Anasayfa/ Makale/ Bulut Bilişimde Veri Güvenliği Riskleri ve Hukuki Standartlar

Bulut Bilişimde Veri Güvenliği Riskleri ve Hukuki Standartlar

Bulut bilişim sistemleri esneklik sağlarken, kurum içi erişim, yazılım izolasyonu ve kimlik yönetimi gibi ciddi veri güvenliği riskleri de barındırır. Bu risklerin hukuki standartlar, ISO belgeleri ve KVKK ile GDPR mevzuatları çerçevesinde profesyonelce yönetilmesi, şirketlerin yasal sorumluluklarını yerine getirmesi için hayati önem taşır.
search
5 dk okuma Yayınlanma: Güncelleme:
KVKK GDPR (GENEL VERİ KORUMA TÜZÜĞÜ)

Günümüzde bilişim teknolojilerindeki hızlı gelişim, şirketlerin bulut bilişim sistemlerine olan ilgisini artırmış ve veri yönetiminde yeni bir dönem başlatmıştır. Ancak bu dijital dönüşüm, beraberinde hukuki ve teknik bağlamda ciddiyetle ele alınması gereken veri güvenliği risklerini getirmektedir. Bulut mimarisinin paylaşımlı doğası, sunucularda tutulan bilgilerin dış saldırılara veya yetkisiz erişimlere açık hale gelmesine neden olabilmektedir. Bir bilişim hukuku uzmanı perspektifiyle değerlendirildiğinde, işletmelerin yalnızca teknolojik altyapılarını güçlendirmeleri yeterli değildir; aynı zamanda ulusal ve uluslararası hukuki düzenlemelere tam uyum sağlamaları yasal bir zorunluluktur. Verilerin korunması ve sürekli erişilebilirliğin sağlanması, hem hizmet sağlayıcıların hem de hizmet alan şirketlerin müşterek yasal sorumluluğudur. Bu makalede, bulut sistemlerindeki temel güvenlik tehditleri ile bu tehditlere karşı mevzuatımızın ve küresel otoritelerin öngördüğü uluslararası standartlar hukuki bir çerçevede incelenmektedir.

Bulut Bilişim Sistemlerinde Karşılaşılan Temel Güvenlik Riskleri

Bulut sistemlerinin karmaşık ve paylaşımlı altyapısı, şirketleri hukuki ihlallerle yüz yüze bırakabilecek çeşitli güvenlik zafiyetlerine zemin hazırlamaktadır. Bu risklerin başında hizmet alınan kurumlara ve kişilere güven unsuru gelmektedir. Hizmet sağlayıcının personeli veya ağa erişimi olan eski çalışanların sebep olabileceği kurum içi erişim ihlalleri, hukuki açıdan ağır sonuçlar doğurabilmektedir. Bunun yanı sıra, bulut mimarisi içerisinde sanal makinelerin birden fazla kullanıcı tarafından ortaklaşa kullanılması, saldırı yüzeyini genişletmektedir. Güvenlik açıklarının zamanında kapatılmaması durumunda ortaya çıkan sıfır-gün açıkları, sistemdeki tüm müşterilerin verilerini tehlikeye atarak silsile halinde hukuki ihtilafların doğmasına sebebiyet vermektedir.

Diğer yandan, kimlik yönetimi ve yazılım izolasyonu bulut hizmetlerinde hukuki güvenilirliğin tesis edilmesi için kritik öneme sahiptir. Kullanıcıların kimlik doğrulamalarında uluslararası standartların kullanılması, yetkisiz girişleri engellemek adına elzemdir. Şayet yazılım izolasyonu yeterince sağlanamazsa, bir müşterinin sistemine yapılan siber saldırı, aynı altyapıyı paylaşan diğer şirketlere de sıçrayabilir. Hukuken bu durum, altyapı sağlayıcısının özen yükümlülüğünü ihlal etmesi anlamına gelir. Ayrıca bulut hizmetlerinde sistemin sürekli erişilebilir olması gerekir. Doğal afetler, donanım arızaları veya siber saldırılar gibi dış müdahalelerle sistemin çökmesi, şirketlerin faaliyetlerini durdurarak ağır ticari ve hukuki zararlara yol açmaktadır.

Veri Güvenliğine İlişkin Hukuki Düzenlemeler ve Sorumluluklar

Hukukumuzda ve Avrupa Birliği mevzuatında veri güvenliğini sağlamak, işletmelerin en temel yasal yükümlülüklerinden biri olarak düzenlenmiştir. Genel Veri Koruma Tüzüğü otuz ikinci maddesi uyarınca, şirketler riskin mahiyetine uygun olarak şifreleme ve takma ad kullanımı gibi teknik ve idari tedbirleri almak zorundadır. Olası bir veri ihlali durumunda, bu ihlalin yetkili denetim makamına bildirilmesi hukuki bir mecburiyettir. Türk hukuku bağlamında ise Kişisel Verilerin Korunması Kanunu on ikinci maddesi, veri muhafazasını sağlama ve verilere hukuka aykırı erişilmesini önleme yükümlülüğü getirmiştir. Kişisel Verileri Koruma Kurulu kararları ışığında, veri ihlali bildirimlerinin ülkemizde de en geç yetmiş iki saat içinde Kurul'a iletilmesi şartı aranmaktadır. Bu kurallara uyulmaması, şirketler için ağır idari yaptırımlar anlamına gelmektedir.

Bulut Bilişimde Güvenlik Standartları ve Belgelendirme

Veri güvenliği risklerini asgariye indirmek ve yasal mevzuata uyumu ispatlamak amacıyla otoriteler tarafından bazı uluslararası standartlar belirlenmiştir. Belgelendirme süreci, bir şirketin güvenlik kriterlerine uygunluğunun bağımsız kuruluşlarca doğrulanmasını ifade eder. Türkiye'de bu süreç Türk Standartları Enstitüsü tarafından, evrensel normlar dikkate alınarak yürütülmektedir. Bir hukuki itilaf anında işletmenin özen yükümlülüğünü yerine getirdiğini ispatlayabilmesi için bu sertifikasyonlara sahip olması son derece kritik bir savunma argümanı oluşturur. Bilişim sektöründeki standartlar genel olarak sistem tabanlı ve ürün tabanlı olmak üzere iki ana kategoriye ayrılmaktadır.

Temel Bilişim Standartları

Bulut bilişim hizmetlerinde hukuki ve teknik güvenilirliği tesis etmek, aynı zamanda regülasyonlara uyum sağlamak amacıyla kullanılan başlıca uluslararası standartlar ve uygulamalar aşağıda sıralanmıştır:

  • ISO/IEC 27001: Organizasyonların bilgi varlıklarını etkili bir şekilde yönetmeleri, tehlikeleri öngörmeleri ve riskleri azaltmaları için bilgi güvenliği yönetimi standartlarını detaylıca belirleyen sistem tabanlı temel çerçevedir.
  • ISO/IEC 15408: Bilişim ürünlerinin taşıması gereken asgari güvenlik şartlarını titizlikle tespit ederek, birden yediye kadar değişen kademelerde ürün güvenliği seviyelerini uluslararası çapta belgelendirir.
  • ISO/IEC 27018: Doğrudan bulut bilişim hizmetlerine özgü bir yapı olarak geliştirilmiş olup, bulut servis sağlayıcılarının operasyonlarında alması gereken ek güvenlik kontrollerini ve veri koruma yöntemlerini şeffaf biçimde detaylandırır.
Bulut şirketinin çalışanları verilerimizi çalarsa hukuken biz mi suçlu oluruz? expand_more
Bulut bilişim hizmetlerinde verilerin korunması ve erişilebilirliğinin sağlanması, hem hizmeti sunan sağlayıcının hem de hizmeti alan şirketinizin müşterek yasal sorumluluğudur. Hizmet sağlayıcının personeli veya ağa erişimi olan eski çalışanları tarafından gerçekleştirilebilecek kurum içi erişim ihlalleri, şirketiniz açısından ciddi hukuki sonuçlar doğurabilir. Bu nedenle, sadece teknolojik altyapıyı düşünmemeli, hukuki zafiyet yaşamamak adına hizmet alınan kuruma duyulan güveni ve alınacak yasal önlemleri en baştan sözleşmelerle güvence altına almalısınız.
Bulut sistemimiz hacklendi, ceza yememek için bunu gizli tutma hakkımız var mı? expand_more
Hayır, verilerinizin yetkisiz kişilerin eline geçmesi durumunda bu ihlali gizli tutmanız hukuka aykırıdır ve ağır idari yaptırımlarla karşılaşmanıza neden olur. Kişisel Verilerin Korunması Kanunu'nun (KVKK) 12. maddesi gereğince, veri ihlali durumunda durumu en geç yetmiş iki saat içinde Kişisel Verileri Koruma Kurulu'na bildirmeniz yasal bir mecburiyettir. Şayet Avrupa Birliği mevzuatına (GDPR) tabi veriler işliyorsanız, bu kural orada da geçerlidir ve ihlalin derhal yetkili denetim makamına bildirilmesi şarttır.
Buluttan müşteri verisi sızarsa, mahkemede kendimizi nasıl savunabiliriz? expand_more
Olası bir veri ihlali davasında şirketinizin kusursuzluğunu kanıtlamadaki en kritik savunma argümanınız, uluslararası güvenlik standartlarına ilişkin belgelendirmelere sahip olmanızdır. Bilgi güvenliği yönetimi için ISO/IEC 27001 veya doğrudan bulut hizmetlerine özgü güvenlik kontrollerini içeren ISO/IEC 27018 gibi sertifikasyonları almanız, hukuken sizden beklenen özen yükümlülüğünü yerine getirdiğinizi ispatlar. Bu standartlara uyumunuz bağımsız kuruluşlarca (örneğin TSE) belgelendirildiği takdirde, yasal mevzuata uyum sağladığınızı mahkemeye sunarak sorumluluktan kurtulma veya cezayı en aza indirme şansınız artar.
Buluttaki başka bir şirkete yapılan siber saldırı bize sıçrarsa ne yapabiliriz? expand_more
Bulut sistemlerinin paylaşımlı altyapısında sanal makineler ortaklaşa kullanıldığından, zafiyetler sonucu başka bir müşteriye yapılan saldırı sizin verilerinizi de tehlikeye atabilir. Eğer bulut hizmet sağlayıcısı kimlik doğrulamalarında uluslararası standartları kullanmamış ve yeterli yazılım izolasyonunu sağlayamamışsa, hukuken size karşı olan özen yükümlülüğünü ihlal etmiş sayılır. Dış saldırılar veya sıfır-gün açıkları nedeniyle sistem çökmesi yaşanır ve ticari faaliyetleriniz durursa, güvenlik açıklarını zamanında kapatmayan ve erişilebilirliği sağlayamayan hizmet sağlayıcıya karşı hukuki yollara başvurabilirsiniz.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir