KVKK Teknik Tedbirler : Log Kayıtları ve Erişim Logları

0
1110

 

Bir önceki yazımızda 6698 sayılı Kişisel Verilerin Korunması Kanunu kapsamınca KVKK kurulu tarafından yayınlanan Kişisel Veri Güvenliği Rehberi’ ndeki teknik tedbirlerden olan, Yetki Kontrol ve Kullanıcı Hesap Yönetimi konularından bahsetmiştik. Kısa örneklerle ne gibi teknolojik çözümlerden yararlanılabileceğine değişmiştik.

Yine bu yazımızda da Rehber’ deki teknik tedbirler tablosunda yer alan Log Kayıtları ve Erişim Logları konularının ne anlama geldiğini ve kurumların bu maddelere yönelik ne gibi teknolojik çözümlerden yararlanılabileceğine bahsetmeye devam edelim.

Her zamanki gibi Rehber’ de yayınlanan teknik tedbirler tablosunu tekrar bir hatırlayalım,

Log Kayıtları

Öncelikle “Log” ne nedir ve işletmeler neden Log tutmalıdır? Gelin öncelikle bu sistemi kısaca anlamaya çalışalım

İngilizce bir kelime olan Log, kayıt anlamına gelmektedir. Belirli bir sistemle ilgili olayların otomatik olarak üretilmesi ve zaman damgalı olarak belgelendirilmesidir. Loglamak yani kayıt tutmak ise, bu üretilen dijital kayıtların saklanması anlamına gelmektedir.

Mesela basit bir örnek vermek gerekirse, diyelim ki çalıştığınız kurumda bir güvenlik duvarı var bu sayede internete erişim sağlıyorsunuz. Siz bir haber sitesine girdiğinizde, işte o güvenlik duvarı sizin hangi tarihte, hangi saatte, hangi IP adresi ile hangi web sitesine girdiğinizi kaydediyor, yani logunuzu (kayıtlarınızı) tutuyor. Bu arada log tutmak yalnızca güvenlik duvarı ile ilgili bir konu değil, birçok yazılımlar, donanımlar vb. sistemler kendi sistemlerince kayıt tutarlar.

Peki KVKK veri sorumlularından yerine getirilmesini istediği tedbir nedir?

Kurul’ un yayınladığı rehberde, tüm kullanıcıların işlem hareketleri kaydının düzenli olarak tutulması gerekliliğinden bahsedilmiş. Aslında KVKK yasasından önce, bu gereklilik işletmeler için 2007 yılında yürürlüğe giren 5651 sayılı kanun (İnternet Ortamında Yapılan Yayınların Düzenlemesine Dair Usul ve Esaslar Hakkındaki Yönetmelik Kanunu) ile zorunlu hale getirilmişti. İşletmeler hali hazırda KVKK yasasından bağımsız olarak zaten bu 5651 sayılı kanun gereği kullanıcıların işlem hareket kayıtlarının tutulmasından sorumludurlar.

5651 sayılı kanun gereğince Telekomünikasyon İletişim Başkanlığı yönetmelikleri gereği her işletme, bu erişim kayıtlarını tutmanın yanı sıra aynı zamanda bu kayıtların doğruluğunu, bütünlüğünü zaman damgası (hash) ile birlikte günlük olarak iki yıl süre ile saklamak ile yükümlüdür.

Neden İşletmeler Log Tutmalıdır?

Öncelikli olarak bunun yasa gereği bir zorunluluk olduğunu tekrar belirtelim. İnternet üzerinden işlenen suçların tespiti amacı ile çıkarılan bu kanunun gereği, diyelim ki bir kişi sizin kurumunuzun internet ağını kullanarak herhangi bir suç unsuru teşkil edebilecek bir içerik paylaşımı yaptı. İşte burada bu kişinin tespiti için yetkili resmî kurumlar size geldiklerinde, eğer log kaydınız yok ise işletme yani siz bu suçtan sorumlu olursunuz. Eğer log kaydını tutuyor iseniz, bu kaydı yetkili kişilere beyan ederek işletmenizin sorumluğunu ortadan kaldırırsınız. Eğer ki bu kanun maddesini yerine getirmiyor iseniz; uyarı, para cezası, hapis, kapatma ve yayından kaldırma şeklinde birtakım kanuni yaptırımlara karşı karşıya kalırsınız.

Peki bunu sağlamaya çalışırken nasıl bir teknolojik çözümden yararlanabiliriz?

İnternet trafiğinizin kayıtlarını tutmalı ve gizlilik çerçevesinde 5651 kanununa uygun formatta (zaman damgalı) muhafaza etmelisiniz. Bu kayıtları genel tabirle Syslog adını verdiğimiz yazılımlar (logları üzerinde depolayan, raporlayan ve analiz eden) üzerinde tutup, muhafaza edebilirsiniz. Genelde 5651 formatına uygun olarak tutan yazılımlar ücretli oluyor. Ücretsiz olup ta sizin manuel olarak 5651 formatına uygun bir şekilde log tutmanızı sağlayan yazılımlarda mevcuttur. İnternette bu konu ile ilgili kısa bir araştırma ile çözüm sağlayabilirsiniz.

Erişim Logları

Rehber’ de veri sorumlularının sistemleri çoğunlukla içeriden veya dışarıdan gelen saldırılara, kötü amaçlı yazılımlara veya kullanımlara maruz kalan sistemler üzerindeki olayları uzun süre fark edememesinden veya müdahale için geç kalabildiğinden bahsedilmiş.

Yani sistemlerinize bir siber saldırı oluyor olabilir, sistemleriniz kötüye kullanılıyor olabilir, sunucunuzda bir servis durmuş olabilir ve siz bunu fark edemiyor olabilirsiniz ya da müdahale için geç kalmış olabilirsiniz. Bu durumun önüne geçebilmek için ağınızdaki tüm sistemler üzerindeki hareketleri, olayları düzenli olarak kontrol etmeli, bu sistemlerden gelen uyarılar üzerine harekete geçip ilgili aksiyonları almalısınız.

Peki bu kadar sistemi nasıl kontrol edeceğiz?

Yukarıda ne demiştik, tüm sistemler kendi içlerinde log tutabilirler. Güvenlik duvarları, sunucular, Switch’ ler, kurmuş olduğunuz yazılımlar vb. aslında her biri kendi içerisinde log tutarlar. Siz bu logları analiz ederek oluşan hataları, varsa saldırı girişimlerini, durmuş bir servisi görebilir ve düzeltebilirsiniz. Fakat dediğinizi duyar gibiyim : ) Bu kadar sistemi nasıl takip edeceğiz? Nasıl analiz edeceğiz?

İşte bunları yapmanızı sağlayacak teknolojik çözümün adı :

SIEM (Security Information and Event Management), (Güvenlik Bildirimi ve Olay Yönetimi)

SIEM Nedir?

SIEM, kabaca anlatmak gerekirse tüm donanımlardan veya yazılımlardan onların ürettikleri logları toplar ve sizin anlayacağınız formatta düzenleyip size raporlar. Tüm sistemlerdeki hareketleri merkezi bir yerden analiz edebilirsiniz. Hatta analizle kalmayıp, belirli politikalar oluşturarak o sistemlere aksiyon aldırabilirsiniz.

Hemen örnekleyelim;

Mesela güvenlik duvarınıza dışarıdan biri login olmaya çalışıyor. 5 defa, 10 defa deniyor. Güvenlik duvarınız haliyle bununla ilgili bir log üretiyor ve SIEM’ e yolluyor. SIEM’ de size bunu dilerseniz mail yoluyla hemen bildiriyor. Dilerseniz de SIEM’ de yazacağınız bir kural ile güvenlik duvarına aksiyon aldırtabiliyorsunuz. Yazacağınız kuralla güvenlik duvarına, sana aynı IP adresi üzerinden 5 defadan fazla login olmaya çalışan olursa o IP adresini banla şeklinde aksiyon aldırtıp olaya müdahale ettirtebilirsiniz. Böylelikle siz bir müdahale de bulunmadan SIEM olayları takip edip, davranışları analiz ederek olaylara müdahale edebiliyor.

Yine başka bir örnek; File Server’ ınız da bulunan MUHASEBE adlı klasöre yazma yetkisi bulunmayan bir kullanıcı 60 saniyede 5 kez deneme yaparsa alarm ürettirerek birim yöneticisine mail attırabilirsiniz. Yani kullanıcıların işlem hareketlerini kayıt altında tutabilirsiniz ki bu kurul tarafından rehberde belirtilmiş.

Dışarıdan yerel ağınıza sızma girişimlerimin hareketlerini görebilir ve alarm ürettirebilirsiniz.

Kısacası tüm sistemlerden topladığınız logları analiz ederek, sistemlerin davranışlarını takip eder ve size raporlar sunar.

Böylelikle bir yazımızın daha sonuna gelmiş bulunmaktayız. Kısaca Erişim Logları ve Log Kayıtları teknik tedbirlerinden bahsetmeye çalıştık. Gelecek hafta Ağ Güvenliği ve Uygulama Güvenliği konularına değinerek yazılarımıza devam edeceğiz.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz