4.1. Giriş: Dijital İzlerin Hukuki Değeri

5651 sayılı yasa, internet ortamında işlenen suçlarla mücadele kapsamında log kayıtlarının tutulmasını zorunlu kılar. BT yöneticileri bu verilerin delil niteliğinde olduğunu bilmelidir.

4.2. 5651 Sayılı Yasa’nın Temel Yükümlülükleri

4.2.1. Yer Sağlayıcılık: Web sitesi barındıran kurumlar yer sağlayıcı sayılır ve log tutma yükümlülükleri vardır.

4.2.2. Erişim Sağlayıcılık: İnternete erişim imkânı sağlayan kuruluşlar (ör. ISS’ler), trafiği ve erişim hareketlerini kayıt altına almakla yükümlüdür.

4.2.3. Toplu Kullanım Sağlayıcılık: Kütüphane, kafe, otel gibi ortamlarda internet sağlayan işletmeler, kullanıcı erişimlerini loglamak zorundadır.

4.2.4. Zaman Damgası ve Loglama Süresi: Log kayıtları zaman damgası ile imzalanmalı ve en az 3 yıl (tercihen 5 yıl) saklanmalıdır.

4.3. Loglama Neden Kritiktir?

Loglar yalnızca teknik kayıt değil, hukuki delildir. Sistemlerde kim ne zaman ne yaptı, hangi kaynağa erişti gibi bilgiler loglarla izlenmelidir.

4.4. BT Altyapısında 5651’e Uyumlu Loglama Nasıl Yapılır?

4.4.1. Zaman Damgası Kullanımı (TÜBİTAK Kök Zaman Damgası): Loglara dijital zaman damgası eklenerek verinin değişmediği yasal olarak ispatlanabilir.

4.4.2. Logların Şifrelenmesi ve Değiştirilemezliği: Log dosyaları şifrelenmeli ve silinemez/değiştirilemez biçimde saklanmalıdır.

4.4.3. Saklama Süresi: En az 3 yıl (genellikle 5 yıl önerilir): Loglar yasal mevzuata uygun süre boyunca güvenli şekilde arşivlenmelidir.

4.4.4. Erişim Kısıtlaması ve Loglara Yetkisiz Müdahale Önlemleri: Log sistemlerine yalnızca yetkili kişiler erişebilmeli ve erişimler denetlenmelidir.

4.5. Gerçek Vaka: Eksik Loglama Nedeniyle Suçun İspatlanamaması

Loglama yapılmadığı için veri hırsızlığına dair delil sunulamamış, BT yöneticisi sorumlu tutulabilir.

4.6. BT Yöneticisi İçin Uyum Kontrol Listesi

1. Yer sağlayıcılık bildirimi yapılmış mı?: BTK’ya gerekli kayıt yapılmadan yer sağlayıcı hizmeti verilmemelidir.

2. Log sunucusu bağımsız bir sistem mi?: Log kayıtları operasyonel sistemlerden ayrı, güvenli sunucularda tutulmalıdır.

3. Loglar değiştirilemez mi?: Kayıtlar yazıldıktan sonra silinemez/değiştirilemez biçimde saklanmalıdır.

4. Zaman damgası uygulanıyor mu?: Kayıtlar dijital zaman damgası ile doğrulanarak yasal geçerlilik kazanmalıdır.

5. BTK talebi durumunda hızlı erişim sağlanabilir mi?: BTK incelemelerinde talep edilen loglar kısa sürede erişilebilir ve sunulabilir olmalıdır.

6. Saklama süresi dolan loglar arşivleniyor mu?: Eski loglar güvenli biçimde arşivlenmeli, erişim kontrolü sürdürülmelidir.

4.7. Sonuç: Loglar Sadece Kayıt Değil, Savunma Aracıdır

5651’e uygun bir loglama sistemi kurmak, BT’nin sadece güvenlik değil, aynı zamanda yasal uyum açısından da temel sorumluluğudur.

Bu sistemler, kurumun dijital altyapısının yasal olarak ne kadar güvenli olduğunu ortaya koyan en kritik denetim araçlarından biridir.