Shadow AI: Kurumsal Güvenliğin Yeni Kör Noktası

01Shadow AI Nedir?

Shadow AI; kurumun resmi onay süreçlerinden geçmemiş, BT veya güvenlik birimi tarafından denetlenmeyen ve şirket politikalarının kapsama almadığı yapay zekâ araçlarının çalışanlar tarafından iş amaçlı kullanılmasıdır. KVKK’nın Şubat 2026 rehberinde bu olgu Gölge Yapay Zekâ (Gölge YZ) olarak resmi biçimde tanımlanmaktadır.

Kavram, onlarca yıldır gündemde olan Shadow IT‘nin doğal evrimi olarak karşımıza çıkar. Fark şudur: ChatGPT, Gemini, Claude, Copilot, Perplexity gibi araçlar kredi kartı bile gerekmeden, tek tıklamayla erişilebilir durumdadır.

Sorun kullanımın kendisinden değil, bu kullanımın görünmez olmasından kaynaklanmaktadır. Bir pazarlama uzmanı müşteri verisiyle beslediği bir prompt’u ChatGPT’ye yapıştırdığında, ne CISO’nun ne de hukuk departmanının haberi olmaz. Artık bu durumun yalnızca operasyonel değil, hukuki sonuçları da mevcuttur.

Shadow IT’yi kontrol altına almak için yıllarca mücadele verdik. Shadow AI ise bu mücadelenin çok daha hızlı hareket eden ve artık düzenleyici otorite tarafından da izlenen yeni bölümüdür.

// Rakamlarla Shadow AI

02KVKK Şubat 2026: Artık Tercih Değil

Uzun süre “iyi uygulama” meselesi olarak ele alınan Shadow AI yönetimi, Şubat 2026 itibarıyla Türkiye’de açık bir düzenleyici boyut kazanmıştır. KVKK, “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” başlıklı rehberini yayımlayarak kurumların bu alanda hareketsiz kalamayacağını ortaya koymuştur.

Rehber; 6698 sayılı Kanun çerçevesinde değerlendirilmekte olup veri sorumlusu konumundaki kurum ve kuruluşlara yönelik somut beklentiler içermektedir.

// KVKK Rehberi — Kurumlar İçin Temel Yükümlülükler

Veri Sorumlusu Yükümlülüğü

Çalışanların üçüncü taraf AI araçlarıyla işlediği kişisel verilerden kurum, veri sorumlusu sıfatıyla sorumlu tutulabilir. “Çalışan kendi inisiyatifiyle kullandı” savunması bu sorumluluğu ortadan kaldırmaz.

Kurumsal Politika Zorunluluğu

ÜYZ araçlarının iş yerinde kullanımına ilişkin açık bir politika oluşturulması beklenmektedir. Politikasızlık artık aktif uyumsuzluk göstergesidir.

İzleme ve Denetim Beklentisi

Hangi araçların kullanıldığı, hangi veri türlerinin aktarıldığı ve çıktıların nasıl değerlendirildiğine dair kurumsal görünürlük sağlanmalıdır.

Çalışan Bilgilendirmesi

Hangi tür verilerin AI araçlarıyla paylaşılamayacağı konusunda çalışanların bilgilendirilmesi ve farkındalık faaliyetleri yürütülmesi öngörülmektedir.

Yurt Dışı Veri Aktarımı

Yabancı kökenli AI araçlarına kişisel veri aktarımı KVKK’nın yurt dışı aktarım hükümleri kapsamında değerlendirilmek zorundadır. “Ücretsiz araca yapıştırdım” bu yükümlülüğü ortadan kaldırmaz.

Not: KVKK rehberi doğrudan bağlayıcı bir yönetmelik statüsünde değildir; ancak 6698 sayılı Kanun’un uygulanma biçimini göstermektedir. Denetim veya ihlal sürecinde rehbere aykırı davranan kurumun pozisyonu ciddi biçimde zayıflayacaktır.

03Riskler Nelerdir?

Shadow AI’ın yarattığı riskler tek boyutlu değildir; veri gizliliği, hukuki yükümlülük, operasyonel bütünlük ve itibar başlıklarında iç içe geçmiş durumdadır.

// Risk Matrisi — 6 Kritik Alan

Risk 01
Veri Sızıntısı ve KVKK/GDPR İhlali

Kişisel veri, finansal kayıt veya ticari sır içeren prompt’ların AI servislerine iletilmesi KVKK kapsamında veri aktarımı sayılabilir. Model eğitimine dahil edilme riski görmezden gelinemez.

Risk 02
Fikri Mülkiyet Kaybı

Kaynak kodu, tasarım dokümanları ve ticari strateji belgelerinin AI’a beslenmesi, kurumun rekabet avantajını geri dönüşü olmayacak biçimde tehlikeye atabilir.

Risk 03
Tedarik Zinciri Riski

Çalışanın kullandığı AI aracı başka bir SaaS entegrasyonuna bağlıysa, bu entegrasyonun güvenlik postürü kurumun doğrudan riski haline gelir.

Risk 04
Yanlış Bilgi ve Operasyonel Hata

Doğrulanmamış AI çıktılarının kurumsal süreçlere dahil edilmesi halüsinasyon kaynaklı hatalara zemin hazırlar. Hız kazanılırken doğruluk kaybedilir.

Risk 05
Denetimsiz Veri İşleme

AI araçları verileri nerede işler, ne kadar saklar, kim erişir? Bu soruların yanıtsız kaldığı ortamlarda denetim izi oluşturmak imkânsızlaşır.

Risk 06
Hesap Verebilirlik Boşluğu

Onaylı olmayan araçtan üretilen hatalı çıktının kime ait olduğu belirsizleşir. Bu belirsizlik iç ve dış denetimlerde kritik güvenlik açığına dönüşür.

04Kurumsal Ölçekte Ne Anlama Gelir?

Bireysel kullanımda sınırlı görünen risk, kurumsal ölçeğe taşındığında katlanarak büyür.

Senaryo: Yazılım geliştirme ekibinin yarısı, şirket kaynak kodunu farklı AI kod asistanlarına yapıştırarak üretkenliğini artırmaktadır. Güvenlik ekibinin bundan haberi yoktur. Bu araçların hangisi verileri model eğitimine dahil eder? Hangisi AB dışı sunucularda işler? Yanıtlar boşlukta kalmaktadır.

Uyumluluk Çöküşü

ISO 27001, BDDK, SOC 2 gibi çerçeveler veri işleme faaliyetlerinin belgelenmesini ve kontrol edilmesini zorunlu kılar. Shadow AI bu belgeleme zincirini kırar ve dış denetimlerde kritik bulgulara yol açar.

Güvenlik Mimarisinin Kör Noktaları

DLP sistemleri ve CASB çözümleri, onaysız AI araçlarına yönelik veri akışlarını genellikle görünür kılmaz. Bu durum SOC’ta büyük kör noktalar oluşturur.

İş Sürekliliği Riski

Bir ekip iş süreçlerini onaysız bir AI aracına bağlamışsa ve bu araç hizmet dışı kalır ya da politikasını değiştirirse, kurum hazırlıksız yakalanır.

05Tespit Yöntemleri

Shadow AI’ı tespit etmek, çoğu kullanımın meşru HTTPS trafiği üzerinden gerçekleşmesi nedeniyle Shadow IT’den daha karmaşıktır. Ancak etkili yöntemler mevcuttur.

// Tespit Araç Seti

DNS & Proxy Log
OpenAI, Anthropic, Google AI ve benzeri domainlere kurumsal ağdan yapılan sorguları düzenli analiz edin. Alışılmadık hacimler ilk sinyali verir.
CASB Entegrasyonu
Netskope, Zscaler, Skyhigh gibi çözümler onaysız AI uygulamalarını otomatik bayrakla işaretleyebilir; SaaS kullanımını kategorize eder.
Endpoint Telemetrisi
EDR ve UEM çözümlerinden gelen veriler, kurumsal cihazlarda hangi AI araçlarının aktif olduğunu ve ne sıklıkta kullanıldığını ortaya koyar.
DLP Kural Genişletme
AI servis domainlerini DLP politikalarına ekleyin. Büyük metin bloklarının bu domainlere yönlenmesi yüksek öncelikli uyarı olarak konfigüre edilmelidir.
Çalışan Anketleri
Anonim anketler, gizli AI kullanımını yüzeye çıkarmada şaşırtıcı derecede etkilidir. Teknik araçları tamamlayan kritik bir katmandır.
Uygulama Envanteri
ITSM platformundaki onaylı uygulama envanteri ile fiili kullanımı karşılaştırın. Envanter dışı AI araçları bu fark analizinde görünür hale gelir.

06Yönetişim Çerçevesi

Shadow AI sorununa yasak ve kısıtlama odaklı yaklaşmak tarihsel olarak başarısız olmuş bir stratejidir. Çalışanlar yine de kullanır; yalnızca daha gizli kullanır. Etkili yönetişim engellemek yerine görünür kılmak ve güvenli alternatifleri sunmak üzerine inşa edilmelidir.

// Yönetişim — 6 Sütun

I
Resmi AI Politikası ve Araç Kategorilendirmesi
Onaylı / Risk Değerlendirmesi Gerekli / Yasak şeklinde üç katmanlı sınıflandırma. Politikasızlık artık uyumsuzluk göstergesidir.
II
Hızlı Onay Mekanizması
5–10 iş günlük değerlendirme penceresi, ITSM üzerinden yürütülmeli. Onay süresi uzadıkça gölge kullanım artar.
III
Kurumsal AI Platformu Sağlama
Microsoft 365 Copilot, ChatGPT Enterprise gibi kurumsal seçenekler; veri koruma garantileriyle gölge kullanımı tersine çevirir.
IV
Farkındalık Eğitimi
Politikanın arkasındaki “neden”i anlatan eğitimler yasakçı yaklaşımdan çok daha etkilidir. AI güvenli kullanım eğitimi yıllık programların ayrılmaz parçası olmalıdır.
V
Sürekli İzleme ve Risk Değerlendirmesi
Yılda en az iki Shadow AI tarama süreci ve ISMS risk kaydının güncellenmesi zorunludur.
VI
KVKK Şubat 2026 Rehberi Uyumu
AI araçlarını veri işleme envanterine ekleyin, gerektiğinde DPIA yapın, yurt dışı aktarım mekanizmalarını netleştirin. Hukuk birimi ile “veri işleyici” sözleşmesini değerlendirin.
Temel ilke: AI yönetişimi bir güvenlik departmanı projesi olarak başlar; ancak İK, Hukuk, İş Birimleri ve Üst Yönetim katılımını gerektiren kurumsal bir dönüşüm programına evrilmelidir.

SonYasak Değil, Görünürlük — Ama Artık Zorunlu

Shadow AI, kurumların yapay zekâyı nasıl benimsediğine dair gerçek bir sinyal taşır: çalışanlar bu araçları kullanmak ister, çünkü işe yarıyorlar. Problem, bu isteğin kurumsal güvenlik ve uyumluluk mekanizmalarının dışında kalmasıdır.

KVKK’nın Şubat 2026 rehberi bu tartışmayı yeni bir boyuta taşıdı. Shadow AI artık yalnızca bir güvenlik açığı değil, 6698 sayılı Kanun kapsamında hesap verilmesi gereken bir yönetim alanıdır. Denetimciler bu rehberi biliyor. Düzenleyiciler bu alana bakıyor.

Shadow AI’ı görünür kılmak hem uyumluluğun hem de güvenliğin başlangıç noktasıdır.

Shadow AI Gölge YZ KVKK ISO 27001 BGYS AI Yönetişimi Veri Güvenliği CASB DLP

SSSSıkça Sorulan Sorular

Shadow AI (Gölge YZ) nedir? +
Shadow AI; kurumun resmi onay süreçlerinden geçmemiş, BT veya güvenlik birimi tarafından denetlenmeyen yapay zekâ araçlarının çalışanlar tarafından iş amaçlı kullanılmasıdır. KVKK Şubat 2026 rehberinde “Gölge YZ” olarak tanımlanmaktadır.
KVKK Shadow AI konusunda ne diyor? +
KVKK, Şubat 2026’da “İş Yerlerinde Üretken Yapay Zekâ Araçlarının Kullanımı” rehberini yayımladı. Rehber; politika oluşturma, çalışan bilgilendirme, veri işleme envanterini güncelleme ve yurt dışı aktarım mekanizmalarını netleştirme beklentilerini içermektedir.
Shadow AI nasıl tespit edilir? +
DNS/proxy log analizi, CASB entegrasyonu, endpoint telemetrisi (EDR/UEM), DLP kural genişletme ve anonim çalışan anketleri en etkili tespit yöntemleridir. Teknik araçlar ile insan faktörü birlikte kullanılmalıdır.
Shadow AI’ı yasaklamak doğru bir strateji midir? +
Hayır. Yasakçı yaklaşım tarihsel olarak başarısız olmuştur; çalışanlar yine de kullanır, yalnızca daha gizli kullanır. Etkili strateji; güvenli kurumsal alternatifler sunmak, hızlı onay mekanizması kurmak ve açık bir politika yayımlamaktır.
Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram