NEDİR BU BULUT BİLİŞİM DEDİKLERİ ?

I-GİRİŞ

Bulut bilişim aslında çok yeni bir uygulama sayılmaz. Ancak yeni bir kavram olarak ve özellikle ticari açıdan son yıllarda popüler hale gelmiştir. Pekâla nedir bu Bulut bilişim ? En basit şekilde açıklayacak olursak; sosyal paylaşım siteleri, web 2.0 ve e-posta hizmetleri veren kuruluşlara, kişisel bilgisayarlarımızda yarattığımız ve işlediğimiz dosyalarımızı, bu kuruluşların sunucularına yollamamız ve bu sunucularda barınması işidir. Doğal olarak bilgisayarlarımızda yer alan veya yarattığımız bu dökümanları kendi sabit diskimizde tutmayarak, üçüncü kişilerin sabit disklerine yollama işlemi ve bu uygulamaya verilen genel isimdir.

Verilerimizi bu şekilde paylaştıktan veya gönderdikten sonra ise istediğimiz yer ve zamanda yine verilerimize erişebiliriz. Örneğin flickr.com veya Instagram uygulamalarına fotoğraflarımızı yüklüyoruz ve belki bu yüklemeyi gerçekleştirdikten sonra jpeg vb. biçemlerdeki dosyaları, sabit diskimizden veya akıllı mobil cihazımızdan yer kaplamaması amacıyla siliyoruz. Yine istediğimiz yer ve zamanda, tekrar bu sitelere girerek dosyalarımızı görüntüleyebiliyor ya da sabit disklerimize tekrar yükleyebiliyoruz.

“En basit haliyle” bilgilerimizi/verilerimizi kendi sabit diskimiz yerine, büyük yer sağlayıcı şirketlerin internet ağı üzerinde yer alan sunucularındaki, sabit disklerinde saklama işlemidir. Diğer bir deyişle sadece ekran ve klavye kullanarak, başka bir sunucudaki verilerimize erişme, onları kullanabilme imkanının bir üçüncü kişi tarafından sağlanmasıdır.

“Bulut” kavramı, yapılan çizili/grafiğe dayalı anlatımlarda sunucuların merkezi yapısını belirtmek için kullanılan bulut şeklindeki çizimlerden doğmuş olup, aynı zamanda metaforik bir anlam yüklenmek suretiyle bulut bilişim şeklinde adlandırılmıştır.

İşte yukarıda en basit haliyle açıkladığımız bu hizmeti bireysel olmaktan çıkartıp, kurumsal bir yapıya taşıdığınızda ve teknik ayrıntılar ile veri trafiği, ölçümleme, kontrol vb. kriterleri de işin içine yerleştirdiğinizde, karşınıza tam anlamıyla bulut bilişim hizmetleri çıkacaktır. Bulut hizmetinden yararlanmak isteyen kişi, bulut altyapısına girer ve seçilen hizmetin türüne göre artık geriye kalan işleri bulutta yürütür. Tabiki bu hizmetin bir de mali karşılığı olacaktır.

Bulut bilişimin en büyük avantajı, sunucu (server) ve diğer donanımlar ile, bu donanımlar üzerinde koşacak yazılım maliyetlerini şirketler açısından ciddi oranda asgari düzeye indirmesidir. Bu sayede şirketler, donanım ve yazılım maliyetleri ile bunları işletmek için gereken işgücünden tasarruf sağlayabilmektedirler. Doğal olarak şirketlere ait dataların barındırılması, veri trafiği yönetimi gibi hizmetler, tamamen bulut hizmeti veren kuruluşlara ait olacaktır. Tabiki bu hizmet belirli bir bedel karşılığı görülecektir.

İşin teknik ayrıntısına girmeden önce, bu hizmeti hukuki açıdan basitçe aktaralım. Hizmeti veren kuruluş kendi sunucuları üzerinde, hizmeti alan kuruluşa belirli bir yer ve trafik kapasitesi tanır. Hizmeti alan ve veren arasındaki hukuki ilişki “temel olarak” basittir. Zira sözleşmesel anlamda, ilişki tam olarak her iki tarafa borç yükleyen (Synallagmatic) hukuki bir ilişki doğurur. Hizmeti alan, bulut bilişim servisi karşılığında, hizmet verene belirli bir meblağ öder. Hizmeti veren ise bu bedel karşılığında, sunucularını özgülenen amaç doğrultusunda hizmet alana sunar ve anlaşmaya göre adminlik hizmeti de verir. Sözleşmesel ilişki basit olmakla birlikte, uygulamada SLA (Services Level Agreement-hizmet kalitesi ölçüm anlaşması) ve NDA (Non Disclosure Agreement) Gizlilik protokolleri yapılmak suretiyle sözleşmeye eklenmektedir. Ayrıca sözleşmenin mutlaka adminlik ve/veya danışmanlık hizmetlerini kapsayıp kapsamayacağı belirtilmelidir. Aksi halde IT sözleşmelerini yönetmenin zorluğu daha fazla artacak ve taraflar, sözleşmenin eksik ya da hatalı ifasından dolayı uyuşmazlıkla karşılaşabilecektir. Bu tip uyuşmazlıklarda ise mahkeme süreci, tamamen teknik olan delilleri toparlama tarafları zorlamakta ve bilirkişi dahil olmak üzere yargılama aşamasında bir takım zorluklarla karşılaşılabilmektedir.

Yukarıda açıklandığı gibi, temel hukuki ilişki basittir. Ancak biraz daha derine inince, ilişkinin daha karmaşık olan başkaca boyutları ortaya çıkacaktır ki, bu boyutlar henüz net bir şekilde çözüme ulaşmamıştır. Bu yazıda bu konuları elimden geldiği ve bilgimin yettiği kadar değineceğim.

Yukarıda bulut bilişimi her ne kadar basit olarak aktarmaya çalıştım ise de, bu sadece ana mantığın anlaşılabilmesi açısından önemlidir. Maalesef bulut bilişim aktarıldığı gibi özellikle hukuki yönden basit değildir.

 

Biraz daha yakından ve aynı zamanda teknik açıdan değerlendirecek olursak; öncelike bulut bilişim, belirli bir donanım tümlüğünden oluşur. Bu donanımın üzerinde koşan belirli yazılımlar olması da şarttır. Tabiki sadece donanım ve yazılım yetersiz olacaktır. Bu bütünlüğün internet ağı üzerinde erişime açık olması gereklidir.

Bulut hizmetinin verilebilmesi için gerekli asgari donanımlar ve kısa açıklamaları aşağıdadır.

Ana Sunucu : Disklerin ve kartların yer aldığı yüksek hacimli gateway terminalleridir. Burada aynı zamanda bilgilerin depo edildiği hard disk mevcut olup, yazılımlarda bu donanım üzerinde koşar.

CPU (Central Prossesing Unit) : Kayıtlı komut serilerini yürütür. Ana sunucu üzerinde yer alan sabit disklerde saklanan verileri belirli bir işleme tabi tutarak, verilerin senkronize eder. Dört temel evreden oluşur. (fetching-Getirme evresi, Decode-kod çözme evresi, execute-yürütme, writeback-geri yazma evresi)

RAM (Random Access Memory) : Basit olarak bilgilerin geçici olarak depolandığı hafızadır.Veri işlenmesi sırasında bir yazılımın çalıştığı anda bu işlemlerle ilgili bilgiler RAM’de tutulur. Bilgisayarın kendi kontrol ettiği bir hafızadır. Buradaki bilgiler uçucudur. Sabit disk mantığı ile çalışmaz. Sistem kapatıldığında RAM üzerinde herhangi bir bilgiye ulaşılamaz.

IOPS (ınput-output persecond): Saniyede giren çıkan veri trafiğini ölçümleme ve denetleme imkanı sunan, diskin saniyede yapıtığı işlem sayısını ölçen, sistemin en önemli unsurlarından biridir.

Teknik yönden çalışma mantığı ise şu şekildedir; iki taraf anlaştıktan sonra hizmet alacak olan firma bilgileri isterse tümden buluta taşır ya da belirli dataları ayırıp kendi nezdinde tutabilir veya tüm dataları hem kendinde hem bulutta tutabilir. Her iki yöntemde de sistemin çalışma mantığı data alışverişine dayanmaktadır, bu alışveriş ise ölçülebilen bir alışveriş olmalıdır. Zira ücretlendirmede genellikle bu data alışverişi kriter olacaktır. Ancak bulut hizmetinin çeşidine göre farklı türlerde ücretlendirmeler mümkün olabilmektedir. Temel olan data alışverişini sağlanmasıdır. Data alışverisinde senkronizasyon ölçümlemesi, data alışverişinin hacminin tespit edilebilmesini sağlar. Bunu gerçekleştiren de IOPS’tur. Her data gidiş gelişinde sync değerleri oluşacak ve IOPS bu değerleri loglayarak ölçecektir. Senkronizasyonun neye göre ölçülebileceği ve periyotlanması, ücretlendirme, uygulama ve anlaşmanın türüne göre belirlenir. Genel olarak ücretlendirme hacim bazlı olur, diğer bir değişle veri alışverişinin yoğunluğu ne kadar ise o kadar ücret ödersiniz.

Yukarıda da açıklandığı üzere, mantık ve işleyiş basit olmasına rağmen işin içine girildikçe hem teknik hem de hukuki yönlerden mesele kompleks hale gelmeye başlar.

II –GELİŞME

1-Bulut Bilişimde Taraflar


Yukarıda belirtilen donanıma sahip firmalar, birden fazla kurumsal ya da bireysel müşteriye hizmet vermektedirler. Bu müşterilerin büyük ölçekli şirketler olduğunu düşünecek olursak, burada bilgi güvenliği yönünden bazı endişelerin yaşanabileceği de aşikardır.

Örneğin A bankası ile B sigorta şirketi ve C elektronik haberleşme İşletmecisi aynı bulutun müşterisi olarak saysak, burada hizmet alan şirketler ve bulut şirketinin yükümlülükleri neler olmalıdır ? Kısaca ticari sırlar, kişisel bilgilerin gizliliği gibi bilgi güvenliği çatısı altında yer alan unsurların korunması nasıl olacaktır ?

Bulut hizmeti alan ve verenin farklı ülkelerde bulunması halinde ve hukuka veya sözleşmeye aykırılık meydana geldiğinde hangi ülkenin hukukun geçerli olacağı gibi bazı sorunlar kafaları karıştırabilmektedir. Bu açıdan, Bulut bilişim aslında doğru uygulanmadığı ve yapılandırılmadığı zaman, tam bir gaz ve toz bulutundan ibarettir diyebiliriz. Zira, hukuki ve teknik açıdan konu netliğe ulaşmadıkça tartışmalar da sonlanmayacaktır.

Şimdi bahsettiğimiz sorunları aşağıda başlıklar halinde incelemeye başlayabiliriz.

1-Bilgi Güvenliğinin Sağlanması

Bulut bilişimde en fazla dikkat edilmesi gereken konu, bilgi güvenliğidir. Zira gerçek kişilerden ziyade, tüzel kişilere ait gayri maddi varlıkların günümüzde ulaştığı değer seviyesi kuşkusuz çok yüksektir. İşte bu değer bütünlüğünün korunması, neredeyse o işletmenin varlığını koruması ile eş değer sayılabilir. İşletmelere ait bilgilerin, bulut hizmeti sağlayan üçüncü bir kişiye teslim edilmesi beraberinde bilgi güvenliğinin ihlal edilebileceği şüphelerini de kendiliğinden gündeme getirmektedir.

Bilgi güvenliğine ilişkin endişeleri gidermek amacıyla hizmeti alacak firmaların ilk incelemeleri gereken nokta, hizmet sağlayıcının geçmişini ve tecrübelerini taramak olacaktır. Hizmet sağlayıcının ne kadar süredir sektörde faaliyet gösterdiği, yaşanan ihlaller, sahip olduğu standart, sertifikasyonlar (CISS, CISA, GIAC vb) ve politikalar ile uygulanan metodolojilerin (ITIL, COBIT) elden geldiği kadar incelenmesi hizmeti alacak firma için belirli bir fikir oluşturacaktır.

Bilgi güvenliği içerisinde işletmelere ait iştigal konusu ile ilgili bir çok bilgi mevcut olabilir. Bunlar personel özlükleri, fikri ve sınai haklara ilişkin bilgiler, lisanslar, ticari sırlar, ürünlere ait formül bileşenleri, kalkınma plan ve stratejileri, müşteri bilgileri (kişisel veriler) gibi bilgiler olabilir. İşte bu bilgilerin bulut hizmeti sağlayan bir üçüncü kişide depolanması bir çok riski beraberinde getirebilir. Tam bu noktada veri koruma (data protection) ve bilgi güvenliği konuları devreye girecektir. Bilgi güvenliğinin sağlanması için bulut hizmeti veren kuruluşların mutlaka uluslararası bilgi güvenliği standartlarına sahip olması ve bu sahipliğin ötesinde, bilgi güvenliği döngü ve süreçlerini sürekli takip etmesi gerekmektedir.

Hizmet alımı sırasında erişim protokollerinin gözden geçirilmesi de ayrı bir konudur.

Erişim kontrolü;

 

  • Kimlik doğrulama (Authentication) : Şifreleme, anahtarlama, sinya bazlı kontrollerden oluşur.
  • Yetkilendirme (Authorization) : Yetkilendirilmiş uzman erişiminin sağlanması
  • Hesap Verilebilirlik (Accountability) : Kayıtlama (loglama) ve delillendirme prosesi.Bu adım için özel loglama yazılımlarının kalitesinin de sorgulanması gerekir.


Katmanlarından oluşmalıdır.

Bulut hizmeti sağlayıcıları tarafından bilgi güvenliği tamamen canlı bir organizma olmalı ve sürekli iyi şartlar altında yaşaması sağlanmalıdır. Penetrasyon testleri çeşitleriyle birlikte (Black box, white box, grey box) periyodik olarak mutlaka yapılmalı, DLP (Data Loss Prevention) politikaları hazırlanmalı, tüm ITIL gerekliliklerini sağlamalıdır. Burada devreye ayrıca iş sürekliliği- BCM (Bussines Continuity Management) ve disaster recovery (felaket kurtarma) dahi girmekte ve ayrı bir boyut kazanmaktadır.

Kritik iş süreçlerinin, acil durumlarda, olağan üstü hallerde, kriz durumlarında kesintiye uğramaması, bilgilerin korunması ve hizmetin devamlılığının sağlanması aynı zamanda iş sürekliliği konusunda bulut servis sağlayıcıların proaktif olarak gerekli önlemleri almaları ve hatta önlemlerin ötesinde bu konuda ISO veya BSI gibi uluslararası standartlara sahip olmasını mutlaka gerektirmektedir. Aksi halde dünya devi sayılabilecek şirketleri müşteri olarak kaybetmeye mahkum olacaklar ve ciddi tazmin yükümlülükleri altında kalabileceklerdir. (Coca Cola’nın bulut hizmeti aldığı şirketleri düşünmeniz yeterlidir.)

Yukarıdaki standartlar ve korunma döngülerinin sağlanması halinde, hizmeti sağlayan bulut şirketleri pazarda gerekli güveni ve prestiji sağlayabileceklerdir. Hizmetten yararlanma ise sadece yukarıdaki önlemlerin alınması ile yeterli kalmayacaktır. Hizmeti veren ve alan arasında ayrıntılı bir sözleşme yapılması da gerekmektedir ki yukarda I.bölümde bu konuya kısaca değinmiştim.

Belirtilen meseleler dışında burada ölçüm çok önemlidir, Ölçüm ve denetleme hem hukuki hem de IT yönünden yapılmalıdır. IT ölçümlemesi hem yazılım ve hem donanımı kapsamalıdır. Kaldı ki, bu denetim ve ölçümlemede hizmeti alan şirketin tam yetkili olması veya kendi ad ve hesabına bu denetleme ve ölçümlemeyi başka bir üçüncü partiye yapma hakkına sahip olmalıdır. Ölçümlemenin önemi ise hem bulutta yer alan bilgiler ve sürekli buluta eklenen bilgi ve içeriklerin doğruluğunu ve güvenliğini sağlamaya yönelik olmanın dışında, yukarıda da bahsedildiği gibi çoğu zaman ücretlendirmeye yaramasıdır.

Bilgi güvenliği standartları ve veri gizliliği yönlerinden ise, AB ülkelerine hizmet verecek olan bulut bilişim şirketleri Avrupa Birliği direktiflerini aşmak zorundadır. Bilindiği gibi AB/2002/58, AB/95/46 gibi veri koruma direktifleri mutlaka asgari güvenlik seviye ve şartları aramakta ve bulut hizmeti veren şirketlerin bu şartlara uymasını beklemektedir. Dolayısıyla AB’nin bu yasal sınırlamaları, neredeyse bulut hizmeti verecek şirketler için global bir standartı zorluyor denebilir.

 

2-Sorumluluk ve Uygulanacak Hukuk

Yukarıda verilen örnekte A bankası, B sigorta şirketi ve C elektronik haberleşme işletmecisinin verilerinin birbirine karışması veya bu datalara diğer hizmet alan tarafından erişilmesi hallerinde neler olacaktır ? İşin içinde mutlaka insan unsuru olacağından hatalı bir şekilde bu bilgilerin, diğer bulut müşterileri tarafından görülebilmesi veya üçüncü bir kişi tarafından buluta sızılması hallerinin gerçekleşmesi de pek tabi mümkündür. Admin hatası veya deneyimsiz bulut operatörleri bu şekildeki iş kazalarına neden olabilir.

Bu durumda nasıl bir hukuki yol izleneceği temel olarak belirlidir. Bulut şirketi gerekli her türlü önlemi aldığını, sertifikasyonlarının bulunduğunu ve bu sertifikalara uygun prosedürlerin devrede olup uygulandığını, her türlü objektif özen yükümlülüğünü yerine getirdiğini ve insan kusuru olmadığını ispatlamadıkça hukuki sorumluluktan kurtulamayacaktır.

Aynı bulutta birbirlerinin bilgilerine sızan şirketlerin de, somut olayın özelliğine göre birbirlerine karşı sorumlulukları doğabilecektir. Ancak bu şirketler tarafından bilgiye sızmada kasıt, kötüniyet gibi saikler bulunmadığı ve bu tip durumlarda şirketlerin birbirleriyle resmi iletişim haline geçmesi halinde, müşterilerin birbirlerine karşı hukuki sorumlulukları doğmayabilir. Zira burada asıl sorumlu bulut şirketi olacaktır.

Bilgi sızıntısı (DLP), malware yazılımlar, siber saldırılar veya bilişim suçları dahilinde işlenecek hukuka aykırı eylemlerde ise uygulanacak yasa, cezai yönden TCK madde 243, 244 olacaktır. Hukuki açıdan ise Borçlar kanunu ile Medeni Kanunun tazminat hükümleri devreye girecektir. Buraya kadar herşey tamam gibi gözüksede, bulut şirketinin Çin’de olduğu ve A Bankasının da Türkiye’de olduğunu varsayarsak devreye hangi ülkenin hukuk kuralları girecektir. Bu noktada öncelikle taraflar arasındaki sözleşmeyi incelemek gerekir. Eğer sözleşmede yetki anlaşması yapılmışsa, yetkilendirilen ülkenin hukuku uygulanacaktır. Uygulamada yapılan sözleşmelerde yetki anlaşmasına mutlaka yer verilmekte ve yetki karmaşalarına engel olunmaktadır. Sözleşmede yetkiye yönelik bir anlaşma mevcut değilse ne olacaktır ? Asıl mesele de işte bu noktada başlamaktadır. Her ne kadar uygulamada yetkili hukuk ve yargı belirlenmesine rağmen bu meseleyi tartışmak gerekecektir.

Yukarıdaki örnekten gidecek olursak bir bilgi güvenliği ihlali halinde, bu ihlal Çin menşeili bulut şirketinin sunucularının fiziken Çin’de olması halinde, zarar görenin hangi ülkenin kurallarına göre işlem yapmalıdır ? Bu durum gerçekten bir hukukçunun başına gelebilecek en çetin durumlardandır. Öncelikle akla Milletlerarası Mal Satımına İlişkin Sözleşmeler Hakkında Birleşmiş Milletler Antlaşması gelecek olsa bile, burada mal satımı değil bir hizmet anlaşması olduğundan bu uluslararası sözleşme de devre dışı kalacaktır. Ayrıca bu sözleşme daha çok tazminat, cayma gibi şartları düzenlediğinden ceza hukuku anlamında bir etkisi de olmayacaktır.

Türkiye’de Çin’li bulut şirketinin tüzel kişiliği haiz bir temsilcisi olması halinde, bu temsilciye “mağdura göre şahsilik” ilkesi gereği yasal işlemler başlatılabilecektir. Ancak bulut hizmeti veren şirketin temsilcisi Türkiye’de yok ise, yine Türk Ceza Kanunu (TCK) kapsamında bir çözüm aramamız gerekecektir. TCK’nın uluslararasında uygulanması için bazı bağlantı noktaları mevcuttur ki, bu noktalar aslında uluslararsı ceza hukuku prensiplerinin TCK’na yansımasıdır. Türk ceza hukukunda kabul edilen bu ilkeler;

 

  • Mülkilik ilkesi (ülkesellik)
  • Faile göre şahsilik
  • Mağdura göre şahsilik
  • Koruma
  • Suçun evrenselliği
  • İkame yargı


İlkeleridir. Yukarıdaki ilkelerden bizim başvuracağımız ilke A sigorta şirketinin bir Türk tüzel kişisi olması ve Türkiye’de mağdur olması nedeniyle “mağdura göre şahsilik” ilkesi uygulama alanı bulabilecektir diyebiliriz. Buradaki temel mantık mağdurun, yurt dışında kendisine karşı işlenen bir suçta korunmasıdır. Devlet bu şekilde kendi vatandaşlarını koruma güdüsü ile bu ilkeyi yasalaştırmış olup, ilke ifadesini TCK’nın 12 maddesinde bulur. Ancak bu kuralın uygulanabilmesi için de sanığın, belirttiğim gibi, Türkiye’de bulunması gerekmektedir.

Örnekte, Türkiye’de yer alan bir temsilcilik yok ise, bu durumda “Koruma” ilkesi ile ilgili yasa maddesinin uygulanıp uygulanmayacağına bakılması gerekir. Bu ilkede suçu kimin işlediğine bakılmaz. Devlet kendi vatandaşının yararını düşünür ve bu yararı ceza hukuku sınırları içerisinde korur. Şartları ise TCK’nın 13.maddesinde düzenlenmiştir. Ancak bu maddenin uygulanması için katalog suçlar belirlenmiştir. Maalesef TCK’nın bilişim suçları bu katalog dışında kaldığından koruma ilkesi de uygulama alanı bulamayacaktır. Bu durumda “Koruma İlkesi”nde devletin vatandaşı olan bireyden çok, kendini koruduğu sonucuna ulaşmak mümkündür. Zira buradaki katalog daha çok devlete karşı işlenmiş suçları kapsar.

 

Diğer ilkeler ışığında getirilen kurallar da, bu duruma (yurtdışında işlenen suça) hukuki bir çare olamamaktadır. Bu durumda uygulanacak en doğru yol, suçun gerçekleştiği ülkede bir hukuk bürosu ile anlaşılarak, o ülke hukukuna göre takibat yapmak olacaktır. Ancak hizmet sağlayıcının bulunduğu ülkenin hukuk rejimine göre mağdurun tatmin edilme oranın da değişebileceğini belirtmek gerekir. Üstelik buna harcanacak efor ve maliyet tahmin edilenin üzerinden de olabilir.

Yukarıda da bahsedildiği üzere, eğer sözleşmede yetki maddelerine yer verilmemişse karşılaşılacak durum belirtiltildiği şekilde zorlu bir süreç doğuracaktır. Uygulamada bu maddeler kesinlikle atlanmamakta ve üzerinde önemle durulmakta olup, taraflar arasındaki yetki müzakereleri de oldukça çetin geçebilmektedir.

Yukarıda verilen senaryo aslında basittir. Zira bilgilerin depolanacağı yer diğer bir deyişle bulutun merkezi Çin’dir. Konuyu biraz daha komplike hale getirecek olursak; bulut bilişim sistemleri ikiden fazla ve adeta bir zincirleme ilişkiler silsilesine sahip olabilir.

Örneğin hizmet alan (müşteri) bir bulut bilişim firması ile anlaşır. Bulut bilişim firması da, sunucuları başka bir şirketten kiralamış olabilir, hatta bu şirket de başka bir şirketin alt kiracısı olabilir. Bu sunucuların adını bilmediğimiz bir adada fiziken konuşlandığı düşünelim. Biraz daha somutlaştırırsak. Türk firma, İngiliz Bulut bilişim firmasıyla anlaşıyor. İngiliz bulut firması sunucuları, Almanya’dan kiralamıştır. Almanya ise aynı sunucuları Hindistan’dan kiralamıştır. Bu durumda sunucuların asıl maliki Hindistan’daki teknoloji şirketi olacaktır.

Bulut hizmeti alan Türk firma ise hizmeti İngiliz hizmet sağlayıcıdan aldığını sanabilir ve haliyle de bu şirket ile sözleşme yapmış olacaktır. Oysa burada tam bir global sirkülasyon mevcuttur. Bu durumda bilgilerin güvenliği, sunucunun nerede olduğu ve hangi hukukun nasıl uygulanacağı meselelerinin mutlaka sözleşmede belirtilmesi ve zincirdeki kişilerin sorumluluklarının netleştirilmesi büyük önem arzetmektedir. Dolayısıyla burada sözleşme yönetiminin önemi bir kez daha devreye girmektedir.

Yetki/yer problemlerinin dışında, bulutta yaşanabilecek hukuki meseleleri bir kaç başlık altında toplayabiliriz.
Bunlar;

 

  • Fikri ve sınai hak ihlalleri,
  • Veri gizliliği ve kişisel bilgi gizliliği ihlalleri,
  • Kiralama ve dış kaynak kullanımından kaynaklanan sorunlar.
  • Delillendirme ve adli bilişim meseleleri


Yukarıda belirtilen sorunlarda delillendirme ve adli bilişim önem kazanmaktadır. Dolayısıyla buluttan hizmet alacak kişilerin, bulut loglama sistemlerini çok iyi tanımaları gerekmektedir. Aksi halde bir ihlal yaşandığında, bu ihlalin ispat edilebilmesi için adli bilişimin de, ihtiyaç duyduğu enstrumanların sağlanması gerekecektir. Aksi halde milyonlarca veri izinin barındığı network ağında, IP’ler arasında ve sunucu üzerinde iz(delil) aramak oldukça zor olacaktır. Bu hem yargılamada gecikmelere hem de ispat sorunlarına yol açabilir.

Nihayetinde Türkiye’de bulut bilişim hizmeti veren şirketler 5651 sayılı yasa kapsamında “Yer Sağlayıcı” rolündedirler. Yer sağlayıcı yasal tanıma göre, “Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir.” Dolayısıyla belirtilen yasaya göre de bazı sorumluluklar mevcuttur. Bulut hizmeti verenler, bu sorumluluklara uymadıkları takdirde bir dizi yaptırımın da muhatabı olabileceklerdir.

Nihayetinde Türkiye’de bulut bilişim hizmeti veren şirketler 5651 sayılı yasa kapsamında “Yer Sağlayıcı” rolündedirler. Yer sağlayıcı yasal tanıma göre, “Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir.” Dolayısıyla belirtilen yasaya göre de bazı sorumluluklar mevcuttur. Bulut hizmeti verenler, bu sorumluluklara uymadıkları takdirde bir dizi yaptırımın da muhatabı olabileceklerdir.

Kısaca bu sorumluluklar ve yaptırımlara bakacak olursak, Yer Sağlayıcı;

 

  • Tanıtıcı bilgilerini kendilerine ait internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdür. Aksi halde; 11.000TL’ye kadar idari para cezası ile riski mevcuttur.
  • İçerik Sağlayıcısına ulaşılamaması halinde Cevap Hakkından ikinci derecede sorumludur. Cevap hakkının yerine getirilmemesi ile ilgili yasadaki prosedürün ihlali halinde Yayın sorumlusu hakkında 6 aydan 2 yıla kadar hapis cezası verilebilecektir. ( Bu durum daha çok bulut hizmeti vermeyen yer sağlayıcılar için geçerlidir. Ancak bulut hizmetinde bu tip bir ihlale rastlanması da mümkündür.)
  • Erişim Sağlayıcı, trafik bilgilerini zaman damgası ile birlikte 6 ay saklamakla yükümlüdür. Aksi halde faaliyet belgesinin iptali ve internet erişim hizmeti durdurulur.
  • Erişimin Engellenmesi kararını 24 saat içinde yerine getirmek. İdari yaptırım olarak 100.000TL’ye kadar para cezası Koruma tedbiri olarak 6 aydan 2 yıla kadar hapis cezası öngörülmüştür.


Yukarıda görüldüğü bulut bilişim hizmetleri basit görünmesine rağmen hukuken oldukça kompleks bir alandır. Bilgi güvenliği açısından da üzerinde hassasiyetle durulan bir hizmet halini almıştır. Durum böyle olunca salt bulut bilişim hizmetlerinin regüle edilip edilmeyeceği tartışma konusu olmaya başlamıştır.

Bulut hizmeleri her ne kadar özel bir regülasyona tabi olmasa dahi, dağıtık olarak regüle edildiği söylenebilir. Örneğin “Erişim Sağlayıcılık” açısından BTK idari otoritesi altındadır. Verilen hizmete göre BDDK regülasyonlarından dahi doğrudan etkilenmekte, PCI-DSS, ITIL ve COBIT uygulama zorunluluğuna tabi olmaktadır.

III –SONUÇ

Buraya kadar bulut bilişimin ne olduğu, basitçe nasıl işlediği, bilgi güvenliği açısından önemi ve barındırdığı hukuki meseleleri irdeledik. Kısaca bulut bilişimi fayda, yarar ve tehditler yönünden özetleyecek olursak;

1.Faydaları :

 

  • Maliyet ve zaman tasarrufu sağlanması ve yerine göre maliyeti sıfırlaması,
  • Güncelleme hızı ve senkronizasyonu,
  • IT yatırımından kaçınabilmek,
  • Veri güncelleme, işleme ve transferlerinde yüksek performans,
  • Tedirgin etmeyen oldukça geniş depolama hacmi,
  • Çoklu erişim ve ortak çalışma imkanı


2.Dezavantajları :

 

  • Sürekli sabit internet bağlantısı gereksinimi,
  • Yüksek internet hızına ihtiyaç duyulması,
  • Yoğun ortak kullanımlarda performans kaybı ve yavaşlık,
  • Bakım çalışmalarının yarattığı kesintiler,


3.Tehditler :

 

  • Bilgi güvenliği zaafiyetleri, (DDOS atakları, bilişim suçları, bilgi sızmaları)
  • Sözleşmenin iyi kurulmamış olduğu hallerde taraflar arasında yaşanabilecek hukuki ihtilaflar,
  • Loglama zaafiyetleri


Yukarıdaki fayda ve dezavantajlar bir arada değerlendirildiğinde işletmenin büyüklüğüne, işin hacmine göre bir karara varılması çok da zor olmayacaktır. Ancak fayda-dezavantaj dışında belirttiğimiz tehditlerin gerçekleşmemesi ve bu tehditlerin bir dezavantaja dönüşmemesi için hizmet alacak tarafın, hizmet veren tarafı iyi tanıması ve sistemlerin analizini doğru yapması gerekir. Bunun için de olayın özelliğine göre bir danışmana başvurmak gerekebilir.

Sonuç olarak; bulut bilişimi başlıbaşına düzenleyen özel bir yasanın çıkarılması elektronik sınırların olmadığı bir dünyada en azından şimdilik zordur. Nihayette elde kalan en sağlam dayanak, aslında tarafların arasında hazırlanmış ve tarafları ilgilendiren, hatta taraflar arasında adeta özel bir yasa sayabileceğimiz sözleşmelerdir. Bu nedenle tavsiye olarak, bulut bilişim hizmeti veren ve alan arasındaki sorumluluklar, hak ve yükümlülüklerin çok net olarak belirlenmesi, yoruma yer bırakmaması ve birden çok taraf varsa ilişkilerin açık bir şekilde tanımlanması gerektiği söylenebilir.

Av.Burak ÖZCÜ

 


Bu sitede yayımlanan her türlü yazı, tamamen bilgilendirme amaçlı olmakla birlikte herhangi bir tavsiye niteliği taşımamakta ve Türkiye Barolar Birliği’nin ilgili düzenlemeleri uyarınca reklam, teklif, hukuki öneri veya danışmanlık teşkil etmemektedir. Sitenin herhangi bir avukat/müvekkil ilişkisi kurduğu düşünülmemelidir. Bu nedenle okuyucular, profesyonel anlamda yardım talepleri olmadan sadece bu sitede verilen bilgilere göre hareket etmemelidirler. Sitede bulunan bilgiler Avukatlık Meslek Kuralları'na uygun olarak düzenlenmiştir.