Siber Güvenlik

Siber güvenlik tüm dünyada önemini her geçen gün artıran bir konu olarak karşımıza çıkıyor. Kamuya ve vatandaşa özel verilerin söz konusu olması ülkeler açısından siber güvenlik alanında kritik adımlar atılmasını da zorunlu kılıyor. Bu noktada ülkemizin siber güvenlik eylem planı büyük bir öneme sahip. Bu eylem planının istenildiği şekilde uygulanılabilmesi için özellikle alternatif telekomünikasyon işletmecilerinin çeşitli konularda desteklenmeleri gerekmektedir. Siber güvenliğin sağlanması için gerekli olan lisans, cihaz, depolama donanımları gibi çeşitli alanlarda BTK tarafından istenilen yatırım kalemleri ciddi maliyet oluşturmaktadır. Bu maliyetlerin tamamının işletmeciler tarafından karşılanmasını beklemek uygun değildir. Ülkelerin her türlü güvenliğini sağlamak ve bu maliyetleri üstlenmek Devletin görevidir.

Ayrıca, bazı yurttaşlarımızın, üniversitelerimizin, kamu kurumlarımızın ve şirketlerimizin verilerinin yurtdışındaki veri merkezlerinde saklanması ülkemiz açısında önemli bir siber güvenlik tehdidini beraberinde getiriyor. Yurtdışında yer alan veri merkezlerine veri tabanlarını yükleyerek sanal sunucu, e-posta, veri depolama gibi birçok hizmetin kullanılması ülke verilerimizin tehlikeye girmesine neden oluyor. Bu durum ülkemiz için sadece maddi kayıplara neden olmakla kalmıyor aynı zamanda başta veri güvenliği olmak üzere birçok tehlike ve riskler doğuruyor. Bu nedenle ülkemizin başarılı bir siber güvenlik stratejisi ortaya koyması için öncelikle verilerimizin ülkemiz içindeki yerli veri merkezlerinde depolanması gerekiyor. Bunun için de kamu tarafında belirli adımların atılması ve Ulusal Veri Stratejimizin belirlenmesi gerektiğini düşünüyoruz. Veri merkezlerinin desteklenmesi ve ulusal bir veri stratejimizin oluşması için aşağıdaki önerilerimizin dikkate alınması gerekiyor.

• Veri merkezlerimizin, dünya standartlarında hizmet verebilmeleri, yaşamakta oldukları ve onlar ile doğrudan ilişkilendirilemeyecek hukuka aykırılıkların önlenebilmesi için “Veri Merkezi İşletmecisi” tanımı en kısa sürede mevzuatımızda yerini almalıdır.
• Veri Merkezleri, İnternet Servis Sağlayıcı ve Altyapı Hizmet Sağlayıcı Olarak Kabul Edilmemelidir: Veri Merkezlerinin hukuki statüsünün belirlenmemiş olması nedeni ile faaliyetlerini sürdürebilmeleri için hâlihazırda BTK Yetkilendirme Yönetmeliği kapsamında İnternet Servis Sağlayıcılığı (İSS) ve Altyapı İşletmeciliği Hizmeti (AİH) yetkilendirmeleri almaları gerekmektedir. İSS ve AİH yetkilendirmeleri veri merkezleri için hem tüm faaliyet kapasitesi üzerinden hesaplanan ücretleri ödemek zorunda kalmaları hem de ilgili işletmecilerin mevzuatına tabi olmak zorunda kalmaları ve bunların yanı sıra BTK nezdinde yapılması gereken raporlamalar bakımından pek çok zorluk yaratmaktadır. Veri Merkezleri için ayrı bir düzenlemeye gidilmesi bu sorunların ortadan kalkmasına yardımcı olacaktır.
• Veri Merkezleri özelinde pazar çalışması yapılmalıdır: Veri merkezlerinin ayrı bir endüstri olarak ele alınacağı özel bir Pazar çalışması için özel bir gurup kurulmalıdır. Arazi, beyaz alan, enerji kapasitelerini tespite yönelik olarak mevcut kapasite, kurulu kapasite, genişleme kapasitesi, fiber erişim imkânları gibi bilgileri içeren düzenli raporların üretilmesi sektörün mevcut durumunu ve geleceğini anlayabilmek açısından önemli görülmektedir. BTK tarafından yayımlanan, “Üç Aylık Pazar Verileri” raporlarında veri merkezi işletmeciliğine ilişkin bilgilere yer verilmelidir.
• Veri Merkezlerine, “Cazibe Merkezleri Programı” kapsamında sağlanan destek ve teşviklerin kullanılabilmesi için 24 il sınırı ülke geneline yaygınlaştırılmalı ve beyaz alan sınırı (5000 ) kaldırılmalıdır.
• Veri Merkezi İşletmecilerine özel elektrik tarifesi hazırlanmalıdır. Bu tarife en fazla sanayi elektriği tarifesinin yarısı kadar olmalıdır.
• Veri Merkezi İşletmecilerine özel indirimli fiber tarifeler oluşturulmalıdır. Veri merkezlerine fiber hizmet sunan işletmeci sayısı arttırılmalı, bağlantı hızları yükseltilmelidir.
• Tüm erişim sağlayıcıların katılımının zorunlu olacağı İnternet Değişim Noktalarının (İDN) kurulmasının ve var olanlar desteklenmelidir. İDN’ye bağlanma maliyeti, internet kapasitesi almaktan daha az maliyetli olmalıdır.
• İDN’lere, tüm şirketlerin bağlantı yapması ve tarifelerin tek tarife olması sağlanmalıdır. Tarifeler, tüm şirketlerin görüşleri alınarak BTK hakemliğinde belirlenmelidir.
• Şirketleri kendi yerleşimlerinde standart dışı Sistem odası vb. gibi bir odada sakladıkları sunucularını/depolama ünitelerini Veri Merkezlerinde daha güvenilir ortamlarda saklamalarının cazibesini arttırabilmek adına, bir ucu herhangi bir Veri Merkezinde sonlanan kiralık devre ücretleri normal ücretin ¼’ünden fazla olmamalıdır.
• Veri Merkezleri için Dijital Serbest Bölgeler Oluşturulmalıdır. Dijital hizmet ihraç edebilmemiz açısından “Dijital Serbest Bölgeler” kavramının çalışılması ve hayata geçirilmesi ihtiyacı mevcuttur.
• 5 yıl süre ile veri merkezi personelinin gelir vergisinden %100 muafiyeti sağlanmalıdır.
• Sıfır maliyetli, uygun fiziksel şartlara sahip bina/kampüs imkânı tanınmalıdır.
• Türkiye dışına satacağı servislerin gelirlerinde %100, Türkiye içerisine satacağı servislerin gelirlerinde %50 oranında vergi muafiyeti sağlanmalıdır.
• Anlaşmalı üniversiteler ve kurumlardan gerekli teknik personelin yetiştirilmesi şartı ile bu personelin maaşlarında %50 oranında devlet desteği verilmelidir.
• Yeni yapılacak Veri Merkezleri, en az Uptime Institute, ANSI/TIA veya BICSI Tier III isteklerini karşılayacak nitelikte olmalıdır. Bu konuda Türk Standartları Enstitüsü (TSE), ülkemizin kendine ait Veri Merkezi Standartlarını oluşturmalıdır.
• Veri merkezi işletmecilerinin sundukları hizmetler, diğer ülkelerden rahatlıkla satın alınabilmektedir. Yurt içi ve yurt dışı arasında bulunan rekabet sıkıntıları, veri merkezi hizmetlerinin yurt dışından satın alınması sonucunu doğurmaktadır. Yurt içi veri merkezi hizmetlerinden alınan ve yurt dışında sunulan hizmetler karşısında haksız rekabet yaratan yüksek vergiler kaldırılmalıdır. Bu sorunların çözülmesi için başlangıç olarak, BTK’nın, veri merkezi işletmeciliğinin ve bu işletmecilerin sundukları tüm hizmetlerin yetkilendirmeye tabi hizmetler olmadığı yönünde bir Kurul Kararı alması ve bu kararı Gelir İdaresi Başkanlığına göndermesi yeterli olacaktır.
• Özel şirketlerimizin, veri merkezi hizmetlerini yabancı ülkelerden satın almaları veya kendi verilerini kendi veri merkezlerinde barındırmalarından ziyade, bu işte uzmanlaşmış, hizmet kalitesi yüksek, ülkemizde bulunan veri merkezi işletmecilerinden almaları beklenmektedir. Böylelikle özel şirketlerimiz hem daha güvenli, hem de daha düşük maliyetli bir şekilde bu hizmetleri almış olacaklardır. En önemli husus da, ekonomik, ticari ve endüstriyel verilerimizin yurt içinde kalması sağlanmış olacaktır.
• Kamuya ait verilerin, sektörü dışlayıcı bir şekilde, yerli veri merkezleri göz ardı edilerek, sadece kamuya ait bir veri merkezinde bulunması; güvenlik, sürdürülebilirlik, veri merkezleri ile ilgili yetişmiş personelin konuya hâkimiyeti gibi açılardan doğru bir karar değildir. Kamu Kurumlarımızın, kendi verilerini sınıflandırılması/derecelendirmesi ve saklanma önceliğine göre bu verileri kendi bünyesinde ve/veya yerli veri merkezlerinde barındırmalarına olanak tanımalıdır. Bu yöntem ile veriler, hem daha güvenli ve düşük maliyetli olarak saklanmış, hem de sektör oyuncuları dışarı itilmemiş ve sektörü büyütücü bir adım atılmış olacaktır.
• Microsoft Hizmet Sağlayıcı Lisans Sözleşmesinin (SPLA-Service Provider License Agreement) çerçevesi, öncelikle müzakereye açık hale getirilmeli, sonrasında karşılıklı diyalog ortamında, veri merkezi işletmecilerinin kamuyla ilgili yükümlülükleri ve hizmet sunum yöntemleri ile uyumlulaştırılmalıdır. Microsoft’un, ülkemiz koşullarını, sözleşmelerin rekabete uygunluğunu ve sektörün sürdürebilirliği açısından elverişliliğini gözeten bir yaklaşım içinde olması beklenmektedir.
• Sosyal Medya uygulamaları için talep edilen yurt içinde veri tutma zorunluluğu, belirli bir yol haritası ile kritik tüm sektörlerde uygulanmalıdır.
• KVKK’nın gereğini yerine getirmek üzere tedbir ve denetimler arttırılmalıdır.