KVKK’nın Giriş Kapısı; Siber Güvenlik

Bu yazıyı okumadan önce “Firewall nedir? Ne iş için kullanılır?” merak ediyorsanız; özellikle de teknik bilginiz yoksa Firewall ürünlerini basitçe anlattığım “Bir Firewall Hikayesi” yazımı okumanızı tavsiye ederim.

Hemen hemen her gün dünya genelinde birçok kimlik hırsızlığı vakası ile karşı karşıya kalıyoruz. Bu vakalara baktığımızda; maddi açıdan şirketlere büyük zararlar verdiğini ve kişisel veri ile fikri mülkiyet hırsızlıklarının ülkeler için büyük bir tehdit haline geldiğini görüyoruz.

Teknoloji o kadar gelişti ki, siber alem, sanal dünya dediğimiz elektronik varlıklarımız üzerinde sürdürdüğümüz yaşamlar artık gerçek hayatımızın birer gölgesi, vazgeçilmez bir parçamız oldu. Artık tüm dünya akıllı telefonlar, akıllı asistanlar, akıllı saatler, akıllı yazılımlar ve hatta akıllı bilgisayarlar kullanmaya başladı. Onlar akıllandıkça, yapay zekâ sistemlerinden öğrendikçe bizler daha fazla verim almaya ve gerçek hayatımızı sanal dünyaya daha fazla yansıtmaya başladık.

Sadece biz bireyler değil, şirketler, kamu kurumları, hatta devletler de biz bireylere daha iyi hizmet verebilmek, iş yüklerini azaltmak ve çok daha verimli işler yapabilmek için bu dünyaya adapte olmaya; teknolojiyi çok daha etkin bir şekilde kullanmaya başladılar. Elbette ki teknolojinin gelişimi siber saldırganlara ve suçlulara da farklı kapılar açmaya onların çok daha efektif ve etkili saldırılar yapmasına imkân sağlıyor.

Hayatımız sanallaştıkça, paralarımız sanal dünyaya kaydıkça, siber saldırganlar ve gerçek suçlular da bu dünyanın içerisinde yerini almaya ve saldırı tekniklerini genişletmeye devam ediyorlar.

Bu noktada şirketler, kurumlar ve devletler siber saldırılara karşı önlem alarak, GDPR, ISO 27001, PCI-DSS gibi standartları sunarak, özel kurallar ve kanunlarla güvenliğimizi sağlamak için adım atıyorlar. Bilginin değeri arttıkça, bilgi güvenliği konusunda yaptırımlar ve standartlar da gelişerek karşımıza çıkıyor.

KVKK ve Siber Güvenlik

Ülkemizde de benzer birçok kanun ve standardın hayata geçtiğiniz görüyoruz. Avrupa 1995’den beri birçok kanun ve direktifle çalışmalarını sürdürürken, son bir yıldır GDPR üzerinde yoğunlaşarak vatandaşlarını ve tüketicileri korumak için yaptırımlar uyguluyor. Ülkemizde de bu gelişmelere müteakiben 5651 ve özellikle de KVKK (Kişisel Verilerin Korunması Kanunu) gibi yasalar ortaya çıkartılarak uygulanması için özel birimler oluşturulmaya başladı.

Nedir bu“Kişisel Verilerin Korunması Kanunu”?

Avrupa kişisel veriler için GDPR’ı hayata geçirirken ülkemizde de Avrupa Birliği Uyum Süreci kapsamında KVKK (Kişisel Verilerin Korunması Kanunu) ile biz tüketicilerin hakları korunacak.

KVKK, 7 Nisan 2016 itibari ile resmî gazetede yayınlanıp kurumlara ve şirketlere bu kanunun için hazırlık süreci tanımlanarak yürürlüğe girdi. Geçtiğimiz 7 Ekim tarihi itibari ile de ilk ihlal cezasının kesildiğini görüyoruz. Yalnız bu süreçte devletin farklı bir bakış açısı ile çalıştığının altını çizmek gerekiyor. KVKK birimi bir nevi özel bir nevi devlet kuruluşu gibi konumlandırıldı. Aynı zamanda ilk cezalarını devlet kurumlarına kesmeye başladı. Burada devletimizin, öncelikle iğneyi kendine batırdığını çuvaldızı ise şirketler için hazırda tuttuğunu söyleyebiliriz.

Bir nevi aslında devletimiz, tüm kurumlara mesaj veriyor! Önce kendimi düzeltiyorum!

Şirketlerin yukarıda bahsettiğim geçiş sürecinde hazırlık için son tarihleri 7 Nisan 2018 olarak belirlendi. Bugün geldiğimiz noktada üzerinden tam bir ay geçtiğini ve KVKK birimlerinin bu noktada özel şirketlere yaptırım uygulamak için çalışmalara başladığını düşünebiliriz.

Ülke olarak halen daha AB yasalarına uyum süreci içerisindeyiz. Bu noktada hukuk tarafı, mahkemeler, kanunlar tam olarak oturmuş değil. Birçok avukatın da kafa karışıklığı içerisinde olduğunu ve beraberinde kurumların net olarak bilgi sahibi olmadığını görüyoruz. Aslında kafa karışıklığını gidermek için Avrupa’da uygulanan GDPR süreçlerine bakarak yol alınabilir. GDPR’da net olarak gerekli uygulamalar ve yaptırımlar belirtilmiş durumdadır. GDPR ve KVKK’yı yan yana koyduğumuz zaman ise aşağıdaki maddelerin ortak paydada birleştiğini görmekteyiz.

[mavi] Önceliğimiz “Verinin Güvenliğini Sağlamak”la başlamalıdır. [/mavi]

KVKK’nın en önemli noktası veri güvenliği ile başlıyor. Sunucularımızı, dışarıya açık ağımızı ve sistemlerimizi saldırganlara karşı korumak ve denetlemek zorundayız. Bunun için de networkümüz üzerinde bir UTM cihazı ve güvenliği sağlayacak IPS, IDS gibi önlemlerle birlikte log yönetimi ve analizi ön plana çıkan konuların başında geliyor. Kısacası aşağıdaki maddelerden önce GDPR ve KVKK’nın en önemli ortak noktası olan verilerimizin güvenliğini sağlamak ve korumak durumundayız. Bunun için de ağımız üzerinde bu güvenliği sağlayacak ürünleri konumlandırmamız gerekiyor. Bundan sonrası için aşağıdaki maddelere geçiş yaparak veri süreçlerimizi KVKK ile düzeltmeye başlayabiliriz.

  1. Veri toplama
  2. Veri işleme
  3. Açık rıza alınması
  4. Değerlendirme yapılması
  5. Şifreleme (verinin karmaşıklaştırılması)
  6. Ayrıcalıklı hakları minimuma indirgemek
  7. Şikâyet yönetimi
  8. Talep yönetimi
  9. Olay yönetimi
  10. Veri koruma görevlisinin belirlenmesi

Yukarıdaki 10 başlık bir kurum için KVKK konusunda ciddi sorunlar ortaya çıkartabilir. Bu noktada ne yaptığınızı, nasıl veri topladığınızı, nasıl verileri koruduğunuzu ve nasıl işlediğinizi açıklamak, kurallara uymak ve tüketicilerden gelen talepleri uygulamak durumundayız.

Gelelim 5651 Sayılı Kanuna!

5651 sayılı kanun; internet ortamında işlenen suçlara özel olarak çıkartılmış ve küçük / büyük bütün kurumların ve ticari işletmelerin uyması gereken; siber saldırılara karşı mücadele için çıkartılmış olan bir kanundur.

Bu kanuna göre ticari kuruluşlar veya kurumlar internetin toplu olarak kullanıma sunulduğu yerlerde (çalışanlarına veya müşterilerine) tüm kullanıcı hareketlerini 2 yıl boyunca güven damgası ile elektronik ortamda imzalamak ve kayıt altına almak zorundadır.

Bir siber olayla karşılaşıldığı zaman saldırıyı yapan kişilerin ortaya çıkartılmasında önemli delillere sahip olabiliriz. Aksi takdirde kurumunuz veya işletmeniz (buna dernekler ve diğer kuruluşlar da dahildir) çalışanlarınızın veyahut hizmet verdiğiniz müşterilerinizin alt yapınız üzerinden işleyeceği suçlarda sorumludur ve ceza alabilir. Bir internet bağlantısına sahipseniz çalışanlarınız veya müşterileriniz bunu kullanıyorsa, bir şekilde paylaşıyorsanız kanuna göre uygun çözümleri uygulayarak hem hukuki hem de güvenli bir şekilde verileri saklamak zorundasınız.

İşte bu noktada Berqnet ve benzeri çözümlerle şirketinizi koruma altına alabilirsiniz. Berqnet Türk mühendisler tarafından ülkemiz içerisinde tamamen %100 Yerli AR-GE’yle Logo Yazılım çatısı altında üretilen, yerli bir UTM (firewall) çözümüdür. AR-GE destek ve geliştirme ekipleri de ülkemiz özelinde çıkartılan 5651 ve KVKK gibi gibi kanunlara uyum süreçleri yönetmekte ve ürünü geliştiriyorlar. Aynı zamanda kurumlardan gelen taleplere ve kanunlara %100 uyum içerisinde çalışabilen bir üründür. Bu noktada yabancı ürün kullanmaktansa ülkemiz kanunlarına %100 uyum sağlayacak yerli ürünleri tercih etmek en doğru karar olacaktır.

Küçük veya orta ölçekli firmaların da muhakkak ki KVKK ve 5651 kanunlarına uyma zorunluluğu getirildi. Elbette ki cezalar da kurum ölçeklerine göre kesilecektir. Ancak küçük veya orta ölçekli şirketlerin siber saldırılar karşısında çok büyük yatırımlar yapamayacağını da biliyoruz. Berqnet özellikle KOBİ ölçeğindeki bir çok kurumun temel ihtiyacını karşılayabilecek şekilde tasarlanmış ve yüzbinlerce dolarlık ürünlere göre bu ihtiyaçları rahatlıkla karşılayabiliyor.

Küçük işletmeleri baz aldığımızda 5-10 kullanıcının olduğun bir firma için siber güvenlik önlemleri almak, ve yatırım yapmanın zor olduğu konusunda hemfikiriz. Berqnet sayesinde restoranlaran kafelere, kamu kurumlarından kobilere, enerji santrallerinden belediyelere, hastanelere, hukuk bürolarından otellere ve butik şirketlere kadar birçok alanda hizmet veren firmalar için ideal olduğunu ve fiyat avantajı sağladığının altını çizmek gerekiyor.

Peki Berqnet firewall cihazı nedir? Nasıl koruma sağlıyor?

Firewall temel olarak ağımızdan içeri giren veya ağımızdan dışarı çıkan trafiği denetleyen ve tehlikeli olarak gördüğü istekleri engelleyen bir network (ağ) cihazıdır. Siber tehditler arttıkça ve farklı metotlar kullanıldıkça bu temel ihtiyaçlar artmaya ve önlem olarak siber güvenlik uzmanları tarafından geliştirilmeye devam ediyor.

Bu noktada Berqnet’de profesyonel ARGE ekibi ile UTM (Unified Threat Management) yani Birleşik Tehdit Yönetimi cihazı olarak kendini geliştirmeye devam ettiğini görüyoruz. Aslında Berqnet bir firewall cihazından daha fazlasını bizlere sunabiliyor.

UTM cihazları temel firewall özellikleri ile donatıldıkları gibi antivirüs, IPS, web filtreleme, uygulama denetleme, hotsopt, vpn ve loglama gibi ek özelliklere sahiptir. Berqnet’in tüm versiyonlarında bu özelliklere ücretsiz olarak sahip olabildiğiniz gibi 5651 loglama ve siber tehditlere karşı (KVKK) önlem alabilme çözümleri sunuyor.

Berqnet UTM cihazlarının en önemli özelliklerinden biri de Firewall olarak çalışmasıdır. Bu sayede şirketinizin gelen ve giden ağ trafiği sürekli denetlenmekte ve herhangi bir anormallikte bu istenmeyen durumları engelleyerek koruma sağlıyor. Aynı zamanda kurumunuzun içerisindeki çalışanlarınız veya internet bağlantısını paylaştığınız müşterileriniz için web filtreleme yaparak illegal sitelere girişleri de engelleyebilirsiniz.

Çalışanlarınıza Youtube ve Facebook gibi sitelerini tamamen kapatabileceğiniz gibi belirli saat aralıkları içerisinde aktif olarak kullanımına da izin verebilirsiniz. Bu da ileri düzey web filtreleme özellikleri sayesinde gerçekleşiyor. Yani siz, şirketinizde çalışan kişilerin isim isim, departman departman, hangi siteye, ne zaman ve hangi bant aralığında giriş yapması gerektiğini belirleyerek yönetebilirsiniz.

Berqnet’in en önemli özelliklerinden biri de VPN ile uzaktan güvenli bağlantı desteği sağlaması! Hele ki mobil çalışanlarınız varsa yani satışçılarınız veya uzaktan şirkete bağlanmak isteyen kullanıcılarınız için özel şifreli yani güvenli bir ağ bağlantısı sunabiliyor.

Bugünlük mola veriyorum ve bir sonraki yazımda bir firewall hikayemize kaldığımız yerden devam ederek sizlere Berqnet’i anlatmaya, kullanımı konusunda bilgi vermeye devam edeceğim.

Not: Bu yazıyı aşağıdaki PodCast üzerinden dinleyebilirsiniz.

“KVKK’nın Giriş Kapısı; Siber Güvenlik” üzerine 2 yorum

  1. harika yazı, berqNET’i yakından takip ediyorum cok başarılı bır marka ulkemızden boyle markaların cıkması gurur verıcı

    Yanıtla
  2. Biz kvkk uyum surecinde sirketimizde deskgate urununu kullandık ve hala da devam ediyoruz.
    teknik olarak tum verilerin islenmesi silinmesi ya da degistırilmesi soz konusu oldugunda bir numara.
    Hem dlp hem it destek ve hem de rdp işlevlerini hakkıyla yerine getirmekte. Deskgate
    cok kullanısli bir arayuze sahip.

    Yanıtla

Yorum yapın