Türkiyede Bulut Kullanım Standartları
Bulut Güvenliği ve Regülasyonlar
Bulut bilişim, kurumların BT altyapılarını daha hızlı devreye almasını, operasyonel maliyetlerini azaltmasını ve ihtiyaç duydukları kaynakları esnek bir şekilde kullanmasını sağlayan önemli teknolojilerden biri haline gelmiştir. Özellikle IaaS (Infrastructure as a Service), PaaS (Platform as a Service) ve SaaS (Software as a Service) hizmet modelleri sayesinde kurumlar, yüksek donanım yatırımları yapmadan altyapı, platform ve uygulama ihtiyaçlarını kısa sürede karşılayabilmektedir.
Sağladığı hız, ölçeklenebilirlik ve maliyet avantajları nedeniyle bulut teknolojilerinin kullanımı her geçen gün artmaktadır ancak buluta geçiş yalnızca teknik bir dönüşüm değildir; aynı zamanda bilgi güvenliği, veri gizliliği, yasal düzenlemeler ve risk yönetimi açısından da yeni sorumluluklar doğurmaktadır. Özellikle finans, kamu ve kritik altyapı sektörlerinde faaliyet gösteren kurumlar için bulut kullanımına ilişkin kararlar, güvenlik, regülasyon, fayda-maliyet gibi gereksinimler dikkate alınarak verilmelidir.
Türkiye’de bulut kullanımının diğer ülkelere göre daha temkinli ilerlemesinin temel nedeni teknolojinin yetersiz olması değil, veri güvenliği ve regülasyonlara uyum gereklilikleridir. Özellikle finans, kamu, sağlık ve kritik altyapı sektörlerinde işlenen verilerin niteliği nedeniyle kurumlar, “Buluta geçebilir miyiz?” sorusundan önce “Hangi verileri buluta taşıyabiliriz?” sorusuna cevap aramaktadır. Çünkü her sistem ve her veri aynı risk seviyesine sahip değildir. Bulut stratejisi oluşturulurken teknik ihtiyaçların yanı sıra verinin kritikliği, yasal yükümlülükler ve iş sürekliliği gereksinimleri birlikte değerlendirilmelidir.
- Yapay zekâ servislerinin büyük bölümü on-premise kurulmasında yüksek altyapı gereksinimi istemesi nedeniyle bulut üzerinde çalışıyor.
- Donanım yatırımı yerine operasyonel maliyet modeli tercih ediliyor.
- Felaket kurtarma çözümleri bulut sistemlerde hazır bir şekilde olmasından dolayı daha kolay kurulabiliyor.
- Ölçeklenebilirlik ihtiyacı giderek artıyor.
- Yazılım ekipleri hazır altyapılar sayesinde uygulamaları çok daha hızlı devreye alabiliyor.
Eskiden yalnızca e-posta sistemleri buluta taşınırken bugün on-premise seçenekleri ve yetenekleri bulut tabanlı olan çözümlere göre daha kısıtlı olan EDR, CRM, SIEM, SOC platformları, yapay zekâ servisleri gibi çözümler bulut üzerinde çalışabiliyor. Bulut kullanımına karar verilmeden önce bulut modellerinin çalışma şekillerinin ve regülasyonlarla uyumlu olup olmadığının bilinmesinde de fayda var.
Bulut kullanımına karar verirken yalnızca hangi servis modelinin (IaaS, PaaS, SaaS) kullanılacağı değil, hangi bulut dağıtım modelinin tercih edileceği de (public, private, hybrid) belirlenmelidir. Her modelin güvenlik, maliyet, yönetilebilirlik ve regülasyon açısından farklı avantajları bulunmaktadır. İhtiyacımız olan bulut hizmet ve dağıtım modellerini belirledikten sonra nasıl kullanacağımıza ve regülasyonlara bakalım.
Bulutu nasıl kullanmalıyız?
Bulut kullanımında en doğru yaklaşım, tüm sistemleri doğrudan buluta taşımak veya tümünü kurum içinde tutmak değildir. Kurumlar öncelikle sahip oldukları verileri sınıflandırmalı, kritik sistemlerini belirlemeli ve buna uygun bir bulut stratejisi oluşturmalıdır. Örneğin internet siteleri, test ortamları, yedekleme sistemleri veya genel kurumsal uygulamalar bulut için uygun adaylar olabilirken; çok hassas kişisel veriler, kritik finansal sistemler veya ulusal güvenliği ilgilendiren bilgiler için daha kontrollü yaklaşımlar tercih edilebilir. Bu noktada Public Cloud, Private Cloud veya Hybrid Cloud modellerinden hangisinin kullanılacağı, teknik ihtiyaçlardan çok risk değerlendirmesi sonucunda belirlenmelidir.
Bulutun Avantajları: Teknik ekiplerin en sık dile getirdiği avantajların başında daha düşük yatırım maliyeti, çok hızlı kaynak oluşturabilme, esnek kapasite yönetimi ve yüksek erişilebilirlik geliyor. Doğru yapılandırılmış bir bulut ortamı, birçok kurumun kendi veri merkezinden daha güvenli bile olabilir. Tabi her koşulda çok güvenli olduğu anlamına gelmiyor. Bulut sağlayıcısı güvenli olabilir ama kurumunuz için yapılan yapılandırmanız güvenli olmayabilir. Bugün yaşanan veri sızıntılarının önemli bir kısmı servis sağlayıcısından değil; yanlış IAM yetkilendirmeleri, herkese açık bırakılmış depolama alanları, MFA kullanmama, yanlış ağ yapılandırmaları nedeniyle gerçekleşmektedir.
Bulut konusundaki Çekinceler Neler?
Bulut kullanımında en büyük endişe teknik değil, genelde yönetişimsel oluyor. Kurumlar; verinin nerede tutulduğunu, kimlerin erişebildiğini, hangi ülke hukukunun geçerli olduğunu, olay anında denetim yapıp yapamayacağını, hizmet sona erdiğinde verisini nasıl geri alacağını bilmek istiyor. Özellikle kritik sektörlerde bu sorular cevaplanmadan bulut kullanımı ciddi risk oluşturabilir.
Bir diğer önemli çekince ise veri egemenliği (Data Sovereignty) konusudur. Verinin hangi ülkede saklandığı, hangi ülkenin hukukuna tabi olduğu ve gerektiğinde hangi makamların bu verilere erişebileceği özellikle uluslararası bulut sağlayıcıları tercih edilirken değerlendirilmesi gereken önemli başlıklardır. Kurumlar yalnızca verinin güvenliğini değil, aynı zamanda verinin hukuki durumunu da göz önünde bulundurmalıdır.
Türkiye’de Bulut Regülasyonları
En büyük yanlış anlaşılmalardan biri de regülasyonlar genel olarak “Bulut kullanılamaz” demiyor, bulut kullanırken; risk analizi yapılması, kritik varlıkların belirlenmesi, veri sınıflandırmasının gerçekleştirilmesi ve sözleşmelerinin yapılması, hizmet sağlayıcısının değerlendirilmesi, sözleşmelerde denetim hakkının tanımlanması, iş sürekliliğinin planlanması, çıkış stratejisinin oluşturulması gibi isterler istiyor. Bankalar ve çoğu finans kurumları Türkiye de aşağıdaki mevzuatlara tabi. Mevzuatları bilmeyenler ve incelemek isteyenler için linkleri de yanına bırakıyorum. Bu mevzuatlara tabi olmayan kurumlar da başka mevzuatlara tabiler, tabi oldukları standartlara bakarak mevzuat isterlerini kontrol edebilirler.
- KVKK, kişisel verilerin işlenmesi ve özellikle yurt dışına aktarılması konusunda belirli şartlar öngörmektedir. 2024’te güncellenen düzenlemelerle standart sözleşme gibi yeni mekanizmalar getirilmiştir. Yurt dışına aktarılacak veriler için KVKK‘nın standart sözleşmeleri incelenebilir. (Standart Sözleşmeler | Kişisel Verileri Koruma Kurumu)
- BDDK düzenlemeleri finans sektöründe bulut hizmetlerinin dış hizmet kapsamında değerlendirilmesini, risk yönetimi, denetlenebilirlik ve kritik hizmetlerde ek kontroller uygulanmasını bekler. ( Mevzuat Bilgi Sistemi)
- Eski adıyla Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi, yeni adıyla Siber Güvenlik Başkanlığı- Bilgi ve İletişim Güvenliği Rehberi’nde de özellikle kritik verilerin korunması, logların izlenmesi, sözleşme yükümlülükleri ve bulut ortamlarının yönetimi konusunda önemli teknik kontroller tanımlar. (T.C. Siber Güvenlik Başkanlığı – Bilgi ve İletişim Güvenliği)
Dolayısıyla regülasyonların ortak mesajı şudur: Bulut birincil olmayan sistemler için gerekli isterler gerçekleştirildiğinde kullanılabilir ancak kullanılması durumunda gerekli sözleşmeler, denetimler yapılabilmelidir, kurum risklerini yönetebildiğini gösterebilmelidir. Güvenlik açısından da kritik sistemlerin kurumların kendi bünyesinde bulundurması gerekmektedir. Dünya standartlarında da genelde bu şekilde bahsedilir.
Güvenlik Politikaları Nelere Odaklanmalı?
Bir bulut kullanım standardı hazırlanırken aşağıdaki başlıkların mutlaka yer alması gerekir.
Bulut Servis Onay Süreci: Bulut hizmeti kullanacak her uygulama için bilgi güvenliği, hukuk, risk yönetimi ve ilgili iş birimleri tarafından ön değerlendirme yapılmalıdır. Kullanılacak servis, işlenecek veri tipi, veri lokasyonu, alt yükleniciler, sözleşmeler ve regülasyon gereksinimleri değerlendirilmeden hizmet devreye alınmamalıdır. Bulut kullanımının onay sürecinden geçmesi halinde aşağıdaki adımların kontrol edilmesi gerekmektedir.
Veri Sınıflandırması: Verilerin kritikliği belirlenmeli, hangi verilerin bulut sistemine çıkacağı önceden tespit edilmeli ona göre güvenlik önlemleri tasarlanmalıdır.
Yetkilendirme: En az ayrıcalık prensibi uygulanmalı, ayrıcalıklı hesaplar ve erişimler düzenli gözden geçirilmelidir.
Kimlik Güvenliği: MFA zorunlu olmalıdır, servis hesapları düzenli kontrol edilmeli ve merkezi kimlik yönetimi kullanılmalıdır.
Loglama: Bulut üzerindeki tüm kritik işlemler izlenmeli ve merkezi SIEM sistemine aktarılmalıdır.
Şifreleme: Hem aktarım sırasında hem de depolama sırasında güçlü şifreleme kullanılmalıdır.
Tedarikçi Yönetimi: Bulut sağlayıcısı yalnızca teknik değil; denetlenebilirlik, sertifikasyon, alt yüklenici yönetimi, veri lokasyonu, olay bildirim süreçleri açısından da değerlendirilmelidir.
Yapay Zekâ Servisleri: Günümüzde birçok yapay zekâ çözümü bulut ortamında çalışmaktadır. Çalışanların bu platformlara müşteri bilgileri, kişisel veriler, kaynak kodları veya kurum içi dokümanlar yüklemesini engelleyecek veri kaybı önleme (DLP) politikaları oluşturulmalı, hangi yapay zekâ servislerinin kullanılabileceği açıkça belirlenmelidir.
Sürekli Güvenlik İzleme: Bulut ortamları tek seferlik denetimlerle güvenli kalmaz. Yanlış yapılandırmaların, herkese açık bırakılmış depolama alanlarının, aşırı yetkilendirilmiş hesapların ve güvenlik açıklarının düzenli olarak kontrol edilmesi için CSPM (Cloud Security Posture Management) veya benzeri güvenlik çözümleri kullanılmalıdır.
Çıkış Stratejisi: Buluttan ayrılmak, buluta geçmek kadar önemlidir. Verilerin hangi formatta alınacağı, silme süreçleri, hizmet sonlandırma prosedürleri ve bağımlılık riskleri önceden tanımlanmalı, aksiyonları buna göre alınmalıdır.
Sonuç
Başarılı kurumlar ile başarısız kurumlar arasındaki fark, hangi bulut sağlayıcısını kullandıkları değil, bulutu hangi yönetişim modeliyle yönettikleridir. İyi hazırlanmış bir bulut kullanım standardı; bilgi güvenliği, hukuk, risk yönetimi, denetim ve BT ekiplerinin ortak çalışmasıyla oluşturulur. Bulut güvenliği yalnızca teknik bir konu değil, aynı zamanda kurumsal yönetişim konusudur. Türkiye’deki regülasyonların da vurguladığı gibi asıl amaç bulutu yasaklamak değil, doğru veriyi, doğru ortamda ve doğru güvenlik kontrolleriyle kullanabilmektir.