Anasayfa/ Makale/ Kurumların Siber Güvenlik Yükümlülükleri ve Sorumlulukları

Kurumların Siber Güvenlik Yükümlülükleri ve Sorumlulukları

Gelişen teknolojiyle birlikte, kurumların siber saldırılara karşı önlem alma ve veri güvenliğini sağlama yükümlülükleri kaçınılmaz hukuki bir zorunluluk haline gelmiştir. Bu makale, firmaların siber güvenlik politikalarını, 5651 sayılı kanun kapsamındaki log tutma yükümlülüklerini ve kurumsal siber olaylara müdahale ekiplerinin rolünü incelemektedir.
search
6 dk okuma Yayınlanma: Güncelleme:
ŞANTAJ BİLİŞİM HUKUKU

Günümüzde bilişim sistemleri, ticari faaliyetlerin ayrılmaz bir parçası haline gelmiş olup, işletmelerin sahip olduğu verilerin güvenliği hayati bir önem taşımaktadır. İşletmelerin siber dünyada varlıklarını sürdürebilmeleri sadece teknolojik bir mesele değil, aynı zamanda hukuki bir yükümlülük olarak karşımıza çıkmaktadır. Bir kurumda sistem güvenliğini sağlamak, bilgi işlem personelinden yönetim kadrosuna kadar tüm çalışanların ortak sorumluluğudur. Bilişim altyapılarına yönelik yetkisiz erişim, oltalama veya fidye yazılımları gibi siber saldırılar, şirketler için ciddi itibar ve maddi kayıplara neden olmaktadır. Bu bağlamda, şirketlerin siber güvenlik risklerini asgariye indirmek amacıyla bilgi ve iletişim teknolojisi güvenlik politikaları oluşturması ve bunları düzenli olarak güncellemesi gerekmektedir. İlgili mevzuat, firmaların sadece saldırılara karşı teknik tedbirler almasını değil, idari ve hukuki koruma kalkanları oluşturmasını da mecburi kılmaktadır.

5651 Sayılı Kanun ve Log Tutma Yükümlülüğü

Şirketlerin siber güvenlik kapsamında yerine getirmesi gereken en önemli hukuki sorumluluklardan biri, 5651 sayılı kanun ile getirilmiştir. İlgili mevzuat uyarınca, internet erişim hizmeti sağlayan tüm kurum ve kuruluşlar, kendi iç ağlarında gerçekleşen bağlantılara ait log kayıtlarını tutmak zorundadır. Yasaya göre, kurumlar ürettikleri bu bağlantı loglarını zaman damgası ile günlük olarak elektronik ortamda imzalamak ve bu kayıtları altı ay boyunca muhafaza etmekle yükümlüdür. Olası bir siber saldırı veya kurum ağı üzerinden işlenen bir bilişim ihlali durumunda, faillerin tespiti ve kurumun hukuki sorumluluktan kurtulabilmesi için bu kayıtların resmi kurumlara ibrazı hayati önem taşımaktadır. Ağ güvenlik duvarı kullanımı da veri trafiğini organize edip log ürettiği için bu kanuni yükümlülüğün yerine getirilmesinde etkin bir araç olarak işletme sistemlerinde yaygın bir şekilde kullanılmaktadır.

Kurumsal BİT Güvenlik Politikaları ve SOME Yükümlülüğü

Kurumların siber olaylara karşı proaktif bir savunma mekanizması geliştirmesi amacıyla Kurumsal Siber Olaylara Müdahale Ekipleri kurmaları ve işletmeleri teşvik edilmekte, özellikle kritik altyapı hizmeti sunan ulaşım, enerji, finans, su yönetimi ve haberleşme kurumları için bu durum büyük önem teşkil etmektedir. Bilişim sistemlerinin yönetiminden sorumlu olan bu ekipler, güvenlik açıklarını kapatmak ve olası saldırıları koordineli bir şekilde bertaraf etmekle görevlidir. Firmaların ayrıca resmi olarak tanımlanmış, düzenli olarak gözden geçirilen bir güvenlik politikası oluşturması gerekmektedir. Beklenmeyen bir olay veya saldırı nedeniyle verilerin bozulması, yetkisiz erişim yoluyla ticari sırların ifşa edilmesi veya başka sitelere yönlendirilerek şifre çalınması gibi risklerin bu politikalarda açıkça adreslenmesi şarttır. İdari süreçlerdeki zafiyetler, yöneticilerin güvenlik yükümlülüklerini yerine getirmemesi sebebiyle ileride büyük hukuki yaptırımlarla karşılaşmasına yol açabilir.

Siber Güvenlikte Alınması Gereken Asgari Tedbirler

Bir işletmenin hukuki olarak gerekli özen yükümlülüğünü yerine getirmiş sayılabilmesi için alması gereken bazı asgari teknik ve idari siber güvenlik tedbirleri bulunmaktadır. Siber saldırıları önlemeye yönelik yeterli güvenlik tedbirlerinin alınmaması, doğrudan doğruya siber zafiyetlere zemin hazırlamak anlamına gelir. Bu kapsamda, kurumsal altyapının korunabilmesi adına düzenli aralıklarla denetlenmesi ve uygulanması gereken temel adımlar şu şekilde sıralanabilir:

  • Güçlü Parola ve Kimlik Doğrulama: Minimum sekiz karma karakterden oluşan, en fazla altı ay geçerli, şifrelenmiş iletim ve depolama politikalarının benimsenmesi.
  • Ağ Güvenliği Uygulamaları: Kurum dışından gelebilecek yetkisiz erişimleri ve kötü niyetli veri trafiğini tespit ve bloke eden donanım ve yazılım çözümlerinin aktif kullanılması.
  • Lisanslı Yazılım Kullanımı: Güvenlik açıklarının kapatılması için tüm sunucu ve kullanıcı bilgisayarlarında güncel, lisanslı koruma programlarının bulundurulması.
  • Farklı Mekanlarda Veri Yedekleme: Veri kaybı veya çeşitli şantaj saldırılarına karşı tüm kritik şirket verilerinin düzenli olarak farklı lokasyonlarda yedeklenmesi.
  • Personel Farkındalık Eğitimleri: Çalışanların sosyal mühendislik ve oltalama gibi hedefe yönelik siber saldırılara karşı bilinçlendirilmesi ve mesleki olarak eğitilmesi.

Kurumların Veri İhlalleri ve Çalışan Hatalarından Doğan Sorumlulukları

İşletmelerin siber güvenlik zafiyetlerinin büyük bir kısmı donanımsal açıklardan ziyade doğrudan kullanıcı kaynaklı hatalar nedeniyle ortaya çıkmaktadır. Dalgınlık, ihmal veya güvenlik bilincinin eksikliği gibi nedenlerle personelin omuz sörfüne maruz kalması veya sahte e-postalardaki zararlı bağlantılara tıklaması, kurumun tüm bilişim sistemini tehlikeye atmaktadır. Hukuk uygulamaları bağlamında, kurum yöneticilerinin personeli eğitmemesi veya gerekli teknik ve idari güvenlik önlemlerini almaması, siber saldırı sonucu yaşanacak veri sızıntılarında kurumu dolaylı olarak hukuken kusurlu duruma düşürecektir. Özellikle üçüncü şahıslara veya müşterilere ait verilerin korunmaması, işletmeler için yasal tazminat yükümlülükleri doğurur. Bir ağa veya sunucuya izinsiz erişilmesi sonucu yaşanan veri kaybı ve ticari sır hırsızlığı, kurumların sadece maddi zarara uğramasına değil, aynı zamanda ciddi bir prestij ve güven kaybı yaşamasına da sebep olur. Bu nedenle yetkilerin sınırlandırılması yasal bir zorunluluktur.

Şirketimizin internetinden suç işlenmiş, bizi sorumlu tutarlar mı? expand_more
5651 sayılı kanun uyarınca, işletmeler kendi iç ağlarında gerçekleşen bağlantılara ait log kayıtlarını tutmakla yükümlüdür. Bu kayıtların zaman damgasıyla günlük olarak imzalanıp altı ay boyunca saklanması yasal bir zorunluluktur. Eğer bu kayıtları usulüne uygun şekilde tutmadıysanız faillerin tespiti zorlaşacağından, kurumunuz hukuki sorumluluktan kurtulamayabilir. Ağ güvenlik duvarı gibi sistemlerle bu kayıt yükümlülüğünü yerine getirerek işletmenizi olası yasal yaptırımlardan koruyabilirsiniz.
Çalışanım yanlış linke tıklayıp virüs bulaştırmış, şirket ceza alır mı? expand_more
Kurum yöneticilerinin personeli oltalama gibi sosyal mühendislik saldırılarına karşı eğitmemesi ve gerekli güvenlik önlemlerini almaması, kurumu hukuken kusurlu duruma düşürür. İşletmelerin yaşadığı siber zafiyetlerin büyük bir kısmı donanımsal açılardan ziyade doğrudan güvenlik bilinci eksikliği gibi kullanıcı kaynaklı hatalardan doğmaktadır. Yöneticiler tarafından idari ve teknik koruma kalkanlarının oluşturulmaması halinde, sızan veriler nedeniyle şirketinizin dolaylı yoldan hukuki sorumluluğu doğacaktır. Bu sebeple personelin eğitilmesi ve yetkilerinin sınırlandırılması yasal bir zorunluluktur.
Hackerlar müşteri bilgilerimizi çaldı, müşterilere tazminat ödemek zorunda mıyız? expand_more
İşletmelerin siber dünyada varlıklarını sürdürmesi ve sahip olduğu verileri koruması sadece teknolojik bir mesele değil, aynı zamanda hukuki bir yükümlülüktür. Gerekli idari ve teknik siber güvenlik tedbirlerini almadığınız için üçüncü şahıslara veya müşterilere ait verilerin çalınması, işletmeniz açısından yasal tazminat yükümlülükleri doğurur. Ayrıca, yetkisiz erişim yoluyla bu bilgilerin ifşa edilmesi veya veri kaybı yaşanması, maddi zararların yanında ciddi bir itibar kaybına da yol açacaktır. Yöneticilerin güvenlik yükümlülüklerini ihmal etmesi ileride ağır hukuki yaptırımlarla karşılaşmanıza neden olacağı için bu risklerin kurumsal politikalarda açıkça adreslenmesi şarttır.
Şirket bilgisayarlarını korumak için kanunen yapmak zorunda olduğum şeyler neler? expand_more
Bir işletme olarak yasal açıdan "gerekli özen yükümlülüğünü" yerine getirmiş sayılmanız için asgari düzeyde bazı teknik ve idari tedbirleri uygulamanız şarttır. Çalışanların hesaplarında minimum sekiz karakterli şifreler kullanılması, ağ güvenliği yazılımlarının aktif edilmesi ve sistemlerde güncel lisanslı koruma programlarının bulundurulması gerekmektedir. Aynı zamanda şantaj saldırılarına ve veri kaybına karşı kritik şirket verilerinizin düzenli olarak farklı lokasyonlarda yedeklenmesi de son derece elzemdir. Bu asgari tedbirlerin alınmaması doğrudan siber zafiyetlere zemin hazırladığı için kurumunuzun hukuki sorumluluğunu doğuracaktır.
Av. Hanifi Bayrı
Av. Hanifi Bayrı İstanbul 1 Nolu Barosu (Sicil: 40976)

Selçuk Üniversitesi Hukuk Fakültesi mezunudur. İş hukuku, mobbing, KVKK uyum süreçleri, bilişim hukuku, hasta ve çocuk hakları alanlarında uzmanlaşmış olup, 2012 yılından bu yana İstanbul merkezli hukuk bürosunda yüz yüze ve online hukuki danışmanlık ve avukatlık hizmeti sunmaktadır.

LinkedIn Profili badge BARO LEVHASI gavel TBB Avukat Arama
star star star star star

Bizi Değerlendirin

Hizmet kalitemizi artırabilmemiz için görüşleriniz bizim için çok değerlidir.

Google'da Değerlendir