Bilgi Güvenliği Kapsamında Bilişim Müşavirliği Gereksinimi
Uluslararası düzeyde farkındalığı artarak yaygınlaşan bilgi güvenliği ve siber güvenlik konuları, teknolojinin her alanda kullanımı ile modern toplumun hayati bir parçası haline gelerek hem bireyler hem kurumlar hem de devletler için büyük bir öneme sahip hale gelmiştir.
İnternetin yaygınlaşması, dijitalleşmenin hız kazanması ve küresel bağlantıların artması, siber tehditlerin de hızlı bir şekilde artmasına sebep olmaktadır. Bu sebeple bilgi güvenliği ve siber güvenlik kavramları günümüz dijital çağında öncelikli konular arasında yer almaya başlamıştır. Bu bağlamda, ulusal ve uluslararası düzeyde bir dizi yasa ve düzenleme bilgi güvenliğini sağlamak amacıyla oluşturulmuştur. Bunlar arasında Avrupa Birliği tarafından oluşturulan Genel Veri Koruma Yönetmeliği (GDPR), kişisel verilerin korunmasına ve işlenmesine ilişkin katı kurallar içeren ve dünya genelindeki birçok ülkenin veri koruma yasalarını etkileyen bir çerçevedir.
Türkiye’de de bilgi güvenliği konusunda çeşitli yasal düzenlemelerle büyük adımlar atılmıştır. Bu noktada, Türkiye’de siber güvenliği ilgilendiren başlıca bazı yasa ve düzenlemelerin başında 2007 yılında kabul edilerek siber suçların tanımını, cezaları ve soruşturma yetkilerini düzenleyen 5156 sayılı yasa ve kişisel verilerin işlenmesini ve korunmasını düzenleyen Kişisel Verileri Koruma Kanunu gelmekte ve siber suçlarla mücadele etmek için geniş bir çerçeve sunmaktadır.
Yasal Çerçevelerin Yeterliliği
Türkiye, gelişmelere ve uyum süreçlerine entegre olabilmek adına adımlar atılsa da uygulamada büyük eksiklikler ve sorunlar yer almaktadır. Bu da doğrudan veya dolaylı yoldan yaşanan ihlallerin boyutunun ve sıklığının artmasına sebep teşkil etmekte ve siber suçlarla mücadele etmek için oluşturulan yasal çerçeveleri yetersiz kılmaktadır.
Uluslararası ağ güvenlik şirketi olan Checkpoint verilerine göre Avrupa’da en çok saldırı alan ülkeler arasında uzun zamandır Türkiye listede başı çekmektedir. Ülkemizde yer alan kamu kurumlarında ve özel kuruluşlarda büyük derecede ihlallerin yaşandığına, resmi ihlal bildirimlerinden ve medyada yer alan haberlerden sıklıkla tanık olmaktayız. Yurtdışından gerçekleştirilen siber saldırıların cazip hale gelme sebeplerinden birisi de, yeterli güvenlik önlemlerinin alınamaması ve denetim yetersizliğinin oluşturduğu açıklardan kaynaklanmaktadır diyebiliriz. Bu durumdan yola çıkarak birçok sebep ve sonuç değerlendirilmeli ve tartışılmalıdır.
Ülkemizin önde gelen teknoloji devleri dahi kurumsal işletmelerin sürekli siber saldırılar ile karşılaşmasının arkasında birçok farklı sebep yer alabilir. Bilişim sektöründe hızla değişen tehditlerle başa çıkmak, siber savunma yeteneklerini geliştirmek ve bilgi güvenliğini korumak için bu alanda uzmanlaşmış kişilere ihtiyaç duyulmasının önüne analitik düşünme kabiliyetinden uzak ve pratiğe dayalı personel istihdamının geçmesi örnek olarak verilebilir.
Türk hukukunda buna ilişkin olarak, özel sektörü düzenleyen bu tarz bir yasal düzenleme olmayıp kamuda sadece bilgi teknolojileri departmanları için istihdama yönelik yasalar mevcuttur. Bu yasalarda belirli ölçülerde eleştirilere maruz kalmaktadır. Kamu kurum ve kuruluşlarına bilişim personeli istihdamını öngören Kamu Kurum ve Kuruluşlarının Büyük Ölçekli Bilgi İşlem Birimlerinde Sözleşmeli Bilişim Personeli İstihdamına İlişkin Esas ve Usuller Hakkında Yönetmelik’in üçüncü bölümünde personel niteliklerini belirleyen hükümlere yer verilmiştir. Bu bölümün hükümleri arasında bilgisayar mimarileri ve bilişim sistemleri üzerine eğitim verilmeyen bölümlerin yer alması ise oldukça tartışılmakta ve tartışma konusu olan bazı mühendislik disiplinleri ile istatistik, matematik ve fizik bölümleri mezunlarının sistem uzmanı, ağ ve güvenliği uzmanı, bilgi güvenliği uzmanı gibi pozisyonlarda istihdam edilmesi eleştirilmektedir.
Gelişmiş ülkeler bu konuda nitelikli personel istihdamına ve denetim mekanizmasına önem vererek, yasalarla belirli düzenlemelere gitmişlerdir. Örneğin GPDR’de, kuruluşlarda yer alacak olan bir DPO (Data Protection Officer – Veri Koruma Yetkilisi) ile bağımsız ve sürekli denetim zorunlu hale getirilmiştir. Veri koruma görevlisi olarak her kuruma atanması gereken nitelikli ve profesyonel bir kontrolör bulundurma zorunluluğunun belirtildiği 38.maddesinde, veri koruma politikalarını uygulamak, veri ihlallerini izlemek, çalışanları eğitmek ve kişisel verilerin güvenliğini sağlamak gibi çeşitli teknik ve organizasyonel faaliyetler hedeflenmiştir. Ülkemizde bilgi güvenliği anlamında bağımsız denetime ilişkin herhangi bir temel düzenleme henüz yapılmamıştır.
Türk hukukunda, veri koruma yetkilisi atanması yasal hüküm altına alınmadığından zorunluluk arz etmemektedir, onun yerine VERBİS’e kayıt yükümlülüğüne tabi kuruluşlar belirlenerek, bir irtibat kişisi veya veri sorumlusu temsilcisi atamasına ilişkin hükümler yer almaktadır. Bu noktada, KVKK kapsamındaki veri sorumlusu temsilcisi veya irtibat kişisi ile GDPR kapsamındaki veri koruma yetkilisi aynı sorumlulukları ve yetkileri taşımamaktadır. Veri koruma yetkilisini, veri sorumlusu temsilcisinden ayıran en önemli fark, tamamen bağımsız bir denetim mekanizması olarak işletme faaliyetlerini izlemesi ve sorumlu olmasıdır.
Sonuç
Siber güvenlik yasaları ve düzenlemeleri, kurumların ve bireylerin dijital varlıklarını korumak için kritik bir öneme sahiptir. Uluslararası düzeyde, veri paylaşımı ve kişisel veri koruma konularında birçok yasa ve standart mevcuttur. Bu düzenlemelerin amaçları, siber saldırılara karşı önlemler almak ve siber güvenliği sağlamak için kurallar oluşturarak kurumların ve kişilerin güvenliğini artırmaktır. Türkiye, siber güvenlik alanında önemli adımlar atmış ve yerel düzenlemeleri ile uluslararası standartlara uyum sağlamış olsa da yetersiz uygulama alanlarının mevcudiyeti, konuyu tartışmaya açık bir noktaya getirmiştir. Bu nedenle herkesin siber güvenlik konusundaki yasal düzenlemeleri ve gereklilikleri takip etmesi ve bu alandaki gelişmeleri yakından izlemesi önemlidir.
Türkiye’de siber güvenlik yasaları konusu, son yıllarda giderek artan bir öneme sahip olmuş olsa da, bir takım eksiklikler bulunmaktadır. Bu eksiklikler, gerek sektörde liyakate verilmeyen önemden gerekse siber tehditlerin ve dijital suçların hızla gelişen doğasına ayak uyduramayan mevcut yasal düzenlemelerden kaynaklanabilmektedir. Mevcut yasalar genellikle genel ve geniş kapsamlı olup, siber suçların çeşitliliği ve karmaşıklığı göz önüne alındığında yetersiz kalmaktadır. Bu bağlamda, siber güvenlik yasalarının daha da kapsamlı hale getirilmesi ve denetim temeline dayanan daha spesifik yasaların düzenlenmesi gerekmektedir.
Yasaların güncel teknoloji ve tehditlerle uyumlu olması ve bu alandaki uzmanların görüşlerinin dikkate alması önemlidir. Son olarak, denetimin daha da artırılması gerekmektedir. Bu, siber güvenlik yasalarının etkin bir şekilde uygulanmasını sağlamak bilgi güvenliği açısından hayati bir öneme sahiptir. Eksikliklerin giderilmesi ve bu önerilere uygun adımların atılması, Türkiye’nin siber güvenlik alanında daha güçlü ve etkili bir konuma gelmesine yardımcı olacaktır. Denetim ve süreç işleyişinin tamamen bağımsız bir yapıda yürütülmesi konusunda, GDPR’de belirtilen Veri Koruma Memuru (DPO) benzeri bir yapılanmanın, bilişim müşavirliği şeklinde uyarlanması, içeriğinin tartışılması ve sonuç olarak yasal zemine oturtulması gereken mühim bir konudur.
Yazar: Yalkın DAĞDAŞ – Bilişim Mühendisi
Kişisel Verilerin Korunması alanındaki tüm Blog yazılarını okumak için bağlantıya tıklayınız.
Av. M. Bilal ARI’nın Yeni Sayı’mızda çıkan “Blockchain Teknolojisi ve Akıllı Sözleşmelerin Hukuki İşlemlere Uygulanabilirliği” isimli yazısını bağlantıdan okuyabilirsiniz.
Kaynakça
6698 Sayılı Kişisel Verileri Koruma Kanunu.
Check Point Software Technologies Ltd., chekcpoint.com, 09.2023.
Genel Veri Koruma Yönetmeliği (GDPR), https://gdpr.eu/article-38-data-protection-officer/
Veri Koruma Sorumlusu (DPO) Rolünün Genel Veri Koruma Yönetmeliği (GDPR) ve Türk Hukukuna Göre İncelenmesi, Begüm Yavuzdoğan Okumuş.
Hukuk ve Bilişim Dergisi ve Blog kısmımızda,
Bilişim Suçları
Blockchain ve Dijital Paralar
Yapay Zekâ ve Robot Hukuku
Elektronik Ticaret Hukuku
İnternet Hukuku
Kişisel Verilerin Korunması Hukuku
Start-Up Hukuku
E-Spor Hukuku
Fikri Mülkiyet Hukuku ve benzer teknoloji hukuku alanlarında yazılar okuyucularımıza sunulmaktadır.