Loglama ve KVKK 5651 Sayılı Kanun Kapsamında Stratejiler
Dijitalleşen dünyada “kayıt tutmak” artık bir seçenek değil, kurumların hem adli hem de idari süreçlerdeki en güçlü savunma mekanizmasıdır. 5651 Sayılı Kanun’un emrettiği izlenebilirlik ile KVKK’nın savunduğu mahremiyet arasındaki o hassas dengeyi kurmak, modern mühendisliğin en büyük meydan okumalarından biridir.
Bilgi çağının en kritik varlığı olan veri, doğru yönetilmediğinde kurumlar için büyük bir hukuki riske dönüşebilir. Türkiye Cumhuriyeti hukuk sisteminde internet aktörlerini düzenleyen 5651 Sayılı Kanun, internet trafiğinin kayıt altına alınmasını adli bir zorunluluk olarak tanımlarken; 6698 Sayılı KVKK, bu kayıtların içindeki kişisel verilerin korunmasını emreder.
Peki, bir sistem yöneticisi veya kurum sahibi olarak, suç faillerini tespit etmek için tuttuğunuz loglar, çalışanlarınızın özel hayatına müdahale noktasına geldiğinde ne yapmalısınız? Nesil Teknoloji olarak hazırladığımız bu dev rehberde, merkezi log yönetiminden (SIEM) zaman damgasına, veri maskelemeden siber olay müdahalesine kadar tüm teknik süreci “insancıl” ve uygulanabilir bir dille analiz ediyoruz.
1. Hukuki Çerçeve: 5651 Sayılı Kanun ile KVKK Arasındaki Köprü
Kurumsal ağlarda internet erişimi sağlayan her işletme, kanun önünde bir “İnternet Toplu Kullanım Sağlayıcısı”dır. Bu statü, sadece oteller veya cafeler için geçerli değildir; çalışanlarına işlerini yapabilmeleri için internet veren her anonim şirket, dernek veya vakıf bu kapsamdadır.
5651’in Emri: Adli İzlenebilirlik
5651 Sayılı Kanun, bir siber suç işlendiğinde (örneğin devlet kurumlarına saldırı, çocuk istismarı, hakaret vb.) suçu işleyen gerçek kişinin IP ve MAC adresi üzerinden tespit edilmesini ister. Eğer loglarınız eksikse, suçun işlendiği dış IP adresinin yasal sahibi olarak şüpheli durumuna düşersiniz.
KVKK’nın Sınırı: Veri Minimizasyonu
Diğer yandan KVKK, “Sadece ihtiyacın olanı işle, gereksiz mahremiyete girme ve süresi dolunca sil” der. Bu noktada log yönetimi, sadece bir metin belgesi biriktirmek değil, yasal iki kutup arasında köprü kurmaktır.
2. Teknik Gereksinimler: Hangi Verileri Kaydetmelisiniz?
Kurul ve BTK denetimlerinde, “Log tutuyoruz” demek yeterli değildir. Kayıtların içeriği, formatı ve doğruluğu asıl belirleyici faktördür. Teknik bir siber güvenlik mimarisinde, 5651’e uyum için şu veri setleri bir kombinasyon halinde bulunmalıdır:
- Kaynak IP Adresi: Kullanıcının yerel ağdaki adresi (Örn: 10.0.0.45).
- MAC Adresi: Cihazın fiziksel kimliği (Donanım adresi).
- Bağlantı Zamanı: Milisaniye hassasiyetinde başlangıç ve bitiş zamanı.
- Hedef IP ve Port: Kullanıcının hangi sunucuya, hangi kapıdan (HTTP/80, HTTPS/443 vb.) gittiği.
- Kullanıcı Kimlik Bilgisi: Captive Portal (Hotspot) üzerinden alınan T.C. Kimlik No veya SMS onaylı telefon numarası.
Bu veriler toplandığında, bir siber saldırganın kurum ağını kullanarak dış dünyaya zarar vermesi durumunda, “O saatte 192.168.1.100 yerel IP’sini şu MAC adresli telefon kullanıyordu ve bu telefonun sahibi X kişisidir” diyebilmeniz gerekir.
| Veri Türü | 5651 Gerekçesi | KVKK Risk Seviyesi |
|---|---|---|
| IP / MAC Dağıtım Logu | Failin Tespiti | Düşük (Teknik Veri) |
| URL / Trafik Bilgisi | Suçun Mahiyeti | Yüksek (Özel Hayat) |
| Kimlik Bilgisi (SMS/OTP) | Hukuki Sorumluluk | Kritik (Kişisel Veri) |
3. Kriptografik Zaman Damgası: Dijital Mühürün Gücü
Bir log dosyasının mahkemede delil olarak kabul edilmesi için “değiştirilemez” olması gerekir. Standart bir metin dosyası, herhangi bir IT personeli veya saldırgan tarafından saniyeler içinde manipüle edilebilir. İşte bu noktada RFC 3161 Zaman Damgası devreye girer.
Nasıl Çalışır?
Oluşturulan günlük log dosyası, SHA-256 gibi güçlü bir özetleme (hashing) algoritmasından geçirilir. Elde edilen hash değeri, TÜBİTAK Kamu SM gibi güvenilir bir otoriteye gönderilir. Otorite, bu değere “Bu dosya X tarihinde, Y saatinde mevcuttu ve o andan itibaren tek bir bayt dahi değişmedi” mühürünü vurur.
Eğer loglarınız zaman damgasıyla imzalanmamışsa, savcılık bu verileri “şüpheli” veya “geçersiz” sayabilir. Bu da kurumu savunmasız bırakır.
4. SIEM ve Merkezi Log Yönetimi Stratejileri
Kurumsal ağlarda binlerce cihaz vardır: Switchler, Routerlar, Firewall cihazları, Sunucular ve Kullanıcı Bilgisayarları. Her cihaz kendi dilinde log üretir. Bu devasa veri yığınını anlamlı hale getirmek için SIEM (Security Information and Event Management) sistemlerine ihtiyaç duyulur.
SIEM’in Katkısı Nedir?
SIEM sistemleri sadece log toplamaz, korelasyon yapar. Örnek bir senaryo: “Aynı IP üzerinden 10 saniye içinde 50 kez hatalı giriş yapıldı (Brute Force tespiti) ve hemen ardından kritik bir veritabanına erişildi.” SIEM bu iki farklı olayı birleştirerek bir siber saldırı olduğunu anlar ve anlık alarm üretir.
Yerli Çözümlerin Önemi
Türkiye pazarında 5651 mevzuatına özel olarak optimize edilmiş Logsign, Berqnet, FortiLogger gibi yerli çözümler, hem imzalamayı otomatik yapar hem de KVKK uyumlu raporlar sunar. Nesil Teknoloji, kurumunuzun ölçeğine göre en doğru SIEM/Log topolojisini belirlemektedir.
5. KVKK Uyumlu Veri Maskeleme ve Gizlilik
Logları inceleyen IT personeli, çalışanların hangi web sitelerine girdiğini veya hangi özel verilerle işlem yaptığını görmemeli mi? Cevap: Kısmen evet.
Dinamik Veri Maskeleme
Yeni nesil log yönetim sistemlerinde “Maskeleme” özelliği bulunur. Bir güvenlik analisti log ekranına baktığında, kullanıcıların IP adreslerinin son kısmını veya kimlik numaralarının bir bölümünü yıldızlı (****) şekilde görür. Gerçek veriye erişim, ancak “Çift Yetki” (Dual Control) yöntemiyle, yani hem IT yöneticisinin hem de hukuk biriminin onayıyla mümkün olur.
Bu yaklaşım, KVKK’nın “amaçla sınırlılık” ilkesine tam uyum sağlar. Teknik bir sorun giderilirken, çalışanların özel hayatına dair veriler korunmuş olur.
6. Saklama Süreleri ve Veri İmhası
Log yönetimindeki en büyük yanılgılardan biri, verilerin sonsuza kadar saklanması gerektiğidir. Oysa bu durum açık bir KVKK ihlalidir.
Yasal Süreler
- 5651 Sayılı Kanun: Trafik bilgilerinin (logların) en az 6 ay, en fazla 2 yıl süreyle saklanmasını emreder.
- KVKK Prensipleri: Amacı kalmayan verinin derhal imha edilmesini ister.
Dolayısıyla, 2 yılı dolduran log kayıtları, yasal bir süreç (mahkeme, soruşturma vb.) devam etmiyorsa sistemlerden Güvenli Silme (Secure Wipe) yöntemleriyle temizlenmelidir. İmha edilmeyen her veri, gelecekteki bir sızıntıda kuruma ek cezalar getirebilir.
7. 2026 Yılı İdari ve Adli Riskler: Cezasız Kalmayan İhmal
2025 ve 2026 yılları, siber güvenlik denetimlerinin en sıkı olduğu dönemler olarak tarihe geçiyor. Kurumlara kesilen cezalar artık sadece sembolik rakamlar değil.
KVKK İdari Para Cezaları
Teknik tedbirleri (loglama, şifreleme, sızma testi) almayan veri sorumlularına Kurul tarafından 2026 yılı güncellemeleriyle 17 Milyon TL’ye kadar idari para cezası verilebilmektedir.
Hapis Cezası Riski (TCK 281)
5651 kapsamında log tutmayan bir yönetici, bir siber suç soruşturmasında “Delilleri yok etme, gizleme veya değiştirme” suçlamasıyla karşı karşıya kalabilir. Log kaydının yokluğu, suçun failinin bulunmasını engellediği için yönetici, adli makamlara karşı doğrudan sorumlu tutulur.
8. Sık Sorulan Sorular (SSS)
Sadece Firewall’ın log tutması yeterli mi?
Hayır. Firewall sadece dış kapıyı görür. İç ağdaki (LAN/WLAN) kullanıcı trafiği ve DHCP loglarının da zaman damgalı olarak saklanması 5651 gereğidir.
Zaman damgası lisansı biterse ne olur?
Zaman damgası vurulmayan loglar mahkemede “manipüle edilebilir” sayıldığı için delil vasfını kaybeder. Bu durum, yasal olarak hiç log tutmamışsınız gibi işlem görmenize neden olabilir.
Misafir Wi-Fi (Hotspot) için T.C. Kimlik doğrulaması şart mı?
Kanun “failin tespiti”ni ister. T.C. Kimlik doğrulaması veya SMS OTP (tek kullanımlık şifre) bu faili teknik olarak bağlayan en güçlü yöntemlerdir. Şifresiz/anonim internet sunmak büyük risk taşır.
Bulut tabanlı loglama KVKK’ya uygun mu?
Eğer veriler yurt dışındaki bir sunucuya gidiyorsa, KVKK m.9 (Yurt dışına aktarım) şartlarına uyulmalıdır. Türkiye içindeki veri merkezlerinde barındırılan bulut loglama çözümleri daha güvenli bir limandır.
