Bulut yayılımı, iş ekiplerinin genellikle BT gözetimi olmadan bulut sistemlerini ve hizmetlerini kendi başlarına döndürmeleri nedeniyle kuruluşlar için büyük bir sorundur. Bu, veriler farklı ortamlara dağıldığından bulut verilerinin yayılmasına yol açar. BT, bulut sistemleri ve hizmetleri hakkında bilgi sahibi değilse, orada toplanan, işlenen ve depolanan verileri de yönetmiyor demektir.
Gölge BT’yi, organizasyon ortamındaki BT’nin yönetmediği sistemler ve ağ aygıtlarını hepimiz biliyoruz. Benzer şekilde, gölge verileri, BT’nin yedekleme ve kurtarma stratejisinin bir parçası olmayan yönetilmeyen veri deposu kopyalarını ve anlık görüntülerini veya günlük verilerini ifade eder. Cyera’daki araştırmacılar, bulut hesaplarında bulunan veri güvenliği durumu sorunlarının %60’ının güvenli olmayan hassas verilerden kaynaklandığını tahmin ediyor.
Sonra hayalet veri sorunu var.
Veriler bulut sistemlerinden silindiğinde, tamamen gitmiş olmaz. Kopyalar, veri depolarının yedeklerinde veya anlık görüntülerinde oyalanır. Hayalet veriler, orijinali silindikten sonra geride kalan kopyaları ifade eder ve Cyera’nın son analizi, işletmelerin oldukça fazla veriye sahip olduğunu gösteriyor.
Üç büyük bulut sağlayıcısını (Amazon Web Services, Azure ve Google Cloud) taradıktan sonra Cyera araştırmacıları, taranan müşteri bulut veri depolarının %30’undan fazlasının hayalet veriler olduğunu ve %58’den fazlasının hassas veya çok hassas veriler içerdiğini buldu. Örneğin, araştırmacılar, orijinal veritabanının yok edildiği hassas müşteri verilerini içeren üretim dışı ortamlarda güvenli olmayan veritabanı anlık görüntüleri buldu. Araştırmacılar ayrıca, üretim verilerinin ve uygulamanın artık kullanılmadığı yerlerde düz metin olarak hassas kişisel ve kimlik doğrulama verilerini ortaya çıkardı.
Hayalet verilerin genellikle ticari değeri yoktur – veriler bir nedenle silinmiştir – ve etrafta olması iş riskini gereksiz yere artırır. Saldırganlar, orijinal hassas bilgileri veya kopyayı ele geçirip geçirmediklerini umursamazlar çünkü onlar için, biçimi ne olursa olsun tüm verilerin değeri vardır. Saldırganlar hayalet verileri ele geçirirse, kuruluşlar hala kancada. HIPAA, PCI DSS ve Sarbanes-Oxley Yasası gibi sektöre özel düzenlemelerin veri güvenliği hükümleri hâlâ geçerlidir.
Kuruluşların, veri yayılımını azaltmak için bulut verilerine maruz kalmayı azaltması gerekir. Bulutlar arasında uygun veri hijyeni, artık kullanılmadığında verilerin temizlenmesine de yardımcı olacaktır.
Son bir not olarak, hayalet veriler kuruluşun bulut maliyetlerini artırabilir: Araştırmacılar, bir bulut ortamında tutulan veri deposu anlık görüntülerinin 50.000 doların üzerinde olduğunu buldu.