Yazımızda ilk olarak hatırlatmamız gereken husus; 6698 sayılı KVKK uyarınca veri sorumlusu;
a.Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek,
b.Kişisel verilere hukuka aykırı olarak erişilmesini önlemek,
c.Kişisel verilerin muhafazasını sağlamak
amacıyla uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbirleri almak zorundadır.
Son zamanlarda bilişim sektöründe büyük değişimler meydana gelmiş, bir çok yazılım firması bulut bilişim teknolojisinin gelişimi ve kullanım kolaylığı dolayısıyla büyük verilerini internet üzerinde depolayarak, veri erişilebilirliğini sağlamıştır. Özellikle kişisel veri işleme faaliyeti yoğun olan firmalar bulut bilişim teknolojisini kullanmaktadır. Bulut bilişim ile yazılım uygulamalarına internet üzerinden kolayca erişilebilmekte, veri depolama hizmeti ve işlem kapasitesi sunulmaktadır. Tüm bu kolaylıklar, bir çok dezavantajı ve riski de beraberinde getirmektedir. Şöyle ki Türkiye'de 6698 sayılı Kişisel Verilerin Korunması Kanunu uygulamaları; Dünyada ise General Data Protection Regulation (GDPR) uygulamaları ile gelen bir takım yaptırımlar kişisel veri mahremiyetine dikkat çekmiştir.
Bilindiği üzere veri sorumlusunun ilk ve en önemli yükümlülüğü, işlenen kişisel verilerin hukuka aykırı işlenmesinin ve erişiminin önlenmesi, hukuka uygun muhafaza edilmesidir. Bulutta depolanan kişisel veriler veri sorumlusunun kendi bilgi teknoloji sistemi ağından ayrılır ve bulut depolama hizmeti sağlayıcıları tarafından işlenir. Yukarıda bahsettiğimiz risklerden bir tanesi de burada ortaya çıkar. Bulut depolama hizmeti sağlayıcıları da kişisel verilerin depo edildiği alanlar açısından yeterli ve uygun güvenlik önlemlerini almalıdır. Bulut bilişimde veri sorumlusunun karşısına çıkacak ilk risk verilerin sızdırılması olacaktır.
Veri sorumlusu bu kapsamda aşağıdaki tedbirleri alabilir;
- Öncelikle ISO 27001 Bilgi Güvenliği Yönetim Sistemi kapsamında, bilgi güvenliği konusunda tüm standartlar ve iyileştirmeler düzenli olarak yapılmalıdır.
- Hukuki manada 6698 sayılı KVKK uyum süreci dikkatle ve özenle takip edilmelidir.
- Veri sızdırılmasını engelleyici yazılımlar kullanılabilir. Hizmet alıcıların log bilgileri takip edilerek hizmet alıcısının hangi kaynaklara ulaştığı ve bu kaynaklarla ne gibi işlemler yapıldığı kontrol edilebilir.
- Bulutta depolanan kişisel verilerin neler olduğu bilinmelidir.
- Bulutta depolanan kişisel verilerin yedeklenmesi, senkronizasyonunun sağlanması gerekir.
- İlgili kişisel verilere uzaktan erişim sağlanması gerektiği durumda iki kademeli kimlik doğrulama kontrolü uygulanmalıdır.
- Verilerin depolanması ve gerektiğinde kullanılması durumunda kriptografik yöntemlerle şifrelenmesi gerekir.
- Her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılmalıdır.
- Veri sorumlusunun bulut bilişim hizmet ilişkisi son bulduğunda şifreleme anahtarlarının tüm kopyaları imha edilmelidir.
Bulut bilişiminde veri güvenliğinin sağlanması için uygulanması gereken belli başlı tedbirler aşağıdaki şekildedir;
- Sanal makine güvenliği sağlanmalıdır. Bulut bilişimin yapısal olarak temeli sanal sunuculara dayanmaktadır. Bu sebeple sanallaşma aşamasındaki uygulamaların güvenliği sağlanmalıdır
- Bulut hizmeti sunan hizmet sağlayıcıları kullanıcılara sınırsız ağ ve sınırsız depolama alanı sağlamaktadır. Hizmet satın alan bazı müşterilerin bulut hizmetini kötü amaçlarla kullanabildiği görülmektedir. Bu durumun önüne geçilmesi için, kullanıcıların log bilgileri belirli periyotlarla analiz edilerek sınıflandırılmalıdır.
- Müşterilerin hesap bilgilerinin paylaşılması yasaklanmalıdır. Kimlik doğrulama aşamasında yetkisi işlemlerin takibi yapılmalıdır.
- Güvensiz arayüzler ve API'ler önlenmeli, kullanılan arayüzlerin güncel yazılım teknolojileri sertifikalarına uyumu sağlanmalıdır. Lisanslı uygulamalar kullanılmalıdır.
- Sanal misafir işletim sisteminin erişemeyeceği ayrı bir veri denetim katmanı eklenmeli, veri denetimi tek bir katman üzerinden yapılabilir.
