5651 Sayılı Kanun Log Tutma Yükümlülüğü: İşletmeler İçin Kapsamlı Rehber
2007 yılında yürürlüğe giren 5651 sayılı kanun log tutma yükümlülüğü işletmeler için önemli sorumluluklar getiriyor. Internet erişimi sağlayan her türlü işletme, personel ve misafirlerinin internet kullanımını kayıt altına almak zorunda. Peki bu yasanın detayları neler ve işletmeler hangi önlemleri almalı?
Sahada karşılaştığımız durumlar oldukça düşündürücü. Gittiğimiz işletmelerin büyük bir bölümünde bu yasa hakkında herhangi bir bilgi bulunmuyor. Internet üzerinden işlenen suçlar durumunda hat sahibi işletme sorumlu tutuluyor. Bu da ciddi hukuki ve mali riskler demek.
5651 Sayılı Kanun Nedir ve Kimler Dahil?
İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, kısaca 5651 sayılı kanun, internet hizmet sağlayıcılarının trafik kayıtlarını tutmasını zorunlu kılıyor. Bu kanun kapsamında sadece büyük internet servis sağlayıcıları değil, internet erişimi sağlayan tüm işletmeler yükümlü.
Yasa kapsamındaki işletmeler:
- Kafeler, restoranlar ve oteller (WiFi hizmeti verenler)
- Alışveriş merkezleri ve toplu yaşam alanları
- Hastaneler ve kamu kurumları
- Üniversiteler ve eğitim kurumları
- Ofis binaları ve iş merkezleri
- Fabrikalar ve endüstriyel tesisler
Geçtiğimiz projelerimizde gördüğümüz en yaygın hata, işletmelerin sadece ticari internet sağlayıcılarının bu yasaya tabi olduğunu sanması. Oysa personel veya misafirlerin kullandığı herhangi bi internet bağlantısı bu kapsama giriyor.
Internet Servis Sağlayıcıları Log Tutma Zorunluluğu: Teknik Detaylar
BTK log tutma kuralları işletmeler açısından oldukça detaylı. İşletmelerin tutması gereken bilgiler şu şekilde:
Zorunlu log kayıtları: Kullanıcının IP adresi, MAC adresi, bağlantı saati, çıkış saati, erişilen web siteleri, indirilen/yüklenen veri miktarı, kullanılan cihaz bilgileri ve kimlik doğrulama kayıtları. Bu verilerin 2 yıl süreyle saklanması gerekiyor.
Teknik açıdan bakıldığında, bu kayıtları manuel olarak tutmak neredeyse imkansız. Professional firewall cihazları, merkezi log yönetim sistemleri ve otomatik kayıt yazılımları kullanılması şart. Sahada gördüğümüz durumlardan biri de işletmelerin bu teknik altyapıyı kurmadan sadece kullanıcı adı-şifre sistemi kurması. Bu yetersiz kalıyor.
Log Kayıt Tutma Sistemleri: Donanım ve Yazılım Seçimi
Profesyonel log tutma sistemi kurulumu için birkaç farklı yaklaşım mevcut. Küçük işletmeler için all-in-one güvenlik cihazları yeterli olabilirken, büyük tesislerde merkezi log yönetimi şart.
Temel bileşenler:
- Managed firewall cihazları (DPI özellikli)
- Network access control (NAC) sistemleri
- Centralized logging sunucuları
- Yedek depolama sistemleri
- Kullanıcı kimlik doğrulama sistemleri
Bir projede karşılaştığımız durum oldukça öğreticiydi. Üretim tesisinde personel WiFi'si ile misafir WiFi'si aynı network üzerindeydi. Herşey karışık, segmentasyon yok, log kayıtları belirsiz. Network altyapı projemiz kapsamında VLAN segmentasyonu yapıp her kullanıcı grubu için ayrı log tutma sistemi kurduk.
5651 Sayılı Kanun İşletme Yükümlülükleri: Uygulamada Dikkat Edilecekler
Yasanın pratikteki uygulaması çoğu işletme için karmaşık görünse de doğru yaklaşımla yönetilebilir. İşletmelerin yerine getirmesi gereken temel yükümlülükler var.
Kullanıcı Kimlik Doğrulama Sistemleri
Internet erişimi sağlamadan önce kullanıcı kimliğinin tespit edilmesi gerekiyor. Bu sadece "Kabul Et" butonu ile olmaz. TC kimlik numarası, GSM numarası veya resmi kimlik belgesi ile doğrulama yapılmalı.
Kabul edilebilir kimlik doğrulama yöntemleri: SMS doğrulaması, e-devlet entegrasyonu, kimlik kartı okuyucuları, personel kartı sistemleri ve misafir kayıt sistemleri. Her yöntemin kendine göre avantaj ve dezavantajları bulunuyor.
Sahada sıkça karşılaştığımız hata, işletmelerin sadece "Kullanım Koşulları"nı kabul ettirip internet vermeleri. Bu yasa açısından yetersiz. Mutlaka kişisel bilgi alınması ve bunun log kayıtları ile eşleştirilmesi gerekiyor.
Veri Saklama ve Güvenlik Önlemleri
2 yıllık saklama süresi boyunca log verilerinin güvenliği işletmenin sorumluluğunda. Bu veriler siber saldırılara, donanım arızalarına ve insan hatalarına karşı korunmalı.
Yedekleme stratejisi çok kritik. RAID yapılı depolama sistemleri, otomatik yedekleme süreçleri ve disaster recovery planları oluşturulmalı. Bir işletmede yaşanan durum bu konunun önemini gösteriyor: Elektrik kesintisi sonrası tüm log kayıtları kaybolmuş, yedek güç kaynağı hiç yokmuş.
BTK Log Tutma Kuralları İşletmeler: Denetim ve Cezalar
BTK ve adli makamların talepleri durumunda log kayıtlarının eksiksiz sunulması gerekiyor. Kayıtların eksik, hatalı veya erişilemez olması ciddi cezalar doğuruyor.
Olası ceza durumları: 5651 sayılı kanuna uymayan işletmeler için 5.000 TL ile 50.000 TL arası para cezaları öngörülüyor. Tekrarlanan ihlallerde internet erişim lisansının iptali bile söz konusu olabiliyor.
Daha da önemlisi, internet hattı üzerinden işlenen suçlarda işletme yöneticilerinin hukuki sorumluluğu bulunuyor. Uyuşturucu ticareti, terör propagandası veya çocuk istismarı gibi suçlar için kullanılan internet bağlantısının sorumluluğu işletmede kalıyor.
Adli Taleplere Hazırlık
Log kayıtlarının mahkeme kararı veya savcılık talimatı ile talep edilme süresi oldukça kısa olabiliyor. İşletmeler bu taleplere 24-48 saat içinde cevap verebilecek sistemler kurmalı.
Teknisyen arkadaşlarımızın deneyimleri gösteriyor ki, log kayıtlarını sadece tutmak yeterli değil, hızlı arama ve filtreleme imkanları da sağlanmalı. Binlerce kayıt arasından belirli tarih, IP adresi veya kullanıcı bilgisine göre arama yapabilecek sistemler şart.
Log Kayıt Tutma Yasası Nedir: Sektörel Uygulamalar
Her sektörün kendine özgü zorlukları var. Otel işletmeleri misafir kayıt sistemi ile entegrasyonu çözerken, hastaneler hasta ve personel erişimini ayrı ayrı yönetmek zorunda.
Üretim Tesisleri ve Endüstriyel Uygulamalar
Fabrika ortamlarında 5651 sayılı kanun log tutma yükümlülüğü işletmeler açısından daha karmaşık hale geliyor. Personel, yönetici, misafir, taşeron firma çalışanları ve denetim ekipleri için ayrı ayrı internet erişim seviyeleri tanımlanmalı.
Bir gıda tesisinde yaşadığımız durum tipik bir örnek. Üretim bölümündeki personelin sadece iş ile ilgili sitelere erişimi varken, idari personelin tam erişimi bulunuyordu. Misafir ve denetmen erişimleri de ayrı VLAN'da yönetiliyordu. Her grup için ayrı log tutulması gerekti.
Endüstriyel tesislerde ayrıca IoT cihazları, makine kontrol sistemleri ve SCADA bağlantıları da internet erişimi kullanabiliyor. Bu cihazların log kayıtları da tutulmalı ama insan kullanıcılarından farklı bir yaklaşım gerektiriyor.
Otel ve Turizm Sektörü
Otel işletmelerinde misafir kayıt sistemi ile log tutma sisteminin entegrasyonu oldukça pratik çözümler sunuyor. Check-in sırasında alınan kimlik bilgileri direkt olarak internet erişim sistemine aktarılabiliyor.
Ancak dikkat edilmesi gereken nokta, misafirlerin yanında gelen refakatçi ve çocuklar için de ayrı kayıt tutulması gerektiği. Tek oda için birden fazla cihazın bağlanması durumunda hangi cihazı kimin kullandığının tespit edilebilmesi gerekiyor.
Teknik Altyapı Planlaması ve Sistem Kurulumu
Professional log tutma sistemi kurulumu sadece yazılım meselesi değil. Network altyapısından başlayarak tüm sistem bütüncül planlanmalı.
Network Segmentasyonu ve VLAN Yapılandırması
İşletmelerde en yaygın hata, tüm kullanıcıların aynı network üzerinde bulunması. Personel, misafir, yönetici ve sistem cihazları için ayrı VLAN'lar oluşturulmalı. Bu hem güvenlik hem de log yönetimi açısından kritik.
Önerilen VLAN yapısı:
- Management VLAN (sistem yönetimi)
- Staff VLAN (personel erişimi)
- Guest VLAN (misafir erişimi)
- IoT VLAN (akıllı cihazlar)
- Security VLAN (güvenlik sistemleri)
Bu segmentasyon sayesinde her kullanıcı grubunun internet erişimi ayrı kontrol ediliyor ve log kayıtları daha düzenli tutuluyor. Ayrıca güvenlik açısından da bir kullanıcı grubunun diğerine erişimi engelleniyor.
Devir aldığımız bir sistemde 24 port unmanaged switch ile kurulan network'te herşey karışıktı. Güvenlik kamera sistemimiz ve network altyapısını yeniden yapılandırarak managed switchler ve VLAN yapısı ile düzenli bir sistem kurduk.
Güvenlik Önlemleri ve Erişim Kontrolü
Log tutma sisteminin kendisi de güvenlik risklerine karşı korunmalı. Yetkisiz erişim, veri değişikliği ve sistem sabotajı gibi tehditlere karşı önlemler alınmalı.
Firewall kuralları, intrusion detection sistemleri ve antivirus koruması temel gereksinimler. Bunun yanında log sunucusuna erişim sıkı kontrol edilmeli, sadece yetkili personelin belirli işlemler yapabilmesi sağlanmalı.
Çok yaygın bir hata da log sisteminin yönetici parolalarının kolay tahmin edilebilir olması. "admin123" veya "password" gibi şifreler yerine güçlü parola politikaları uygulanmalı. İki faktörlü kimlik doğrulama mümkünse mutlaka aktif edilmeli.
Operasyonel Süreçler ve İnsan Faktörü
Teknik sistem kurulduktan sonra işletmenin operasyonel süreçlerini de bu yasaya uygun şekilde düzenlemesi gerekiyor. Personel eğitimi, prosedür oluşturma ve düzenli kontroller yapılmalı.
Personel Eğitimi ve Sorumluluk Dağılımı
İşletme personelinin 5651 yasası hakkında temel bilgi sahibi olması gerekiyor. Özellikle IT sorumlusu, güvenlik personeli ve üst düzey yöneticiler detaylı eğitim almalı.
Misafir kayıt işlemleri yapan personelin de bu konuda bilgilendirilmesi şart. Kimlik doğrulama süreçleri, sistem kullanımı ve sorun çözme yöntemleri hakkında praktik eğitimler düzenlenmeli.
Bir otel projesinde yaşadığımız durum oldukça öğreticiydi. Resepsiyon personeli misafir internet erişimi için sadece "WiFi şifresi" veriyor, herhangi bir kayıt tutmuyordu. Sistem kurulduktan sonra personel eğitimleri düzenleyip doğru prosedürleri öğrettik.
Düzenli Sistem Kontrolleri
Log tutma sistemi 7/24 çalışan kritik bir altyapı. Düzenli olarak sistem sağlığı kontrol edilmeli, disk doluluk oranları takip edilmeli ve yedekleme işlemleri doğrulanmalı.
Kontrol edilmesi gerekenler: Log kayıt sürekliliği, disk kapasitesi, network bağlantısı, kullanıcı kimlik doğrulama sistemi çalışması, yedekleme işlemlerinin başarısı ve sistem güvenlik güncellemeleri. Bu kontrollerin otomatik uyarı sistemleri ile desteklenmesi de mümkün.
Maliyet Analizi ve Yatırım Planlaması
İşletmeler için 5651 uyum maliyeti işletme büyüklüğüne ve kullanıcı sayısına göre değişkenlik gösteriyor. Doğru planlama ile hem maliyet optimize edilebilir hem de gelecek ihtiyaçları karşılanabilir.
Sistem Büyüklüğüne Göre Çözümler
Küçük işletmeler için all-in-one güvenlik cihazları maliyet-etkin çözümler sunarken, orta ve büyük ölçekli işletmelerde modüler yaklaşım daha mantıklı. Professional segment cihazları ile kurulan sistemler uzun vadede daha avantajlı oluyor.
Yaklaşık kullanıcı sayıları: 10-50 arası için temel segment, 50-200 arası için orta segment, 200+ için professional segment çözümler öneriyoruz. Tabii ki bu sayılar işletmenin internet kullanım yoğunluğuna göre de değişebiliyor.
Önemli olan sadece başlangıç maliyetine bakmamak. 2 yıllık saklama süresi boyunca enerji tüketimi, bakım maliyetleri ve sistem güncellemeleri de bütçeye dahil edilmeli. Akıllı bina ve IoT çözümlerimiz ile enerji verimliliği de optimize ediliyor.
Yedekleme ve Disaster Recovery Maliyetleri
Log verilerinin 2 yıl boyunca güvenli saklanması için sadece ana sistem yeterli değil. Yedekleme sistemleri, güç koruması ve felaket durumlarına karşı alternatif çözümler de planlanmalı.
RAID sistem kurulumu, otomatik yedekleme yazılımları ve bulut depolama seçenekleri değerlendirilmeli. Özellikle yangın, su baskını veya hırsızlık gibi fiziksel tehditler karşısında veri korunması kritik önemde.
Bir tekstil fabrikasında yangın sonrası tüm IT sistemleri zarar görmüştü. Yangın ihbar sistemlerimiz ile erken uyarı sağlanırken, log verilerinin uzak lokasyonda yedeklenmesi sayesinde veri kaybı yaşanmadı.
Gelecek Trendleri ve Teknolojik Gelişmeler
5651 yasası statik bir düzenleme değil. Teknolojik gelişmelere paralel olarak güncelleniyor ve işletmelerin de bu değişimlere hazır olması gerekiyor.
Yapay zeka destekli log analizi, blockchain tabanlı veri bütünlüğü koruması ve otomatik compliance raporları gibi yeni teknolojiler sektöre giriyor. Bu teknolojilerin erken adaptasyonu işletmelere avantaj sağlayacak.
Mobil cihaz sayısının artması, IoT cihazlarının yaygınlaşması ve uzaktan çalışma modellerinin normalleşmesi log tutma sistemlerine yeni zorluklar getiriyor. Bu trendlere hazır sistem tasarımları yapılması uzun vadeli başarı için kritik.
5651 sayılı kanun log tutma yükümlülüğü işletmeler için sadece yasal bir zorunluluk değil, aynı zamanda siber güvenlik altyapısının güçlendirilmesi fırsatı. Doğru yaklaşımla hem yasal uyum sağlanır hem de işletmenin genel güvenlik seviyesi artırılır. Professional destek alarak hem maliyeti optimize etmek hem de teknik riskleri minimize etmek mümkün. İşletmenizin ihtiyaçlarına özel çözüm planı oluşturmak, mevcut durumunuzu analiz etmek ve ücretsiz keşif ziyareti planlamak için iletişim sayfamızdan bize ulaşabilirsiniz.
5651 sayılı kanun sadece büyük internet sağlayıcılarını mı kapsıyor?
Hayır, 5651 sayılı kanun internet erişimi sağlayan tüm işletmeleri kapsıyor. Kafeler, oteller, fabrikalar, hastaneler ve hatta personeline WiFi sunan küçük işletmeler bile bu yasaya tabi. Internet hattı üzerinden personel veya misafir erişimi sağlayan herhangi bir işletme log tutma yükümlülüğü altında. Bu konuda işletme büyüklüğü veya sektör fark etmiyor.
Log tutma sistemi kurulum maliyeti ne kadar?
Maliyet işletmenin büyüklüğüne, kullanıcı sayısına ve teknik altyapı ihtiyacına göre değişiyor. Küçük işletmeler için temel segment çözümlerle başlanabilirken, büyük tesisler için professional sistemler gerekiyor. Doğru sistem seçimi için önce kullanıcı sayısı, internet trafiği ve mevcut network altyapısı analiz edilmeli. Projeye özel fiyatlandırma yaparak bütçenize en uygun çözümü sunuyoruz.
Log kayıtları ne kadar süre saklanmalı?
5651 sayılı kanuna göre tüm log kayıtları 2 yıl süreyle saklanması zorunlu. Bu süre boyunca kayıtların silinmesi, değiştirilmesi veya erişilemez hale gelmesi yasak. İki yıllık süre dolduğunda kayıtlar otomatik olarak silinebilir ama adli talepler durumunda hemen erişilebilir formatta tutulması gerekiyor. Yedekleme ve güvenlik önlemleri bu süre boyunca devam etmeli.
Misafir WiFi'si için de kimlik doğrulama gerekli mi?
Evet, misafir WiFi'si dahil tüm internet erişimleri için kullanıcı kimlik doğrulaması zorunlu. Sadece "Kullanım Koşulları"nı kabul ettirmek yeterli değil, mutlaka TC kimlik numarası, GSM doğrulaması veya kimlik belgesi ile doğrulama yapılmalı. Misafir kayıt sistemleri, SMS doğrulama veya e-devlet entegrasyonu gibi yöntemler kullanılabilir. Bu veriler log kayıtları ile eşleştirilerek saklanması gerekiyor.
Yasal denetimde log kayıtları nasıl sunulur?
Adli makamlardan gelen log taleplerine genellikle 24-48 saat içinde cevap verilmesi gerekiyor. Log kayıtları elektronik ortamda, aranabilir formatta ve talep edilen tarih aralığında sunulmalı. Sadece ham log dosyalarını vermek yeterli değil, içerik analizi yapılabilecek şekilde düzenlenmiş raporlar hazırlanması da gerekebiliyor. Bu nedenle log yönetim sistemi hızlı arama ve filtreleme imkanları sunmalı.