Yazıcı ve MFP Güvenliği: Ağ Yazıcılarının Sabit Diskinde Biriken Kişisel Verilerin Temizlenmesi ve KVKK Boyutu

kullanici1

Nisan 8, 2026

KVKK,Siber Savunma,Veri Güvenliği

Modern ofislerin vazgeçilmezi olan Çok Fonksiyonlu Yazıcılar (MFP), artık sadece kağıda baskı yapan basit cihazlar değil; kendi işlemcisi, belleği ve yüksek kapasiteli sabit diski olan birer “ağ bilgisayarı”dır. Bir dokümanı yazdırdığınızda, taradığınızda veya fotokopi çektiğinizde, cihaz bu işlemi gerçekleştirebilmek için verinin bir kopyasını kendi dahili diskine kaydeder. Bu durum, binlerce sayfalık hassas kişisel verinin (maaş bordroları, sözleşmeler, kimlik fotokopileri) yazıcının içinde dijital bir arşiv olarak birikmesine yol açar. Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında, bu cihazların “veri imha” politikalarına dahil edilmemesi, “veri güvenliği” ve “saklama ve imha” ilkelerinin ağır bir ihlalidir.

Konunun Temel Açıklaması

Yazıcı ve MFP güvenliği, cihazın ağ üzerinden korunmasının yanı sıra, fiziksel diskinde depolanan verilerin yaşam döngüsünü yönetmeyi kapsar. Yazıcılar, büyük boyutlu dosyaları işlemek ve kuyruğa almak için “spooling” adı verilen bir işlemle verileri diske yazar. Genellikle bu veriler işlem bittikten sonra silinmiş gibi görünse de, tıpkı bilgisayarlarda olduğu gibi üzerine yeni veri yazılana kadar diskten tam olarak silinmezler. KVKK perspektifinden bu diskler, kurumun en savunmasız “veri tabanları” olarak kabul edilir; çünkü genellikle şifrelenmemiş ve erişim denetimi zayıf bırakılmışlardır.

kimlik doğrulama

Çalışma Mantığı / Teknik Arka Plan

Bir MFP cihazı, işlediği her dokümanı şu üç aşamada diske kaydedebilir:

  1. Görüntü İşleme (Image Overwrite): Yazdırma veya tarama sırasında oluşturulan geçici dosya parçacıkları.
  2. Doküman Saklama (Document Filing): Kullanıcıların daha sonra tekrar basmak için cihazın “kutusuna” (box) kaydettiği kalıcı dosyalar.
  3. Adres Defteri ve Loglar: Cihazın belleğinde tutulan faks numaraları, e-posta adresleri ve hangi kullanıcının ne bastığına dair günlük kayıtları.

Teknik zafiyet, cihazın kullanım ömrü sonunda veya arıza nedeniyle teknik servise gönderildiğinde ortaya çıkar. Eğer diskteki veriler güvenli bir şekilde temizlenmezse, basit bir veri kurtarma yazılımıyla diskteki tüm geçmiş dokümanlara ulaşılabilir. Modern MFP’ler bu riski önlemek için “Data Overwrite Security Kit” adı verilen ve her işlemden sonra diskin o bölgesine rastgele veriler yazarak kalıcı silme yapan modüller sunar

Kullanım Senaryoları veya Saldırı Perspektifi

Saldırı perspektifinden bakıldığında, yazıcılar kurumsal ağa sızmak veya doğrudan veri çalmak için “en zayıf halka” olarak görülür. Bir saldırgan, yazıcının web yönetim arayüzündeki (HTTP/HTTPS) zayıf bir parolayı kullanarak veya Telnet üzerinden bağlanarak diskteki kayıtlı dokümanlara erişebilir. Daha fiziksel bir senaryoda; kiralama süresi dolan ve firmaya iade edilen bir yazıcının içindeki disk, temizlenmediği takdirde yeni sahibine veya hurdacıya binlerce gizli belgeyi “altın tepside” sunar. Ayrıca, yazıcıların ağ üzerinden “FTP” veya “SMB” paylaşımı yapması, saldırganın bu diskleri birer depolama alanı olarak kullanmasına ve içerideki verileri dışarı sızdırmasına imkan tanır.

Riskler ve Etkileri

Yazıcı disklerinin temizlenmemesinin etkisi, kitlesel ve kontrolsüz bir veri sızıntısıdır. En büyük risk, “Veri İmha Sürecinin Atlanması”dır. Bir kurum bilgisayar disklerini imha ederken yazıcı disklerini unutursa, KVKK nezdinde “ihmalkarlık” suçlamasıyla karşı karşıya kalır. Teknik risk olarak; diski ele geçiren bir saldırgan, sadece dokümanları değil, yazıcının ağa bağlanmak için kullandığı “LDAP” veya “SMTP” kullanıcı adı ve şifrelerini de ele geçirerek kurumsal ağın derinliklerine sızabilir. Bu durum, kurumun sadece sızan belgelerden değil, tüm ağ güvenliğinin çökmesinden sorumlu tutulmasına yol açar.

Tespit Yöntemleri

Yazıcı disklerindeki veri birikimini ve riskleri saptamak için şu yöntemler kullanılır:

  • Zafiyet Taraması: Yazıcının internete veya yerel ağa açık olan güvensiz servislerinin (FTP, Telnet, SNMP v1/v2) taranması.
  • Disk Analizi (Emekliye Ayırma Sırasında): Cihaz elden çıkarılmadan önce diskinin bir kopyasının (image) alınarak içinde kurtarılabilir veri olup olmadığının adli bilişim araçlarıyla kontrol edilmesi.
  • Denetim İzi (Audit Log) Takibi: Cihazın yönetim paneline yapılan yetkisiz giriş denemelerinin ve büyük boyutlu dosya transferlerinin SIEM sistemleri üzerinden izlenmesi.
  • Yapılandırma Denetimi: Cihazın ayarlarında “Otomatik Veri Silme” (Auto Overwrite) özelliğinin aktif olup olmadığının düzenli kontrolü.

Önleme ve Güvenlik Önlemleri

Cihazın bir veri sızıntısı kaynağına dönüşmesini engellemek için şu teknik önlemler alınmalıdır:

  • Dahili Disk Şifreleme: Yazıcı üzerindeki sabit diskin mutlaka “AES-256” gibi standartlarla şifrelenmiş olması sağlanmalıdır. Disk fiziksel olarak çalınsa bile veriler okunamaz kalır.
  • Image Overwrite (Anlık Silme): Cihaz ayarlarından, her kopyalama veya yazdırma işlemi biter bitmez geçici verilerin üzerine 3 veya 7 kez rastgele veri yazılması (DoD 5220.22-M standardı gibi) aktif edilmelidir.
  • Güvenli İmha Prosedürü: Cihaz bozulduğunda veya kiralama süresi dolduğunda, sabit disk fiziksel olarak sökülmeli ve parçalanarak (shredding) imha edilmelidir. Asla diskle birlikte cihaz gönderilmemelidir.
  • Ağ İzolasyonu: Yazıcılar sadece gerekli sunucularla konuşabilecek şekilde ayrı bir VLAN içinde tutulmalı ve internet erişimleri tamamen kapatılmalıdır.

Kurumsal Perspektif / Gerçek Hayat Kullanımı

Kurumsal yönetim ve KVKK uyumu açısından yazıcı güvenliği, “Veri İmha Politikası”nın bir parçasıdır. KVKK Madde 7 ve ilgili İmha Yönetmeliği uyarınca, verilerin işleme amaçları ortadan kalktığında güvenli bir şekilde silinmesi, yok edilmesi veya anonim hale getirilmesi zorunludur. Kişisel Verileri Koruma Kurulu (KVKK Kurulu), veri ihlali incelemelerinde “ikincil veri depolama birimleri” olarak yazıcı disklerini de denetlemektedir.

Gerçek hayatta, ikinci el piyasasında satılan yazıcıların disklerinden binlerce tıbbi kayıt veya banka dekontu çıktığına dair pek çok araştırma mevcuttur. Kurumlar, MFP tedarik sözleşmelerine “Disk Güvenliği ve İmha Taahhüdü” eklemeli; teknik servis personeli cihazın ana kartını veya diskini değiştirdiğinde, eski parçayı mutlaka kurumda tutarak fiziksel imhasını gerçekleştirmelidir.

Sonuç

Sonuç olarak Çok Fonksiyonlu Yazıcılar (MFP), kurumun dijital hafızasının sessizce biriktiği riskli noktalardır. Bu cihazların sabit disklerini temizlemek, sadece bir IT görevi değil, KVKK uyumu için hayati bir zorunluluktur. Teknik tedbirler (şifreleme ve üzerine yazma) ile idari tedbirler (imha politikası) birleştirilmediği sürece, ofisin köşesinde duran o cihaz, bir gün kurumun en büyük veri sızıntısı kaynağına dönüşebilir. Dijital dünyada veriyi korumak, onun kağıda dönüştüğü son noktadaki dijital ayak izlerini de silmeyi gerektirir. Unutulmamalıdır ki, kağıdı yırtsanız da dijital kopyası hala yazıcının hafızasında yaşıyor olabilir.

Tags :
#DataDestruction,#DiskErasure,#KVKK,#MFPSecurity,#NetworkPrinter,#SiberSavunma,#Veriİmha,#YazıcıGüvenliği
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.