Makale
Bulut bilişim sistemleri esneklik sağlarken, kurum içi erişim, yazılım izolasyonu ve kimlik yönetimi gibi ciddi veri güvenliği riskleri de barındırır. Bu risklerin hukuki standartlar, ISO belgeleri ve KVKK ile GDPR mevzuatları çerçevesinde profesyonelce yönetilmesi, şirketlerin yasal sorumluluklarını yerine getirmesi için hayati önem taşır.
Bulut Bilişimde Veri Güvenliği Riskleri ve Hukuki Standartlar
Günümüzde bilişim teknolojilerindeki hızlı gelişim, şirketlerin bulut bilişim sistemlerine olan ilgisini artırmış ve veri yönetiminde yeni bir dönem başlatmıştır. Ancak bu dijital dönüşüm, beraberinde hukuki ve teknik bağlamda ciddiyetle ele alınması gereken veri güvenliği risklerini getirmektedir. Bulut mimarisinin paylaşımlı doğası, sunucularda tutulan bilgilerin dış saldırılara veya yetkisiz erişimlere açık hale gelmesine neden olabilmektedir. Bir bilişim hukuku uzmanı perspektifiyle değerlendirildiğinde, işletmelerin yalnızca teknolojik altyapılarını güçlendirmeleri yeterli değildir; aynı zamanda ulusal ve uluslararası hukuki düzenlemelere tam uyum sağlamaları yasal bir zorunluluktur. Verilerin korunması ve sürekli erişilebilirliğin sağlanması, hem hizmet sağlayıcıların hem de hizmet alan şirketlerin müşterek yasal sorumluluğudur. Bu makalede, bulut sistemlerindeki temel güvenlik tehditleri ile bu tehditlere karşı mevzuatımızın ve küresel otoritelerin öngördüğü uluslararası standartlar hukuki bir çerçevede incelenmektedir.
Bulut Bilişim Sistemlerinde Karşılaşılan Temel Güvenlik Riskleri
Bulut sistemlerinin karmaşık ve paylaşımlı altyapısı, şirketleri hukuki ihlallerle yüz yüze bırakabilecek çeşitli güvenlik zafiyetlerine zemin hazırlamaktadır. Bu risklerin başında hizmet alınan kurumlara ve kişilere güven unsuru gelmektedir. Hizmet sağlayıcının personeli veya ağa erişimi olan eski çalışanların sebep olabileceği kurum içi erişim ihlalleri, hukuki açıdan ağır sonuçlar doğurabilmektedir. Bunun yanı sıra, bulut mimarisi içerisinde sanal makinelerin birden fazla kullanıcı tarafından ortaklaşa kullanılması, saldırı yüzeyini genişletmektedir. Güvenlik açıklarının zamanında kapatılmaması durumunda ortaya çıkan sıfır-gün açıkları, sistemdeki tüm müşterilerin verilerini tehlikeye atarak silsile halinde hukuki ihtilafların doğmasına sebebiyet vermektedir.
Diğer yandan, kimlik yönetimi ve yazılım izolasyonu bulut hizmetlerinde hukuki güvenilirliğin tesis edilmesi için kritik öneme sahiptir. Kullanıcıların kimlik doğrulamalarında uluslararası standartların kullanılması, yetkisiz girişleri engellemek adına elzemdir. Şayet yazılım izolasyonu yeterince sağlanamazsa, bir müşterinin sistemine yapılan siber saldırı, aynı altyapıyı paylaşan diğer şirketlere de sıçrayabilir. Hukuken bu durum, altyapı sağlayıcısının özen yükümlülüğünü ihlal etmesi anlamına gelir. Ayrıca bulut hizmetlerinde sistemin sürekli erişilebilir olması gerekir. Doğal afetler, donanım arızaları veya siber saldırılar gibi dış müdahalelerle sistemin çökmesi, şirketlerin faaliyetlerini durdurarak ağır ticari ve hukuki zararlara yol açmaktadır.
Veri Güvenliğine İlişkin Hukuki Düzenlemeler ve Sorumluluklar
Hukukumuzda ve Avrupa Birliği mevzuatında veri güvenliğini sağlamak, işletmelerin en temel yasal yükümlülüklerinden biri olarak düzenlenmiştir. Genel Veri Koruma Tüzüğü otuz ikinci maddesi uyarınca, şirketler riskin mahiyetine uygun olarak şifreleme ve takma ad kullanımı gibi teknik ve idari tedbirleri almak zorundadır. Olası bir veri ihlali durumunda, bu ihlalin yetkili denetim makamına bildirilmesi hukuki bir mecburiyettir. Türk hukuku bağlamında ise Kişisel Verilerin Korunması Kanunu on ikinci maddesi, veri muhafazasını sağlama ve verilere hukuka aykırı erişilmesini önleme yükümlülüğü getirmiştir. Kişisel Verileri Koruma Kurulu kararları ışığında, veri ihlali bildirimlerinin ülkemizde de en geç yetmiş iki saat içinde Kurul'a iletilmesi şartı aranmaktadır. Bu kurallara uyulmaması, şirketler için ağır idari yaptırımlar anlamına gelmektedir.
Bulut Bilişimde Güvenlik Standartları ve Belgelendirme
Veri güvenliği risklerini asgariye indirmek ve yasal mevzuata uyumu ispatlamak amacıyla otoriteler tarafından bazı uluslararası standartlar belirlenmiştir. Belgelendirme süreci, bir şirketin güvenlik kriterlerine uygunluğunun bağımsız kuruluşlarca doğrulanmasını ifade eder. Türkiye'de bu süreç Türk Standartları Enstitüsü tarafından, evrensel normlar dikkate alınarak yürütülmektedir. Bir hukuki itilaf anında işletmenin özen yükümlülüğünü yerine getirdiğini ispatlayabilmesi için bu sertifikasyonlara sahip olması son derece kritik bir savunma argümanı oluşturur. Bilişim sektöründeki standartlar genel olarak sistem tabanlı ve ürün tabanlı olmak üzere iki ana kategoriye ayrılmaktadır.
Temel Bilişim Standartları
Bulut bilişim hizmetlerinde hukuki ve teknik güvenilirliği tesis etmek, aynı zamanda regülasyonlara uyum sağlamak amacıyla kullanılan başlıca uluslararası standartlar ve uygulamalar aşağıda sıralanmıştır:
- ISO/IEC 27001: Organizasyonların bilgi varlıklarını etkili bir şekilde yönetmeleri, tehlikeleri öngörmeleri ve riskleri azaltmaları için bilgi güvenliği yönetimi standartlarını detaylıca belirleyen sistem tabanlı temel çerçevedir.
- ISO/IEC 15408: Bilişim ürünlerinin taşıması gereken asgari güvenlik şartlarını titizlikle tespit ederek, birden yediye kadar değişen kademelerde ürün güvenliği seviyelerini uluslararası çapta belgelendirir.
- ISO/IEC 27018: Doğrudan bulut bilişim hizmetlerine özgü bir yapı olarak geliştirilmiş olup, bulut servis sağlayıcılarının operasyonlarında alması gereken ek güvenlik kontrollerini ve veri koruma yöntemlerini şeffaf biçimde detaylandırır.