KVKK Teknik Tedbirler Rehberi: Kurul Tavsiyelerine Göre Uygulama Metodolojisi
Dijital dönüşümün hızı, veriyi kurumların en değerli varlığı haline getirirken, aynı zamanda en büyük risk alanına da dönüştürdü. 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK), veri sorumlularına sadece kağıt üzerinde değil, dijital altyapılarda da mutlak bir koruma yükümlülüğü getiriyor. Kanunun 12. maddesiyle somutlaşan “Veri Güvenliğine İlişkin Yükümlülükler”, teknik dünyada “Teknik Tedbirler Rehberi” ile vücut buluyor.
Bu yazımızda, Kişisel Verileri Koruma Kurulu’nun (Kurul) güncel tavsiyeleri, yayımlanan teknik rehberler ve emsal kararlar ışığında, bir kurumun alması gereken teknik önlemleri derinlemesine inceliyoruz. Sadece “firewall kurduk” demenin yetmediği, sıfır güven (zero trust) mimarilerinin ve proaktif denetimlerin zorunlu olduğu bu yeni dönemde, uyum sürecinizi nasıl yönetmeniz gerektiğini adım adım açıklıyoruz.
Güvenlik Duvarı & IDS/IPS: Güncel tehdit kütüphaneleriyle aktif savunma.
İki Faktörlü Doğrulama (2FA): Kritik sistemlerde parola güvenliğinin ötesine geçiş.
SIEM & Loglama: Tüm veri hareketlerinin “zaman damgalı” ve müdahale edilemez şekilde kaydı.
DLP (Veri Sızıntısı Önleme): Hassas verinin kurum dışına çıkışının engellenmesi.
1. KVKK Madde 12: Hukuki ve Teknik Sorumluluğun Kesişimi
KVKK m.12, veri sorumlularına “uygun güvenlik düzeyini temin etmeye yönelik gerekli her türlü teknik ve idari tedbiri” alma yükümlülüğü getirir. Bu madde, teknik dünyadaki mühendisler ile hukuk dünyasındaki avukatların ortak paydasıdır. Kanun koyucu, teknik tedbirlerin alınmamasını doğrudan bir “kusur” olarak kabul eder.
Kurul’un yayımladığı Teknik Tedbirler Rehberi, bu soyut yükümlülüğü somut kontrol noktalarına böler. Bir veri ihlali gerçekleştiğinde Kurum uzmanlarının ilk baktığı yer; bu rehberdeki maddelerin kurum bünyesinde ne ölçüde uygulandığıdır. Eğer bir kurum, güncel bir güvenlik açığından dolayı hacklenmişse ve bu açığı kapatacak bir yama (patch) yönetimi süreci yoksa, Kurul bunu “teknik tedbirlerin eksikliği” olarak nitelendirip ağır idari para cezaları uygulayabilir.
1.1. Teknik Tedbirlerin Dinamik Yapısı
Teknik tedbirler, kurumun risk analizine göre şekillenir. Özel nitelikli kişisel veri (sağlık, biyometrik veri vb.) işleyen bir hastane ile sadece çalışanlarının iletişim verilerini tutan küçük bir işletmenin alması gereken teknik önlemler aynı seviyede değildir. Ancak “asgari” düzey, siber saldırganların kullandığı temel araçlara karşı koyabilecek seviyede olmalıdır.
2. Ağ Güvenliği ve Siber Saldırıların Önlenmesi
Ağ güvenliği, teknik tedbirlerin ilk savunma hattıdır. Kurul rehberine göre, kişisel verilere erişilen tüm ağların dış dünyadan ve birbirinden izole edilmesi kritik bir gerekliliktir.
Ağ güvenliğini sağlamak için şu adımlar “altın kural” niteliğindedir:
- Güvenlik Duvarı (Firewall): Sadece port kapatmak yetmez; uygulama katmanında (Layer 7) filtreleme yapan ve IPS (Saldırı Engelleme Sistemi) modülleri aktif olan yeni nesil güvenlik duvarları kullanılmalıdır.
- Ağ Segmentasyonu (VLAN): Misafir Wi-Fi ağı ile muhasebe verilerinin tutulduğu sunucu ağı asla aynı segmentte olmamalıdır. Segmentler arası geçişler “En Az Yetki” (Least Privilege) prensibiyle kısıtlanmalıdır.
- Kablosuz Ağ Güvenliği: Kurumsal ağlarda WPA2-Enterprise veya WPA3 gibi güçlü şifreleme protokolleri kullanılmalı, misafir ağları izole edilmelidir.
- Uç Nokta Güvenliği (EDR/XDR): Sadece antivirüs kullanımı günümüz tehditleri için yetersizdir. Davranışsal analiz yapabilen Uç Nokta Yanıt (EDR) sistemleri, fidye yazılımı (ransomware) gibi saldırıları önlemede kritik rol oynar.
Kurul, özellikle uzaktan çalışma modellerinde VPN kullanımı ve çok faktörlü doğrulama (MFA) yapılmamasını ciddi bir teknik eksiklik olarak görmektedir.
3. Yetki Matrisi ve Erişim Kontrolü
Teknik tedbirlerin belki de en zor yönetilen ancak en kritik olan kısmı “Kullanıcı Yetki Yönetimi”dir. İçeriden gelen tehditler veya çalınan kullanıcı hesapları, veri ihlallerinin %60’ından fazlasını oluşturmaktadır.
3.1. Yetki Matrisinin Oluşturulması
Her çalışanın, sadece işini yapabileceği kadar veriye erişimi olmalıdır. İK uzmanı finans verilerini görememeli, yazılım geliştirici canlı (production) veritabanına doğrudan “root” yetkisiyle erişememelidir. Kurul tavsiyesi; bu yetkilerin yazılı bir “Yetki Matrisi” ile dokümante edilmesi ve teknik olarak Active Directory veya benzeri sistemlerle zorunlu tutulmasıdır.
| Erişim Tipi | Teknik Gereklilik | KVKK Uyumluluk Etkisi |
|---|---|---|
| Kritik Sistem Girişleri | MFA / 2FA (Çift Faktörlü Doğrulama) | Hesap ele geçirme saldırılarını engeller. |
| Veritabanı Erişimi | Kişiselleştirilmiş Kullanıcı Hesapları | Hangi veriyi kimin işlediğini izlenebilir kılar. |
| Uzaktan Erişim (RDP) | VPN + Sertifika Tabanlı Doğrulama | Dışarıya açık portlardan sızmaları önler. |
| Ayrılmış Görevler | Admin ve Standart Kullanıcı Ayrımı | Zararlı yazılımların yayılmasını kısıtlar. |
4. Log Yönetimi ve Değişmezlik İlkesi
Log kayıtları (işlem kayıtları), bir ihlal anında siber dedektiflik yapmanızı sağlayan tek kanıttır. Ancak Kurul rehberine göre logların sadece tutulması yetmez; bu kayıtların “değiştirilemez” ve “zaman damgalı” olması şarttır.
Bir hacker sisteme girdiğinde yapacağı ilk iş, kendi ayak izlerini silmek için logları temizlemektir. Bu nedenle logların merkezi bir SIEM (Güvenlik Bilgisi ve Olay Yönetimi) sistemine anlık olarak akıtılması ve burada kriptografik yöntemlerle mühürlenmesi teknik bir zorunluluktur.
4.1. Hangi Loglar Tutulmalı?
- Kullanıcı oturum açma ve kapatma işlemleri,
- Kritik dosyalara ve veritabanı tablolarına erişim logları,
- Sistem yöneticisi (admin) tarafından yapılan yetki değişiklikleri,
- Güvenlik duvarı ve IPS engelleme kayıtları,
- Dışarıya yönelik veri transferi (Data Exfiltration) teşebbüsleri.
5. Sızma Testleri ve Zafiyet Analizleri
Bir kalenin ne kadar sağlam olduğunu anlamanın en iyi yolu, onu profesyonel bir ekibe (Beyaz Şapkalı Hackerlar) kuşattırmaktır. KVKK Teknik Tedbirler Rehberi, Sızma Testlerini (Pentest) doğrudan bir zorunluluk olarak listeler.
Kurul’un beklentisi, yılda en az bir kez bağımsız ve uzman bir kuruluşa sızma testi yaptırılmasıdır. Bu testler sadece dış ağdan değil, iç ağdan da yapılmalıdır. Zira içerideki bir bilgisayarın ele geçirilmesi durumunda saldırganın yan haklara (lateral movement) sahip olup olmadığı ancak bu testlerle görülebilir.
5.1. Test Kapsamı ve Takip
Pentest raporu alındıktan sonra süreç bitmez. Raporda çıkan “Kritik” ve “Yüksek” seviyeli açıkların kapatılması ve bu açıkların kapatıldığının “Doğrulama Testi” ile teyit edilmesi gerekir. Kurul, veri ihlali incelemelerinde “Raporu almışlar ama 6 aydır açıkları kapatmamışlar” tespitini yaparsa, bu durumu ağır ihmal olarak değerlendirir.
6. Veri Maskeleme ve Anonimleştirme Teknikleri
Teknik tedbirlerin amacı sadece veriyi saklamak değil, verinin açığa çıkması durumunda da “anlamsız” kalmasını sağlamaktır. Veri Maskeleme (Data Masking), özellikle analiz ve test süreçlerinde verinin korunması için Kurul tarafından şiddetle tavsiye edilen bir yöntemdir.
Örneğin, müşteri temsilcisine kredi kartının sadece son 4 hanesinin gösterilmesi bir maskelemedir. Benzer şekilde, veritabanındaki T.C. Kimlik Numaralarının “123******89” şeklinde tutulması, verinin çalınması durumunda saldırganın eline geçen bilgiyi değersizleştirir.
6.1. Şifreleme (Encryption) Zorunluluğu
Kişisel veriler hem “duragan halde” (at rest) hem de “iletişim halinde” (in transit) şifrelenmelidir. Veritabanı dosyaları, yedekleme üniteleri ve diskler şifreli olmalıdır. Web sitelerinde HTTPS (SSL/TLS) kullanımı artık bir opsiyon değil, temel bir teknik tedbirdir.
7. Kurul’un Emsal Kararları ve Teknik İhlaller
Teorik bilgileri pratikle birleştirmek adına, Kişisel Verileri Koruma Kurulu’nun bugüne kadar verdiği kritik ceza kararlarındaki teknik gerekçelere bakmakta fayda var:
- Oltalama (Phishing) Saldırısı: Bir kurumun çalışanı oltalama linkine tıklamış ve şifresini kaptırmıştır. Kurul, kurumda MFA (Çift Faktörlü Doğrulama) kullanılmamasını teknik tedbir eksikliği sayarak 500.000 TL üzerinde ceza vermiştir.
- Açık RDP Portu: Sunucusunun Uzak Masaüstü (RDP) portunu internete şifresiz/güvenliksiz açan bir veri sorumlusu, fidye yazılımına maruz kalmıştır. Kurul, temel port güvenliği sağlanmadığı için cezai işlem uygulamıştır.
- Veri İşleyen Denetimi: Hizmet alınan bir yazılım firmasından kaynaklı sızıntıda, ana kurumun (veri sorumlusu) yazılım firmasının teknik yeterliliğini denetlemediği için sorumlu tutulduğu kararlar mevcuttur.
Bu kararlar gösteriyor ki; Kurul, siber saldırıları “mücbir sebep” olarak görmemekte, saldırının önlenmesi için gereken teknik altyapının kurulup kurulmadığına odaklanmaktadır.
8. Sık Sorulan Sorular
Sızma testi yaptırmak yasal olarak zorunlu mu?
KVKK Kanun metninde “sızma testi” ifadesi geçmese de, Kurul’un yayımladığı Teknik Tedbirler Rehberi‘nde bu testlerin yapılması gerektiği açıkça belirtilmiştir. Bu rehber, Kurul tarafından ikincil bir düzenleme olarak kabul edildiği için uyulmaması teknik tedbir eksikliği sayılır.
ISO 27001 belgemiz var, KVKK teknik tedbirlerini almış sayılır mıyız?
ISO 27001, mükemmel bir yönetim sistemi sağlar ve teknik tedbirlerin büyük kısmıyla örtüşür. Ancak KVKK spesifik gereklilikler (Örneğin veri imha politikaları veya Türkiye’deki Kurul kararları) için ISO belgesi tek başına yeterli değildir, KVKK perspektifiyle özelleştirilmelidir.
Log kayıtlarını kaç yıl saklamalıyız?
İşlem logları için genel teamül en az 2 yıldır. Ancak veri işleme faaliyetinin niteliğine göre bu süre değişebilir. Kurul, özellikle erişim kayıtlarının makul bir süre (genellikle zamanaşımı süreleri göz önüne alınarak) saklanmasını bekler.
Küçük bir şirketiz, SIEM/DLP gibi pahalı çözümler zorunlu mu?
Kurul, tedbirlerin “maliyet” ve “teknolojinin düzeyi” ile orantılı olmasını kabul eder. Ancak “maliyet” bahanesiyle hiçbir önlem almamak kabul edilemez. Ücretsiz açık kaynaklı loglama araçları veya temel segmentasyon teknikleri bile hiç yoktan iyidir.
Kurumunuzun KVKK teknik uyumluluk düzeyini ölçmek ve risklerinizi minimize etmek için Nesil Teknoloji uzmanlığına güvenebilirsiniz.
Hemen Danışmanlık Alın
