Internet erişiminiz varsa, web siteniz varsa sorumlusunuz. Hala bu konuda bir şey yapmadıysanız risk altındasınız. Kullanıcılarınızın internet kullanımı size pahalıya patlayabilir. Kayıtsız kalmayın!..

    2007'de çıkmasına rağmen, yaşanan olaylarla yeni yeni firmaların gündemine giren, hukuki yönünü IT yöneticilerinin ve IT yönünü de hukukçuların anlamadığı, hatta bu konuda ürünü olan firmaların dahi kafasının karıştığı bir konudur. Bu nedenle önce kanunu doğru anlamak gerekiyor.

    23 Mayıs 2007'de Resmi Gazete'de yayınlanıp yürürlüğe giren 5651 Sayılı kanunun içeriği "Internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi" şeklinde açıklanmaktadır. Aynı şekilde bu kanunun amacı "İçerik sağlayıcı, yer sağlayıcı, erişim sağlayıcı ve toplu kullanım sağlayıcıların yükümlülük ve sorumlulukları belirlemesi ile internet ortamında işlenen belirli suçlarla içerik, yer ve erişim sağlayıcıları üzerinden mücadeleye ilişkin esas ve usulleri düzenlemesi" olarak ifade edilmektedir. Ayrıca daha sonra çıkarılan yönetmeliklerle1 aktörlerin yükümlülük ve sorumlulukları ayrıntılı olarak tanımlanmaktadır.

    Internet ortamı nedir?

    Kanun, bu konudaki esas ve usulleri düzenleyerek ve buna ilişkin aktörleri belirleyerek, internet ortamında işlenen suçlarla mücadele etmeyi hedeflemiştir. Burada bahsedilen internet ortamından ne anlamamız gerekiyor? Kanunda bahsedilen tüm ögeler tek tek tanımlanmıştır. Buna göre internet ortamı "Haberleşme ile kişisel veya kurumsal bilgisayar sistemleri dışında kalan ve kamuya açık olan Internet üzerinde oluşturulan ortam" şeklinde tanımlanmıştır. Burada mail yoluyla yapılan haberleşme de aslında internet üzerinden yapılan bir işlemdir ama kanun kapsamı dışında bırakılmıştır. Peki, internet ortamında yapılan yayın ne anlama geliyor? Bunu da kanun şöyle açıklamış: "Internet Ortamında yer alan ve içeriğine belirsiz sayıda kişilerin ulaşabileceği veriler". Yani internet üzerinden erişilen kullanıcı hesabı ile erişilen ortamlar kapsam dışındadır.

    Aktörleri Kimlerdir?

  - Erişim Sağlayıcı; "Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlayan gerçek veya tüzel kişiler".

  - Yer Sağlayıcı; "Internet ortamında hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişiler".

  - İçerik Sağlayıcı; "Internet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişiler".

  - Internet Toplu Kullanım Sağlayıcı; "Internet toplu kullanım sağlayıcılarına ve abone olan kullanıcılarına internet ortamına erişim olanağı sağlayan işletmeciler ile gerçek veya tüzel kişiler".

    Burada bu aktörlerin yükümlülüklerinin detayına girmeyeceğim. Daha çok aktörlerin rolleri nasıl belirleniyor, kim hangi kapsama giriyor, bundan bahsedeceğim.

    Erişim sağlayıcılığı faaliyeti bir Telekomünikasyon hizmetidir. Burada kastedilen ISP, GSM gibi erişim hizmeti veren firmalardır. Eğer bir kurum erişim sağlayıcı aracılığıyla kullanıcılarının internete erişimini sağlıyorsa, Toplu Internet Kullanım Sağlayıcısıdır. Bu açıdan bakınca neredeyse tüm firmalar bu role sahiptir diyebiliriz. Eğer bu firmanın bir web sitesi varsa İçerik Sağlayıcısı, yine aynı firma web sitesini kendi lokasyonunda barındırıyorsa Yer Sağlayıcısı rolünü de üstlenmiş demektir. Yani Yer Sağlayıcılar sadece sunucu barındıran firmalardan oluşmuyor, sadece kendi sitenizi barındırıyor dahi olsanız kanun kapsamına giriyorsunuz, dolayısıyla da ek yükümlülüklere sahip oluyorsunuz.

    Uygulayıcıları Kimlerdir?

    Bu konuda Bilgi Teknolojileri ve İletişim Kurumu (Telekomünikasyon Kurumu) ve Telekomünikasyon İletişim Başkanlığı (TİB) yetkilidir.

    Cezası nedir?

    Her olay için ayrı ayrı olmak üzere altı aydan 2 yıla kadar hapis ve 2.000 TL'den 100.000 TL'ye kadar para cezası vardır.

    Sorumlular kimlerdir?

    Firmanın en üst kademedeki yöneticisi ile bilgi işlem yöneticisi sorumlu tutulmaktadır.

    Çözümler nelerdir?

    Rolleri belirledikten sonra bu konuda neler yapabiliriz diye bir bakalım. Toplu internet kullanım sağlayıcılığı rolü için birden fazla durum vardır. Örneğin internet erişiminden bir kazanç elde ediliyorsa "Ticari Amaçlı Toplu Internet Kullanım Sağlayıcısı" olunuyor ve ilgili yönetmelikte yükümlülükleri detaylı olarak açıklanıyor. Bu firmalar TİB onaylı cihaz kullanmak zorundalar.

    Ben daha çok Toplu Internet Kullanım Sağlayıcılarından, yani kullanıcısına internet olanağı sağlayan firmaların ne yapabileceğinden bahsedeceğim. 5651 Sayılı Kanunun gerekliliklerini tam olarak yerine getirebilmek için, öncelikle firmanın hangi noktalardan internet erişimini sağlandığının belirlenmesi gerekiyor. Bu konuda bir firmaya ait tek bir çözüm olmayabilir. Çünkü pek çok firma misafir kullanıcıları için kablosuz ağları, kendi iç kullanıcıları için de yerel ağları kullanmakta ve iki ağı birbirinden ayrı olarak kullanmayı tercih etmektedir. Çoğunlukla da kablosuz ağlar 5651 Kanunu kapsamında düşünülmeyip göz ardı edilir.

    Öncelikle kablosuz ağları ele alalım. Genellikle bu ağlar bir ADSL modem kullanarak internet erişimi sağlarlar. Ağa dâhil olan kişilerin kim olduklarını anlamamızı sağlayacak ya da 26.9.2004 tarihli ve 5237 sayılı Türk Ceza Kanunu kapsamında kanunen suç sayılan sitelere erişimini denetleyecek bir araç yoktur. Kanun bu sitelere erişim için önlem alınmalıdır diyor ama bunun yöntemini firmaya bırakıyor. Ağa dâhil olan ve internete çıkan kullanıcıların kimlik bilgilerinin, DHCP ve web erişim loglarının tutulması gerekmektedir. Bu konuda Türk firmaları tarafından üretilen çözümler bulunmaktadır. Bu çözümler donanım ve yazılım tabanlıdır. Bu ürünler kimlik bilgisini elde etmek için SMS, özel ara yüz gibi çeşitli özelliklere sahiptir. Yönetim ara yüzleri web tabanlıdır. Çoğunlukla in-line olarak konumlandırılır. Loglar bir sertifikayla imzalanarak zaman damgası ile saklanır. Kullanıcı sayısına göre lisanslanır. Ancak bu yazılımların hazır olduğunu söyleyemeyiz, kanunun kendisi nasıl gelişmeye açıksa bu çözümlerin de hala geliştirilmeye ihtiyacı olduğunu gözlemlemekteyiz. Aslında yurtdışı kaynaklı firmaların kanunun ihtiyaçlarına cevap verebilecek profesyonel log yönetimi çözümleri var, ancak bunlar KOBİ'ler için çok maliyetli oluyor. Bu firmaların Türkiye için kanuna uygun çözüm üretmeleri efektif bulunmuyor.

    Yerel ağlarda ise kullanıcılar genellikle ortak bir noktadan bir Proxy/Web Gateway üzerinden internete çıkarlar. Ayrıca içeride kullanıcılara IP adresi dağıtan DHCP sunucuları vardır. Burada yapılması gereken bu sunuculardan log toplamak ve logları bir sertifikayla imzalayarak zaman damgası ile saklamaktır. Bunun için kullanılacak ürün firmaların küçük/orta/büyük ölçekli olmasına göre değişmektedir. Büyük ölçekli firmalar hem topolojik olarak hem de kullanılan cihazların çeşitliliği nedeniyle, kanundan bağımsız olarak zaten bir log yönetimi ürününe ihtiyaç duyarlar. Artık günümüzde kurum içi politikalarının ne kadarının uygulandığı, bilgi ve olay yönetimi firma için büyük önem taşıyor. Bu ürünler, 5651 kanunun gerektirdiği işlemleri de yaparlar. Yurtdışı kaynaklı firmaların ürettiği log yönetimi ürünleri büyük ölçekli firmalar tarafından tercih edilmektedir. Küçük ölçekli ve kısmen orta ölçekli firmalar yukarıda bahsettiğim Türkiye'de üretilmiş daha basit çözümleri tercih etmektedirler. Eğer firma web sitesini kendi lokasyonunda barındırıyorsa HTTP, FTP ve SMTP loglarını da 6 ay zaman damgası ile saklamak zorundadır. Log yönetimi cihazları aynı şekilde bu işi de yapabilmektedir.

    Belirsiz konular nelerdir?

    Toplu Internet kullanım sağlayıcıları için yayınlanmış olan yönetmelikte logların ne kadar süreyle tutulacağı ve nasıl saklanacağına ilişkin bir açıklama yoktur. Ayrıca sadece iç IP dağıtım loglarından bahsedilmektedir. Suç oluşturan sitelere erişiminin kimin tarafından yapıldığının anlaşılması, mevcut yönetmeliğin getirdiği yükümlülüklerle mümkün değildir. Verinin değiştirilemez olduğunu ispatlayan zaman damgasının zorunlu olmaması ayrı bir sorundur. Internet'te dava konusu olacak bir olay meydana geldiğinde, tutulan kayıtların belge niteliğinde olabilmesi için nitelikli imza ile imzalanmış olması, değiştirilemez olduğunun belgelenmesi beklenir. Bu nedenle, bununla ilgili oluşturulan çözümler yoruma dayanmaktadır. Zaman içerisinde ihtiyaçlar dâhilinde kanunda ve yönetmeliklerde yeni düzenlemelerin olacağını düşünüyorum.

    Eğer hala bu konuda bir şey yapmadıysanız, bir an önce başlayın. "Kayıt"sız kalmayın…

    Yönetmelikler

  - "Telekomünikasyon Kurumu Tarafından Erişim Sağlayıcılara ve Yer Sağlayıcılara Faaliyet Belgesi Verilmesine İlişkin Usul ve Esaslar Hakkında Yönetmelik" (24 Ekim 2007 Tarih ve 26680 Sayılı Resmi Gazete)

- "İnternet Toplu Kullanım Sağlayıcıları Hakkında Yönetmelik" (1 Kasım 2007 Tarih ve 26687 Sayılı Resmi Gazete)

- "İnternet Ortamında Yapılan Yayınların Düzenlenmesine Dair Usul ve Esaslar Hakkında Yönetmelik" (30 Kasım 2007 Tarih ve 26716 Sayılı Resmi Gazete)



Seval Demir kimdir?

1968 doğumlu olan Seval Demir üniversitede İktisat bölümünde öğrenim gördü. Uzun yıllar bankacılık sektöründe çalıştıktan sonra IT sektörüne geçiş yaptı. 2001 yılında çalışmaya başladığı Oyak Teknoloji'de (OYTEK) çeşitli alanlarda görev yaptı. Demir, halen OYTEK'te Kurumsal Satış ve Çözüm Danışmanlığı bölümünde Güvenlik Çözüm Danışmanı olarak çalışıyor. Amatör fotografçılık yapan Seval Demir, aynı zamanda sinema kurgusu ile ilgilenmekte ve kültür gezileri yapmaktan hoşlanmakta.