ÜRÜN DİRİER/ NATO'nun eski Genel Sekreteri Jens Stoltenberg'in On My Watch kitabında altını çizdiği uyarı, dijital dünya için de birebir geçerli: "Barış zamanında konfor sağlayan yapılar, kriz anında bağımlılığa dönüşebilir." Bu cümle, veri egemenliğini yalnızca bir teknoloji tercihi olmaktan çıkarıp, devletlerin ve kurumların kriz anında ayakta kalma kapasitesiyle doğrudan ilişkili stratejik bir güvenlik başlığına dönüştürüyor.
Barış zamanında "konfor" gibi görünen dijital seçimlerin, kriz anında nasıl bir bağımlılık zincirine dönüştüğünü son yıllarda acı biçimde öğrendik. Enerji arzında, tedarik zincirlerinde, finansal altyapılarda ve savunma sanayiinde yaşanan her kırılma, aynı soruyu yeniden gündeme taşıdı: Kontrol kimde? Bugün bu sorunun en kritik cevap alanı ise artık toprak ya da ham madde değil; veri. Çünkü modern devletin ve modern şirketin sinir sistemi verinin üzerinde çalışıyor. Üretimden ödeme sistemlerine, sağlık kayıtlarından kritik kamu hizmetlerine kadar her süreç, görünmez ama sürekli akan bir dijital damar ağıyla ayakta duruyor.
Ne var ki veri egemenliği hala çoğu zaman basit bir "Veri Türkiye'de dursun" cümlesine indirgeniyor. Oysa bu yaklaşım, güvenlik hissi veren ama gerçekte eksik bir çerçeve sunuyor. Veriyi ülke sınırları içinde tutmak elbette önemli; ancak tek başına yeterli değil. Çünkü veri bir yerde "durmuyor", yaşıyor, işleniyor, taşınıyor, yedekleniyor, şifreleniyor, erişime açılıyor, siliniyor. Bu yaşam döngüsünün her adımında, görünür ya da görünmez bir kontrol katmanı devreye giriyor. İşte tam bu noktada asıl mesele ortaya çıkıyor: Verinin nerede olduğu kadar, kimin hukukuna tabi olduğu, hangi teknolojiyle çalıştığı ve kriz anında hangi tuşun kim tarafından kapatılabildiği belirleyici hale geliyor.
BARIŞ ZAMANINDA KONFOR, KRİZ ANINDA BAĞIMLILIK
DT Cloud CEO'su Tolga Dinçer, veri egemenliğinin bugün yalnızca bir teknoloji veya bilişim meselesi değil; devletlerin kriz anında ayakta kalabilme kapasitesiyle doğrudan ilişkili stratejik bir konu olduğuna değinerek, "Nato eski Genel Sekreteri Jens Stoltenberg'in de On My Watch kitabında özellikle vurguladığı temel mesaj şudur: 'Barış zamanında konfor sağlayan yapılar, kriz anında bağımlılığa dönüşebilir...' Veri egemenliği de tam olarak bu risk alanında yer alır. En büyük yanılgı, veri egemenliğini yalnızca verinin ülke sınırları içinde tutulması yani veri yerelliği ile sınırlamaktır. Veri yerelliği önemlidir ama tek başına yeterli değildir" diyor.
Veri egemenliğini üç temel hâkimiyet alanı üzerinden tanımladığını belirten Dinçer'in aktardıklarına göre, birincisi fiziki ve coğrafi hâkimiyet. Verinin, güvenliği sağlanmış veri merkezlerinde ve ülke sınırları içinde tutulması. Ancak bu, işin sadece başlangıç noktası.
İkincisi, hukuki hâkimiyet. Veri Türkiye'de olabilir; fakat eğer hizmet aldığınız sağlayıcı yabancı bir ülkenin hukukuna tabi ise, o veri üzerinde tam egemenlikten söz edemezsiniz. Bugün CLOUD Act (Clarifying Lawful Overseas Use of Data, 2018, ABD) gibi düzenlemeler, veriye fiilen kimin erişebileceği sorusunu çok daha kritik hale getiriyor. Bu tür yasalar sebebiyle menşei şirketin sunduğu hizmet nerede olursa olsun, menşei ülke makamlarının talebi halinde teknoloji sağlayıcı şirkete veriye erişim yükümlülüğü doğuyor. Veri egemenliği, veriye erişim ve kullanım kurallarının hizmet sunulan yerel ulusal hukuk tarafından belirlenmesi demektir. Stoltenberg'in de kitabında NATO ülkeleri için altı çizilen nokta da aynıdır: Kriz anında müttefiklik kadar, kendi kontrol alanına sahip olmak belirleyicidir...
Üçüncü ve en zor olan ise teknolojik hâkimiyet. Verinin üzerinde çalıştığı bulut altyapısından sanallaştırma katmanına kadar tüm yazılım ve sistemlerin şeffaf, denetlenebilir ve kontrol düzleminde yerel teknoloji sağlayıcı tarafından kesintisiz yönetilebilir ve bağımsız çalışabilir olması gerekir. Kara kutu teknolojiler üzerinde gerçek egemenlik kurulamaz. Özetle veri egemenliği; veriyi kendi topraklarında tutan, kendi hukukuna tabi kılan ve kullandığı teknolojiyi kara kutu olmaktan çıkaran bütüncül bir ekosistem meselesidir. Bu yaklaşım kara kutu riskini ortadan kaldırır, sağlayıcı bağımlılığını azaltır, kriz anında dış lisans ve politik kararlara karşı sistemin ayakta kalmasını sağlar. Stoltenberg'in kitabında "stratejik otonomi" dediği kavram, dijital dünyada tam olarak budur...
YERLİ HİZMET, YERLİ TEKNOLOJİ ANLAMINA GELMEZ
Yerli bulut ve veri merkezleriyle, yerli teknoloji altyapı şirketleriyle çalışmanın veri egemenliği ve güvenliği için yeterli olup olmayacağı konusuna da değinen Dinçer, "Bu soru, veri egemenliğinin en kritik ayrım noktasına temas ediyor. Özetle tek başına hayır.
Yerli bir şirketten hizmet almak, her zaman yerli teknoloji kullandığınız anlamına gelmez. Bir şirketin yerli olması ile sunduğu teknolojinin egemen olması aynı şey değildir. Bugün Türkiye'de birçok yerli altyapı firması, küresel teknoloji üreticilerinin yazılım ve donanımlarını kurup işleten entegratörler konumunda. Bu firmalar Türk hukukuna tabi veya Türk şirketi olabilir; ancak kullandıkları çekirdek teknoloji yabancı menşeli ve kapalıysa, egemenlik üretmezler, sadece hizmet verirler" diyor.
Daha net ifade etmek gerekirse, lisansı yabancıya ait bir teknolojiyle çalışıyorsanız, o lisansın iptal edildiği ya da küresel bir kriz yaşandığı senaryoda sizi koruyacak hiçbir mekanizmanız olmayacağının altını çizen Dinçer, "Çünkü hizmet aldığınız firma da o teknolojinin sahibi değil, yalnızca kullanıcısıdır. Stoltenberg'in kitabında bu konu hakkında sıkça tekrar ettiği rahatsız edici bir uyarıdan bahsetmek istiyorum: 'Bağımlılık, barış zamanında görünmez; kriz anında kader belirler.' Bunu ben ise tekrar şöyle yorumluyorum, kriz anında kontrol sizde değilse, güç de sizde değildir. Bu nedenle veri egemenliği tartışılırken fikri mülkiyet sahipliği mutlaka masaya yatırılmalıdır. Gerçek veri egemenliği için altyapı sağlayıcısının sadece işletmeci değil; kritik teknolojileri geliştiren, değiştirebilen ve müdahale edebilen bir Ar-Ge ve ürün şirketi olması gerekir. Teknoloji üzerinde kontrolünüz yoksa, egemenliğiniz de yoktur" açıklamasında bulunuyor.
Dinçer'in verdiği bilgilere göre, teknolojinin yerliliği, fikri mülkiyetin sahipliği ve tam hakimiyetle müdahale yetkisinin ötesinde, şirketlerin potansiyel iş ortaklarında göz önünde bulundurmaları gereken başka teknik ve operasyonel kriterler de söz konusu. Bunların başında uluslararası akreditasyon ve sektörel yetkinlik geliyor. Güvenliğin beyanla değil; bağımsız otoritelerce tescillenmesi gerekir. Firmanın ISO 27001 gibi temel standartların ötesinde, bulut güvenliğine özel CSA STAR (Cloud Security Alliance) gibi üst düzey sertifikasyonlara sahip olup olmadığına mutlaka bakılmalıdır. Ayrıca finans gibi regüle sektörler için topluluk bulutu hizmeti sunmak üzere Türkiye Cumhuriyet Merkez Bankası (TCMB) tarafından yetkilendirilmiş olması sağlayıcının yüksek güvenlik standartlarının en güçlü kanıtlarındandır.
Dikkat edilmesi gereken bir diğer kriter ise mimari şeffaflık ve sağlayıcıya bağımlılık riskidir. Şirketler şu soruyu net biçimde sormalıdır: "Bu altyapı beni uzun vadede özgürleştiriyor mu, yoksa kilitliyor mu?" Şirketler seçtikleri iş ortağının onları kendilerine ve sağladığı teknolojiye ne ölçüde mahkum ettiğini, ne ölçüde özgürlük tanıdığını değerlendirmeli. Bu noktada doğru yaklaşım; belirli bir ürüne veya markaya referans vermekten ziyade, Cumhurbaşkanlığı Açık Kaynak Kodlu Yazılım Genelgesi (AKKY) ile uyumlu, açık kaynak ve endüstri standardı mimariler üzerinde inşa edilmiş teknoloji ve servis sağlayıcı altyapılarını tercih etmektir. Kapalı kara kutu sistemler ise veri egemenliğini teknik olarak kısıtlamanın ötesinde, şirketleri uzun vadeli mecburiyetler ile topyekün dönüşümler arasında pahalı bir tercih yapmak zorunda kalacakları zor pozisyonlara sürükleyebilir.
MİLLİ GÜVENLİK MESELESİ
Veri güvenliği konusunda felaket kurtarma senaryolarının yerliliği ve yeterliliğinin de önem arz ettiğine vurgu yapan Dinçer, "Veriniz Türkiye'de olabilir, peki ya yedeği? Olası bir felaket anında devreye girecek yedekleme sistemlerinin ve ikincil veri merkezlerinin de yine ülke sınırları içinde, mümkünse birbirlerinden farklı coğrafi bölgelerde ve en önemlisi kesinlikle birincil veya yedeği mutlaka bağımsız ve yerel bir teknoloji üreticisine ait sistemler üzerinde konumlandırıldığından emin olunmalıdır. Dijital egemenlik, en kötü senaryoda bile veriye kendi topraklarınızda kesintisiz ve bağımsız erişebilmeyi gerektirir. Bu yaklaşım, NATO'nun dijital dayanıklılık (resilience) doktrinleriyle de birebir örtüşür" diyor.
Veri güvenliğinin bazı senaryolarda bir BT zorluğu değil milli güvenlik meselesi olduğunu ifade eden Dinçer sözlerini şöyle tamamlıyor:
"Bu perspektiften baktığımızda, veri ihlalinin ve işletim sürekliliğinin sadece ilgili kuruma değil, ülkenin ekonomik veya stratejik bekasına zarar verebileceği sektörler en kritik olanlardır. NATO eski genel sekreteri Jens Stoltenberg'inde güvenlik düzleminde altını çizdiği temel ilke şudur: 'Kriz anında toplumun işleyişini sürdürmeye devam etmesi gereken sistemler stratejiktir.' Ülkemiz için bu tanıma uyan üç ana grup öne çıkıyor. Bunların başında şüphesiz savunma sanayisi ve kamu geliyor. Dijitalleşen harp sahasında verinin güvenliği, sınır güvenliği kadar önemlidir. Bu ekosistem için internete açık bir risk alanı kabul edilemez. Bu alanlarda veri güvenliği yalnızca siber güvenlik değil; askeri caydırıcılığın bir parçasıdır. Savunma bakanlıkları, silahlı kuvvetler ve stratejik savunma odaklı tedarikçi kurumların projelerinde verinin dışarı çıkması bir yana, dışarıdan göz atılması dahi söz konusu olamaz. Bu sektörler için verinin sadece Türkiye'de kalması yetmez; aynı zamanda internete kapalı (air-gapped), dış dünyadan izole edilmiş özel kapalı devre mimariler ile kurulmuş bulut yapılarında saklanması gerekir.
Bir diğer kritik alan ise finans ve fintek sektörleri. Paranın tamamen dijitalleştiği bir dünyada, finansal verinin güvenliği ekonomik istikrarın temelini oluşturur, yaşanacak dakikalık kesintiler dahi ekonomik paniğe yol açabilir. Bu nedenle finansal verinin güvenliği, yalnızca kurumların değil, ülke ekonomisinin bütününü ilgilendirir. Bu alanlarda veri egemenliği artık bir tercih değil; regülasyonlarla tanımlanmış bir zorunluluktur. Özellikle ülkemizde TCMB'nin bulut kullanımına dair getirdiği sıkı regülasyonlar ve kripto varlıklarla ilgili yayımladığı bildirgeler, veri egemenliğini bu sektörlerde bir tercih olmaktan çıkarıp yasal bir zorunluluğa dönüştürdü. Bu sektörlerin hata kaldırmayan doğası nedeniyle bu alanda yalnızca TCMB tarafından yetkilendirilmiş sağlayıcılar hizmet verebiliyor. Üçüncü olarak ise sağlık ve enerji sektörlerini sayabiliriz. Vatandaşların en mahrem verilerinin işlendiği sağlık sistemleri ve siber savaşların ilk hedefi olan enerji şebekeleri, verinin ve işletiminin en katı protokollerle korunmasını gerektiren kritik altyapılardır. Özetle dijital dayanıklılık, yalnızca kapasite değil; kriz anında kontrolü kaybetmemektir."
YERLİ BULUT VE VERİ MERKEZLERİYLE ÇALIŞMAK YETERLİ Mİ?
İşNet CEO su Mehmet F. Can'ın aktardıklarına göre, veri egemenliği, tek bir ürünle "satın alınan" bir sonuç değil, verinin yaşam döngüsü boyunca kurulan ölçülebilir ve denetlenebilir kontrol mekanizmalarının toplamıdır. İlk adım veriyi sınıflandırmaktır. Kritik veri, kurum içinde kalması gereken veri ve paylaşılabilir veri net biçimde ayrıştırılmalıdır. "Ardından verinin üretildiği, işlendiği, yedeklendiği ve silindiği tüm temas noktaları görünür kılınmalıdır; çünkü görünmeyen bir süreç, yönetilemez" diyen Can, ikinci adımın kontrolün gerçekten kurumda kaldığını doğrulamak olduğunu ifade ediyor. Can'a göre, erişim yetkileri, ayrıcalıklı hesaplar, log kayıtları, yedekler ve özellikle şifreleme anahtarlarının yönetimi, kurumun kontrolünde tasarlanmalı. Kriz sırasında erişim kesme mekanizması hazır olmalı, kanıtlar değiştirilemez biçimde sabitlenmeli, geri dönüş süreci onay adımlarıyla ilerletilmeli. "Bunlar, politika dokümanlarında değil, işleyen süreçler ve düzenli denetimle garanti altına alınmalıdır" diyen Can şöyle devam ediyor:
"Üçüncü adım, tedarikçi ve bulut bağımlılığı riskini yönetmektir. Bu risk yalnızca altyapının fiziksel konumuyla sınırlı değildir. Yönetim katmanı, destek süreçleri ve verinin temas ettiği hukuki rejimler de belirleyicidir. Bu nedenle sözleşme, SLA ve denetim maddeleri siber olay anında kontrolün kurumda kalmasını güvence altına alacak şekilde kurgulanmalıdır. Veri egemenliği yaşayan bir disiplindir; düzenli denetim, tatbikat, ölçümleme ve sürekli iyileştirme döngüsüyle sürdürülebilir hâle gelir."
Peki yerli bulut ve veri merkezleriyle çalışmak yeterli mi? Can'ın aktardığı bilgilere göre, yerli bulut ve yerli veri merkezleriyle çalışmak veri egemenliği için güçlü bir başlangıç ancak tek başına yeterli değil. "Egemenlik, yalnızca verinin ülke sınırları içinde bulunmasının ötesinde, verinin uçtan uca nasıl yönetildiği ve kriz anında karar ile kontrol mekanizmalarının kurumda kalmasıyla belirlenir. Bu nedenle konu, yeterli mi değil mi ikiliğinden ziyade gerekli kontrol setlerinin varlığı ve etkinliği üzerinden değerlendirilmelidir" diyen Can, "İşNet'in Türkiye'de bulunan, uluslararası Tier IV ve ulusal TS EN 50600-3 operasyon sertifikalarına sahip Atlas Veri Merkezi altyapısı, müşterilerimiz için önemli bir avantaj sağlar. Bu altyapı; fiziksel güvenlik, süreklilik, yedekleme mimarisi ve erişim denetimleri gibi kritik katmanları güçlendirir. Veri yerelde dahi olsa, yönetim yazılımları, erişim modelleri, destek süreçleri ve özellikle anahtar yönetimi doğru tasarlanmadığında istenen güvenlik seviyesi oluşmayabilir. Bu nedenle lokasyonun yanı sıra şeffaf yönetim, denetlenebilirlik ve net bir sorumluluk matrisi şarttır" açıklamasında bulunuyor.
ALTYAPI SEÇERKEN DİKKAT EDİN…
Şirketlerin altyapı firması seçerken dikkat etmesi gerekenlere de değinen Can şunları aktarıyor:
"Altyapı sağlayıcısı seçimi yalnızca performans, kapasite ve maliyet karşılaştırması değildir. Aynı zamanda doğrudan bir risk yönetimi kararıdır. Siber olay, kesinti veya hukuki talep gibi durumlarda sürecin nasıl işleyeceği ve kontrolün kurumda nasıl korunacağı baştan tanımlı olmalıdır. Bu senaryolar açık ve uygulanabilir şekilde tanımlı değilse, güçlü altyapılar dahi kurumsal riski ortadan kaldırmaz. Değerlendirme; erişim ve ayrıcalıklı hesap yönetimi, log kayıtlarının bütünlüğü ve saklama süreleri, yedekleme ve geri dönüş hedefleri (RTO/RPO) ile şifreleme anahtarlarının yönetimi gibi başlıklarda uygulanabilir kontrol setleri üzerinden yapılmalıdır. Ayrıca sağlayıcının şeffaflığı ve denetlenebilirliği kritik önem taşır. Üçüncü taraf denetimlere açıklık, süreç olgunluğu ve standartlara uyum (örneğin ISAE 3402) güven zincirini güçlendirir. Sonuç olarak doğru iş ortağı, yalnızca bugün hizmet sunan değil; yarının olası senaryolarında da kurumla birlikte sorumluluk üstlenen, denetime açık ve kriz yönetimi tanımlı olan yapıdır."
Can'ın verdiği bilgilere göre, veri güvenliği açısından en kritik sektörler, işledikleri verinin niteliği ve etkisi nedeniyle hata toleransı düşük olan finans, sağlık, enerji ve telekomünikasyon gibi alanlar. Bu sektörlerde yaşanacak bir ihlal yalnızca kurumu değil, doğrudan bireyleri ve toplumu etkileyebilir. Bu nedenle güvenlik, bu alanlarda "ek bir yatırım" değil, operasyonun ayrılmaz bir parçası olmalıdır. Dijitalleşmenin geldiği noktada, veriye dayalı çalışan her sektör kritik hâle gelmekte. Üretim, lojistik, perakende ve e-ticaret gibi alanlarda iş sürekliliği giderek daha fazla veriye bağlı hâle geldikçe, saldırganların hedef alanları da genişliyor. Özellikle orta ölçekli şirketlerin son yıllarda daha fazla baskı altında olduğunun altını çizen Can, "Savunma kaynakları daha sınırlı olabildiği için bir saldırı sonrası kesinti, itibar kaybı ve regülasyon riski bu şirketler için daha yıkıcı sonuçlar doğurabilir. Bu nedenle kritik sektör tanımını dar tutmak yanıltıcıdır. Ölçekten bağımsız olarak veriye dayalı çalışan her kurum, kendini kritik kabul etmeli ve buna uygun kontrol ve dayanıklılık seviyesini hedeflemelidir" diyor.
STRATEJİK BİR LİDERLİK KONUSU
Odine Yönetim Kurulu Başkanı ve CEO'su Alper Tunga Burak da, veri egemenliğinin artık yalnızca teknik bir mesele değil, doğrudan stratejik bir liderlik konusu olduğunu düşünenlerden. Çünkü veri artık şirketlerin sadece operasyonel girdisi değil, karar alma mekanizmasının, rekabet gücünün ve itibarının da merkezinde yer alıyor. Bu nedenle veri egemenliğini "veri nerede duruyor?" sorusuna indirgemenin eksik kaldığının altını çizen Burak, "Asıl mesele, verinin hangi sınırlar içinde, kim tarafından, hangi yetkilerle yönetildiğidir. Verinin üretiminden silinmesine kadar geçen tüm sürecin şeffaf, denetlenebilir ve kontrol altında olması gerekiyor. Gerçek veri egemenliği ise teknoloji, yönetişim ve risk yönetiminin birlikte ele alındığı bütünsel bir yaklaşımla mümkündür. Bir şirketin üst yönetiminin bu konuyu sahiplenmediği hiçbir yapıda sürdürülebilir bir veri egemenliğinden söz edilemeyeceği kanaatindeyim" diyor.
Yerli bulut ve veri merkezleriyle çalışmanın son derece önemli ve stratejik bir tercih olmakla birlikte tek başına yeterli olmayacağının altını çizen Burak'ın verdiği bilgilere göre, veri fiziksel olarak ülke sınırları içinde tutulabiliyor; fakat erişim yetkileri, yazılım bağımlılıkları, güncelleme mekanizmaları ya da yönetim katmanları farklı coğrafyalardaysa, burada ciddi bir kontrol boşluğu oluşuyor. Dolayısıyla veri egemenliği, sadece lokasyonla değil, hakimiyetle ilgili. Bu nedenle konuyu "yerli–yabancı" olarak kategorize etmek yerine, konuya mimari bağımsızlık, şeffaflık ve denetlenebilirlik perspektifinden bakmak çok daha doğru olur. Bir diğer deyişle açık mimariler, tek bir üreticiye veya platforma bağımlı olmayan yapılar ve kurumun kendi kontrolünü kaybetmediği sistemler bu noktada belirleyici.
Veri egemenliği ve güvenliği için şirketlerin altyapı firması seçerken nelere dikkat etmesi gerektiği konusunda da ipuçları veren Burak şunları aktarıyor:
"Biz, altyapı seçiminin, çoğu zaman farkında olunmadan şirketin geleceğini şekillendiren kararlardan biri olduğuna inanıyoruz. Bu nedenle bu kararı yalnızca bugünün ihtiyaçlarıyla değil, önümüzdeki yılların riskleri ve regülasyonlarıyla birlikte değerlendirmek gerekiyor. Bu aşamada şirketlerin kendilerine şu soruları sorması önemli olacaktır Bu yapı beni belirli bir teknolojiye veya sağlayıcıya bağımlı hale getiriyor mu? Yetki ve erişim gerçekten benim elimde mi? Sistem ne kadar şeffaf ve denetlenebilir? Regülasyonlar değiştiğinde bu mimari beni zorlar mı, yoksa esneklik mi sağlar? Bir kriz anında veri ve servis sürekliliğini nasıl koruyacağım? Tüm bunları göz önünde bulundurduğumuzda altyapının sadece bir satın alma kalemi olarak görülmemesi gerektiğini ve uzun vadeli bir stratejik ortaklık olduğunu vurgulamak isterim."
BİRÇOK SEKTÖR RİSK ALTINDA
Veriyle çalışan her sektörün risk altında olduğuna ancak bazı alanlarda bu riskin etkisinin çok daha geniş ve derin olacağına vurgu yapan Burak, "Bunlar arasında telekomünikasyon sektörü, ulusal iletişim altyapısının temelini oluşturduğu için ilk sırada yer alıyor. Finans ve bankacılık ise yüksek hacimli ve son derece hassas veriler nedeniyle sürekli hedefte yer alıyor. Enerji ve kritik altyapılar, IT ve OT sistemlerinin iç içe geçtiği yapılar olduğu için bu sektörlerdeki siber tehditler fiziksel sonuçlara kadar uzanabiliyor. Kamu, savunma ve sağlık alanlarında ise konu yalnızca güvenlik değil; aynı zamanda etik, hukuki sorumluluk ve kamu güveni meselesi olarak da dikkat çekiyor. Bu sektörlerde veri güvenliği, artık destekleyici bir fonksiyon değil, işin kalbi haline gelmiş durumda" diyor.
Dijital çağın yeni egemenlik alanının artık veri olduğunun altını çizen Burak sözlerini şöyle tamamlıyor:
"Bugün verisini yöneten kurumlar, yarın kararlarını daha hızlı, daha doğru ve daha bağımsız alabilecekler. Verisini yönetemeyenler ise en iyi teknolojilere sahip olsalar bile, stratejik olarak kırılgan kalacak. Odine gibi altyapının merkezinde çalışan teknoloji şirketlerinin sahadaki deneyimi şunu çok net gösteriyor: Veri egemenliği ve güvenliği, sadece bugünün tehditlerine karşı önlem almakla kalmıyor, aynı zamanda geleceğin dijital düzenine hazırlık yapmak anlamına da geliyor. Bu da beraberinde trendleri izlemekten çok daha fazlasını getiriyor; doğru mimariyi kurmak, kontrolü elde tutmak ve uzun vadeli düşünmek gibi..."
"VERİ DIŞARI ÇIKMASIN" YAKLAŞIMI DEĞİŞTİ
Citrix Türkiye Genel Müdürü Sevi Tüfekçi Karahallı ise, veri egemenliği ve güvenliği konusuna verinin fiziksel olarak nerede tutulduğundan çok, o veriye nasıl erişildiği ve erişim sırasındaki güvenlik katmanlarına bakarak yaklaşmak gerektiğini düşünüyor. Karahallı'nın verdiği bilgilere göre, şirketler bulut tabanlı sistemlerin yaygınlaşmasıyla veri egemenliği, bulut güvenliği ve uyumluluk sorunlarıyla daha fazla karşılaşıyor. Kuruluşlar bulut güvenliği konusunda endişe duyuyor çünkü geleneksel yöntemler, özellikle VPN'ler, ağ düzeyinde çok geniş erişim sağlayarak güvenlik açıkları yaratabiliyor. "Bu noktada sadece yerli veri merkezini kullanmak tek başına yeterli bir çözüm olmayabilir; veriye erişim mimarisi de kritik önem taşır. Verinin Türkiye sınırları içinde olması, onun güvende olduğu anlamına gelmez, içeride de olsa kötü ellere geçme riski vardır" diyen Karahallı, şunları aktarıyor:
"Bugün veri egemenliği tartışmaları da artık 'hiçbir veri dışarı çıkmasın' yaklaşımından, hangi verinin hangi standartlar çerçevesinde nerede tutulabileceğinin tanımlandığı daha olgun bir noktaya evrilmiş durumda. Bizim sunduğumuz Zero Trust (Sıfır Güven) yaklaşımı, VPN teknolojisinden çok daha güvenli olan Zero Trust Network Access (ZTNA) çözümlerini ön plana çıkarıyor. Bu yaklaşım sayesinde, kullanıcıları sadece ihtiyaçları olan kaynaklara, belirlenen güvenlik politikalarıyla eriştirirken saldırı alanını daraltıyoruz. Gelecek dönemde veri egemenliği ve güvenlik konuları daha da kritik hale gelecek; bu da sıfır güven yaklaşımına ve merkezi yönetim kolaylığına sahip dijital platformlara olan talebi artıracaktır."
Şirketlerin altyapı tercihlerini yaparken öncelikle esneklik ve merkezi yönetim kabiliyetlerine odaklanması gerektiğine de vurgu yapan Karahallı'ya göre bunun temelinde, kurumların kendi verilerinin hakimiyetini asla üçüncü taraflara bırakmaması ilkesi yatmalı. Seçilecek iş ortağı, veriyi sadece saklayan değil, veriye kimin, hangi cihazdan ve nereden eriştiğini denetleyen ve "sıfır güven" prensibini uygulayan bir teknoloji sunmalı. Altyapı firmasının sunduğu çözümler, çalışanların coğrafi konumlarından ve kullandıkları cihazdan bağımsız olarak verimli çalışmalarını sağlamalı, kurumun kaynaklarını esnek bir şekilde yönetmeye imkân tanımalı.
VERİYE GÜVENLİ ERİŞİM
Burada kritik bir denge var; güvenlik önlemleri, kullanıcı deneyimini zedelememeli. Güvenlik adına süreçleri aşırı zorlaştırmak, müşteri memnuniyetsizliğine veya çalışanların verimsizliğine yol açabilir. İdeal altyapı, güvenliği en üst seviyede tutarken kullanıcıya hissettirmeden konforlu bir deneyim sunan altyapıdır. Özellikle güvenlik söz konusu olduğunda, kurum içindeki tüm cihazların model ve donanım fark etmeksizin hızlı bir şekilde güncellenebilmesi de büyük önem taşır. Seçilecek çözüm, eski donanımları dahi merkezi sunucudan yapılan güncellemelerle güncel uygulamaları çalıştırabilir hale getirmeli, böylece çok sayıda cihazın tek tek güncellenmesine gerek kalmadan tüm organizasyonun güvenliğini sağlamalıdır. Bununla birlikte, şirketlerin yatırım süreçlerinde zaman kaybetmemesi ve teknolojiler arasında sıkışıp kalmaması için Citrix'in sunduğu hibrit çoklu bulut (HMC) gibi esnek lisanslama modelleri sunan firmaların tercih edilmesi gerektiğinin altını çizen Karahallı, global teknoloji firmalarına güvenilip güvenilmeyeceği konusunda da unları söylüyor:
"Biz global bir teknoloji sağlayıcısıyız ancak, sunduğumuz çözümler veri lokasyonu konusunda tamamen müşterinin kontrolünü esas alır. Dijital çalışma ortamlarının mucidi ve küresel lideri olarak, çalışanları herhangi bir yerden ve cihazdan kurum ağına güvenli şekilde ulaştırmak ana işimiz. Altını çizmek istediğim önemli bir husus var; biz veriyi taşımıyoruz, veriye güvenli erişimi sağalıyoruz. Kurumların verileri Türkiye'deki kendi veri merkezlerinde veya yerli bulut sağlayıcılarında kalır. Kullanıcılar ister ofisten ister evden çalışsın, veriye yalnızca sanal bir oturum üzerinden erişir. Yani veri uç noktaya indirilmez, kopyalanmaz veya cihazda kalıcı hale gelmez. Veriler Türkiye'deki veri merkezinizde veya yerel bulutta duruyorsa, orada kalmaya devam eder; biz sadece güvenli erişim köprüsünü kurarız. Buna ek olarak, Türkiye'nin dijital egemenlik politikalarına doğrudan katkıda bulunan stratejik adımlar da atıyoruz. Örneğin yerli işletim sistemi Pardus'u destekleyen ilk global üretici olmaktan gurur duyuyoruz. Pardus'un daha fazla kamu kurumunda sanallaştırılarak kullanılması için teknik destek sağlıyor, bu sayede ülkemizin dijital egemenlik politikalarına katkıda bulunuyoruz. Ayrıca üniversitelerle iş birliği yaparak AR-GE merkezleri, demo laboratuvarları kurmak ve genç yetenekleri Citrix teknolojileriyle tanıştırmak da öncelikli planlarımız arasında yer alıyor. Türkiye'de özellikle kamu, finans, e-ticaret ve telekomünikasyon gibi dijital dönüşümün öncüsü olan kritik sektörlere hizmet veriyoruz."
EN ÖNEMLİ SEKTÖR KAMU
TD Synnex Türkiye Başkanı Behçet Yumrukçallı, şirketlerin artık sadece donanım sağlayan tedarikçiler yerine, teknoloji yolculuklarında onlara eşlik edebilecek "stratejik iş ortakları" seçmelerinin kritik önem taşıdığına işaret ederek, "TD Synnex küresel bir şirket olsak da Türkiye operasyonlarımızı tamamen yerel yasalara ve KVKK'ya uyumlu şekilde yürütüyoruz. 2024 yılında bünyemize kattığımız ve Türkiye'nin ağ ve güvenlik çözümlerinde uzman katma değerli distribütörü olan Prolink ile entegrasyonumuzu tamamlayarak, siber güvenlik alanındaki yerel uzmanlığımızı en üst seviyeye çıkardık. Özellikle kritik teknolojilerde sunduğumuz yerel destek sayesinde, şirketlerin küresel standartlarda siber güvenlik ve bulut çözümlerinden faydalanırken aynı zamanda yerel operasyonel ihtiyaçlarına ve veri güvenliği hassasiyetlerine tam uyum sağlamalarına rehberlik ediyoruz" diyor.
Türkiye'de kamu, finans, sağlık, telekomünikasyon, imalat sanayi ve perakende başta olmak üzere pek çok sektöre hizmet verdiklerini ifade eden Yumrukçallı, "Özellikle siber güvenlik, veri güvenliği, yedekleme ve iş sürekliliği çözümlerinde güçlü bir konumdayız. Prolink entegrasyonu sonrasında güvenlik odağımızı daha da güçlendirdik. Bunun yanı sıra bulut, veri merkezi modernizasyonu ve yapay zekâ altyapıları alanlarında sunduğumuz çözümlerle farklı sektörlerin dijital dönüşüm projelerinde etkin rol alıyoruz. Bizim odaklandığımız nokta; iş ortaklarımızın bugünün ihtiyaçlarını karşılamakla yetinmeyip yarının fırsatlarına da hazır hale gelmesini sağlamak. Bunun için Destination AI gibi yoğun eğitim ve teknik yetkinlik programlarımızı devreye aldık. Bu eğitimlerimizde yapay zekâyı merkeze alarak bulut ve siber güvenlik gibi alanlarda da hem teorik hem de uygulamalı eğitimlerle partnerlerimizin uzmanlığını artırıyoruz" diye konuşuyor.
Veri egemenliğinin sağlanmasının teknik, hukuki ve organizasyonel tedbirlerin birlikte hayata geçirilmesiyle mümkün olabileceğinin de altını çizen Yumrukçallı, şunları aktarıyor:
"Teknik açıdan baktığımızda veriler ister lokal ortamlarda ister bulut ortamlarında tutulsun, güçlü şifreleme yöntemleriyle korunması, erişimlerin net kurallarla sınırlandırılması ve yedeklerin değiştirilemez şekilde saklanması gerekir. Aynı zamanda şirketlerin, veriye kimlerin hangi koşullarda erişebileceğini açıkça tanımlayan sözleşmelere ve denetlenebilir süreçlere sahip olması önemlidir. Organizasyonel tarafta ise çalışanların veri koruma yöntemleri konusunda bilinçlendirilerek eğitilmesi, düzenli güvenlik kontrolleri ve olası olaylara hazırlıklı olunması kritik rol oynar.
Veri egemenliği açısından şüphesiz en kritik sektör, ulusal veri güvenliği ve kritik altyapıların yönetimi nedeniyle kamu sektörüdür. Bunun dışında savunma sanayi, finans, sağlık, enerji ve telekomünikasyon dikeylerini de en kritik sektörler içerisinde gösterebiliriz. Finans sektöründe kişisel ve ticari verilerin korunması, ekonomik istikrarı sağlarken sağlıkta hasta kayıtları gibi hassas veriler, bireysel gizliliği ve güveni ilgilendirir. Savunma ve enerji gibi alanlarda ise siber tehditler ulusal güvenliği riske atabilir. Telekomünikasyon yapıları üzerinden geçen verinin ele geçirilmesi ve hatta kontrolü geniş çaplı etkiler doğurabilir. Bu sektörlerde veri egemenliği sağlanmazsa, siber saldırılar hem bireysel hem de toplumsal düzeyde büyük zararlara yol açabilir."
Erhan POLAT / Link Bilgisayar Genel Müdür Yardımcısı
"Toplumsal güvenliği doğrudan etkileyebilir"
Gerçek veri egemenliği; veriye kimlerin, hangi koşullarda, hangi yetkilerle eriştiği, kullanılan yazılım ve platformların kime ait olduğu ve bu sistemlerin hangi yönetişim modeliyle yönetildiği gibi unsurların bütüncül biçimde ele alınmasını gerektirir. Bu nedenle veri egemenliği, yalnızca fiziksel lokasyon üzerinden değil; erişim kontrolü, yönetişim, denetlenebilirlik ve karar alma mekanizmaları üzerinden değerlendirilmelidir. Türkiye'de veri egemenliği ve veri güvenliği alanında yüksek standartlarda hizmet sunabilen, teknik ve operasyonel yetkinliği güçlü çok sayıda yerli teknoloji firması bulunmaktadır. Ancak kurumların altyapı sağlayıcısı seçiminde yalnızca kapasite ve performans kriterlerine odaklanması yeterli değildir. Bu süreçte hukuki uyum, şeffaflık, kurumsal yönetişim, sertifikasyonlar, siber güvenlik olgunluğu, iş sürekliliği kabiliyeti ve kriz yönetimi senaryolarına hazırlık düzeyi gibi unsurlar mutlaka değerlendirilmelidir. Demografik veriler, kişisel veriler ve bireyle doğrudan ilişkilendirilebilen ileri seviye biyometrik verileri işleyen tüm kurumlar için veri güvenliği kritik öneme sahiptir. Ancak sektörel bazda değerlendirildiğinde; finans, sağlık, kamu, enerji ve telekomünikasyon alanları veri güvenliği açısından en yüksek risk ve etki seviyesine sahip sektörler olarak öne çıkmaktadır. Bu sektörlerde yaşanabilecek bir veri ihlali, yalnızca ilgili kurumları değil; finansal sistemleri, kamu hizmetlerini ve toplumsal güvenliği doğrudan etkileyebilecek sonuçlar doğurabilir.
Volkan DUMAN / vMind CEO'su
"Egemenlik yalnızca lokasyon meselesi değil"
Egemenlik yalnızca lokasyon meselesi değil; yönetişim ve güvenlik olgunluğudur. Erişimlerin doğru yönetilmesi, güçlü kimlik doğrulama, şifreleme, anahtar yönetimi, loglama ve sürekli izleme gibi kontrollerin gerçekten işletilmesi gerekir. Bir de bunun denetlenebilir olması çok önemli. Yerli bir bulut sağlayıcısı ve yerli veri merkeziyle çalışmak, veri egemenliği açısından çok güçlü ve doğru bir başlangıçtır; çünkü verinin fiziksel konumu ve hukuki yetki alanı netleşir. Fakat tek başına yeterli midir dediğimizde, açıkçası başka bir pencereden de bakmak gerekir. Çünkü veri egemenliği, "veri Türkiye'de mi?" sorusuyla başlamalı ama "nasıl korunuyor, nasıl yönetiliyor, nasıl denetleniyor, bir kriz anında nasıl toparlanıyor?" sorularıyla devam etmelidir. Veri güvenliği açısından en kritik sektörler, yüksek hacimde kişisel, finansal ya da stratejik veri üreten ve regülasyonlara sıkı şekilde tabi olan sektörlerdir. Bu nedenle finans ve bankacılık, ödeme sistemleri, sağlık, kamu, telekomünikasyon, enerji gibi alanlar ilk sırada gelir. Bu sektörlerde yaşanacak bir ihlal, yalnızca maddi kayıp oluşturmaz; hizmet sürekliliğini, kamu güvenini ve hatta toplumsal düzeni etkileyebilecek sonuçlar doğurabilir. Bununla birlikte yapay zekâ kullanımının yaygınlaşmasıyla kritik sektör tanımı giderek genişliyor. Çünkü veri artık sadece saklanan bir varlık değil, aynı zamanda karar mekanizmalarını, otomasyonu ve rekabet gücünü besleyen bir kaynak.
