Posted on

Düzenleyici Otoritelerin ‘Makul Güvenlik’ Hakkındaki Bakış Açısı [ABD Eyaletler Hukuku]

Amerika Birleşik Devletleri’nin (ABD) birçok eyaleti ve bölgesi, kuruluşların kişisel bilgileri korumak için “makul güvenliği” (reasonable security) sürdürmesini gerektiren yasalara sahiptir[1]. ABD Federal Ticaret Komisyonu (Federal Trade Commission), kuruluşlardan benzer bir beklenti dile getirmiştir[2]. Ancak, çoğu zaman geçerli siber güvenlik yasaları, makul güvenliğin neleri oluşturduğuna dair daha fazla açıklama sağlamaz. Öyleyse, kuruluşlar düzenleyici otoritelerin güvenlik önlemlerini makul olarak görüp görmeyeceğini nasıl belirleyebilir?

Neyse ki, şirketlerin “makul güvenlik” sağlayıp sağlamadıklarını değerlendirmelerine yardımcı olacak bir dizi kaynak mevcuttur. İlk olarak, bir avuç eyalet siber güvenlik yasası bu konuda rehberlik sağlar. İkinci olarak, Federal Ticaret Komisyonu ve belirli eyalet düzenleyici makamları, konuyla ilgili görüşlerini açıklayan kılavuzlar yayınlamıştır. Üçüncü olarak, Federal Ticaret Komisyonu ve eyalet başsavcılarıyla yakın zamanda verilen rıza kararları ve gönüllü uyum teminatları (consent orders and assurances of voluntary compliance), düzenleyici otoritelerin beklentileri hakkında fikir verir.

Bu farklı kaynakları bir araya getirerek Baş Bilgi Güvenliği Sorumluları (Chief Information Security Officer-CISO) ve siber güvenlik uzmanları, “Makul güvenlik nedir?” sorusuna yanıt vermeye başlayabilirler.

1. Eyalet Siber Güvenlik Yasaları

Yasal veya düzenleyici yükümlülükleri anlamak için bakılacak ilk yer, yasanın veya düzenlemenin kendisidir. New York[3] ve Massachusetts gibi bazı eyaletler, geçerli yargı bölgelerinin makul bir bilgi güvenliği programının parçası olarak kabul ettiği risk değerlendirmeleri, çalışan siber güvenlik eğitimi ve tehdit tespiti ve önleme tedbirleri gibi belirli idari, teknik ve fiziksel güvenlik önlemlerinin açıklayıcı, kapsamlı olmayan listelerini sağlar. Diğer eyaletler de farklı bir yaklaşım benimser; örneğin Ohio[4], kuruluşları NIST, CIS ve ISO çerçeveleri[5] gibi belirli, sektör tarafından tanınan siber güvenlik çerçevelerinden birine uyan yazılı siber güvenlik programları uygulamaya teşvik eder. Siber güvenlik yükümlülüklerini anlamaya çalışan kuruluşlar, geçerli muayyen eyalet yasalarını belirleyerek ve bu yasaların koşullarını öğrenerek başlamalıdır.

2. Düzenleyici Rehberlik

Bazı düzenleyici otoriteler ve eyalet başsavcıları, düzenleyici otoritelerin beklentilerine dair bazı içgörüler sağlayan işletmeler için veri güvenliği kılavuzları yayınlamıştır. New York Başsavcılığı Nisan 2023’te, “Tüketicilerin kişisel bilgilerini koruma: İşletmelerin verileri güvende ve emniyette tutması için ipuçları” başlıklı bir rapor yayınlamıştır[6]. Bu rapor, ofisin işletmelerin kişisel bilgileri güvence altına almak için uygulaması gereken ‘asgari’ önlemler olarak gördüğü bir dizi veri güvenliği önlemini tanımlamakta ve işletmeleri özellikle aşağıdakileri yapmaya teşvik etmektedir:

  • Çok faktörlü kimlik doğrulama ve parola karmaşıklığı gereksinimleri gibi güvenli kimlik doğrulaması için kontrolleri sürdürmek.
  • Hassas müşteri bilgilerini şifrelemek.
  • Servis sağlayıcıların makul güvenlik önlemlerini kullanmasını sağlamak.
  • Tüketici bilgilerinin nerede saklandığını bilmek (bir varlık envanteri tutarak).
  • Web uygulamalarında veri sızıntısına karşı önlem almak.
  • Veri güvenliği olaylarına karışan müşteri hesaplarını korumak (örneğin, müşterileri bilgilendirerek ve parolalarını sıfırlayarak).
  • Gereksiz hesapları silmek veya devre dışı bırakmak.
  • Otomatik saldırılara karşı önlem almak.
  • Tüketicilere açık ve doğru bildirimde bulunmak.

Benzer şekilde, Federal Ticaret Komisyonu Ekim 2023’te, 2016 tarihli “Kişisel Bilgilerin Korunması: İşletmeler İçin Bir Kılavuz”[7] (Protecting Personal Information: A Guide for Business) adlı yayını temel alan “Güvenlikle Başlamak: İşletmeler İçin Bir Kılavuz”[8] (Start with Security: A Guide for Business) adlı yayını yayımlamıştır. Federal Ticaret Komisyonu, “Güvenlikle Başlamak” adlı yayınında, 80’den fazla Federal Ticaret Komisyonu kolluk kuvveti eyleminden elde ettiği gözlemlere dayanarak işletmeler için bir dizi güvenlik önerisi sunmaktadır. Önerilerin birkaçı, güvenlik kimlik doğrulama kontrolleri, şifreleme ve satıcı yönetim programları gibi New York Başsavcısının kılavuzunda da bulunmakta; ancak Federal Ticaret Komisyonu’nun yayını daha da ileri giderek, diğer şeylerin yanı sıra, işletmelerin ağ segmentasyonu, uç nokta algılama ve yanıt araçları, güvenlik açığı değerlendirmeleri ve sızma testleri gibi güvenlik önlemlerinin yanı sıra bir dizi ek idari, teknik ve fiziksel güvenlik önlemi kullanmasını önermektedir.

3. Rıza Kararları ve Gönüllü Uyum Teminatları

Düzenleyici otoritelerin rehberleri, düzenleyici makamların getirdiği yaptırım eylemlerinden elde ettikleri bulguları ve önerileri bir araya getirir; ancak düzenleyici otoritelerin beklentileri hakkında daha ayrıntılı bir anlayış geliştirmek isteyen şirketler doğrudan kaynağa, yani düzenleyici makamların bu yaptırım eylemleriyle elde ettiği rıza kararlarına ve gönüllü uyum teminatlarına gidebilirler.

Federal Ticaret Komisyonu, tüketicileri ticarette veya ticareti etkileyen haksız veya aldatıcı uygulamalardan koruyan 1914 tarihli Federal Ticaret Komisyonu Yasası’nın[9] olası ihlallerini araştırma ve bunlara karşı yaptırım uygulama yetkisine sahiptir. Siber güvenlik bağlamında, Federal Ticaret Komisyonu Yasası, genellikle bir siber güvenlik olayı veya veri ihlali sonrasında aldatıcı olarak yorumlanabilecek yanıltıcı bir gizlilik bildirimi gibi gizlilik ve güvenlik ile ilgili faaliyetleri düzenlemek için kullanılır.

Federal Ticaret Komisyonu bir kuruluşa karşı şikâyette bulunursa, bu, kuruluşun resmi bir yaptırım eylemi olmadan iş uygulamalarını değiştirmeyi kabul ettiği gayrı resmi bir çözümle veya Federal Ticaret Komisyonu ile kuruluş arasında iş uygulamalarının değiştirilmesini gerektiren resmi bir anlaşma olan bir onay emriyle sonuçlanabilir. Onay emrine uyulmaması, daha fazla para cezası, masraflı dava veya daha ağır yaptırım eylemleriyle sonuçlanabilir. Onay emirleri genellikle 20 yıl için düzenlenir ve üçüncü taraf bir denetçinin, özellikle belirtilen güvenlik iyileştirmelerinin uygulanıp uygulanmadığını ve sürdürülüp sürdürülmediğini düzenli olarak değerlendirmesini gerektirir.

Gönüllü uyum teminatları ise, eyalet düzenleyici otoritelerinin eyalet veri güvenliği yasalarının, haksız ve aldatıcı ticaret uygulamaları yasalarının ve diğer tüketici koruma yasalarının iddia edilen ihlallerini çözmek için kullanabileceği yasal olarak izin verilen çözümlerdir. Bunlar, gönüllü uyum teminatına giren kuruluşun belirli unsurlardan oluşan yazılı bir bilgi güvenliği programı uygulamak ve eyalete parasal ödeme yapmak gibi belirli eylemlerde bulunma konusunda gönüllü bir vaadini içerir. Bir gönüllü uyum teminatının ihlalleri, bir eyalet düzenleyici otoritesinin kuruluşa karşı bir yaptırım eylemi başlatmasıyla sonuçlanabilir ve gönüllü uyum teminatı böyle bir eylemde delil olarak kullanılabilir.

4. Rıza Kararları ve Gönüllü Uyum Teminatları Genellikle Neleri İçerir?

Rıza kararları ve gönüllü uyum teminatları, Federal Ticaret Komisyonu ve eyalet başsavcılarının kuruluşların uygulamasını istediği belirli güvenlik önlemlerini öngörür. Bazı şartlar söz konusu belirli olaya göre uyarlanmış olsa da, bu anlaşmalarda tekrar tekrar görünen ve başsavcıların makul veri güvenliği olarak gördüğü şeyin temel bileşenlerini temsil eden belirli şartlar vardır. Özellikle, kuruluşların şunları yapmasını gerektirirler:

  • Şirketin faaliyetlerinin büyüklüğüne ve karmaşıklığına, faaliyetlerinin niteliğine ve kapsamına ve kişisel bilgilerin hassasiyetine uygun idari, teknik ve fiziksel güvenlik önlemlerini içeren yazılı kapsamlı bir bilgi güvenliği programını uygulamak, sürdürmek ve gözden geçirmek.
  • Bilgi güvenliği programını denetlemek üzere uygun kimlik bilgilerine, geçmişe, deneyime ve uzmanlığa sahip belirli bir yönetici veya yetkiliyi atamak.
  • Söz konusu bireyin periyodik olarak CEO’ya (en üst seviye yönetici) ve yönetim kuruluna bilgi güvenliği programı hakkında rapor vermesini ve veri güvenliği olaylarını belirli bir zaman dilimi içinde (yani 48 saat içinde) onlara bildirmesini sağlamak.
  • Bilgi güvenliği programının amaçlandığı şekilde işlev görmesini temin etmek için yeterli kaynak ve desteği sağlamak.
  • Yazılı bir olay müdahale planı tutmak, planı yıllık olarak test etmek ve kişisel bilgilerin güvenliğini etkileyen önemli değişikliklere uyum sağlamak için gerektiği şekilde gözden geçirmek.
  • Tanınmış bir yöntem kullanarak yıllık risk değerlendirmeleri yapmak ve bunları bilgi güvenliği programının etkinliğini bilgilendirmek ve değerlendirmek için kullanmak.
  • Kişisel bilgilere erişimi veya kişisel bilgilerin sorumluluğunu gerektiren personele güvenlik farkındalığı eğitimi ve gizlilik eğitimi sağlamak.
  • Yıllık penetrasyon testleri gerçekleştirmek ve bu testlerden elde edilen bulguları güvenlik açıklarını belirlemek, değerlendirmek ve gidermek için kullanmak.
  • Tedarikçilerin değerlendirilmesi için durum tespiti yükümlülüklerini, tedarikçi sözleşmeleri için veri güvenliği yükümlülüklerini ve sözleşmenin süresi boyunca tedarikçileri denetleme süreçlerini ve “önemli” tedarikçiler için geliştirilmiş bir süreci ele alan tedarikçileri denetlemeye yönelik politikalar ve prosedürlerden oluşan bir tedarikçi yönetim programını uygulamak, sürdürmek ve gözden geçirmek.
  • Güvenli veri saklama ve silmeye yönelik politikaları ve prosedürleri uygulamak ve sürdürmek.
  • Varlık envanteri, günlük kaydı ve izleme, uç nokta tespiti ve yanıtlama, veri kaybı önleme, parola yönetimi ve ağ segmentasyonu gibi konuların uygulanması ve sürdürülmesi de dâhil olmak üzere belirli teknik güvenlik önlemlerini uygulamak.
  • Bir kuruluşun “kapsam dâhilindeki olayı” keşfetmesinden itibaren 30 gün içinde bir rapor göndermek ve daha sonra olay tam olarak araştırılıncaya ve tüm düzeltme çabaları tam olarak uygulanıncaya kadar her 30 günde bir güncellemek.

Rıza kararları ve gönüllü uyum teminatları kapsamındaki yükümlülüklerin gereklerinin süresi değişebilir, ancak Federal Ticaret Komisyonu rıza kararlarının 20 yıllık bir süre boyunca yürürlükte kalması yaygındır.

5. Bu Bilgilerin ‘Makul Güvenliği’ Tanımlamak İçin Kullanılması

Kuruluşların uygulaması gereken güvenlik önlemlerinin statik bir listesi yoktur. Siber güvenlik tehditleri ve savunmaları sürekli olarak gelişir ve kuruluşlar yukarıda tartışılan kılavuzlarda, onay emirlerinde ve gönüllü uyum teminatlarında belirtilen belirli güvenlik önlemlerini, uygulandığında bir düzenleyici otoritesinin kişisel bilgileri korumak için makul adımlar attıklarını görmesini sağlayacak “kutuyu işaretle” gereksinimleri olarak görmemelidir.

Bunun yerine, kuruluşlar periyodik risk değerlendirmelerine dayalı yazılı bilgi güvenliği programları oluşturmalı, bu risk değerlendirmelerine dayalı kontroller uygulamalı ve kuruluşların risk profillerindeki ve siber güvenlik ortamındaki değişikliklerle birlikte evrim geçirmelidir. Bu programları tasarlarken, kuruluşlar veri güvenliği yasalarına uyum sağlama ve makul güvenliği sürdürme çabaları için yararlı referans noktaları olarak açıklanan kaynakları kullanabilirler. Rıza kararları ve birçok gönüllü uyum teminatı kamuya açıktır ve siber güvenlik en iyi uygulamalarıyla ilgili olarak neyin beklendiğini daha iyi anlamak için kullanılabilir. Rıza kararlarında ve gönüllü uyum teminatlarında özetlenen yükümlülükler resmi olmayan politika olarak hizmet eder ve yalnızca emir altındaki kuruluş için değil, düzenleyici otoritelerin yargı yetkisi altındaki diğer kuruluşlar için de beklentileri belirler.

6. Asgari Standartları Karşılamak ve Aşmak

Kuruluşlar, rıza kararları ve gönüllü uyum teminatları marifetiyle belirlenen beklentilerin farkına vardıklarında, kendi veri politikalarının ve prosedürlerinin standartlarla uyumlu olup olmadığını değerlendirebilir ve gerektiği gibi değişiklikler uygulayabilirler. Kuruluşlar bu sürece şu şekilde başlayabilir:

  • Risk değerlendirmeleri (risk assessments): Şirketin ağının, tedarikçilerinin ve veri gizliliği uygulamalarının sunduğu riskleri anlamak için kapsamlı bir risk değerlendirmesi yapılmasıdır.
  • Risk tabanlı güvenlik programları (risk-based security programs): Kuruluşu en olası tehditlere karşı korumaya odaklanan, değerlendirme sırasında belirlenen risklerle bu riskleri azaltan güvenlik önlemleri arasında net bir bağlantı kuran risk tabanlı bir güvenlik programı geliştirilmesidir.
  • Eğitim (training): Kuruluşun operasyonlarına göre uyarlanmış bir veri güvenliği olayının gerçek modelini kuruluşa sunan ve kuruluşun hem olay müdahalesi hem de iş sürekliliği perspektifinden nasıl yanıt vereceğini test eden bir masaüstü tatbikatı gerçekleştirilmesidir.
  • Güvenlik değerlendirmeleri/kurgusal denetimler (security assessments/mock audits): Kuruluşun olgunluğunu ölçmek için tanınmış bir sektör çerçevesini kullanarak bir güvenlik değerlendirmesi yapılması ve ardından değerlendirmeden elde edilen bulguları kuruluşun geçerli veri güvenliği yasalarına ve düzenleyici otoritelerin “makul güvenlik” olarak neyi oluşturduğuna ilişkin beklentilerine uygunluğunu değerlendirmek için kullanılmasıdır.
  • Olay müdahale planları (incident response plans): Tehdit ve düzenleyici ortamlardaki en son gelişmeleri yansıttığından emin olmak için olay müdahale planı geliştirilmesi veya gözden geçirilmesidir.
  • Tedarikçi risk yönetimi programları (vendor risk management programs): Tedarikçi riskini değerlendirme ve yönetmeye yönelik politikalar ve prosedürler belirleyen bir tedarikçi risk yönetimi programı geliştirilmesidir.

Bu adımların atılması, kuruluşların ihtiyaç duyduklarında “makul güvenliği” korudukları pozisyonunu savunmalarına yardımcı olmakla kalmayacak, aynı zamanda kuruluşların siber güvenlik uygulamalarını iyileştirmelerine ve ilk etapta önemli bir siber güvenlik olayının meydana gelme riskini azaltmalarına da yardımcı olacaktır.

[1]<https://www.rstreet.org/commentary/the-quest-for-reasonable-security-part-one-obtaining-reasonable-security-using-state-legislation-and-enforcement-action-as-a-guiding-light/>.

[2]<https://www.ftc.gov/news-events/topics/protecting-consumer-privacy-security/privacy-security-enforcement>.

[3]<https://ag.ny.gov/resources/organizations/data-breach-reporting/shield-act>.

[4]<https://codehs.com/standards/framework/OH_CYB>.

[5]NIST: National Institute of Standards and Technology (Ulusal Standartlar ve Teknoloji Enstitüsü); CIS: Center for Internet Security (İnternet Güvenliği Merkezi); ISO: International Organization for Standardization (Uluslararası Standardizasyon Örgütü).

[6]<https://ag.ny.gov/publications/protecting-consumers-personal-information>.

[7]<https://www.ftc.gov/business-guidance/resources/protecting-personal-information-guide-business>.

[8]<https://www.ftc.gov/business-guidance/resources/start-security-guide-business>.

[9]<https://www.ftc.gov/legal-library/browse/statutes/federal-trade-commission-act>.

1966 yılında, Gence-Borçalı yöresinden göç etmiş bir ailenin çocuğu olarak Ardahan/Çıldır’da doğdu [merhume Anası (1947-10 Temmuz 2023) Erzurum/Aşkale; merhum Babası ise Ardahan/Çıldır yöresindendir]. 1984 yılında yapılan sınavda Gazi Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü kazandı. 1985 yılında Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümüne yatay geçiş yaptı ve 1988’de Marmara Üniversitesi İktisadi ve İdari Bilimler Fakültesi Maliye bölümünü birincilikle, Fakülteyi ise 11’inci olarak bitirdi.
1997 yılında Amerika Birleşik Devletleri’nin Denver şehrinde yer alan ‘Spring International Language Center’da; 65’inci dönem müdavimi olarak 2008-2009 döneminde Milli Güvenlik Akademisi’nde (MGA) eğitim gördü ve MGA’dan dereceyle mezun oldu. MGA eğitimi esnasında ‘Sınır Aşan Sular Meselesi’, ‘Petrol Sorunu’ gibi önemli başlıklarda bilimsel çalışmalar yaptı.
Türkiye’de Yatırımların ve İstihdamın Durumu ve Mevcut Ortamın İyileştirilmesine İlişkin Öneriler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü);
Türk Sosyal Güvenlik Sisteminde Yaşanan Sorunlar ve Alınması Gereken Önlemler (Maliye Hesap Uzmanları Vakfı Araştırma Yarışması İkincilik Ödülü, Sevinç Akbulak ile birlikte);
Kayıp Yıllar: Türkiye’de 1980’li Yıllardan Bu Yana Kamu Borçlanma Politikaları ve Bankacılık Sektörüne Etkileri (Bankalar Yeminli Murakıpları Vakfı Eser Yarışması, Övgüye Değer Ödülü, Emre Kavaklı ve Ayça Tokmak ile birlikte);
Türkiye’de Sermaye Piyasası Araçları ve Halka Açık Anonim Şirketler (Sevinç Akbulak ile birlikte) ve Türkiye’de Reel ve Mali Sektör: Genel Durum, Sorunlar ve Öneriler (Sevinç Akbulak ile birlikte) başlıklı kitapları yayımlanmıştır.
Anonim Şirketlerde Kâr Dağıtımı Esasları ve Yedek Akçeler (Bilgi Toplumunda Hukuk, Ünal TEKİNALP’e Armağan, Cilt I; 2003), Anonim Şirketlerin Halka Açılması (Muğla Üniversitesi İktisadi ve İdari Bilimler Fakültesi Tartışma Tebliğleri Serisi II; 2004) ile Prof. Dr. Saim ÜSTÜNDAĞ’a Vefa Andacı (2020), Cilt II, Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler (2021), Prof. Dr. Saim Üstündağ’a İthafen İlmi Makaleler II (2021), Sosyal Bilimlerde Güncel Gelişmeler (2021), Ticari İşletme Hukuku Fasikülü (2022), Ticari Mevzuat Notları (2022), Bilimsel Araştırmalar (2022), Hukuki İncelemeler (2023), Prof. Dr. Saim Üstündağ Adına Seçme Yazılar (2024), Hukuka Giriş (2024) başlıklı kitapların bazı bölümlerinin de yazarıdır.
1992 yılından beri Türkiye’de yayımlanan otuza yakın Dergi, Gazete ve Blog’da 2 bin 500’ü aşan Telif Makale ve Telif Yazı ile tamamı İngilizceden olmak üzere Türkçe Derleme ve Türkçe Çevirisi yayımlanmıştır.
1988 yılında intisap ettiği Sermaye Piyasası Kurulu’nda (SPK) uzman yardımcısı, uzman (yeterlik sınavı üçüncüsü), başuzman, daire başkanı ve başkanlık danışmanı; Özelleştirme İdaresi Başkanlığı GSM 1800 Lisansları Değerleme Komisyonunda üye olarak görev yapmış, ayrıca Vergi Konseyi’nin bazı alt çalışma gruplarında (Menkul Sermaye İratları ve Değer Artış Kazançları; Kayıt Dışı Ekonomi; Özkaynakların Güçlendirilmesi) yer almış olup; halen başuzman unvanıyla SPK’da çalışmaktadır.
Hayatı dosdoğru yaşamak ve çalışkanlık vazgeçilmez ilkeleridir. Ülkesi ‘Türkiye Cumhuriyeti’ her şeyin üstündedir.

Okurlarımızın Bilgisine:
Legal Blog’da ve Legalbank'ta yayımlanan blog yazıları, yazarların görüşlerini aktardığı yazılar olup yazanın görüşlerinin Legal Yayıncılık A. Ş. tarafından benimsendiği manasına gelmemektedir. Blog yazıları, hakemli makale formatında olmayıp bilgi verme amaçlıdır. Kesinlikle hukuki mütalaa ya da tavsiye niteliğinde değildir.
Legal Yayıncılık A.Ş.