BilgilendirmeBulutların üstündeyim ama güvende miyim?

19 Mart 2017

Bulut bilişime olan ilgi hızla artıyor. Düşük ücretlerin, esnek ve erişilebilir yapının bu ilginin artmasındaki payı büyük. Ancak bilgilerini buluta taşıyan kişi ve kuruluşlar olarak aynı zamanda güvenlik ve gizlilik endişesi de taşıyoruz. Bu endişelerin azaltılması için dünya genelinde pek çok ülkede ve Türkiye’de ortak standartlar oluşturma ihtiyacı ve çabası sürüyor.

Avrupa altyapı servis sağlayıcıları ortak davranış ilkelerinde buluştu

Avrupa’da, bulut bilişimle ilgili ortak standartların tespit edilmesi ve hukuki altyapının sağlanması gibi ihtiyaçlara yönelik çalışmaları, bulut hizmeti sağlayan firmaların aynı çatı altında toplandığı örgüt olan CISPE (The Cloud Infrastructure Services Providers in Europe) yapıyor. CISPE geçtiğimiz günlerde bir dizi yeni veri koruma kuralı ve gönüllü davranış ilkeleri yayınladı. Bulut altyapı sağlayıcıları da bu regülasyona imza attı. Yani müşterilerine, verilerinin Avrupa Birliği yasalarıyla uyumlu yollarla işlendiği ve depolandığına dair güven vermek için, CISPE ilkelerine uyacaklarını beyan ettiler.

CISPE’nin ortaya koyduğu regülasyon, müşterilerin depoladıkları kişisel verilerinin işlenmesine sınır koyuyor ve hizmet sağlayan firmaların veri güvenliği için taşıyacakları sorumlulukları tanımlıyor. Buna göre bulut hizmeti sağlayan firmaların müşterilerine, kişisel verileri işlemek ve depolamak için seçenek sunmaları da gerekiyor. CISPE’nin hazırladığı regülasyon, Avrupa Birliği bölgesi içinde hükümet yetkilileri ve kolluk kuvvetlerinin veri talepleri karşısında nasıl bir yol izleneceği ve veri ihlali durumunda ne yapılacağına ilişkin protokolleri de barındırıyor.  

Bulut güvenliğinde ortak regülasyonlara gerçekten ihtiyacımız var mı?

Bu sorunun yanıtı oldukça basit; evet var… Avrupa Birliği tarafından yayınlanan ve “General Data Protection Regulation (GDPR)” adı verilen yükümlülükler Mayıs 2018’den itibaren geçerli olacak. Servis sağlayıcılarının altına imza attıkları CISPE regülasyonları, firmaların yükümlülüklerinin yerine getirildiğini gösteren sertifika niteliği taşıyor.  Yani servis sağlayıcılar bu regülasyona imza atarak ve gereğini yerine getirerek, müşterilerine Avrupa Birliği kararlarıyla uyumlu olduklarını gösterebilecekler.

Benzeri bir kendiliğinden-regülasyonun gelişmesini diliyoruz.

Elektronik iletişimdeki gizlilik önümüzdeki yılların anahtar önceliği

Kişisel verilerin korunması ve bulut güvenliğine ilişkin bir gelişme de, Avrupa Veri Koruma Süpervizörü’nün (EDPS) yayınladığı, 2017 önceliklerini açıklayan notası. EDPS’nin, Avrupa Birliği kurumlarının kişisel verileri nasıl işlediğini izleme sorumluluğu ve AB veri güvenliği kanunları ve politikalarına ilişkin danışmanlık rolü bulunuyor. EDPS, veri koruma çerçevesini AB kurumlarıyla ilgili gözden geçirmekle beraber, Avrupa İnsan Hakları beyannamesinde yer alan gizlilik standartlarının, elektronik iletişim hakkındaki ikincil mevzuata sokulmasını da savunacak.

Bulut da buluta emanet ettiğimiz bilgilerin nasıl korunacağına ilişkin mevzuat da çok hızlı bir değişim ve gelişim içerisinde. Şimdilik ihtiyaçlar, hukuki çalışmalardan daha hızlı ilerliyor gibi görünüyor, dolayısıyla sürekli takip etmek önemli.