Makale
Gelişen teknolojiyle birlikte, kurumların siber saldırılara karşı önlem alma ve veri güvenliğini sağlama yükümlülükleri kaçınılmaz hukuki bir zorunluluk haline gelmiştir. Bu makale, firmaların siber güvenlik politikalarını, 5651 sayılı kanun kapsamındaki log tutma yükümlülüklerini ve kurumsal siber olaylara müdahale ekiplerinin rolünü incelemektedir.
Kurumların Siber Güvenlik Yükümlülükleri ve Sorumlulukları
Günümüzde bilişim sistemleri, ticari faaliyetlerin ayrılmaz bir parçası haline gelmiş olup, işletmelerin sahip olduğu verilerin güvenliği hayati bir önem taşımaktadır. İşletmelerin siber dünyada varlıklarını sürdürebilmeleri sadece teknolojik bir mesele değil, aynı zamanda hukuki bir yükümlülük olarak karşımıza çıkmaktadır. Bir kurumda sistem güvenliğini sağlamak, bilgi işlem personelinden yönetim kadrosuna kadar tüm çalışanların ortak sorumluluğudur. Bilişim altyapılarına yönelik yetkisiz erişim, oltalama veya fidye yazılımları gibi siber saldırılar, şirketler için ciddi itibar ve maddi kayıplara neden olmaktadır. Bu bağlamda, şirketlerin siber güvenlik risklerini asgariye indirmek amacıyla bilgi ve iletişim teknolojisi güvenlik politikaları oluşturması ve bunları düzenli olarak güncellemesi gerekmektedir. İlgili mevzuat, firmaların sadece saldırılara karşı teknik tedbirler almasını değil, idari ve hukuki koruma kalkanları oluşturmasını da mecburi kılmaktadır.
5651 Sayılı Kanun ve Log Tutma Yükümlülüğü
Şirketlerin siber güvenlik kapsamında yerine getirmesi gereken en önemli hukuki sorumluluklardan biri, 5651 sayılı kanun ile getirilmiştir. İlgili mevzuat uyarınca, internet erişim hizmeti sağlayan tüm kurum ve kuruluşlar, kendi iç ağlarında gerçekleşen bağlantılara ait log kayıtlarını tutmak zorundadır. Yasaya göre, kurumlar ürettikleri bu bağlantı loglarını zaman damgası ile günlük olarak elektronik ortamda imzalamak ve bu kayıtları altı ay boyunca muhafaza etmekle yükümlüdür. Olası bir siber saldırı veya kurum ağı üzerinden işlenen bir bilişim ihlali durumunda, faillerin tespiti ve kurumun hukuki sorumluluktan kurtulabilmesi için bu kayıtların resmi kurumlara ibrazı hayati önem taşımaktadır. Ağ güvenlik duvarı kullanımı da veri trafiğini organize edip log ürettiği için bu kanuni yükümlülüğün yerine getirilmesinde etkin bir araç olarak işletme sistemlerinde yaygın bir şekilde kullanılmaktadır.
Kurumsal BİT Güvenlik Politikaları ve SOME Yükümlülüğü
Kurumların siber olaylara karşı proaktif bir savunma mekanizması geliştirmesi amacıyla Kurumsal Siber Olaylara Müdahale Ekipleri kurmaları ve işletmeleri teşvik edilmekte, özellikle kritik altyapı hizmeti sunan ulaşım, enerji, finans, su yönetimi ve haberleşme kurumları için bu durum büyük önem teşkil etmektedir. Bilişim sistemlerinin yönetiminden sorumlu olan bu ekipler, güvenlik açıklarını kapatmak ve olası saldırıları koordineli bir şekilde bertaraf etmekle görevlidir. Firmaların ayrıca resmi olarak tanımlanmış, düzenli olarak gözden geçirilen bir güvenlik politikası oluşturması gerekmektedir. Beklenmeyen bir olay veya saldırı nedeniyle verilerin bozulması, yetkisiz erişim yoluyla ticari sırların ifşa edilmesi veya başka sitelere yönlendirilerek şifre çalınması gibi risklerin bu politikalarda açıkça adreslenmesi şarttır. İdari süreçlerdeki zafiyetler, yöneticilerin güvenlik yükümlülüklerini yerine getirmemesi sebebiyle ileride büyük hukuki yaptırımlarla karşılaşmasına yol açabilir.
Siber Güvenlikte Alınması Gereken Asgari Tedbirler
Bir işletmenin hukuki olarak gerekli özen yükümlülüğünü yerine getirmiş sayılabilmesi için alması gereken bazı asgari teknik ve idari siber güvenlik tedbirleri bulunmaktadır. Siber saldırıları önlemeye yönelik yeterli güvenlik tedbirlerinin alınmaması, doğrudan doğruya siber zafiyetlere zemin hazırlamak anlamına gelir. Bu kapsamda, kurumsal altyapının korunabilmesi adına düzenli aralıklarla denetlenmesi ve uygulanması gereken temel adımlar şu şekilde sıralanabilir:
- Güçlü Parola ve Kimlik Doğrulama: Minimum sekiz karma karakterden oluşan, en fazla altı ay geçerli, şifrelenmiş iletim ve depolama politikalarının benimsenmesi.
- Ağ Güvenliği Uygulamaları: Kurum dışından gelebilecek yetkisiz erişimleri ve kötü niyetli veri trafiğini tespit ve bloke eden donanım ve yazılım çözümlerinin aktif kullanılması.
- Lisanslı Yazılım Kullanımı: Güvenlik açıklarının kapatılması için tüm sunucu ve kullanıcı bilgisayarlarında güncel, lisanslı koruma programlarının bulundurulması.
- Farklı Mekanlarda Veri Yedekleme: Veri kaybı veya çeşitli şantaj saldırılarına karşı tüm kritik şirket verilerinin düzenli olarak farklı lokasyonlarda yedeklenmesi.
- Personel Farkındalık Eğitimleri: Çalışanların sosyal mühendislik ve oltalama gibi hedefe yönelik siber saldırılara karşı bilinçlendirilmesi ve mesleki olarak eğitilmesi.
Kurumların Veri İhlalleri ve Çalışan Hatalarından Doğan Sorumlulukları
İşletmelerin siber güvenlik zafiyetlerinin büyük bir kısmı donanımsal açıklardan ziyade doğrudan kullanıcı kaynaklı hatalar nedeniyle ortaya çıkmaktadır. Dalgınlık, ihmal veya güvenlik bilincinin eksikliği gibi nedenlerle personelin omuz sörfüne maruz kalması veya sahte e-postalardaki zararlı bağlantılara tıklaması, kurumun tüm bilişim sistemini tehlikeye atmaktadır. Hukuk uygulamaları bağlamında, kurum yöneticilerinin personeli eğitmemesi veya gerekli teknik ve idari güvenlik önlemlerini almaması, siber saldırı sonucu yaşanacak veri sızıntılarında kurumu dolaylı olarak hukuken kusurlu duruma düşürecektir. Özellikle üçüncü şahıslara veya müşterilere ait verilerin korunmaması, işletmeler için yasal tazminat yükümlülükleri doğurur. Bir ağa veya sunucuya izinsiz erişilmesi sonucu yaşanan veri kaybı ve ticari sır hırsızlığı, kurumların sadece maddi zarara uğramasına değil, aynı zamanda ciddi bir prestij ve güven kaybı yaşamasına da sebep olur. Bu nedenle yetkilerin sınırlandırılması yasal bir zorunluluktur.