapmış oluruz. Bu konuda şu anda yürüyen çalışmamızdan bahsedeyim. Bildiğiniz gibi, günümüzde kullanıcı adı ve parolayla kimlik doğrulamaları yapılıyor. Hepimiz her gün kullanıyoruz bunları. Ancak maalesef pek çoğumuz aynı parolayı birden fazla yerde de kullanıyoruz. Bu konuda hem akademik yayınlanmış hem patentli parola güvenliği çözümlerimiz var. Aynı parolayı her yerde de kullansanız, size bunun kesinlikle güvenli olacağını garanti edebiliyoruz. Şu anda Medya ve Görsel Sanatlar Bölümü’nde Doç. Dr. Aykut Coşkun ile birlikte projemiz devam ediyor. Biz işin kriptografik tarafını yapıyoruz; onlar da işin kullanılabilirlik tarafına bakıyorlar. Kriptolojik altyapı hazır. Bir prototip kodladıktan sonra sistemi insanlara kullandırıp nerede, nasıl zorluklar gördüklerini, kullanımının kolay olup olmadığını ölçerek çözümümüzü daha da geliştirmek istiyoruz.   

Günümüzde KVKK (Kişisel Verilerin Korunması Kanunu), Avrupa Birliği'nde GDPR (Genel Veri Koruma Yönetmeliği) gibi hukuksal altyapıları düşününce, siber güvenliğe ve kriptolojiye kaynak ayırmak kesinlikle kendini amorti ediyor. Çünkü herhangi bir veri çalınması durumunda bu, hem hukuki hem maddi hem de itibar anlamında çok ciddi problemlere ve kayıplara yol açıyor. Bu noktada baştan önlem almak bu kayıpları önemli ölçüde azaltabilir.

Önümüzdeki on yıl içinde yapay zekâ araştırmalarında veri gizliliği, güvenlik ve güvenilirlik açısından hangi yeni yaklaşımların ön plana çıkacağını düşünüyorsunuz?

Yapay zekâyı ve şu anki sistemin nasıl işlediğini konuştuk. Bazı çalışmalarda aslında kanıtlı birer çözüm, yani teorik bir altyapıda bu savunmayı şu şartlarla geçemezsiniz’in ispatıyla ilerlemeye çalışılıyor. Bu bence doğru yaklaşım. Ama şu anda kısıtlı alanlarda uygulanıyor; elbette varsayımların ne kadar gerçekçi olduğu da önemli. Ben açıkçası ileride, yapay zekâ tarafında açıklanabilirlik geliştikçe güvenlik ve gizlilik çözümlerinde daha matematiksel temellerin oturtulacağını; bunun da açıklanabilir yapay zekâ konusuyla bağlantılı olacağını düşünüyorum. Bir başka deyişle şu anki deneme-yanılmaların azalıp gerçekten matematiksel açıklanabilir temellerle hem yapay zekâ hem de onun güvenlik ve gizlilik özelliklerinin gelişeceğine inanıyorum. 

Peki açıklanabilir yapay zekâ ne demek? Diyelim ki bir yapay zekâ çözümü oluşturuldu. Bu çözümü kullanmaya başlayıp A türünde bir soru sorduğunuzda size çok güzel yanıt veriyor; fakat aynı soruyu biraz daha farklı, B türünde yazıp gönderdiğinizde saçma bir yanıt alıyorsunuz. Bunun sebebini yapay zekâyı geliştirenlere soruyorsunuz ancak bir cevap alamıyorsunuz. Bir yapay zekâ bir şey yapıyor ama niye yapıyor? Açıklanabilir yapay zekâ aslında kabaca bunu açıklayabilmek anlamına geliyor. Burada da çok ciddi çalışmalar var. Dediğim gibi ben bunun güvenlik ve gizlilikle de bağlantılı yerlere gideceğini düşünüyorum. Çünkü bir yapay zekâ sisteminin yaptığı şeyi neden yaptığını görebilirsek ona daha uygun çözümler de geliştirebiliriz. 

2010 yılında Koç Üniversitesi bünyesinde kurulan Kriptoloji, Siber Güvenlik ve Gizlilik Araştırma Grubu’nun çalışmalarını sizden dinleyebilir miyiz? 

Bizim ana işimiz kriptografi, güvenlik ve gizlilik. Ama uygulama alanlarımız çok çeşitli. Mesela bulut bilişim tarafında pek çok güvenlik çalışmamız var. Google Drive, Microsoft OneDrive, Dropbox gibi bulut depolama sistemlerini çoğumuz kullanıyoruz ancak bu sistemler verilerimizin gizliliğini sağlamıyor. Verilerimizin silinip silinmediğinin ya da değişip değişmediğinin herhangi bir garantisi sunulmuyor. Bizim bu konuda pek çok yayınımız mevcut. Örneğin verilerimizi şifreli tutabiliyoruz. Şifreli tuttuğumuz veri üzerinde arama yapabiliyoruz. Bu verinin değişip değişmediğinin ya da silinip silinmediğinin kanıtını alabiliyoruz. Bulut tarafında hesaplamanın doğruluğuna yönelik de çalışmalarımız var. Diğer taraftan bir blokzincir (blockchain) sistemi geliştirdik. Üniversitemiz üzerinden patentleri alındı. 

Facebook benzeri sosyal ağlarda gizlilik ve kimlik doğrulama üzerine yürüttüğümüz çalışmalarımızdan da bahsedeyim. Gizlilikle kastım şu: Facebook'a bir fotoğraf yüklemek istiyorum. Bunu öyle bir sistemle yükleyeyim ki bu fotoğrafı Facebook görmesin. Bu fotoğrafı yalnızca seçtiğim arkadaşlarım görsün. Hatta daha ötesinde fotoğrafın seçtiğim bölümlerini seçtiğim arkadaşlarım görsün. Facebook bunları bilmediği, görmediği halde bana kişiselleştirilmiş reklam sunabilsin. Yine Facebook gibi sistemlerde şöyle bir çözümümüz daha var. 2006 yılında yine Massachusetts Institute of Technology'den çok ünlü kriptoloji ve güvenlik hocalarının olduğu bir grup “Tanıdığımız bir kişi üzerinden de kimlik doğrulama yapılabilir” fikrini ortaya atmış ama çözüme yönelik herhangi bir protokol önermemişlerdi. Zaten o zaman sosyal ağlar da yaygın değildi. 2017 yılından başlayarak bu konuda bir çalışma yürütmeye başladık. Biz dünyadaki ilk “tanıdığımız bir kişi üzerinden kimlik doğrulama sistemini” geliştirdik ve bunu gizliliği koruyarak yapıyoruz. Örneğin, ben sizi işyerinizde ziyaret edeceğim. Girişte sizi ya da o binadan en az üç kişiyi tanıdığımı doğrulamam gerekiyor. Geliştirdiğimiz sistemle kişi isimlerini vermeden, o üç kişiyi tanıdığımı doğrulayabiliyorum. Çünkü aslında kimleri tanıdığınız sizin hakkınızda pek çok bilgi veriyor. Biz gizliliği sağlayarak bu doğrulamayı yapabiliyoruz. 

Üniversitemiz bünyesindeki Kriptoloji, Siber Güvenlik ve Gizlilik Araştırma Grubu’nu 2010 senesinde, göreve başladığımda kurdum. O zamandan beri çalışmalarımızı kararlılıkla sürdürüyoruz. Kriptoloji alanında üniversitemizi tüm dünyaya tanıttık. Yeni öğrencilerimizin de katılımıyla üniversitemizi ve ülkemizi dünyada bu alanın öncülerinden yapmaya devam edeceğiz.