Türkiye’de faaliyet gösteren birçok kamu kurumu ve özel sektör şirketi, dış tehditlere karşı giderek gelişen savunma mekanizmalarına yatırım yaparken, içeriden yükselen bir tehlike sinsi biçimde büyümeye devam ediyor: Gölge BT (Shadow IT). Son dönemde yaşanan birkaç ciddi güvenlik vakası, bu sessiz tehdidin artık göz ardı edilemeyecek bir boyuta ulaştığını ortaya koydu.
Gölge BT, çalışanların resmi onay olmadan kullandığı yazılım, donanım veya bulut hizmetleridir. Bu sistemler çoğunlukla iş verimliliğini artırmak amacıyla bireysel olarak devreye alınır. Ancak bu durum, siber güvenlik açıklarının sisteme fark edilmeden girmesine yol açar. Kontrollü olmayan bu araçlar, şirket ağına riskli bir arka kapı açar. Sonuçları ise kimi zaman bir veri sızıntısından çok daha yıkıcı olabiliyor.
Sektörel Bir Kırılma Noktası
Geçtiğimiz ay Türkiye merkezli bir enerji şirketinde, Gölge BT’nin etkisini gösteren bir olay yaşandı. Pazarlama departmanındaki bir ekip lideri, şirket bilgisayarına bulut tabanlı bir analiz uygulaması kurdu. Bu uygulama, BT biriminden onay alınmadan yüklenmiş ve kurum ağına entegre olmuştur. Bilgisayarın şirketin iç sunucularına erişimi olduğu için uygulama, kritik verilere ulaşabilmiştir. Kısa süre içinde uygulama, müşteri davranışlarına dair verileri toplamaya ve dışarıya aktarmaya başladı. Toplamda 2.4 GB’lık hassas verinin, şirket dışına çıktığı sonradan fark edildi. Bu durum ancak uluslararası bir veri entegrasyonu sırasında, eşleşmeyen kayıtlar nedeniyle ortaya çıktı. Yaşanan tutarsızlıklar üzerine yapılan incelemede, veri sızıntısının kaynağının yetkisiz uygulama olduğu anlaşıldı.
Verinin nereye aktarıldığını hâlâ net olarak kimse bilmezken, şirket açıklama yaparak olayın araştırıldığını ve veri ihlalinin yasal mercilere bildirildiğini duyurdu. Şirketin ismi güvenlik gerekçesiyle açıklanmazken, olaya ilişkin sızdırılan bilgiler kamuoyunda büyük yankı uyandırdı.
Bu olaydan sadece birkaç hafta önce, benzer bir durum İstanbul merkezli bir lojistik firmasında yaşandı. Şirketin bir çalışanı, daha hızlı raporlama yapabilmek için ücretsiz bir uygulama yükledi. Uygulama, şirket sistemlerine entegre oldu ve veri toplamaya başladı. Araç konum bilgileri ile teslimat noktaları bu uygulama tarafından kaydedildi. Toplanan veriler, şirketin bilgisi dışında yabancı sunuculara gönderilmeye başlandı. Bu durum, sektördeki diğer firmalar arasında ciddi bir endişeye yol açtı. Kurum içi ağda herhangi bir anomali algılanamadığı için olay uzun süre fark edilmedi. Nihayetinde müşteri şikayetlerinin artmasıyla başlayan iç soruşturma, bir gölge BT uygulamasının kontrolsüz veri aktarımı yaptığı gerçeğini ortaya çıkardı.
BT Departmanları Yetersiz mi Kalıyor?
Uzmanlar, gölge BT’nin yayılma sebeplerini yalnızca bireysel dikkatsizlik ya da ihmalkârlıkla açıklamıyor. Giderek daha karmaşık hale gelen dijital altyapılar, hızla değişen iş talepleri ve BT birimlerinin artan iş yükü, çalışanları “kendi çözümlerini” üretmeye zorluyor. Bu durum da BT departmanlarının kontrolü dışında büyüyen bir dijital yapı oluşturuyor. Özellikle hibrit ve uzaktan çalışma modellerinin yaygınlaşması, bu eğilimi daha da hızlandırmış durumda.
Siber güvenlik danışmanlık firması yöneticisi Baran Tunç’a göre, gölge BT artık ciddi bir tehdit. Ona göre bu durum yalnızca bir güvenlik açığı değil, yapısal bir zafiyete işaret ediyor. Tunç, çalışanların çoğu zaman BT onayı olmadan yeni araçlar kullandığını söylüyor. Örneğin, şirket e-postasını kişisel telefondan kontrol eden çalışanlar oldukça yaygın. Aynı şekilde, bazı çalışanlar Google Drive üzerinden hassas dosyaları paylaşıyor. Hatta, ChatGPT API’siyle görev otomasyonu kuranlar bile kurum içinde görülmeye başlandı. Tüm bunlar farkında olmadan dış dünya ile kapıları sonuna kadar açıyor. Tehlike büyük çünkü bu süreçlerin çoğu hiç loglanmıyor.”
Türkiye’de faaliyet gösteren şirketlerin çoğunda henüz gölge BT’ye yönelik sistematik bir takip mekanizması bulunmuyor. Oysa ki yapılan bağımsız bir araştırmaya göre, büyük ölçekli şirketlerin yaklaşık %60’ında çalışanların kendi kurduğu sistemlerin aktif olarak kullanıldığı tespit edilmiş durumda. Üstelik bu rakam sadece bilinen kısmı temsil ediyor.
BT Departmanındaki Regülasyonlar Yetersiz Kalıyor
Bu alandaki düzenlemeler de çoğu zaman yetersiz kalıyor. Kişisel Verilerin Korunması Kanunu (KVKK) ve benzeri uluslararası düzenlemeler, genellikle doğrudan veri ihlalleriyle ilgilenirler. Ancak gölge BT üzerinden gerçekleşen veri hareketleri, çoğu zaman doğrudan bir ihlal oluşturmaz; bunun yerine “yasal gri alan” olarak nitelendirilebilecek durumları yaratabilmektedir.
Birçok şirketin, hangi yazılımların kurum içinde kullanıldığını bile tam olarak bilmediği düşünüldüğünde, bu gri alanlar oldukça tehlikeli hale geliyor. Özellikle SaaS tabanlı yabancı servislerin kullanımı, verinin yurtdışına çıkma riski nedeniyle KVKK açısından da ciddi soru işaretleri yaratıyor. Bu tür uygulamaların şirket altyapılarına entegre edilmeden önce denetlenmesi gerekirken, fiiliyatta bu süreçlerin işletilmediği gözlemlenmektedir.
Sonuç: Saldırılar Dışarıdan Değil, İçeriden Başlıyor
Geleneksel siber güvenlik anlayışı, genellikle dış tehditlere odaklanırken; gölge BT gibi içeriden kaynaklı, görünmez tehditler genellikle göz ardı ediliyor. Ancak son vakalar, bu anlayışın artık geçerli olmadığını net şekilde gösteriyor. Şirketlerin, içerideki görünmez sistemlere karşı da dış saldırganlara olduğu kadar hazırlıklı olmaları gerektiği açıkça ortada.
Gölge BT, siber güvenliğin “yumuşak karnı” olmaktan çıkıp, yeni nesil tehditlerin merkezi haline geliyor. Bu tehdide karşı koymak yalnızca BT departmanlarının değil, tüm kurum kültürünün sorumluluğunda. Çünkü artık veri sızıntıları kapalı kapılar ardında değil, kurumsal kör noktalarda başlıyor.
Daha fazla haber için buraya tıklayınız.
Benzer haber için buraya tıklayınız.
Leave a Comment