Steganografi ile Veri Kaçırma: Görsel ve Ses Dosyalarına Gizlenen Verilerin Tespiti ve KVKK Boyutu
Siber güvenlikte veriyi korumak kadar, verinin transfer edildiğini gizlemek de kritik bir öneme sahiptir. Steganografi, hassas bilgileri (parolalar, müşteri listeleri vb.) masum görünen JPEG, PNG veya MP3 gibi medya dosyalarının içerisine, dosyanın orijinal işlevini bozmadan gömme sanatıdır. Şifreleme (Kriptografi) veriyi kilitli bir kasaya koyarken; steganografi, o kasayı kalabalık bir caddede sıradan bir taşın içine gizlemeye benzer.
En yaygın teknik olan LSB (En Önemsiz Bit) değişimi, piksellerin renk değerlerindeki en düşük ağırlıklı bitleri manipüle ederek devasa verileri binlerce piksel boyunca yayar. Saldırganlar, bu yöntemi kullanarak ağ güvenlik duvarlarını ve DLP sistemlerini atlatıp veriyi “normal bir medya trafiği” gibi dışarı sızdırabilirler. Bu gizli verilerin tespit edilmesi süreci olan Steganaliz, Chi-square gibi istatistiksel testler ve yapay zeka tabanlı anomali tespit modelleriyle gerçekleştirilir.
KVKK Madde 12 uyarınca kurumlar, verilerin hukuka aykırı erişimini önlemek için her türlü teknik tedbiri almakla yükümlüdür. Steganografi gibi sofistike yöntemlere karşı CDR (İçerik Temizleme ve Yeniden Yapılandırma) gibi teknolojilerin kullanılmaması, olası bir ihlal durumunda kurumları “teknik tedbir eksikliği” riskiyle karşı karşıya bırakabilir. Dijital dünyada gerçek güvenlik, sadece kapıları kilitlemekle değil, duvarların arasından geçen görünmez fısıltıları da duyabilmekle mümkündür.
Görünmez Tüneller: Shadow IT (Gölge Bilişim) Tehlikesi ve Buluttaki KVKK Kabusu
Kurumsal siber güvenlikte “göremediğin şeyi koruyamazsın” ilkesini tehdit eden en büyük unsurlardan biri, IT departmanının onayı ve denetimi dışında kullanılan uygulama ve cihazları ifade eden Shadow IT (Gölge Bilişim)’dir. Çoğunlukla kötü niyetle değil, iş süreçlerini hızlandırmak amacıyla (ücretsiz PDF dönüştürücüler, kişisel bulut depolamalar, kontrolsüz mesajlaşma grupları) tercih edilen bu araçlar, kurumsal verilerin güvenlik kalkanının dışına taşmasına neden olur.
Teknik açıdan Shadow IT, DLP ve Firewall gibi savunma mekanizmalarını etkisiz kılarak veriyi “kör noktalara” taşır. Hukuki açıdan ise, verinin sunucuları yurtdışında bulunan kontrolsüz bulut servislerine aktarılması, KVKK nezdinde ağır yaptırımları olan “Yurtdışına İzinsiz Veri Aktarımı” ve “Aydınlatma Yükümlülüğü İhlali” suçlarını doğurur. Ayrıca, kurumun haberi olmayan bir bulut hesabında kalan veriler, “Unutulma Hakkı” taleplerinin yerine getirilmesini imkansız kılar.
Gölge bilişimle mücadele etmek sadece yasaklamakla değil, çalışanların ihtiyaçlarını anlayıp onlara güvenli kurumsal alternatifler sunmakla mümkündür. CASB (Cloud Access Security Broker) teknolojileriyle ağdaki görünmez trafiği tespit etmek ve sürekli farkındalık eğitimleriyle “verinin ağırlığını” personele aşılamak, gölgeleri aydınlatmanın ve buluttaki KVKK kabusunu engellemenin tek yoludur.