Türkiye’deki şirketlerin %73’ü son iki yılda siber olaylara maruz kaldı ve bunların %6’sı gölge BT kullanımından kaynaklandı.
Son iki yılda dünya çapındaki şirketlerin %11’inin çalışanlar tarafından gölge BT kullanımı nedeniyle siber olaylara maruz kaldığını gösterdi. Türkiye’de bu oran %6 oldu.
Gölge BT kullanımının sonuçları ciddiyet açısından farklı olabiliyor. Ancak ister bir parça gizli verinin sızdırılması olsun isterse de iş dünyasında somut bir hasar olsun, sonuçlarını mutlaka önemsemek gerekiyor.
Gölge BT nedir?
Şirketin BT altyapısının BT ve bilgi güvenliği departmanlarının yetki alanı dışında kalan, yani uygulamalar, cihazlar, genel bulut hizmetleri gibi bilgi güvenliği politikalarına uygun olarak kullanılmayan kısmıdır.
GölgeBT’nin konuşlandırılması ve işletilmesi işletmeler için ciddi olumsuz sonuçlara yol açabiliyor. Yapılan bir araştırmaya göre, 2022 ve 2023 yıllarında gölge BT’nin yetkisiz kullanımı nedeniyle meydana gelen siber olayların %16’sına maruz kalan sektörler arasında en çok etkilenen, BT sektörü oldu. Araştırma, bir dizi örnek ile bu durumu açıkça ortaya koyuyor.
Sorundan etkilenen diğer sektörler ise, %13 ile kritik altyapısı ile taşımacılık ve lojistik oldu.
Okta raporunun son vakası, gölge BT kullanımının tehlikelerini açıkça kanıtlar nitelikte. Bu yıl şirkete ait cihazda kişisel Google hesabı kullanan bir çalışan, istemeden de olsa tehdit aktörlerinin Okta’nın müşteri destek sistemine yetkisiz erişim sağlamasına izin verdi.
Bu kişiler daha sonra saldırılarını gerçekleştirmek için kullanılabilecek oturum belirteçlerini içeren dosyaları ele geçirmeyi başardılar. Okta’nın raporuna göre bu siber olay 20 gün sürdü ve 134 şirketin müşterisini etkiledi.
‘Bulanık gölgelerin’ ana hatlarını çizmek
Peki nelere dikkat etmelisiniz? Bunlar, çalışan bilgisayarlarına yüklenen yetkisiz uygulamalar, istenmeyen flash sürücüler, cep telefonları, dizüstü bilgisayarlar vb. olabiliyor. Ancak bu konuda daha az dikkat çeken bazı örnekler de var. Bunun bir örneği, BT altyapısının modernizasyonu veya yeniden düzenlenmesinden sonra kalan terk edilmiş donanımlar. Bu donanımlar diğer çalışanlar tarafından ‘gölgede’ kullanılabiliyor ve er ya da geç şirketin altyapısına girecek güvenlik açıkları edinebiliyor.
BT uzmanları ve programcılar, çoğu zaman olduğu gibi, bir ekip/departman içindeki çalışmayı optimize etmek veya dahili sorunları çözmek, işi daha hızlı ve daha verimli hale getirmek için kendilerine özel programlar oluşturabiliyor. Ancak, bu programları kullanmak için her zaman bilgi güvenliği departmanından yetki istemezler ve bu durum son derece olumsuz sonuçlara yol açabiliyor.
Genel olarak, gölge BT’nin yaygın kullanımıyla ilgili durum, birçok kuruluşun çalışanlarının bu konudaki BT politikalarına karşı gelmelerinin bir sonucu olarak zarar görecekleri herhangi bir belgelenmiş yaptırıma sahip olmaması nedeniyle karmaşık bir hal alıyor.
Dahası, 2025 yılına kadar kurumsal siber güvenliğe yönelik en önemli tehditlerden biri haline gelebileceği varsayılıyor. İyi haber şu ki, çalışanların gölge BT kullanma motivasyonu her zaman kötü niyetli değil, hatta çoğu zaman tam tersi. Birçok durumda çalışanlar bunu, izin verilen yazılım setinin yetersiz olduğuna inandıkları ya da sadece kişisel bilgisayarlarındaki tanıdık programı tercih ettikleri için iş yerinde kullandıkları ürünlerin işlevselliğini genişletmek için bir seçenek olarak kullanıyor.
