Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Fatih Sayan, “Öngörülerimize göre bulut bilişim, 2022 yılına kadar Türkiye’de 130 binden fazla kişiye yeni iş imkânı sunacak” dedi.
İstanbul Bilgi Üniversitesi Bilişim ve Teknoloji Hukuku Enstitüsü’nün, Bilgi Teknolojileri ve İletişim Kurumu (BTK) iş birliğiyle Ankara BTK Konferans Salonu’nda gerçekleştirilen “Bulut Bilişim ve Veri Dolaşımı Konferansı”nda, veri temelli ekonomi ve endüstri 4.0 kapsamında bulut bilişimin sağladığı katma değer ile dünyadaki trendler masaya yatırıldı.
Konferansın açılış konuşmasını yapan Ulaştırma ve Altyapı Bakan Yardımcısı Ömer Faruk Sayan, bulut bilişimin iş dünyasında maliyetleri düşürmesi, e-ticaretin gelişimine katkıda bulunması ve istihdama etkisi nedeniyle büyük şirketlerin ve devlet yönetimlerinin bilgi politikaları arasında öncelikli bir yeri olduğunu belirterek, “Öngörülerimize göre bulut bilişim, 2022 yılına kadar Türkiye’de 130 binden fazla kişiye yeni iş imkânı sunacak” dedi.
Yeni meslekler hayatımızın merkezine yerleşecek
Bulut teknolojilerinin çeşitli iş alanlarını etkisiz hale getirdiğiyle ilgili yanlış bir algı bulunduğunu vurgulayan Sayan, şöyle devam etti: “Bulut bilişim uzmanlığı, büyük veri analistliği, ortak kullanılan araç şoförlüğü, sürücüsüz araç mühendisliği gibi yeni meslek dalları hayatımızın merkezine yerleşecek. Buradaki hassas nokta, iş dünyasıyla hızla ilerleyen bulut bilişime yetişmek. Yeni ve dijital becerileri öğrenmek ve dönüşen mesleklere adapte olabilmek için iyi bir eğitim almak gerekiyor.”
Toplantıda konuşan İstanbul Bilgi Üniversitesi Hukuk Fakültesi Bilişim ve Teknoloji Hukuku Enstitü Müdürü Doç. Dr. Leyla Keser, bulut bilişim ve veri dolaşımında kullanıcının özellikle veri koruması hukuku kapsamındaki haklarının etkisi, bulut bilişime ilişkin olarak hizmet sunan sağlayıcıların uymaları gereken teknik ve güvenlik kriterleri ile standartların belirlenmesinin önemini vurguladı. Doç. Dr. Keser dünyadaki veri dolaşımına ilişkin engelleyici düzenlemelere hakim yaklaşımlar hakkında bilgi verdi.
Başarı hikâyeleri anlatıldı
Konuşmalarının ardından bulut bilişimle yaratılan ortak değer ve başarı hikayeleri paylaşıldı. Bulut bilişim hizmeti sağlayan ve bulut hizmeti alan firmaların temsilcileri, bulut bilişim sayesinde yaratılan güvenlik, gizlilik, mali tasarruf gibi ortak değer ve avantajları kendi kurumsal hikayeleri üzerinden aktardı. Sağlık Bakanlığı bünyesinde sağlık verileri özelinde kurulan sistem hakkında da bilgilerin paylaşıldığı konferansın son oturumunda bulut bilişime ilişkin güncel eğilim ve yaklaşımlar tartışıldı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Bankacılık Düzenleme ve Denetleme Kurulu (BDDK) 25 Aralık 2018’de resmi sitesinde Bankaların Bilgi Sistemleri ve Elektronik Bankacılık Hizmetleri Hakkında Yönetmelik Taslağı (“Taslak Yönetmelik”) yayınladı.
İlgili yönetmelikte ilgi çekici üç husus bulunuyordu; sırasıyla inceleyelim.
Öncelikle siber güvenlik konusu yıllardır odağımızda olmasına rağmen bu kez eğitimler zorunlu hale geldi; siber güvenlik ile ilgili firmaların bir temsilci atanması gerektiği düzenleme altına alındı. Bu da banka sektörünün siber güvenlik anlamında yatırımlarına bir kalem daha eklemesi olarak yorumlandı.
Ancak pratiğe bakıldığında bankalar bunu zaten yapıyordu; yalnızca artık iş sağlığı ve güvenliği ya da kişisel verilerin korunması gibi belirli periyotlarda çalışanlara uyarıcı ya da bilgilendirici mailler de iletilmesi gerekecek. Tabi bunu yapanlar da mevcuttu.
Tüm bunlara ek olarak siber güvenliği desteklemek adına bankaların sızma testi gerçekleştirmesi; bir takım teknik tedbirleri özellikle kriptoloji anlamında alması da hüküm altına alınmış oldu. Sevindirici olan ilgili Taslak Yönetmelik bilfiil Kişisel Verilerin Korunması Korunması Kanunu (KVKK) ve ikincil mevzuatı BDDK’nın ne kadar desteklediğini gösterir şekilde kaleme alınmış olması.
İkinci mühim konu ise açık bankacılık. Herkesin bildiği ve bu aralar sıklıkla duyduğu açık bankacılık Taslak Yönetmelikte de tanımlandığı üzere “müşterilerin ya da müşteriler adına hareket eden tarafların API, web servis, FTP gibi yöntemlerle bankanın sunduğu bir takım finansal servislere uzaktan erişerek bankacılık işlemlerini gerçekleştirebildikleri veya gerçekleştirilmesi için bankaya talimat verebildikleri elektronik dağıtım kanallarını” ifade etmektedir.
Biraz bu sistemi inceleyecek olursak başta İngiltere olmak üzere pek çok ülke tarafından gerek efor azaltması ve gelir sağlanmasına destek olması gerek ise şeffaf bir şekilde işlemesi sebebi ile desteklenmektedir. Hatta Avrupa’da bu sayede yalnızca dijital şekilde faaliyet gösteren banka örnekleri bile mevcuttur.
Avrupa Birliği’nin ikinci nesil diye addedilen ödeme sistemleri düzenlemesini getirmesi ile ( Payment System Directive Two “PSD2”) 2000 yıllardan beni değişim içerisinde olan bankacılıkta dijitalleşme en üst seviyeye taşınmış oldu. PSD2’ya göre de açık bankacılık ekosistemi veri paylaşımı temelli olması gerekçesi ile müşterinin açık rızasını aramaktadır.
VERİ PAYLAŞIMI ANCAK MÜŞTERİ RIZASI İLE MÜMKÜN
Taslak yönetmelik incelendiğinde de aynı ön şart göze çarpmaktadır. Yine KVKK ile paralel kaleme alınmış maddelerden biri olarak açık bankacılık faaliyetleri için veri paylaşımının söz konusu olacağı noktada müşterinin açık rızası mevcut değil ise bu paylaşımın yapılamayacağı düzenlenmiştir; hatta açık rızanın müşteriye sunulacak hizmetlere ön şart olarak düzenlenemeyeceğinin ilgili Taslak Yönetmenlik ile altı çizilmiştir.
Tüm bunların yanı sıra, bankaların API’ler vasıtası ile müşterilere açık bankacılık hizmeti sunabilecek olmasına dair bir düzenleme getirilmiş oldu. Bu husus Fintech şirketleri için 2019 hediyesi mahiyetindedir. Ancak önemle hatırlatmak isterim ki Taslak Yönetmelik Resmi Gazete ’de henüz yayınlanmadığı için yürürlükte bulunmamaktadır.
BULUT BİLİŞİMİN ÖNÜ AÇILDI
Üçüncü mühim konu Taslak Yönetmelik ile banka sektörünün de belirli şartlar çerçevesinde bulut bilişim sistemi kullanmasının önün açılmış olmasıdır. Bir başka deyişle ilgili Taslak Yönetmelik ile bir güzel haber de bulut bilişim hizmeti sunan şirketlere geldi.
Bankalar bir dış hizmet olarak bulut bilişim hizmetlerinden ancak birincil veya ikincil sistemler kapsamına giren bir hizmetin bulut bilişim yöntemiyle alınması, bu dış hizmetin sadece bankalara hizmet vermek üzere tesis edilmiş ve bankaların tabi olduğu mevzuat hükümlerine uygun olan ülke sınırları içerisinde yer alan bulut hizmet modelleriyle alması halinde yararlanabilecektir.
Ancak ana bankacılık uygulaması, kredi ve kredi kartı uygulamaları ile ödeme hizmeti gibi faaliyet konularında topluluk bulutu hizmet modeliyle dış hizmet alınabilmesini Bankacılık Kanunu müşteri sırrı prensibi gerekçesi ile BDDK iznine tabi olacaktır.
Bu iznin kişisel veri transferi içermesi gerekçesi Kişisel Verilerin Korunması Kurulu (“Kurul”) tarafından da değerlendirilmesi gerektiği düşüncesindeyim; ancak BDDK bunun bir gereksinim olduğuna kanaat getiri ise bu noktada Kurul da veri setini inceleyerek amaç dışında veri aktarımı olup olmadığını tespit edebilir. Böylelikle ile veri küçültmesi yapılarak bankanın daha sınırlı bir veri desenini paylaşması, bir başka deyişle daha az risk alıyor olması da sağlanabilir.
TASLAK YÖNETMELİK: BANKALARIN DİJİTALLEŞMESİNDE GÜZEL BİR ADIM
Son olarak ise, Taslak Yönetmelik’e rağmen başta da söylemiş olduğum gibi bulut kullanımı için belirli bir çerçeve olması gerekçesi ile yurtdışı paylaşımları bir başka deyiş ile yurtdışı bulut kullanımı yolunun açık olduğunu söylemek mümkün olmayacaktır. Bankacılık Kanunu müşteri sırrı, Taslak Yönetmelikte de yer alan hassas veri kategorisi ile veri mahremiyeti düzenlemeleri ve KVKK nedeni ile yurt dışı aktarımı hususunda KVKK’da düzenlenmiş olan herhangi bir yasal dayanak mevcut değil ise açık rıza aranacaktır.
Ek olarak, müşterinin açık rızası alınmış olsa dahi müşteri bilgilerinin yurt dışıyla paylaşılması veya yurt dışına aktarılması hususunda BDDK izni ön şart olarak düzenlenmektedir. Bunu ikili bir koruma olarak yorumlamak mümkündür; zira KVKK izni olsa dahi ki çoğu zaman bu izinler doğru kaleme alınmadığı için aktarılan veri seti ile karşılaştırıldığında örtüşmeyen açıkta kalan hususlar mevcut olabiliyor. BDDK’nın tekrar denetliyor olması müşterilerin veri sağlığı bakımından önem arz edecektir. Yurt dışında kurulu bankalar ise ödeme veya mesajlaşma sistemleri ile etkileşimin gerekli olduğu bankacılık işlemleri için BDDK izni aranmaksızın KVKK şartlarını sağlaması halinde paylaşım gerçekleştirebileceklerdir.
İlgili Taslak Yönetmelik’in bankaların dijitalleşmesi adına güzel bir adım olduğunu söylemek mümkün olup ilgili dijitalleşme adımlarının MASAK tarafında da atılması beklenmektedir.
CloudLock şirketinin bulut bilişimdeki siber riskleri üzerinde yaptığı araştırmanın sonuçları, verilerini bulutta depolayan kurumların karşılaşabileceği riskleri gözler önüne serdi. Buna göre kurumların bulut hesaplarını ele geçirmek için günlük 15 veya daha fazla sayıda deneme yapılıyor. Zararlı yazılım içeren bulut uygulamaları siber saldırganların kurumsal hesaplara sızıp bilgi çıkarmak için sık sık kullandıkları yöntemler arasında yer alıyor.
Raporda her geçen gün artan risklere rağmen organizasyonların sadece yüzde 5’inin hassas bilgileirni korumak için aktif adımlar attığı vurgulandı. Özellikle siber saldırganların başlıca hedefleri arasında gösterilen finansal kurumlarda veri kaçağı olaylarının yüzde 99’unun, kullanıcıların yüzde 1’i yüzünden gerçekleştiğine dikkat çekildi.
2015’de uygulamaya konacak program ile İsrail ordusunun ciddi anlamda tasarruf sağlaması bekleniyor. Data merkezlerinin işletilmesinde istihdam edilen asker sayısı düşerken, aynı zamanda bu merkezlerin daha verimli hale gelmesi amaçlanıyor.
Ülkenin güneyinde kurulacak bulut sağlayıcılarla ilgili açıklama yapan askeri yetkili Asher Dvash, merkezlerde çalışan personelin yazılım geliştirmeye kaydırılacağını söyledi. Proje ile birlikte ordunun değişik birimleri kendi uygulamalarını ve sistem yenilemelerini kendileri yönetecek. İsrail ordusunun bu proje için Vmware Technology şirketi ile anlaştığı öne sürülse de, başka şirketlerle de görüşülmeye devam edildiği ifade ediliyor.
Devletler vatandaşlara sundukları hizmetleri dijital ortama taşıdıkça, bu hizmetlerin siber saldırılar ile devre dışı bırakılma riski artıyor. Dijital bağımlılık, hizmetlerin ucuz, hızlı ve sorunsuz verilmesini sağlayan devletlerin karşılaştıkları en büyük risklerden biri olarak öne çıkıyor.
Vatandaşlarına verdiği e-kimlik ile eczaneden ilaç almaktan vergi ödemesine kadar birçok işi dijital ortama aktaran Estonya muhtemel bir siber saldırıda bu hizmetlerin aksamaması için ülkenin dijital hizmetlerini buluta geçireceğini açıkladı.
2007 yılında Rusya ile yaşadığı diplomatik sorunların ardından ağır siber saldırılar sonucu dijital hayatı felç olan Estonya, o günden sonra siber güvenlik konusunda ciddi adımlar attı. 1 ay boyunca süren siber saldırılar nedeniyle Estonlar bir hafta banka hesaplarına ulaşamamışlardı.
Bulut bilişime taşınacak devlet hizmetlerinin sunucularının nerede olacağı ise henüz belirlenmedi. Ülkenin dijital alt yapısının bulut sistemlerine taşınarak serverların Almanya, Hollanda, Avustralya ve Kanada’daki büyükelçiliklere taşınması düşünülüyor.
