KVKK ve Google Analytics 4 Uyumu Kapsamında Web Analitik Sistemlerinde Siber Güvenlik Stratejileri
Bir siber güvenlik uzmanı ve Red Team operatörü olarak kurumsal ağlara sızma girişimlerimizde ilk incelediğimiz noktalardan biri dışa açık web uygulamaları ve bu uygulamalara entegre edilmiş üçüncü taraf izleme kodlarıdır. Kurumlar devasa güvenlik duvarlarına ve izinsiz giriş tespit sistemlerine milyonlarca lira yatırım yaparken web sitelerine pazarlama ekipleri tarafından körü körüne eklenen analitik kodları üzerinden kritik kullanıcı verilerini dış dünyaya sızdırmaktadır. Bu durum sadece teknik bir zafiyet değil aynı zamanda Kişisel Verilerin Korunması Kanunu kapsamında devasa idari para cezalarını beraberinde getiren yasal bir krizdir.
Özellikle Türkiye genelindeki kamu kurumları büyük ölçekli fabrikalar üretim tesisleri ve özel sektör kuruluşları için dijitalleşme süreci IT ve OT ağlarının birleştiği karmaşık bir topoloji yaratmıştır. Web analitik araçlarının topladığı verilerin sınır ötesine kontrolsüz aktarımı endüstriyel casusluktan hedef odaklı oltalama saldırılarına kadar geniş bir tehdit vektörü oluşturur. Bu rehberde Google Analytics 4 altyapısının çalışma mantığını siber güvenlik standartları çerçevesinde deşifre edecek sunucu taraflı etiketleme mimarisinin kurulum adımlarını anlatacak ve sistemlerinizi yasal regülasyonlara tam uyumlu hale getirmenin teknik yollarını sunacağım.
Web analitik araçları kullanıcı verilerini doğrudan yurtdışı sunucularına ileterek yasal ihlaller yaratır. Çözüm verileri birinci taraf bir sunucuda filtreleyen ve güvenliği artırılmış proxy mimarileri kurmaktır.
1. KVKK Madde 9 ve Yurt Dışı Veri Aktarımı Krizi Çerçevesinde Analitik Araçların Konumu
Kişisel verilerin korunması hukuku ile dijital pazarlama ekosistemi arasındaki temel çatışma verinin depolandığı coğrafi lokasyon etrafında şekillenmektedir. Türkiye sınırları içerisinde faaliyet gösteren bir fabrika veya e-ticaret platformu web sitesine standart bir analiz kodu eklediğinde kullanıcıların IP adresleri tarayıcı parmak izleri cihaz donanım bilgileri ve sayfa içi gezinme hareketleri şifrelenmiş paketler halinde doğrudan Amerika Birleşik Devletleri merkezli sunuculara iletilmektedir. Bu durum 6698 sayılı kanunun dokuzuncu maddesinde düzenlenen kişisel verilerin yurt dışına aktarımı kuralları ile doğrudan ters düşmektedir.
Kısa süre önce yürürlüğe giren yeni yurt dışına veri aktarımı yönetmeliği veri sorumlularına üç aşamalı katı bir uygunluk testi dayatmaktadır. Birinci aşama aktarım yapılacak ülke için Kişisel Verileri Koruma Kurulu tarafından verilmiş bir yeterlilik kararının bulunmasıdır. Güncel durumda Türkiye ile Amerika Birleşik Devletleri arasında böyle bir karşılıklı yeterlilik kararı bulunmamaktadır. Dolayısıyla standart bir Google hizmeti kullanımı doğrudan birinci aşamada yasal duvara çarpmaktadır. İkinci aşama ise uygun güvencelerin sağlanması yani taraflar arasında standart sözleşme maddelerinin akdedilerek kuruma resmi bildirimde bulunulmasıdır. Ancak binlerce ziyaretçisi olan büyük üretim tesisleri veya kamu iştirakleri için bu bürokratik sürecin yönetimi operasyonel olarak son derece karmaşıktır.
Avrupa Birliği cephesinde yaşanan Schrems II kararı bu konunun ciddiyetini gözler önüne sermektedir. Avrupa Adalet Divanı ABD istihbarat servislerinin yabancı izleme yasaları kapsamında bulut sunucularındaki verilere orantısız erişim yetkisi olduğunu belirterek kıtalararası veri kalkanı anlaşmasını iptal etmiştir. Ardından Fransa Avusturya ve İtalya veri koruma otoriteleri peş peşe verdikleri emsal kararlarla standart analitik kurulumlarının yasadışı olduğunu ilan etmiştir. Bu kararların temel dayanağı şifreleme anahtarlarının veriyi işleyen şirketin elinde bulunması nedeniyle teknik koruma önlemlerinin yetersiz kalmasıdır. Bir siber güvenlik uzmanı olarak ifade etmeliyim ki anahtarı sizde olmayan bir şifreleme mekanizması kurumunuzun güvenliğini sağlamaz. Veri üzerinde mutlak egemenlik kurmak için kriptografik kontrolün yüzde yüz yerel ağınızda kalması şarttır.
Bir kurumun risk haritasını çıkarırken dış kaynaklı kodların oluşturduğu tehdit yüzeyini analiz etmek zorundayız. Web sitenizde çalışan her bir harici JavaScript dosyası tedarik zinciri saldırılarına açık bir kapı bırakır. KVKK uyumu sadece aydınlatma metinlerini güncellemek veya bir çerez onay penceresi koymak değildir. Gerçek uyum verinin ağ katmanından çıkıp internet omurgasına dahil olduğu ilk andan itibaren kurumsal güvenlik politikaları ile filtrelenmesidir. Aksi takdirde veri sızıntıları kaçınılmaz hale gelir ve kurumlar ağır yaptırımlarla karşı karşıya kalır.
2. Google Analytics 4 Mimarisi Sızma Testi Perspektifinden Güvenlik ve Gizlilik Analizi
Yeni nesil analitik platformu olay tabanlı bir veri toplama metodolojisi kullanmaktadır. Bir web sayfasına girdiğinizde tarayıcınız zemin planda asenkron olarak çalışan ve veri toplama işlevini üstlenen komut dosyalarını çalıştırır. Red Team operasyonlarında Burp Suite veya OWASP ZAP gibi proxy araçlarıyla araya girip ağ trafiğini dinlediğimizde kullanıcının cihazından çıkan HTTP GET veya POST isteklerinin boyutunu ve içeriğini net bir şekilde görebilmekteyiz. Bu istekler içerisinde yer alan parametreler kullanıcının sadece hangi sayfada olduğunu değil ekran çözünürlüğünden işletim sistemi diline kadar donanımsal bir kimlik kartı oluşturacak düzeyde detay barındırır.
Platform yetkilileri sistemin gizlilik odaklı olduğunu ve kullanıcı IP adreslerini varsayılan olarak geçici bellekte maskelediğini iddia etmektedir. Teknik olarak konuşmak gerekirse sistem kullanıcının cihazından çıkan IPv4 adresinin son bloğunu bölgesel sunuculara ulaştığı anda sıfırlamaktadır. Ancak bir sızma testi uzmanının gözünden bakıldığında bu işlem verinin anonimleşmesi için yeterli değildir. Zira IP adresi maskelense dahi sistem tarafından kullanıcının tarayıcısına yerleştirilen benzersiz tanımlayıcı çerezler ve gelişmiş cihaz parmak izi algoritmaları bireyleri milyonlarca ziyaretçi arasından tekilleştirmeye yetecek kriptografik entropiyi sağlamaktadır. Başka bir deyişle maskeleme işlemi veriyi alan tarafın sunucusunda gerçekleştiği için veri o sunucuya ulaşana kadar tam haliyle internet omurgasında seyahat etmektedir.
Bunun yanı sıra güvenlik zafiyetlerinin en sık yaşandığı noktalardan biri yönlendiren URL sızıntılarıdır. Özellikle hastaneler kamu kurumları veya kullanıcı paneli sunan fabrikaların web arayüzlerinde şifre sıfırlama bağlantıları oturum belirteçleri veya kimlik numaraları bazen hatalı bir mimari nedeniyle URL parametreleri içine kazınır. Sayfada çalışan üçüncü taraf izleme kodu o anki URL adresini tam metin olarak okur ve doğrudan yurtdışı sunucularına aktarır. Biz buna siber güvenlik terminolojisinde istem dışı veri ifşası adını veriyoruz. Saldırganlar veya kötü niyetli veri toplayıcılar bu logları ele geçirdiklerinde kurumun en hassas verilerine yetkisiz erişim sağlayabilirler.
Ayrıca sistemin rıza modülü gibi yapılandırmaları kullanıcı çerezleri reddetse dahi ping adı verilen isimsiz ağ çağrıları göndermeye devam eder. Bu durum tam bir izolasyon talep eden regülasyonlar karşısında kurumu gri bir yasal alana hapseder. Olası bir denetimde ağ trafiğinizin incelenmesi durumunda rıza alınmadığı halde dış ağlara paket gönderildiği tespit edilirse süreç ihlal olarak değerlendirilebilir. Bu nedenle mimari düzeyde alınan güvenlik önlemleri kurumların kendilerini yasal olarak güvence altına almalarının tek yoludur.
3. Sunucu Taraflı Etiketleme Mimarisi ve Veri Egemenliğinin Geri Kazanımı
İstemci tabanlı zafiyetlerin ve yasal kısıtlamaların üstesinden gelmenin siber güvenlik mimarisindeki en yetkin çözümü sunucu taraflı etiketleme altyapısına geçiş yapmaktır. Bu mimari geleneksel veri toplama modelini tamamen yıkarak kuruma tam bir veri izolasyonu ve denetim mekanizması sunar. Standart modelde kullanıcının tarayıcısı ile üçüncü taraf platform doğrudan iletişim kurarken sunucu taraflı modelde araya veri sorumlusunun mutlak kontrolünde olan ve ters vekil sunucu görevi gören birinci taraf bir ağ katmanı yerleştirilir.
Teknik operasyon şu şekilde gerçekleşir. Kullanıcı kurumsal web sitenize bağlandığında oluşturulan veri paketleri okyanus ötesindeki sunuculara gitmek yerine kendi alt alan adınıza yönlendirilir. Bu alt alan adı kurumunuzun kendi sanal ağında barınan ve genellikle izole edilmiş konteyner yapıları içerisinde çalışan bir sunucuya işaret eder. Veri paketi bu güvenli limana ulaştığında kurumun belirlediği güvenlik duvarı kuralları ve veri maskeleme algoritmaları devreye girer. Biz siber güvenlik uzmanları olarak bu katmanda veri temizleme işlemleri uygularız. Kullanıcının IP adresi e-posta kalıntıları veya hassas cihaz bilgileri paket içerisinden geri döndürülemez şekilde silinir. Bu işleme veri arındırması denmektedir.
Arındırılmış ve sadece istatistiksel değer taşıyan anonimleştirilmiş veri paketi güvenli API protokolleri üzerinden üçüncü taraf platforma iletilir. Bu mimarinin güvenlik perspektifinden sunduğu avantajlar devasadır. İlk olarak kötü niyetli kod enjeksiyonu ve siteler arası betik çalıştırma saldırılarının yüzeyi daraltılır. Kullanıcının tarayıcısında daha az harici kod çalışması siber korsanların tedarik zincirine sızma ihtimalini büyük oranda düşürür. İkincisi kurumlar KVKK uyarınca sahip oldukları verinin ne kadarının kurum dışına çıkacağına milisaniye düzeyinde karar verme yetkisine sahip olur. Hangi değişkenin gönderileceği tamamen kurumun kendi yazılım politikalarına bağlanır.
Bu altyapıyı kurarken sunucunun donanım ve yazılım sıkılaştırma işlemlerinin uluslararası standartlara uygun yapılması hayati önem taşır. ISO 27001 bilgi güvenliği yönetim sistemi standartları gereğince bu ters vekil sunucularının düzenli yama yönetimine tabi tutulması ağ erişim kontrollerinin katı kurallarla belirlenmesi ve dışarıdan gelebilecek hizmet engelleme saldırılarına karşı korunması şarttır. Aksi halde veriyi korumak için kurduğunuz bu ara katman saldırganlar için yeni bir hedef haline gelebilir. İşte bu noktada profesyonel sızma testi hizmetleri devreye girmek zorundadır.
4. Endüstriyel Ağlar IT/OT Yakınsaması ve Nesil Teknoloji ile Uyum Stratejileri
Hedef kitlemiz olan büyük fabrikalar ve üretim tesisleri söz konusu olduğunda web zafiyetlerinin sonuçları sadece veri sızıntısıyla sınırlı kalmaz. Günümüz modern üretim tesisleri bilgi teknolojileri ile operasyonel teknolojilerin birleştiği karmaşık ağ yapılarına sahiptir. Fabrikanın kurumsal web sitesinde veya müşteri sipariş portalında barınan bir üçüncü taraf analitik zafiyeti yetenekli bir saldırgan için iç ağlara sızma noktası işlevi görebilir. Dış dünyadan izole olduğunu düşündüğünüz Modbus veya DNP3 protokolleriyle çalışan endüstriyel kontrol sistemleriniz zincirleme bir saldırı vektörü ile tehlikeye girebilir. TCP IP yığınındaki bir yönlendirme hatası veya ele geçirilmiş bir yönetici oturumu saldırganın web katmanından üretim bandına kadar pivotlama yapmasına olanak tanır.
Saldırganlar kurumsal ağın sınırlarında dolaşırken zayıf yapılandırılmış web uygulamalarını bir sıçrama tahtası olarak kullanır. Nmap gibi ağ tarama araçlarıyla dışa açık portlarınızı analiz eden ve Metasploit altyapısı ile zafiyetlerinizi istismar eden tehdit aktörleri üçüncü taraf betikler üzerinden oturum çalma tekniklerini sıklıkla kullanır. Bu denli büyük bir risk haritasında kurumların sadece kağıt üzerinde yasal metinler hazırlaması güvenlik için asla yeterli değildir. Sürekli izleme proaktif savunma ve dışarıdan içeriye doğru simüle edilmiş saldırı senaryoları ile sistemlerin dayanıklılığı ölçülmelidir.
Nesil Teknoloji olarak bünyemizde bulundurduğumuz TSE A Sınıfı Sızma Testi yetkisi ile kurumların web analitik mimarilerini sunucu taraflı etiketleme altyapılarını ve genel ağ topolojilerini askeri standartlarda test ediyoruz. Red Team ekiplerimiz kurumunuza dışarıdan bir siber saldırgan gözüyle yaklaşarak web sitenize eklenmiş pazarlama araçlarının hangi hassas verileri dışarı sızdırdığını tespit eder. Uygulanan sızma testleri sonucunda KVKK standartlarına aykırı veri akışları raporlanır ve bu zafiyetlerin nasıl giderileceği mimari düzeyde projelendirilir. Güvenlik testlerinden başarıyla geçmiş bir altyapı veri koruma kurullarının denetimlerinde kurumunuzun yasal yükümlülüklerini eksiksiz yerine getirdiğinin en somut teknik kanıtıdır.
Kurumsal uyum stratejilerinde tercih edilebilecek diğer bir güvenli yol ise tam veri egemenliği sunan alternatif yerel mimarilere geçiş yapmaktır. Veri paketlerinin kurum sınırları dışına çıkmasını tamamen engellemek isteyen kamu kuruluşları kendi fiziksel sunucularına veya Türkiye sınırları içerisindeki yerel veri merkezlerine kurulan açık kaynaklı analitik yazılımlarını tercih edebilirler. Bu sayede yurt dışı veri aktarımı riski kökünden çözülmüş olur. Aşağıdaki tablolarda güvenlik seviyeleri ve araç kıyaslamaları detaylı bir şekilde sunulmuştur.
| Karşılaştırma Kriteri | Standart İstemci Taraflı Analitik | Sunucu Taraflı Etiketleme Mimarisi |
|---|---|---|
| Veri İşleme Konumu | Kullanıcının tarayıcısı üzerinden doğrudan bulut sunuculara akar. | Kurumun kendi kontrolündeki birinci taraf sunucuda işlenir. |
| Siber Güvenlik Riski | Yüksek. Tedarik zinciri zafiyetleri ve zararlı kod enjeksiyonu riski taşır. | Düşük. Sıkılaştırılmış sunucu ortamında güvenlik duvarları ile korunur. |
| KVKK Veri İfşası Durumu | IP adresi ve cihaz parmak izi doğrudan yabancı sunuculara ifşa olur. | Veriler yabancı sunuculara gitmeden önce yerel ağda anonimleştirilir. |
| Ağ Performansı Etkisi | İstemci tarafında çalışan çok sayıda betik sayfa hızını düşürür. | İşlem yükü sunucuya aktarıldığı için uç nokta performansı artar. |
| Analitik Platformu | Veri İkametgahı | KVKK Yurt Dışı Aktarım Riski | Güvenlik ve Uyum Değerlendirmesi |
|---|---|---|---|
| Geleneksel Bulut Araçları | Amerika Birleşik Devletleri veya Avrupa Birliği veri merkezleri. | Çok Yüksek. Kurul onayı ve standart sözleşme süreçleri gerektirir. | Red Team testlerinde sıkça veri sızıntısı tespit edilen riskli mimarilerdir. |
| Matomo Açık Kaynak | Şirketin kendi fiziksel sunucuları veya yerel veri merkezleri. | Sıfır Risk. Veriler Türkiye sınırlarını terk etmez. | TSE A Sınıfı Sızma Testi standartlarına en uygun veri egemenliği çözümüdür. |
| Minimalist Çerezsiz Araçlar | Yabancı bulut sunucuları ancak kişisel veri toplamazlar. | Düşük. Cihaz izleme yapmadıkları için yasal sınırların altında kalırlar. | Siber tehdit yüzeyi dardır ancak kurumsal veri analiz ihtiyaçlarını karşılamayabilir. |
Sık Sorulan Sorular
Soru – Web sitemdeki analitik aracı IP maskeleme yapıyor bu durum KVKK uyumu için tek başına yeterli midir ?
Cevap – Kesinlikle yeterli değildir. IP adresinin maskelenmesi işlemi verinin yabancı sunuculara ulaştıktan sonra bellek üzerinde manipüle edilmesiyle gerçekleşir. Veri internet omurgasından geçerken tam haliyle aktarılır ve yolda kesişme saldırılarına maruz kalabilir. Ayrıca gelişmiş cihaz tanımlayıcılar sayesinde kullanıcılar maskelenmiş IP adreslerine rağmen tekilleştirilebilir. Gerçek bir uyum için verinin cihazdan çıktığı ilk durakta yani sizin yerel sunucunuzda filtrelenmesi teknik bir zorunluluktur.
Soru – Fabrikamızın IT ağında kullandığımız analitik kodlar OT ağımızı nasıl tehlikeye atabilir ?
Cevap – IT ve OT ağları arasındaki yakınsama sanal güvenlik duvarlarıyla ayrılmış olsa bile yanal hareket teknikleriyle delinebilir. Web sitenize yerleştirilmiş zararlı bir betik kurum içi ağınıza bağlı bir kullanıcının tarayıcısı üzerinden intranet sistemlerinize keşif paketleri gönderebilir. Elde edilen yetkili oturum bilgileri sayesinde saldırganlar endüstriyel kontrol sistemlerinizin bulunduğu katmanlara pivotlama yaparak üretim hattının durmasına neden olabilecek yıkıcı siber saldırılar gerçekleştirebilir.
Soru – Sunucu taraflı etiketleme altyapısının güvenliğini nasıl test edebiliriz ?
Cevap – Bu mimarinin güvenliği sadece bulut mimarisini kurmakla bitmez. Sunucunun işletim sistemi ağ erişim politikaları ve API uç noktaları düzenli olarak denetlenmelidir. Kurumumuzun sunduğu TSE A Sınıfı Sızma Testi hizmetleri ile bu sunuculara yönelik sahte saldırılar düzenlenerek veri sızıntısı potansiyeli test edilir. Açık port taramalarından yetki yükseltme denemelerine kadar kapsamlı bir Red Team operasyonu ile altyapınızın güvenlik duruşu uluslararası standartlarda sertifikalandırılır.
Soru – Standart sözleşme maddelerini imzalamak güvenlik risklerini ortadan kaldırır mı ?
Cevap – Hukuki belgeler yasal prosedürleri yerine getirmenizi sağlar ancak teknik zafiyetleri kapatmaz. Yabancı devletlerin istihbarat yasaları kapsamında verilerinize erişim talebi olduğunda aranızdaki ticari sözleşmeler bu erişimi engelleyemez. Veri egemenliği kağıt üzerinde değil sunucu mimarisinde başlar. Kriptografik anahtarların tamamen kurumunuzun kontrolünde olduğu kapalı devre sistemler inşa etmeden siber dünyada tam bir güvenceden söz etmek imkansızdır.
