İş gücünün çeşitli ihtiyaçlarını karşılamak üzere tasarlanan SaaS çözümleri, farklı sektörlerdeki birçok firmanın teknoloji altyapısını dönüştürerek iş süreçlerini optimize etmesine olanak tanıyor. Ancak “gölge BT” ve “gölge SaaS” olarak bilinen izinsiz SaaS kullanımları, kurumsal BT yapıları üzerinde ciddi tehditler oluşturuyor. Çalışanlar, iş süreçlerini daha hızlı ve pratik bir şekilde yürütebilmek amacıyla, kurumun resmi yazılım politikalarını ve BT güvenlik standartlarını devre dışı bırakarak SaaS uygulamaları kullanabiliyor. Bu uygulamalar, BT ekiplerinin bilgisi dışında çalıştığı için “gölge” olarak adlandırılıyor. Geçtiğimiz günlerde yapılan bir araştırma, bu uygulamalarla ilişkili en büyük risklerin %65’inin veri kaybı, %62’sinin görünürlük ve kontrol eksikliği, %52’sinin ise veri ihlalleri ile ilgili olduğunu ortaya koyuyor. Bütünleşik siber güvenlik alanında küresel bir lider olan WatchGuard® Technologies’in Türkiye ve Yunanistan Ülke Müdürü Yusuf Evmez, gölge BT ve gölge SaaS’ın oluşturduğu 4 büyük riski açıklıyor.
1. Veri ihlalleri ve hesap ele geçirmeleri: Şirket güvenlik politikalarına tabi olmadıkları için, onaylanmamış uygulamalar siber suçluların hassas bilgilere erişmek için istismar ettiği güvenlik açıkları içerebilir. Bu araçları kullanan çalışanlar ayrıca hassas verileri istemeden paylaşabilir veya sosyal mühendislik saldırılarına maruz kalabilir, bu da veri ihlallerini ve hesap ele geçirmelerini kolaylaştırır.
2. Gölge BT’nin doğasında var olan kontrol eksikliği nedeniyle sistemlere kötü amaçlı kodların girilmesi: Bu durum, kasıtlı eylemler ve dikkatsizlikler sonucu ortaya çıkıyor ve şirketlerin fidye yazılımı saldırılarına karşı duyarlılığını artırıyor.
3. Giderilemeyen güvenlik açıkları: Yetkisiz yazılım kullanırlarsa, kuruluşlar sistemleri üzerindeki kontrolü kaybedebilir ve bu da güvenlik yamalarının zamanında uygulanmasını zorlaştırır. Bu durum siber saldırılara karşı savunmasızlığı artırır.
4. Mevzuata aykırılık: Düzenlenen kuruluşlar gölge BT konusunda son derece dikkatli olmalıdır. Onaylanmamış BT faaliyetleri, düzenleyici uyumsuzluğa yol açabilir, bir şirketin itibarını riske atabilir ve onu yasal yaptırımlara maruz bırakabilir.
Kaynak : 