Delve – Sahte uyumluluk hizmeti

 (deepdelver.substack.com)
1 puan yazan GN⁺ 2026-03-21 | 1 yorum | WhatsApp'ta paylaş
  • Delve platformunun, gerçek güvenlik kontrolleri olmadan ‘uyumluymuş gibi gösteren bir sistem’ olarak işletildiği ortaya çıktı
  • İç soruşturma ve sızdırılan e-tabloların analizi, denetim raporları, testler ve sonuçların Delve tarafından otomatik üretildiğini ve Hindistan merkezli belgelendirme kuruluşlarının bunları şeklen imzaladığını gösterdi
  • Müşterilerin sahte kanıtlar, uydurma toplantı tutanakları ve otomatik doldurulmuş politika belgeleri kullanarak SOC 2, ISO 27001, HIPAA ve GDPR sertifikalarına sahipmiş gibi gösterildiği belirtildi
  • Delve, yapay zeka tabanlı otomasyon iddiasında bulunsa da gerçekte manuel giriş ve ekran görüntüsü yükleme odaklı bir form sistemi olduğu, çoğu ‘entegrasyon’ özelliğinin de çalışmadığı aktarıldı
  • Bunun sonucunda yüzlerce şirketin gerçek dışı güvenlik durumlarını dışarıya açıkladığı, HIPAA ve GDPR ihlali ile hukuki sorumluluk riskine maruz kaldığı ifade edildi

Delve’in yapısal sorunları ve temel ifşalar

  • Delve, SOC 2, ISO 27001, HIPAA ve GDPR gibi alanlar için uyumluluk otomasyon platformu olarak pazarlandı; ancak gerçekte denetim bağımsızlığı ilkesini ihlal ederek denetim sonuçlarını kendisi yazdı
    • Denetim raporu taslakları, daha baştan Delve tarafından yazılmış sonuçlar ve test prosedürlerini içeriyordu; müşteriler ise yalnızca isim, imza ve diyagram ekliyordu
    • Tüm raporlar aynı cümle yapısını ve yazım hatalarını paylaşıyor; 575 raporun %99’undan fazlasında aynı metin yer alıyor
  • Sızdırılan Google e-tablolarında yüzlerce müşterinin denetim raporu bağlantısı bulunuyordu ve kişisel imzalar ile sistem diyagramları gibi hassas bilgiler açığa çıktı
    • Delve CEO’su bunun “AI tarafından üretilmiş sahte e-postalar” olduğunu öne sürdü; ancak ilgili belgeler herkese açık arşivlerde doğrulandı

Denetim bağımsızlığının ihlali ve sahte denetim sistemi

  • Delve, denetçi rolünü doğrudan üstlenerek AICPA kurallarını ihlal etti
    • Denetim sonuçları önceden yazıldığı için bağımsız doğrulama yapısı fiilen ortadan kalktı
    • Hindistan merkezli belgelendirme kuruluşları Accorp, Gradient, BQC, Glocert, ABD’deki paravan tüzel kişilikler üzerinden raporları imzaladı
    • Bazı raporlarda hatalı denetçi lisans numaraları yer alıyordu; bu da aynı şablonun kopyalanıp çoğaltıldığına işaret etti
  • Denetim sorumlusu olarak gösterilen Jayshree Dutta’nın ABD CPA olmadığı, Hindistan’daki CyberTryZub ve BQC ile bağlantılı olduğu belirlendi

Ürün ve süreçteki sahtelik

  • Delve’in ‘AI otomasyonu’, gerçekte neredeyse hiç yapay zeka işlevi olmayan manuel form tabanlı bir sistem
    • ‘Entegrasyonların’ çoğu kimlik doğrulama süreci olmadan yalnızca ekran görüntüsü yüklenmesini istiyor
    • Politika, risk değerlendirmesi ve güvenlik simülasyonu gibi alanlar, varsayılan değerlerle doldurulmuş şablonlardan oluşuyor ve birkaç tıklamayla tamamlanabiliyor
  • Pathways modülünün Delve tarafından şirket içinde geliştirildiği iddia edilse de, gerçekte açık kaynak SimStudio’nun izinsiz kullanıldığı ortaya çıktı
  • Müşteriler sahte toplantı tutanaklarını, güvenlik testi sonuçlarını ve politika belgelerini benimsemek zorunda kalıyor; bunu reddederlerse işlerin büyük bölümünü manuel yürütmeleri gerekiyor

Sahte raporlar ve güven sayfası manipülasyonu

  • Delve’in Trust Page özelliği, gerçekte uygulanmamış güvenlik kontrollerini ‘tamamlandı’ olarak gösteriyor
    • 322 SOC 2 müşterisinin 321’i aynı 51 kontrol maddesini kullanıyor
    • MDM, saldırı tespiti, yedekleme ve veri silme gibi mevcut olmayan güvenlik önlemleri otomatik olarak işaretleniyor
  • SOC 2 Type II raporları, “güvenlik, kullanılabilirlik, gizlilik ve mahremiyet” gibi tüm kriterlerin karşılandığını belirtse de, gerçekte yalnızca tek bir güvenlik maddesi test edildi
    • Tüm raporlar aynı şekilde “No exceptions noted” ifadesiyle sona eriyor

Düzenleyici ve hukuki riskler

  • Delve’in sahte süreçleri nedeniyle müşteriler GDPR ve HIPAA ihlali durumuna düşüyor
    • HIPAA ihlalleri cezai yaptırımlara, GDPR ihlalleri ise küresel cironun %4’üne kadar para cezasına yol açabiliyor
    • Sağlık ve savunma verileri işleyen şirketlerin de buna dahil olması, ulusal güvenlik düzeyinde risk doğuruyor
  • Delve müşterileri, farkında olmadan sahte sertifikasyon raporlarını dış taraflara sundu ve sözleşmesel ya da itibar kaynaklı sorumluluklarla karşı karşıya kalabilir

Sonuç ve öneriler

  • Delve, ‘sahte uyumluluk otomasyonu’ yapısını endüstrileştiren bir örnek olarak müşterilerini hukuki risklere maruz bırakıyor
  • Mevcut müşterilerin Delve ile tüm iletişimlerini yazılı olarak kayıt altına alması ve denetim üretimi, denetçi bağımsızlığı, veri sızıntısının kapsamı hakkında açık sorular yöneltmesi gerekiyor
  • Delve’in iddia ettiği “AI tabanlı güven süreci”, gerçekte biçimsel belge üretim sisteminden ibaret; gerçek güvenlik doğrulama işlevi bulunmuyor
  • Bu olay, uyumluluk otomasyonu pazarındaki güven erozyonunu gösterirken, bağımsız denetim ve gerçek güvenlik kontrollerinin önemini yeniden vurguluyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-21
Hacker News görüşleri

  • Birçok startup'ın küçük ekiplerle hızlı hareket etme özelliği var
    İyi bir ürün yaptığınızda büyük şirketler abone olmak istiyor ama sertifikasyon süreci gerekiyor
    Kontrol listeleri faydalı ama aşırı derecede Avrupa tarzı bürokrasiye göre şekillenmiş
    “7 kişilik bir şirketin risk kaydı nerede?” gibi sorular alıp asıl iş yerine evrak işine gömülüyorsunuz
    Sonunda aslında kimsenin okumayacağı belgeler hazırlıyor, var olmayan süreçler uyduruyor ve çevik bir şirketi dev bir kurumun diline çeviriyor hale geliyorsunuz
    Küçük ekipler için pratik ve orantılı standartlara ihtiyaç var

    • Buna tamamen katılıyorum. Ama büyük şirketler bu standartları daha akıllıca uygularsa aslında rekabet avantajı elde etmez mi diye düşünüyorum
      Benim şirketim Fortune 500 içinde ama satın alma süreci o kadar karmaşık ki SaaS benimsemek zor
      Buna karşılık rakipler daha esnek süreçlerle iyi vendor'ları hızlıca kazanıyor. Bu fark sonunda rekabet gücüne dönüşüyor
    • Bana göre CIS Controls v8.1 gerçekçi ve güvenliğe gerçekten yardımcı oluyor
      Level 1 temel olarak iyi, Level 2 ise iş riskine göre seçici biçimde uygulanabilir
      CIS Benchmarks'a da bakmaya değer. Cloud, SaaS ve OS güvenliği için en iyi uygulamalar derlemesi
    • Ekip hazır değilse due diligence sürecini zorla geçmeye çalışmamalı
    • Bir işin amacı sonuçta kâr yaratmaktır
      Eğer bu ‘kurumsal tiyatro’ gelir getiriyorsa o da işin bir parçasıdır
      Müşterinin talep ettiği şekilde ürünü sunmazsanız sonuçta piyasada elenirsiniz
    • Bu karmaşık sertifikasyon süreçlerinin bazı kesimlerin müşteri erişimini kontrol etmek için tasarladığı araçlar olduğunu düşünüyorum
      Kontrol listesini yönetenler kazanç sağlıyor

  • Compliance, kestirme yol aramadan gerçekten zaman ayırırsanız o kadar da zor değil
    AWS'nin gerçek anlamda bir CaaS (Compliance as a Service) sağlayıcısı olduğunu düşünüyorum
    AWS Artifact ile müşterilerin karmaşık sertifikasyon süreçlerini daha kolay geçmesine yardımcı oluyor
    Elbette yazılım ve politikalar hâlâ kullanıcının sorumluluğunda ama fiziksel güvenlik, donanım yönetimi, felaket kurtarma gibi konular fiilen “ücretsiz” geliyor

    • Bu avantajlar sadece AWS için değil, tüm büyük cloud sağlayıcıları için geçerli
      Yine de Hetzner gibi basit altyapı sağlayıcılarıyla kıyaslayınca maliyet primi oldukça yüksek

  • 20'li yaşlarının başındaki girişimcilerin compliance denetimi sorununu büyük bir tutkuyla çözmeye çalışması ne kadar olası, merak ediyorum
    Alan o kadar sıkıcı ki ilgi duymanın zor olduğunu düşünüyorum. Yoksa insanlar sadece fırsat için mi giriyor?

    • Sıkıcı problemleri çözmek aslında startup işinin özü
      Sıradan görünen sorunların para kazandırdığı söylenir
      Joel Spolsky'nin “Where there’s muck, there’s brass” yazısındaki gibi
    • Ben regüle sektörler için özel yazılım yapan bir şirkette çalışıyorum
      20'li yaşlarında parlak mühendisler Compliance Management System izleme çözümleri geliştiriyor
      Yapay zekayı kullanarak uzun süredir var olan iş problemlerini çözüyorlar. ABD'nin doğusunda bankacılık, elektrik ve sağlık gibi alanlarda büyük bir pazar var
    • Bunun tutkudan çok para kazanma isteği güçlü olan 20'lik yaşlardaki insanlar olduğunu düşünüyorum
    • Ben de bu sektördeyim ama alan gerçekten kuru ve sıkıcı
      Neyse ki teknik tarafı ilginç
      Müşteri açısından compliance o kadar acı verici ki biraz otomasyon bile büyük değer yaratıyor
    • Bu biraz yeni bir danışmanlık modeli gibi
      Zeki 20 yaşlarındaki insanları toplayıp “sektörü dönüştüreceğiz” diyerek yatırım alan bir yapı
      McKinsey danışmanlarının işin kendisinden çok marka adıyla etki kazanmasına benziyor
      YC de sanki benzer bir rol oynuyor

  • Bu yazı rakibin saldırısı olsa bile ortaya konan kanıtlar çok güçlü
    Eğer yalan olsaydı iftira tazminatı on milyonlarca dolara çıkardı
    Böyle bir ifşayı göze alan cesarete saygı duyuyorum

  • Yazarın ve çevresinin ancak kendi sertifikalarının geçersiz olduğu ortaya çıktıktan sonra sorunu gündeme getirmesi ilginç
    Şimdi de sanki ‘Delve'ü ifşa eden adalet savaşçıları’ gibi davranıyorlar

  • Ben bu süreci bizzat yaşadım
    Asıl başarısızlığın, sertifikasyon kurumunun doğrulama yapmadan para alıp sertifika vermesi olduğunu düşünüyorum
    Delve gibi aracı firmalar bu başarısızlığı büyüten unsurlar oldu
    Sektörde olan herkes bunun yalnızca bir güvenlik tiyatrosu olduğunu zaten biliyordu

  • Yazının derinliği etkileyiciydi
    Biz de yakın zamanda Drata'yı değerlendiriyorduk ve ilk bakışta oldukça iyi görünüyordu
    Ama böyle olaylar çıktıkça henüz ortaya çıkmamış ne kadar çok dolandırıcılık olduğunu merak ediyorum

  • Testin tek amacı başarısızlığı bulmaktır
    Herkesin sadece akışa kapıldığı bir ortamda bu tür sorunların açıkça dile getirilmesi ferahlatıcı

  • Bu yazıyı LinkedIn'de gördüm, gerçekten ilginçti
    Bu kadar derine inen bir yazıysa şimdiye kadar HN'in üst sıralarında olması gerekirdi

    • Muhtemelen kasten görünürlüğü azaltıldı
      Buranın Y Combinator sitesi olduğunu düşünürseniz mümkün
      Tanıdığım bazı şirketlerin Delve üzerinden 5 günde SOC 2 Type 2 raporu aldığını duydum
      “SOC 2 in days” pazarlama sloganını da aynen kullanıyorlar. İnanması zor

  • Compliance kimsenin istemediği ama herkesin ihtiyaç duyduğu bir şey
    Sonuçta sorumluluğu başkasına atmak için bir hizmet gibi görülüyor
    Regülatör sorarsa Delve gibi bir yerin sertifikasını gösterip konu kapanıyor

    • Ben böyle bir yerde çalışmak istemem
      SaaS sağlayıcıları müşteri verisini koruma konusunda sorumluluk duygusuna sahip olmalı
      Compliance çerçeveleri bu çabaya yardımcı olan araçlardır
      Açıkları bulmak, riskleri anlamak, iyileştirmeyi ilerletmek ve partnerlere seviyemizi anlatmak için kullanılır
      Medium yazısında anlatılan davranış düpedüz dolandırıcılık
      Bir kurucu olarak müşterilere en yüksek düzeyde güven vermek isterim
    • Kimse vergi ödemek ya da çamaşır yıkamak istemez ama yapılması gereken şeylerdir
      Compliance da aynı
    • Ben siber güvenlik sektöründeyken de benzerdi
      Çoğu kişi bizi güvenliği artırmaktan çok sigorta gerekliliklerini karşılamak için işe alıyordu
      Sonuçta yine sorumluluğu devretmeye çalışan bir yapıydı
    • Bu, B2B sektörünü bilmeyen birinin sözü gibi geliyor
      Gerçekte birçok kurucu tekrar tekrar “Ürününüzü satın almak istiyoruz ama sertifikanız olmadığı için alamıyoruz” cümlesini duyuyor
      Bu yüzden sabah kalkınca “bugün XYZ-123 sertifikasını alayım” diye düşünüyor
      Compliance sorumluluğu başkasına atmak değil, müşteriye güven kanıtlamanın asgari şartı
      Değerli her oyunun bir giriş bedeli (table stakes) vardır
    • Kimse compliance'ı gönüllü olarak yapmak istemez ama
      hukuki ve ahlaki yükümlülükleri olan bir şirket kurduysanız bu bizzat üstlenmeniz gereken sorumluluktur
      Bunu başka bir şirkete yıkmak sorumsuzluktur