Birleşik Krallık Veri Merkezi Güvenliğinin Artırılması: Birleşik Krallık Hükümetince Başlatılan İstişare

1. Veri merkezleri: temel bilgiler

Veri merkezleri modern ekonominin en önemli parçalarından biridir. Kuruluşlar tarafından verilerini depolamak, denetlemek ve işlemek için kullanılan uzmanlaşmış işletmelerdir. Ortalama bir büyük işletme binlerce terabayt veri depolamaktadır[1]. Her geçen yıl artan ölçek[2] göz önüne alındığında, bu önemli miktardaki veriyi şirket içinde depolamak (teknik ve ticari olarak) son derece verimsiz olacaktır.

Veri merkezleri, güvenli ve düzenlenmiş ortamlarda bulunan sağlam ana bilgisayarlardan yararlanırlar. Bu tesislerin sahip olduğu özel ekipman miktarı ve işletme maliyetlerinin müşteriler arasında yayılmasıyla, verilerin elektronik olarak depolanmasının fiyatı düşüyor; öyle ki neredeyse tüm işletmeler, veri merkezleri tarafından işletilen bulut depolamaya güvenecektir. Veri merkezleri yorumcularının, veri merkezlerinin su, elektrik ve doğal gazla birlikte ‘dördüncü hizmet sağlayıcısı’ (4th utility) olduğunu söylemesi alışılmadık bir durum değildir.

Veri merkezleri bir kuruluşun günlük olarak kesintisiz işleyişi için gerekli olduğundan, güvenlik düzeyinin yüksek tutulması hayati önem taşımaktadır.

Veriler daha değerli hale geldikçe veri merkezleri, siber saldırılar ve aşırı hava koşulları gibi önemli verilere erişimi kesintiye uğratabilecek olaylara karşı daha fazla risk altındadır.

2. Veri merkezlerine ilişkin mevcut düzenleme

Birleşik Krallık Hükümeti, üçüncü taraf veri merkezlerinin yüksek düzeyde riske tabi olduğunu ileri sürmektedir. Tehditlere karşı savunmayı sağlayacak gözetim, test, kurumsal yönetişim ve yasal mekanizmalar yoktur. Sonuçta Birleşik Krallık’ta bu sektörün güvenliğini ve dayanıklılığını düzenleyen doğrudan bir düzenleme bulunmamaktadır.

Bu, diğer Birleşik Krallık yasalarının veri merkezleri üzerinde etkisi olduğu anlamına gelmez. Birleşik Krallık’taki veri merkezlerinin güvenliğiyle ilgili en önemli yasalardan biri Genel Veri Koruma Yönetmeliği’dir (United Kingdom General Data Protection Regulation[3]).

Birleşik Krallık Genel Veri Koruma Yönetmeliği uyarınca iki önemli terimin anlaşılması önemlidir: veri denetleyicisi ve veri işleyicisi. Veri merkezleri kontrolör, işlemci veya her ikisi birden olabilir.

Veri denetleyicisi kişisel verilerin genel kontrolünü yürütürken ve işleme amaçlarını ve araçlarını belirlerken, veri işleyicisi kişisel verileri denetleyici adına ve denetleyicinin talimatlarına uygun olarak işler. Bir veri merkezinin işleyeceği kişisel verilerin çoğu, işlemci olarak kullanılacaktır.

Birleşik Krallık Genel Veri Koruma Yönetmeliği, kişisel verilere yönelik riske uygun bir güvenlik düzeyi sağlamak için hem kontrolörlerin hem de işleyicilerin uygun teknik ve organizasyonel önlemleri uygulamaktan sorumlu olduğu açıktır. Bu önlemler şunları içermektedir:

  • Takma ad kullanımı ve kişisel verilerin şifrelenmesi;
  • İşlemenin devam eden gizliliğinin, bütünlüğünün, kullanılabilirliğinin ve esnekliğinin sağlanması;
  • Fiziksel veya teknik bir olay durumunda kullanılabilirliğin ve kişisel verilere erişimin zamanında yeniden sağlama yeteneğine sahip olunması,
  • Teknik ve organizasyonel önlemlerin etkinliğinin sürekli olarak test edilmesi, değerlendirilmesi ve değerlendirilmesi.

Kısacası, bir veri merkezinin kişisel verileri işlediği durumlarda (sahip olabilecekleri geniş müşteri yelpazesi göz önüne alındığında çoğu kişi bunu yapacaktır), bu verileri korumak için uygulamaya konması gereken minimum güvenlik standartları olacaktır. Ancak Birleşik Krallık Genel Veri Koruma Yönetmeliği kuralcı değildir. Veri merkezlerinin ‘dördüncü hizmet’ olarak önemi göz önüne alındığında, Birleşik Krallık Genel Veri Koruma Yönetmeliği (ki, tüm kuruluşlar için geçerlidir) kapsamında yasal işlemeyi sağlamak için yeterli olabilecek güvenlik standartları, veri merkezlerini gelişmiş bilgisayar korsanlarından ve/veya ulusal güvenlik tehditlerinden korumak için yeterli olmayabilir.

3. Tasarı çerçevenin önerilme nedeni

Birleşik Krallık Hükümeti uzun süredir hem siyasi hem de finansal sebeplerle siber saldırıların artması konusunda alarm veriyordu[4]. Bir veri merkezine yapılacak karmaşık bir siber saldırı, onu kullanan tüm işletmeleri etkileyebilir ki; bu da ‘kritik’ bir güvenlik riskidir.

Veri merkezi güvenliğini artırmaya yönelik açık ekonomik teşvikler de mevcuttur. Siber saldırılardan veya diğer faktörlerden kaynaklanan kesintilerin süresi, maliyeti ve ciddiyeti artmaya devam etmektedir. Uptime Institute’nin 2022 tarihli araştırmasına[5] göre kesintiler giderek daha pahalı ve sıklaşıyor. Veri merkezi kesintilerinin %30’undan fazlası 24 saatten uzun sürüyor ve çoğu durumda hizmet operatörlerine 78 bin 700 pounddan (£) fazla maliyet sağlıyor. Uptime Institute’ye göre bunun en büyük nedeni, kurumsal ekonomik faaliyetlerin dijital hizmetlere ve veri merkezlerine artan bağımlılığıdır. Bu nedenle, veri merkezi operatörlerinin dayanıklılıklarını ve güvenliklerini artırmaya devam etmeleri çok önemlidir.

Birleşik Krallık Hükümeti; veri depolama ve işleme altyapısına yönelik riskler hakkında görüş çağrısı[6] yaptıktan sonra, veri merkezlerinin güvenliğini değerlendirmek ve test etmek için Ulusal Siber Güvenlik Merkezi ve Ulusal Koruyucu Güvenlik Otoritesi (National Cyber Security Centre and National Protective Security Authority) ile birlikte çalışmak[7], Kabine Ofisi (Cabinet Office) ile birlikte çalışmak ve riskleri ve potansiyel azaltımları belirlemek amacıyla veri merkezi sektörüyle etkileşimde bulunmak için 14 Aralık 2023 tarihinde veri merkezlerini de içeren veri altyapısının güvenliğinin ve dayanıklılığının korunması ve artırılması konusunda bir istişare başlatmaya karar vermiştir.

Hükümet, en etkili ve bilinçli kararı verebilmek için etkilenen/ilgilenen işletmelerin aktif olarak görüş ve uzmanlıklarını araştırmaktadır.

4. Tasarı düzenleyici çerçevede yer alan hususlar

Hükümet, Birleşik Krallık’ın veri altyapısının sürekli güvenliğini ve dayanıklılığını geliştirmek ve garanti altına almak için yeni bir yasal çerçeve sunmayı teklif ediyor. Amaç, Birleşik Krallık’taki tüm ilgili operatörlerin riskleri etkili bir şekilde ele aldığından ve azalttığından emin olmaktır.

Hükümetin önerileri, siber saldırılar ve fiziksel saldırılar, ekipman arızası ve aşırı hava koşulları gibi tehlikelerden kaynaklanan dayanıklılık riskleri ve endüstri genelinde zayıf bilgi paylaşımı ve işbirliği gibi temel endişelerin önlenmesine odaklanıyor.

Veri merkezleri işleten veya benzer hizmetleri sağlayan kuruluşların aşağıdaki şartlara uymasının gerekli olması amaçlanmaktadır:

  • Belirlenen düzenleyici kuruluşa zorunlu kayıt ve önemli olayların raporlanması da dâhil olmak üzere Birleşik Krallık faaliyetleri ile ilgili ilgili bilgilerin sürekli olarak sağlanması. Bu, yapılan istişarelerden sonra henüz tanımlanmamış veya oluşturulmamıştır. Düzenleyiciye, temel güvenlik ve dayanıklılık önlemlerinin güvence altına alınmasını zorunlu kılacak mekanizmaları kullanarak yeni çerçeveyi uygulamak, yönetmek ve uygulamak için düzenleyici bir işlev atanacaktır.
  • Güvenlik ve dayanıklılığa yönelik riskleri yönetmek için uygun ve orantılı teknik ve organizasyonel önlemlerin alınması. Hükümet, Ağ ve Bilgi Sistemleri düzenlemeleri (network and information systems regulations[8]) kapsamında ilgili dijital hizmet sağlayıcılara yönelik tedbirlere benzer tedbirler almayı düşünüyor. Ağ ve Bilgi Sistemleri düzenlemeleri, dijital hizmetlerin sağlanması için gerekli olan ağ ve bilgi sistemlerine yönelik yasal önlemler getirerek bunların genel güvenliğini artırmayı amaçlamaktadır.

Veri merkezlerinin güvenliğini ve dayanıklılığını korumak ve geliştirmek amacıyla; risk yönetimi, tesislerin fiziksel ve siber güvenliği (örneğin şifreleme, sistem arızası, insan hatası), olay yönetimi (tespit, analiz ve kontrol altına alma), dayanıklılık ve hizmet sürekliliği (hizmet sunumunu kabul edilebilir önceden tanımlanmış düzeylerde sürdürmek veya eski haline getirmek), kurumsal yönetişim ve personel, izleme, tespit, denetim ve test gibi temel ve tedarik zinciri yönetimi önlemlerinin (uygun politikaları oluşturmak ve sürdürmek) alınması önerilmektedir.

5. Makale yazarının yorumu

Hükümetin bu teklifi, veri merkezlerine bağımlı olan işletmelerin korunmasının arttırılmasına yönelik önemli bir adımı temsil etmektedir.

Önerilen düzenlemelerin çoğu Birleşik Krallık Genel Veri Koruma Yönetmeliği kapsamındaki yükümlülüklerle uyumludur. Teklifte Birleşik Krallık Hükümeti tarafından önerilen dilin ve Birleşik Krallık Genel Veri Koruma Yönetmeliğine ilişkin ilgili ifadenin dikkate alınması gerekmektedir. Birleşik Krallık Genel Veri Koruma Yönetmeliği, örneğin mevcut bir bilgi güvenliği politikasını ve teknik ve organizasyonel önlemleri uygularken fiziksel ve çevresel güvenliğin dikkate alınmasını hâlihazırda öngörmektedir.

Şu anda yeni bir düzenleyici kurumun oluşturulup oluşturulmayacağı veya mevcut bir düzenleyici kurumun bu sorumlulukları üstlenip üstlenmeyeceği belirsizliğini korumaktadır. Örneğin Bilgi Komiserliği Ofisi’nin (Information Commissioner’s Office) bu yeni düzenleyici görevleri üstlenmesi durumunda, düzenleyicinin Birleşik Krallık’taki çoğu kuruluşu ve serbest tüccarı denetleme (gerçekte) konusundaki kapsamlı yükünü daha da artıracaktır.

6. Sıradaki hususlar

Mezkûr istişare 22 Şubat 2024 tarihinde sona erecektir. İstişare bittikten sonra Hükümet, ilgili paydaşlarla iletişim kurmaya ve ortak risk ve tehditleri ele almak için kolektif risk azaltma ve ortak eylemi araştırmak üzere diğer yargı bölgelerindeki hükümetlerle iletişim kurmaya devam ederken, yanıtları ve ilerideki teklifleri hakkında bilgi verecek kanıtları değerlendirecektir.

Bu hukuki çerçevenin yürürlüğe girmesi halinde (ve istişareler sonucunda değiştirilmediği takdirde), ilgili veri merkezi sağlayıcılarının yalnızca belirlenen düzenleyici kuruma kaydolması gerekeceği görülmektedir. Tasarıda önerilen çerçevenin bir parçası olarak veri merkezlerine ilişkin güvenlik yükümlülüklerinin artırılıp artırılmayacağı henüz bilinmemektedir.

[1] < https://www.forbes.com/sites/forbesbusinesscouncil/2023/07/21/making-the-world-a-safer-place-for-data-with-evolved-visibility-and-security/?sh=3754319f3227 >

[2] < https://techmonitor.ai/technology/data/data-storage-costs-uk-it >

[3] < https://www.legislation.gov.uk/eur/2016/679/contents >

[4] < https://www.ncsc.gov.uk/news/ncsc-warns-enduring-significant-threat-to-uks-critical-infrastructure >

[5] < https://uptimeinstitute.com/uptime_assets/6768eca6a75d792c8eeede827d76de0d0380dee6b5ced20fde45787dd3688bfe-2022-data-center-industry-survey-en.pdf >

[6] < https://www.gov.uk/government/publications/data-storage-and-processing-infrastructure-security-and-resilience-call-for-views/data-storage-and-processing-infrastructure-security-and-resilience-call-for-views >

[7] < https://www.npsa.gov.uk/data-centre-security >

[8] < https://ico.org.uk/for-organisations/the-guide-to-nis/security-requirements/ >

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.