5651 YASASI (5651 Sayılı Kanun) ve LOG ÇÖZÜMLERİ
5651 Yasası Nedir
İnternet ortamında işlenen suçlarla mücadele edilmesi hakkında; 5651 kanun numarasıyla, 4 Mayıs 2007 tarihinde kabul edilmiş ve 26530 sayılı resmi gazetede, 23 Mayıs 2007 tarihinde yayımlanmış bir yasadır.
5651 Yasasının Amacı
15 Kasım 2008’de resmi olarak yürürlüğe girmiş olan ve yönetmelikler ile kapsamı genişletilen 5651 yasası, internet üzerinde suç oluşturabilecek durumlara karşı suçlunun takibi ve bulunması amacıyla çıkarılmıştır. Bu sayede, internet üzerinden işlenen bilişim suçlarının önemli ölçüde önüne geçilerek, kullanıcıların internet üzerinden aldatılmalarını ve yasal içerikte olmayan, kötü amaçlı içeriklerden korunması amaçlanmaktadır.
5651 Yasası Ne Anlama Gelmektedir
5651 sayılı kanun maddesi kamu kurumları, özel şirketler ve kullanıcılar için bir öneri niteliği taşımamaktadır. İlgili kanun maddesinin gereklerinin yerine getirilmesi zorunlu kılınmıştır. Kanun maddesini yerine getirmeyen ilgili kurumlar için kanuni yaptırımlar söz konusudur. Bu yaptırımlar; uyarı, para cezası, hapis, kapatma ve yayından kaldırma v.b. şeklindedir.
Kanun maddesince alınması istenen tedbirler, aslında kullanıcıların çıkarlarını gözetmekte olup, uygulanmadığı takdirde kullanıcıya maddi zararlar açabileceği gibi, ilgili kuruluş için itibar kaybına da sebep olacaktır.
Yasa Kimleri Kapsıyor
5651 yasası; ister ücretli, ister ücretsiz birden fazla kullanıcıya bir veya birden fazla internet bağlantısı üzerinden erişim hizmeti sağlayan tüm kurum ve kuruluşları kapsamaktadır.
-
Erişim Sağlayıcılar
Kullanıcılarına İnternet ortamına erişim olanağı sağlar. 406 sayılı Telefon ve Telgraf Kanunu ve Telekomünikasyon Hizmet ve Alt Yapılarına İlişkin Yetkilendirme Yönetmeliği çerçevesinde Bilgi Teknolojileri ve İletişim Kurumu tarafından yetkilendirilen işletmeler erişim sağlayıcılığı faaliyetinde bulunabilirler. TTNET A.Ş., Superonline A.Ş., Borusan Telekom ve İletişim Hizmetleri A.Ş. gibi şirketler örnek olarak verilebilir. -
Yer Sağlayıcılar
İnternet ortamında, hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişilerdir. Yer sağlama işini ticari olarak yapan hosting firmaları başta olmak üzere, ticari olmasa da kendi sitelerini barındıran gerçek kişiler, kamu kurumları, üniversiteler, dernekler, şirketler, vakıflar vb. kuruluşlar da yer sağlayıcılığı faaliyetinde bulunabilirler. -
İçerik Sağlayıcılar
İnternet ortamı üzerinden kullanıcılara sunulan her türlü bilgi veya veriyi üreten, değiştiren ve sağlayan gerçek veya tüzel kişilerdir. Günlük gazeteler, dergiler içerik sağlayıcılara örnek olarak verilebilir. Yasaya göre; içerik sağlayıcılar, internet ortamında kullanıma sundukları her türlü içerikten dolayı sorumludurlar. Yine ticari veya ekonomik amaçlı içerik sağlayıcılar, tanıtıcı bilgilerini kendilerine ait internet ortamında kullanıcıların ulaşabileceği şekilde ve güncel olarak bulundurmakla yükümlüdürler. Aksi takdirde, Telekomünikasyon iletişim Başkanlığı’nca idari para cezası verilebilir. -
İnternet Toplu Kullanım Sağlayıcılar
Kişilere belli bir yerde ve belli bir süre internet ortamı kullanım olanağı sağlar. Fakat bu faaliyeti kar amacıyla değil, sosyal ya da bir yan hizmet olarak yerine getirir. Kamu kurum ve kuruluşları, üniversiteler, şirketler, oteller gibi çalışanlarına ve müşterilerine internet erişim olanağı sunan yerler internet toplu kullanım sağlayıcıdır. - Ticari Amaçla İnternet Toplu Kullanım Sağlayıcılar
İnternet salonu ve benzeri umuma açık yerlerde belirli bir ücret karşılığı internet toplu kullanım sağlayıcılığı hizmeti veren veya bununla beraber bilgisayarlarda bilgi ve beceri artırıcı veya zekâ geliştirici nitelikteki oyunların oynatılmasına imkân sağlayan gerçek ve tüzel kişilerdir. Başta halk arasında “internet kafe” olarak bilinen yerler olmak üzere benzeri yerler ticari amaçla internet toplu kullanım sağlayıcıdır.5651 No'lu Yasa ve Yükümlükleri
5651 no’lu yasa ile ilgili Telekomünikasyon Kurumu (TİB) her kurum için bazı yükümlülükler getiriyor. 4 Mayıs 2007 tarihinde kabul edilen yasa ve paralelinde yayınlanan yönetmelikler ile kurum ve kuruluşlar aşağıdaki yükümlülükleri yerine getirmek zorundadır.-
İç IP adres dağıtım loglarının toplanması (DHCP Logları)
-
Kullanıcıların web erişim olaylarının toplanması
-
Kullanıcıların web erişimlerinde içerik tabanlı filtre uygulanması (URL Filtering)
-
Oluşan verilerin bütünlük değerlerinin (hash) zaman damgası ile saklanması ve gizliliğinin temin edilmesi
Genel Olarak 5651 Yasası
Bilgisayar kullanıcıları, internet teknolojisi sayesinde internet (web) sayfaları üzerinden bilgi paylaşımı, eğlence, iletişim kurmak, hizmet vermek ve kendilerini tanıtmak gibi birçok ihtiyacını karşılamaktadır. Artık hayatımızın olmazsa olmazları arasında yer alan internet ortamı, faydalarının yanı sıra birçok tehdidi de beraberinde getirmiştir.
Kötü amaçlı kişi veya kişiler, haksız kazanç elde etmek için, kullanıcıların kişisel bilgilerini çalarak çıkar amaçlı kullanmaktadırlar. Kullanıcı bilgileri ile kullanıcıları dolandırmak, bilgilerini pazarlayarak haksız kazanç elde etmek ya da işledikleri bir suçu habersiz masum kullanıcılar işlemiş gibi göstererek kendilerini gizlemektedirler.
Kanun maddesi, kullanıcı bilgilerinin çalınmasına sebebiyet verebilecek ve suç unsuru içeren tüm internet sayfalarına, bilinçli veya bilinçsiz olsa dahi, erişimlerin engellenmesini istemektedir. Fakat büyük bir hızla hemen her gün bir yenisinin yayınlandığı internet sayfalarının, kontrol altına alınması neredeyse imkânsızdır. Henüz kara listeye alınmamış bir internet sayfası üzerinden işlenebilecek olası suçların, daha sonra takip edilebilmesi ve kim tarafından nasıl gerçekleştirildiğinin bilinmesi amacıyla internet sayfalarına erişen tüm kullanıcıların kayıtlarının (loglarının) zaman tarih mührü ile tutulmasını ve saklanmasını istenmektedir. İster yasal içerikte olsun ister olmasın tüm erişimlerinin kayıtlarının tutulması gerekmektedir ve bu kayıtların 6 ay ila 2 yıl arasında süre ile saklanması istenmektedir.
Sonuç olarak, ilgili kanun maddesi, tüm bu olumsuzlukları en aza indirmeyi amaçlamaktadır. Bu sebeple internet ortamında savunmasız bulunan kullanıcıların, hizmet aldıkları kurumlar tarafından koruma altına alınmasını istenmektedir. Kanun maddesinde istenen bu yaptırımlar, hizmet sağlayan kurumların, hem müşterilerini korumasına ve hem de daha iyi hizmet verebilmelerine yarımcı olmaktadır.
5651 No'lu Yasa Kapsamında Neler Yapıyoruz
Öncelikle kurumunuz ile ilgili yasa gereği hangi kapsama girdiğinizi belirliyoruz. Sistem alt yapınız ile ilgili genel analiz yaparak, yasa gereği gerekli olan alt yapı iyileştirmesi ve sistem uyumluluğu konusunda danışmanlık hizmeti sağlıyoruz. Mevcut analizin oluşturulması doğrultusunda uyumluluk ile ilgili gerekli alt yapıyı oluşturuyoruz.
Bu aşamada;-
İnternet alt ağınıza, içeriden ve dışarıdan gelebilecek herhangi bir saldırıyı, önleyecek sistemi oluşturmak
-
Kurum içi kullanıcılarınızın, internet güvenliğini sağlamak ve içerik tabanlı filtreleme sistemi kurmak
-
Yasa gereği, tutulması istenilen kayıtların (logların) hangi sistemlerden alınacağını belirlemek ve bununla ilgili alt yapıyı kurmak
işlemlerini tamamlayarak, internet alt yapınızı 5651 yasasına %100 uyumlu hale getiriyoruz.
Hangi Önlemler 5651 Kapsamında Değildir
Aşağıdaki önlemler yasanın kapsamında değildir. Bu önlemlerin alınması, yalnızca kurumun bilgi güvenliğiyle ilgili yüksek hassasiyeti olması durumunda gerekli olabilir.
1. HTTP, yani normal internet sitelerinin gezilmesi dışında kalan diğer ağ protokollerinin (SMTP, XMPP v.b) denetlenmesi. Kanun internet yoluyla yayınlanan bilgilere erişimin sınırlanması yükümlülüğünü getirmiştir. Kişilerin internet yoluyla kurduğu iletişimin, kayıt altına alınması kanun kapsamında değildir. Yani personelin, e-posta (mail) veya sohbet (chat) yoluyla kurum içinde ya da dışındaki insanlarla kurduğu iletişimin denetlenmesi ya da denetlenmemesi kurumun iç işleyişiyle ilgili alınmaması gereken bir karardır.
2. Personelin, kurum içindeki kişisel bilgisayarındaki etkinliklerinin denetlenmesi, kayıt altına alınması (loglanması) ve kısıtlanması da kanun içinde değildir. Yani,-
Yazıcıdan çıktı alınan dosya adlarının kayıt altına alınması
-
Kişi başına yazıcıdan çıktı alma miktarının bilinmesi
-
Tarayıcı üzerinde yapılan işlemlerin kayıt altına alınması
-
USB diske kaydedilen dosya adlarının kayıt altına alınması
-
Windows sistemlerin denetlenmesi ve kısıtlama konulması
a. Kullanıcı hesap merkezinin denetlenmesi
b. Dosya paylaşım merkezinin denetlenmesi
c. Windows bileşen kurulumunun kısıtlanması ve kayıt altına alınması
d. Program kurulumunun kısıtlanması ve kayıt altına alınmasıgibi kurumsal güvenlik yazılımını ilgilendirebilecek özelliklerin 5651 Sayılı Kanun çerçevesinde öne sürülecek çözümler içerisinde değerlendirilmesi uygun değildir.
-