Yazıcı ve MFP Güvenliği: Ağ Yazıcılarının Sabit Diskinde Biriken Kişisel Verilerin Temizlenmesi ve KVKK Boyutu
Modern Çok Fonksiyonlu Yazıcılar (MFP), yüksek kapasiteli sabit disklere ve işlemcilere sahip birer “ağ bilgisayarı” gibi çalışır. Yazdırma, tarama veya fotokopi işlemleri sırasında cihaz, veriyi işleyebilmek için diski üzerinde Spooling adı verilen bir işlemle geçici kopyalar oluşturur. Bu durum, cihazın içinde binlerce hassas belgenin fark edilmeden birikmesine yol açar. Eğer bu diskler şifrelenmez veya düzenli olarak temizlenmezse, cihazın emekliye ayrılması veya çalınması durumunda devasa bir veri ihlali yaşanması kaçınılmazdır.
Teknik savunma için modern yazıcılarda sunulan Data Overwrite (Üzerine Yazma) modülleri aktif edilmelidir. Bu sistem, işlem bitar bitmez verinin bulunduğu disk sektörlerinin üzerine anlamsız veriler yazarak (DoD 5220.22-M gibi standartlarla) geri döndürülemez bir temizlik sağlar. Ayrıca, cihazın içindeki diskin AES-256 ile şifrelenmiş olması, disk fiziksel olarak sökülse dahi içindeki belgelerin okunmasını engeller.
KVKK Madde 12 ve İmha Yönetmeliği nezdinde, yazıcılar “ikincil veri depolama birimi” olarak kabul edilir. Kurumlar, envanterlerinde bu cihazları da belirtmeli ve cihaz elden çıkarılmadan önce disklerini fiziksel olarak imha etmeyi (shredding) bir standart haline getirmelidir. Unutulmamalıdır ki; kağıt imha makinesinden geçen bir belgenin dijital hayaleti, ofisin köşesindeki yazıcının hafızasında hala yaşıyor olabilir.
Dijital Mezarlık: Veri İmha Politikası ve Geri Döndürülemez Silme Yöntemleri
Siber güvenlikte bir veriyi korumak kadar, kullanım ömrü dolduğunda onu “geri döndürülemez” şekilde yok etmek de kritik bir sorumluluktur. İşletim sistemlerindeki standart “Sil” komutu veriyi diskten kazımaz; sadece yerini “yazılabilir” olarak işaretler. Gerçek bir veri imhası için donanımın türüne göre özel fiziksel ve yazılımsal yöntemler kullanılmalıdır.
Geleneksel sabit diskler (HDD) için en etkili yöntem olan Degaussing, devasa bir manyetik alan yaratarak veriyi fiziksel olarak buharlaştırır. Ancak bu yöntem mikroçip tabanlı SSD’lerde işe yaramaz; SSD’ler için Secure Erase komutuyla hücrelerin elektriksel olarak sıfırlanması gerekir. En yüksek gizlilik dereceli verilerde ise donanımın endüstriyel makinelerde toz haline getirilmesi olan Fiziksel Öğütme (Shredding) son çaredir.
KVKK Madde 7 ve ISO 27701 uyarınca, işleme amacı ortadan kalkan verilerin silinmesi, yok edilmesi veya anonim hale getirilmesi yasal bir zorunluluktur. Kurumlar, hangi donanımın hangi standartla (Örn: NIST 800-88) imha edileceğini belirleyen yazılı bir “Veri İmha Politikası” oluşturmalı ve her işlem sonrası “İmha Sertifikası” ile süreci kayıt altına almalıdır. Dijital dünyada gerçek güvenlik, verinin yaşam döngüsünü güvenli bir “ölüm” ile sonlandırabilmektir.