Şirketler Neden 5651 Sayılı Yasa ve KVKK Uyumlu Log Tutmalı?
5651 ve KVKK uyumlu loglama, şirketler için hem yasal zorunluluk hem de siber güvenliğin temel bir parçasıdır. SASE yaklaşımı sayesinde erişim, güvenlik ve loglama süreçleri merkezi olarak yönetilerek uyumluluk kolay ve sürdürülebilir hale gelir.
Günümüzde dijital dönüşümün hızlanmasıyla birlikte, şirketlerin internet ortamındaki faaliyetleri yasal düzenlemelere tabi tutulmaktadır. 5651 Sayılı Yasa ve Kişisel Verilerin Korunması Kanunu (KVKK), Türkiye’deki işletmelerin uyması gereken iki temel yasal düzenleme olarak öne çıkmaktadır. Bu düzenlemeler, internet üzerinden gerçekleştirilen işlemlerin kayıt altına alınmasını ve kişisel verilerin korunmasını zorunlu kılarak hem kullanıcıların güvenliğini sağlamakta hem de olası siber suçların önlenmesine katkıda bulunmaktadır.
Şirketlerin 5651 sayılı yasa ve KVKK kapsamında uyumlu log tutması, Berqnet SASE çözümleri sayesinde kullanıcı–IP eşleştirmesi, internet erişim kayıtları ve zaman damgalı logların otomatik ve güvenli şekilde oluşturulmasıyla hem yasal yükümlülüklerin yerine getirilmesini hem de olası adli taleplerde kurumun sorumluluğunu net biçimde ortaya koymasını sağlar; Berqnet SASE, bu kayıtları KVKK’ya uygun olarak yetkisiz erişime karşı korur, bütünlüğünü garanti altına alır ve yalnızca gerekli süre boyunca saklayarak şirketlerin hem hukuki risklerini azaltmasına hem de ağ güvenliğini merkezi ve sürdürülebilir bir yapıda yönetmesine yardımcı olur.
5651 Sayılı Yasa Log Tutmayı Neden Zorunlu Kılar?
5651 Sayılı Yasa, internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi amacıyla 2007 yılında yürürlüğe girmiştir. Bu yasa, internet aktörlerinin (içerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcı) yükümlülüklerini belirleyerek internet ortamında işlenen suçların önlenmesini hedeflemektedir.
Log tutma zorunluluğu, yasanın en kritik bileşenlerinden biridir. Bu zorunluluk sayesinde, internet üzerinden gerçekleştirilen her türlü erişim ve işlem kaydı tutularak, herhangi bir suç unsuru oluştuğunda soruşturma süreçlerinde kullanılabilmektedir. Erişim sağlayıcılar, kullanıcılarına internet erişimi sağlarken bu erişimlere ilişkin bilgileri kaydetmek ve belirli bir süre saklamakla yükümlüdür.
Şirketler, çalışanlarının internet kullanımını izlemek, olası güvenlik ihlallerini tespit etmek ve yasal yükümlülüklerini yerine getirmek için log kayıtlarını düzenli olarak tutmalıdır. Özellikle zaman damgası ile imzalanmış loglar, adli merciler tarafından delil niteliği taşıdığından, olası bir soruşturma durumunda şirketlerin yasal koruma altında olmasını sağlar.
KVKK Kapsamında Hangi Log Verileri Korunmalıdır?
Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi ve korunması konusunda kapsamlı düzenlemeler getirmektedir. KVKK kapsamında, kişisel verilerin işlenmesi sürecinde oluşan log kayıtları da önemli bir veri kategorisi olarak değerlendirilmektedir.
KVKK kapsamında korunması gereken log verileri arasında, kullanıcı kimlik bilgileri, erişim zamanları, erişilen kaynaklar, gerçekleştirilen işlemler ve IP adresleri gibi bilgiler yer almaktadır. Bu veriler, kişisel verilerin işlenmesi sürecinde oluşan her türlü faaliyetin izlenmesini sağlamaktadır. Elektronik imza ve zaman damgası ile korunan loglar, verilerin bütünlüğünü ve değiştirilemezliğini garanti altına alarak KVKK uyumluluğunu güçlendirir.
KVKK, veri sorumlularına kişisel verilerin korunması için gerekli teknik ve idari tedbirleri alma yükümlülüğü getirmektedir. Log kayıtları, kişisel verilere yapılan erişimlerin izlenmesini sağlayarak, yetkisiz erişimlerin tespit edilmesine yardımcı olmaktadır. Veri sorumluları, log yönetimi stratejilerini geliştirirken, veri minimizasyonu ilkesini göz önünde bulundurmalı ve sadece gerekli log verilerini toplamalıdır.
Şirketler, log verilerini toplarken, işlerken ve saklarken, KVKK’nın öngördüğü aydınlatma yükümlülüğü, açık rıza ve veri güvenliği gerekliliklerini yerine getirmelidir. Merkezi log yönetim sistemleri (SIEM), log verilerinin güvenli bir şekilde toplanmasını ve analiz edilmesini sağlayarak KVKK uyumluluğunu kolaylaştırır.
5651 Sayılı Yasa ve KVKK Uyumlu Log Tutmayan Şirketler Hangi Yasal Risklerle Karşılaşırlar?
5651 Sayılı Yasa ve KVKK kapsamında log tutma yükümlülüğünü yerine getirmeyen şirketler, ciddi yasal yaptırımlarla karşı karşıya kalabilmektedir. 5651 Sayılı Yasa, internet aktörlerine getirdiği yükümlülüklere uymayan işletmelere idari para cezaları öngörmektedir. Bu cezalar, 2024 yılı itibariyle, işletmenin büyüklüğüne ve ihlalin niteliğine bağlı olarak on binlerce TL’den yüz binlerce TL’ye kadar değişebilmektedir.
KVKK kapsamında log tutma yükümlülüğünü ihlal eden şirketler, Kişisel Verileri Koruma Kurulu tarafından uygulanan idari para cezalarıyla karşılaşabilmektedir. Bu cezalar, 2024 yılı itibariyle, veri ihlalinin ciddiyetine göre yüz binlerce TL’den milyonlarca TL’ye kadar çıkabilmektedir. Ayrıca, veri ihlali durumlarında, ilgili kişilerin maddi ve manevi tazminat talepleriyle de karşılaşılabilmektedir.
Yasal yaptırımların yanı sıra, log tutma yükümlülüğünü yerine getirmeyen şirketler, itibar kaybı ve müşteri güveni azalması gibi ticari risklerle de karşılaşabilmektedir. Bir veri ihlali sonrası müşteri kaybı, pazar değeri düşüşü ve marka itibarı zedelenmesi, şirketlerin uzun vadeli finansal performansını olumsuz etkileyebilir.
Ayrıca, log tutma yükümlülüğünü yerine getirmeyen şirketler, siber saldırılar ve veri ihlalleri karşısında savunmasız kalabilmektedir. Etkin log yönetimi olmadan, şirketler ortalama bir veri ihlalini tespit etmek için 280 günden fazla zaman harcayabilmektedir.
Log Tutmanın Siber Güvenlik Açısından Önemi Nedir?
Log tutma, siber güvenlik stratejisinin temel bileşenlerinden biridir. Sistem ve ağ aktivitelerinin kayıt altına alınması, olağandışı veya şüpheli aktivitelerin tespit edilmesini sağlayarak potansiyel güvenlik tehditlerinin erken aşamada belirlenmesine yardımcı olur. Örneğin, belirli bir IP adresinden tekrarlanan başarısız oturum açma girişimleri, brute force saldırısı gibi potansiyel bir güvenlik tehdidine işaret edebilir.
Loglar, siber saldırıların tespit edilmesinin yanı sıra, saldırı sonrası analiz için de vazgeçilmez bir kaynaktır. Güvenlik ihlali durumunda, log kayıtları saldırının nasıl gerçekleştiği, hangi sistemlerin etkilendiği ve hangi verilerin risk altında olduğu gibi kritik soruların cevaplanmasına yardımcı olur. Adli bilişim uzmanları, log kayıtlarını kullanarak saldırganın izlediği yolu ve kullandığı teknikleri belirleyebilir.
Düzenli ve kapsamlı log tutma, şirketlerin güvenlik olaylarına müdahale süreçlerini de önemli ölçüde iyileştirir. Güvenlik olayı yanıt ekipleri (CSIRT), log kayıtlarını analiz ederek olayın kapsamını ve etkisini hızlı bir şekilde belirleyebilir. Siber güvenlik uzmanları, SIEM gibi gelişmiş log analiz araçlarını kullanarak, farklı sistemlerden gelen log verilerini korelasyon analizi ile değerlendirerek, karmaşık saldırı desenlerini tespit edebilir.
Log tutma, şirketlerin risk yönetimi ve uyum süreçlerine de önemli katkılar sağlar. Özellikle Zero Trust güvenlik modelini benimseyen şirketler için log analizi, her erişim talebinin bağlamsal olarak değerlendirilmesi açısından vazgeçilmezdir.
5651 ve KVKK Kapsamında Tutulması Gereken Loglar:
Erişim Logları (Access Logs)
Erişim logları, kullanıcıların sistemlere ve kaynaklara erişimlerini kaydeden log türüdür. 5651 Sayılı Yasa kapsamında, internet erişim sağlayıcıları ve toplu kullanım sağlayıcıları, kullanıcıların internet erişimlerine ilişkin bilgileri kaydetmekle yükümlüdür. Bu kayıtlar, HTTP/HTTPS trafiği, DNS sorguları ve VPN bağlantıları gibi internet erişim aktivitelerini kapsamalıdır.
KVKK kapsamında, erişim logları kişisel verilere erişimlerin izlenmesi için önem taşımaktadır. Kişisel verilerin işlendiği sistemlerde, kimin hangi verilere, ne zaman, hangi amaçla eriştiği gibi bilgilerin kaydedilmesi kritik öneme sahiptir. Özellikle veri tabanı erişimleri, dosya sunucusu erişimleri ve uygulama erişimleri gibi kişisel veri işleme faaliyetlerinin loglanması, KVKK uyumluluğu için zorunludur.
Erişim logları, şüpheli erişim girişimlerinin ve yetkisiz erişim denemelerinin tespit edilmesine yardımcı olarak, potansiyel güvenlik ihlallerinin önlenmesini sağlar. Multi-Factor Authentication (MFA) gibi gelişmiş kimlik doğrulama mekanizmalarının etkinliğini değerlendirmek için de erişim logları kritik öneme sahiptir.
Trafik Logları (Traffic Logs)
Trafik logları, ağ üzerindeki veri trafiğini kaydeden log türüdür. 5651 Sayılı Yasa kapsamında, erişim sağlayıcılar ve yer sağlayıcılar, ağ trafiğine ilişkin bilgileri kaydetmekle yükümlüdür. Trafik logları, özellikle firewall, router ve switch gibi ağ cihazlarından toplanarak, ağ trafiğinin kapsamlı bir görünümünü sağlar.
KVKK kapsamında, trafik logları kişisel verilerin iletilmesi sürecinde oluşan veri trafiğinin izlenmesi için önem taşımaktadır. Özellikle Data Loss Prevention (DLP) sistemleri ile entegre edilen trafik logları, hassas veri akışlarının izlenmesi için etkili bir mekanizma oluşturur.
Trafik loglarının tutulması, ağ üzerindeki anormal trafik paternlerinin ve potansiyel saldırı girişimlerinin belirlenmesine yardımcı olmaktadır. Gelişmiş tehdit algılama sistemleri, trafik loglarını analiz ederek, DDoS saldırıları, port taramaları ve kötü amaçlı yazılım iletişimleri gibi tehditleri tespit edebilir.
İşlem Logları (Transaction Logs)
İşlem logları, sistemler üzerinde gerçekleştirilen işlemleri kaydeden log türüdür. 5651 Sayılı Yasa kapsamında, içerik sağlayıcılar ve yer sağlayıcılar, kullanıcıların gerçekleştirdiği işlemlere ilişkin bilgileri kaydetmekle yükümlüdür. İşlem logları, özellikle web uygulamaları, içerik yönetim sistemleri ve e-ticaret platformları gibi sistemlerde kritik öneme sahiptir.
KVKK kapsamında, işlem logları kişisel verilerin işlenmesi sürecinde gerçekleştirilen işlemlerin izlenmesi için önem taşımaktadır. Özellikle veri tabanı işlem logları, kişisel verilerin işlenmesi sürecinde gerçekleştirilen her türlü değişikliğin izlenmesi için vazgeçilmezdir.
İşlem logları, kullanıcıların gerçekleştirdiği işlemlerin doğruluğunu kontrol etmek ve işlem hatalarının tespit edilmesine yardımcı olmak için kullanılır. Bu loglar, özellikle finansal işlemler, müşteri verileri üzerindeki değişiklikler ve kritik sistem konfigürasyonları için detaylı bir denetim izi oluşturur.
Sistem Logları (System Logs)
Sistem logları, bilgi sistemlerinin çalışmasına ilişkin olayları kaydeden log türüdür. 5651 Sayılı Yasa kapsamında, erişim sağlayıcılar ve yer sağlayıcılar, sistemlerinin çalışmasına ilişkin bilgileri kaydetmekle yükümlüdür. Sistem logları, işletim sistemleri, sunucular, veritabanları ve güvenlik cihazları gibi kritik bileşenlerden toplanır.
KVKK kapsamında, sistem logları kişisel verilerin işlendiği sistemlerin güvenliğinin sağlanması için önem taşımaktadır. Özellikle kimlik ve erişim yönetimi sistemleri, güvenlik duvarları ve antivirüs yazılımları gibi güvenlik bileşenlerinden toplanan sistem logları kritik öneme sahiptir.
Sistem logları, sistem performansının izlenmesi, hataların tespit edilmesi ve kapasite planlaması için kullanılır. Bu loglar, özellikle yetkilendirme değişiklikleri, sistem konfigürasyon güncellemeleri ve güvenlik politikası değişiklikleri gibi kritik sistem olaylarının izlenmesi için vazgeçilmezdir.
5651 ve KVKK Uyumlu Log Tutma Adımları:
Mevcut Durumun Analizi ve İhtiyaçların Belirlenmesi
5651 Sayılı Yasa ve KVKK uyumlu log tutma sürecinin ilk adımı, şirketin mevcut durumunun analiz edilmesi ve ihtiyaçlarının belirlenmesidir. Bu aşamada, şirketin bilgi sistemleri, ağ altyapısı ve veri işleme faaliyetleri incelenerek, hangi sistemlerin log tutma kapsamına alınması gerektiği belirlenir.
İhtiyaçların belirlenmesi aşamasında, şirketin faaliyet gösterdiği sektöre özgü yasal gereklilikler ve standartlar dikkate alınmalıdır. Finans sektöründe BDDK düzenlemeleri, sağlık sektöründe Sağlık Bakanlığı düzenlemeleri gibi sektörel gerekliliklerin log tutma süreçlerine entegre edilmesi gerekmektedir. Ayrıca, PCI DSS, ISO 27001 ve SOC 2 gibi uluslararası güvenlik standartları da göz önünde bulundurulmalıdır.
Risk değerlendirmesi yapılarak, kritik sistemler ve veriler belirlenmeli, log tutma öncelikleri bu doğrultuda şekillendirilmelidir. Veri sınıflandırması ve veri haritalaması çalışmaları, hangi sistemlerin daha sıkı log tutma gereksinimlerine tabi olması gerektiğini belirlemede yardımcı olacaktır.
Uygun Loglama Sisteminin Seçilmesi
Mevcut durum analizi sonrasında, şirketin gereksinimlerini karşılayacak uygun bir loglama sisteminin seçilmesi gerekmektedir. Loglama sistemi seçiminde, sistemin kapasitesi, performansı, güvenliği, ölçeklenebilirliği ve uyumluluğu dikkate alınmalıdır. Özellikle zaman damgası ve elektronik imza desteği, log bütünlüğünün korunması, erişim kontrolü ve log verilerinin şifrelenmesi gibi güvenlik özellikleri, yasal uyumluluk için kritik öneme sahiptir.
Merkezi log yönetimi, log analizi ve korelasyonu, otomatik uyarı mekanizmaları ve raporlama özellikleri de göz önünde bulundurulmalıdır. SIEM sistemleri, log yönetimi ve güvenlik olayı izleme fonksiyonlarını birleştirerek, kapsamlı bir güvenlik izleme ve uyumluluk çözümü sunmaktadır.
Sistemin toplam sahip olma maliyeti (TCO) de dikkate alınmalıdır. Açık kaynak çözümler, bulut tabanlı log yönetim hizmetleri ve yerinde çözümler arasında bir değerlendirme yapılarak, şirketin ihtiyaçlarına ve bütçesine en uygun seçenek belirlenmelidir.
Kurulum ve Konfigürasyon Süreci
Uygun loglama sisteminin seçilmesinin ardından, sistemin kurulumu ve konfigürasyonu gerçekleştirilmelidir. Konfigürasyon sürecinde, hangi olayların loglanacağı, log formatları, log saklama süreleri ve log rotasyon politikaları belirlenmelidir. 5651 Sayılı Yasa kapsamında, trafik bilgilerinin en az iki yıl süreyle saklanması gerekmektedir.
Log formatları, standart ve yapılandırılmış bir formatta (örneğin, syslog, CEF, LEEF) olmalı, log korelasyonu ve analizi için gerekli alanları içermelidir. Logların bütünlüğünü ve gizliliğini sağlamak için, erişim kontrolü, şifreleme ve zaman damgası gibi güvenlik önlemleri uygulanmalıdır.
Log verilerinin yedeklenmesi ve felaket kurtarma planlarının oluşturulması, veri kaybını önlemek ve iş sürekliliğini sağlamak için önemlidir. Ayrıca, log sunucularının kendilerinin de loglanması sağlanarak, log yönetim sistemine yapılan erişimler de kayıt altına alınmalıdır.
Düzenli Denetim ve Kontrol Mekanizmaları
Loglama sisteminin kurulumu sonrasında, sistemin etkinliğinin ve uyumluluğunun sağlanması için düzenli denetim ve kontrol mekanizmaları oluşturulmalıdır. Log kayıtlarının doğruluğu, bütünlüğü ve erişilebilirliği düzenli olarak kontrol edilmelidir. Denetim sonuçları, düzenli raporlar halinde üst yönetime sunulmalıdır.
Otomatik denetim araçları ve kontrol listeleri kullanılarak, denetim süreçleri standartlaştırılabilir. Ayrıca, loglama sisteminin sürekli iyileştirilmesi için bir geri bildirim mekanizması oluşturulmalıdır.
Periyodik güvenlik değerlendirmeleri, penetrasyon testleri ve zafiyet taramaları, loglama sisteminin güvenliğinin değerlendirilmesi için kullanılabilir. Bu değerlendirmeler sonucunda belirlenen iyileştirme alanları, bir aksiyon planı çerçevesinde ele alınmalıdır.
5651 loglama ve KVKK uyumunu sadece bir zorunluluk olarak değil, SASE yaklaşımının doğal bir parçası olarak ele almak; erişim, güvenlik ve kayıt süreçlerini tek bir mimari altında yönetmenizi sağlar. SASE tabanlı Hotspot ve loglama çözümleri ile misafir Wi Fi erişiminden kurum içi kullanıcılara kadar tüm trafiği merkezi olarak kontrol edebilir, otomatik imzalama yapabilir, yasal kayıtları otomatik şekilde tutarken Zero Trust prensipleriyle güvenliği güçlendirebilirsiniz. Kurumunuza özel Berqnet SASE mimarisiyle 5651 uyumlu, ölçeklenebilir ve yönetimi kolay bir yapı kurmak için bizimle iletişime geçebilirsiniz.
Sıkça Sorulan Sorular
5651 sayılı kanun, internet erişimi sağlayan işletmelerin trafik bilgilerini kayıt altına almasını zorunlu kılar. Bu loglar olası hukuki ve adli süreçlerde delil niteliği taşır. Log tutulmaması ciddi idari para cezalarına yol açabilir.
Evet, IP adresi, kullanıcı bilgileri ve erişim zamanları KVKK kapsamında kişisel veri olarak değerlendirilir. Bu verilerin güvenli şekilde saklanması ve yetkisiz erişime karşı korunması gerekir. Aynı zamanda belirli süre sonunda silinmeleri zorunludur.
5651 kapsamında trafik logları en az 2 yıl saklanmalıdır. KVKK’ya göre ise veriler, işleme amacı sona erdiğinde silinmeli veya anonim hale getirilmelidir. Sektörel düzenlemeler daha uzun süreler gerektirebilir.
SASE, erişim, güvenlik ve loglama süreçlerini merkezi bir yapı altında toplar. Bu sayede kullanıcı trafiği otomatik olarak kayıt altına alınır ve politikalar tek noktadan yönetilir. Operasyonel yük azalırken yasal uyum sürdürülebilir hale gelir.
5. 5651 uyumlu log tutmayan şirketler hangi risklerle karşılaşır? İdari para cezaları, hukuki yaptırımlar ve itibar kaybı en büyük risklerdir. Ayrıca siber olaylar sonrasında delil sunulamaması şirketi savunmasız bırakır. Bu durum hem finansal hem de operasyonel kayıplara yol açabilir.
