Etiket arşivi: 5651 sayılı kanun

berqNet

Günümüzün En Önemli Kavramı: Siber Güvenlik, 5651 Sayılı Yasa ve berqNET Firewall İncelemesi

Yorum yapın

2000’li yılların başında en güncel kelimelerden biri ‘küreselleşme’ydi. Kim dünyadaki gelişmeler ile ilgili bir cümle kuracak olsa muhakkak küreselleşme ifadesini cümlelerin içinde geçirmeye dikkat ederdi. 2018 yılında ise başka bir söz öbeği küreselleşmeyi geride bırakıp dillere pelesenk oldu: Bağlantılı olma! Ve tabi bunu sağlayan akıllı cihazlar.

Sosyal medya üzerinden yakınlarımız ve arkadaşlarımız ile daha çok iletişim halinde kalırken akıllı cihazlarımızı artık gitgide daha bağımlı hale geliyoruz. Sağlık uygulamaları ile ne kadar adım attığımızı veya spor yaptığımızı kontrol altında tutuyor, YouTube gibi programlarla içerik tüketiyor ve üretiyor, kariyer planlamasını yapabiliyoruz.

Bu akıllı cihazların ve siber dünyanın olumlu tarafı olduğu kadar bunları suç işlemek için kullananlar da var.  Gittiğiniz bir kafe veya pastanede, birileri sosyal medya hesabını takip edip arkadaşlarına ‘like’ atarken yan masadaki başka birileri, hedeflerindeki kişinin banka hesabını boşaltmaya çalışıyor olabilir.

Peki, siber uzayda suç işlemeye çalışanlar, günlük kullanımı gerçekleştirenler ve bu internet hizmetini sağlayanlar muhtemel bir yargı sürecinde nasıl ayrıştırılacak? Bunun için 5651 sayılı internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında yasa çıkarıldı. Bu internet ortamında işlenen suçlara özel olarak kaleme alınmış ve bütün kurumların ve ticari işletmelerin uyması gereken; siber saldırılara karşı mücadele için çıkartılmış bir kanundur. Bu kanun ile ticari kuruluşlar veya kurumlar tüm kullanıcı hareketlerini iki yıl boyunca güven damgası ile elektronik ortamda imzalamak ve kayıt altına almak zorunda.

Tam da bu noktada işletmelerin özellikle bu konuna uygun davranarak internet kullanmaları, kayıtlarını tutmaları gerekiyor. Özellikle de ortak bir ağdan misafirlerine ya da müşterilerine internet paylaşımı yapan işletmeler. Örneğin; kafeler, restoranlar, hastaneler, öğrenci yurtları, konuk evleri, oteller ve konaklama işletmeleri…

İşletme ağınızdan bir misafirinizin atacağı uygun bir tweetten ya da Facebook paylaşımından sorumlu olacağını, sizin ağınızdan yapılan istenmeyen bir siteye girişten sizin sorumlu tutulacağınızı ve ağır cezalar alacağınızı biliyor musunuz? İşte 5651 sayılı sayının amacı tamamen bu.

Peki bu durumda ne yapmalı? Her cihaz her yazılım yasanın istediği kayıtları tutar mı? Merdiven altı çözümlerle bu işler halledilir mi? Tabii ki hayır. Öncelikle tutalan kayıtların zaman damgalı olması gerekiyor ve bu zaman damgasının da yasanın belirttiği kurumlardan alınması mecburiyeti var.

Yasaya uygun çözümleri sağlayan şirketlerin başındaysa Logo Yazılım çatısı altında kurulan berqNET geliyor. berqNET’in tamamen Türk mühendisleri ile iki yıllık bir AR-GE çalışmanın sonucunda ürettiği yerli firewall (UTM) cihazları, içinde barındırdığı birçok özelliğin yanında ücretsiz olarak, eskta ücretler talep etmen sunduğu 5651 sayılı yasaya uygun kayıt tutma modülü sayesinde, işletmeler herhangi bir sorunla karşılaştığında bu cihazlar tarafından yasaya uygun tutulan kayıtları mahkemeye delil olarak sunabiliyor.

Hatta yaşanmış örneklerden de bahsetmek gerekiyor bu noktada; kısa bir zaman önce İzmir’de bir otel ve Diyarbakır’da bir restoran, ortak ağlarından yapılan paylaşımlar sonucu siber güvenlik polisleri tarafından incelemeye alındı. Diyarbakır’daki vakada ise atılan bir tweet sonucu işletme bir süre kapalı kalarak işletme sahibi göz altına alındı. Restoranın herhangi bir firewall kullanmadığı ve sonrasındaysa berqNET müşterisi olduğunu belirtebiliriz. Bu noktada tatsız durumlar yaşanmadan önlem almak çok kritik. Suçsuz olduğunuzda bunu ispat edebiliyor olmanız gerekmekte.

Geçtiğimiz günlerde Siber Bülten’e konuşan berqNET Genel Müdürü Dr. A. Murat Apohan, “Ürünü kurduğunuz zaman karşınıza oldukça kolay bir arayüz geliyor. Yine çok kolay bir şekilde bu kayıtları tutar hale geliyorsunuz. Bu şekilde 5651 sayılı yasaya uygun bir süreç oluşturuyorsunuz. Yabancı ürünlerde bu yok. Bu çok ciddi bir avantaj. Herhangi bir adli vakada işletmenin, berqNET cihazlarının tuttuğu kayıtları vermesi yeterli. Bu işletme sahibini sorumluluktan kurtarıyor. En önemli nokta ise yasanın istediği kayıtları her ürün yasaya uygun bir şekilde tutamıyor. Daha ucuz ve yetersiz çözümler olabiliyor ama bunlar yasaya uygun olmuyor. Bizim kayıtlarımız tamamen zaman damgalı ve bunları da yetkili mercilerden alıyoruz. Buralarla entegre olarak çalışıyoruz. Yasal sorunlar olduğunda bunların değiştirilmemiş olduğunu ispat etmeniz çok kolay oluyor. Diğer türlü logları tutabilirsiniz ama mahkemede sorunlar yaşanabilir. Yani mahkeme tutulan kaydın geçerliliğini kabul etmeyebilir” şeklinde konuştu.

Büyük çaplı işletmeler, kendilerini bu tür kafa ağrıtan sorunlara karşı daha iyi koruyabilmesine rağmen en büyük sorun küçük ve orta ölçekli işletmelerde yaşanabiliyor. Çünkü bu işletmelerin bir bilişim uzmanı istihdam etmesine imkân olmadığı gibi yasal bir sorunda kendilerini savunma imkanları da çok geniş olmayabiliyor. Ancak berqNET’in Firewall cihazları bu tür işletmelerin büyük bir sorununu çözmüş oluyor. berqNET sayesinde restoranlardan kafelere, hukuk bürolarından otellere ve enerji santrallerinden butik şirketlere kadar birçok alanda hizmet veren firmalar için ideal bir çözüm sağlanmış oluyor.

berqNET ile şirketinizi hedef alabilecek siber tehditlere karşı tedbir almış olduğunuz gibi bunun ötesinde tüm berqNET ürünleri antivirüs, IPS/IDS, web ve uygulama filtreleme, hotspot, SSL VPN / IPSec VPN, ileri düzey raporlama ve loglama özellikleri, mobil raporlama uygulamasıyla uzaktan denetim ve erişim gibi ek özelliklere sahip. Örneğin, Web Filtreleme özelliği ile çalışanlarınızın hangi sitelere ne zaman girmesini ya da girmemesini denetleyebiliyor ve istediğiniz engelleri koyabiliyorsunuz.

berqNET’in bütün bunları Türkçe bir arayüz ile sunması ise kullanıcıları açısından büyük bir avantaj. Kullanıcılarından aldığımız yorumlara göre berqNET, dünyanın en kolay firewall’unu yapmış ki bu oldukça önemli bir nokta. Firewall cihazlarının karmaşıklığı ve yönetme zorluğu bu alanda çalışan profesyonellerin en büyük problemi. Bu sorunun berqNET’in kolay ve akıllı arayüzüyle aşıldığını rahatlıkla söyleyebiliriz.

Bununla birlikte berqNET’in teknik destek birimi kullanıcıların talep ve şikâyetlerini de kusursuz bir şekilde karşılık veriyor. berqNET Genel Müdürü Apohan, “Rakiplerimizin bunu yakalamalarına imkan yok. Yine yüzde 100 yerli bir üretici ve marka olduğumuz için de ürünler ne kadar talepleri karşılasa da müşterilerin ek talepleri olabiliyor. Değişiklik istenebiliyorlar. Bu gibi talepleri küresel bir firmaya yaptırmanız çok düşük. Bizim ana pazarımız burası olduğu için buradan gelenler talepler bizim için çok önemli. Müşterilerimizi dinliyor ve onların taleplerini çok hızlı karşılıyoruz. Ürünümüzü sahadan gelen geri bildirimlerle sürekli geliştiriyoruz,” diyor.

Türkiye’nin yerli yazılım ve ürünleri daha çok kullanmaya ve desteklemeye başladığı bir ortamda berqNET gerçekten büyük bir iş başarıyor. Zaten bu başarısını aldığı ödüllerle de tescillemiş durumda. Türk Elektronik Sanayicileri Derneği (TESİD) tarafından KOBİ Dalında Yenilikçi Ürün Ödülünün sahibi olan berqNET, BTVizyon tarafından da yılın en iyi yerli güvenlik yazılımı unvanıyla ödüllendirilerek yoluna devam etmekte.

Detaylı olarak anlatma fırsatı bulduğumuz berqNET’in kolay arayüzünü ve tüm özelliklerini incelemek isterseniz ücretsiz online demo panelini buradan inceleyebilirsiniz: Demo Ekranı

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

5651 sayılı kanuna ilişkin yeni yönetmeliğin getirdikleri ve götürdükleri

3 Yorum

11.4.2017 tarih ve 30035 sayılı İnternet Toplu Kullanım Sağlayıcıları hakkındaki yönetmelik resmi gazetede yayımlanmasıyla birlikte 1.11.2007 tarih ve 26687 sayılı aynı isimdeki yönetmeliği yürürlükten kaldırdı. 5651 olarak bilinen ve çok tartışılan kanuna dayanılarak hazırlanan yönetmelik; ticari olan/olmayan tüm internet toplu kullanım sağlayıcılarını bağlayacak şekilde hükümler içermektedir.

5651 sayılı kanun hakkında yapılan tartışmalara girmemeye çalışarak ve ticari olan internet toplu kullanım sağlayıcılar(internet salonu vb.) için gelen özel hükümleri de -birçok yenilikler getirdiği halde- bu yazı için kapsam dışı bırakarak, internet toplu kullanım sağlayıcılarla ilgili genel hükümler çerçevesinde, ticari olmayan internet toplu kullanım sağlayıcılar (TOIKS)  hakkında gelen ve giden hükümler bu yazı kapsamında irdelenecektir.

Normlar hiyerarşisine uygun olarak başlanacak olursa; öncelikle 5651 sayılı kanundaki toplu kullanım sağlayıcıların yükümlülükleri başlığı altında;

(7/2) (Değişik: 6/2/2014-6518/91 md.) Ticari amaçla olup olmadığına bakılmaksızın bütün internet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimin engellenmesi ve kullanıma ilişkin erişim kayıtlarının tutulması hususlarında yönetmelikle belirlenen tedbirleri almakla yükümlüdür.

hükmü yer almaktadır. Eski yönetmelikte yukarıda zikredilen kanun hükümlerine açıklayıcı bir ek olarak;

  1. a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak.
  2. b) İç IP Dağıtım loglarını elektronik ortamda kendi sistemlerine kaydetmek.

maddeleri yer almaktaydı. Mülga yönetmelik hükümleri gereğince ayrıntısı ve metodu belirli olmasa bile konusu suç oluşturan içerikleri engellemek amacıyla bir içerik filtreleme sistemi kurulması ve aynı zamanda iç ip dağıtım (DHCP) loglarının da tutulması gerekiyordu. İç ip logları ise ip-mac eşleştirmeleriyle beraber hangi zaman aralığında kullanıldığının da yer aldığı bir kayıttır. Yeni yönetmelikte bu hüküm güncellendiği için ayrıntıya girmiyorum.

Yeni yönetmelik hükümlerinde TOIKS dâhil olmak üzere;

MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

  1. a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sistemini kullanmak.
  2. b) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki yıl süre ile saklamak.
  3. c) Kamuya açık alanlarda internet erişimi sağlayan toplu kullanım sağlayıcılar, kısa mesaj servisi (sms) ve benzeri yöntemlerle kullanıcıları tanımlayacak sistemleri kurmak.

(2) İnternet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin yanı sıra, ilave tedbir olarak güvenli internet hizmeti de alabilirler.

hükümleri yer almaktadır. Mülga yönetmelikte direkt ifade edilmeyen içerik filtreleme sistemi yeni yönetmelikte açıkça yer almaktadır(4/1a). Bu önemli açıklayıcı bir hükümdür. Ayrıca erişim kayıtlarının/loglarının süresiyle ilgili yaşanan kaos sona ermiş, 2 yıl net olarak belirtilmiştir(4/1b). Fakat mülga yönetmelikte müstakil bir madde olan iç ip dağıtım logları(DHCP) erişim kayıtları adı altında yeni bir maddeyle güncellenmiştir.

Erişim kayıtları; içeriden dışarıya çıkan internet erişimlerinde, iç ağda dağıtılan ip numarası ile eşleşecek fiziksel (MAC) adresiyle beraber başlama ve bitiş zamanı; paylaşılan ip adresleri var ise kullanıcıyı tekil olarak tanımlayacak şekilde gerçek ip ve port numarasını içermesi gerektiği ifade edilmektedir.

Erişim kayıtları olarak istenen kayıtları/logları tek bir kaynaktan almak mümkün görünmüyor. Dolayısıyla merkezi bir log yönetim sistemi olmadan gerekli eşleştirme ve korelasyon nasıl yapılabilir tartışma konusu. Burada bir yenilik var fakat bu yeniliğin maliyeti hususunda ihmal edilen şeylerin de olduğu görülmektedir. Bu maliyet ekonomik ve yatırım maliyeti olmasından çok güvenlik maliyetidir. Hem  logların güvenliği/güvenilirliği hem de kişisel bilgilerin gizliliği meselesi. Yönetmelikle ilgili eksik ve fazla taraflarıyla beraber olması gerekenler, fırsat olursa başka bir yazının konusudur.

Söz konusu yönetmeliğin 4. maddesinin 1. fıkrasının C bendinde ifade edilen kamuya açık alanlarda internet erişimi sağlayan ifadesi TOIKS kavramını biraz daha daraltarak kurum, kuruluş, işletme, şirket vb. kendi personeline internet hizmeti verenlerin veya sadece abonelerine internet hizmeti sunanların dışında, asıl işi internet hizmeti olmayan fakat internet hizmetini kamuya açık bir şekilde sunan yerler için ki bunlar daha çok müşteri çekmek ve kendi ticari faaliyetine katkı sağlaması için bu hizmet sunmaktadır- sms vb. bir yolla internet hizmeti verdikleri kişilerin kimliklerini tanımlayacak bir şekilde doğrulama mekanizması kurarak bu hizmeti sunması istenmektedir.

Bazı işletmelerde karşımıza çıkan T.C. kimlik numarası vb. kişiyi tanımlayan bilgiler girilerek ve bir doğrulama katmanından geçtikten sonra internet hizmeti almak artık kamuya açık internet hizmeti veren herkes için geçerli olacaktır.

Son olarak 2. fıkrada belirtildiği üzere; isteğe bağlı olarak tüm internet toplu kullanım sağlayıcılar, içerik filtreleme sistemini yetersiz görerek internete daha fazla sınırlama getirmek isterse ISP(internet servis sağlayıcılar) tarafından verilen güvenli internet hizmetlerini de devreye alabilecekleri ifade edilmektedir. Buraya kadar açıklanan hükümlere tabi olan internet toplu kullanım sağlayıcılar kimlerdir diye bir soru aklımıza gelebilir. Tanım; “Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek ve tüzel kişiler” olarak yer almakta. Belirli bir yeriniz var ve internet hizmeti alıyorsanız ve bazı kişilere bu hakkı tanıyorsanız, şahıs, şirket, kurum fark etmeden bu kapsamda yer alıyorsunuz demektir.

Özetle; yeni açıklayıcı ve maliyetli hükümleriyle beraber birçok sorunu da hala içinde barındırdığını söyleyebileceğimiz çiçeği burnunda yönetmeliğimizin hayırlı olması dilek ve temennisiyle bitiriyorum.