Bilgi Güvenliği Bakış Açısı İle İthalat, İhracat ve Uluslararası Kanunlar

0
94
views
Siber güvenlik belli bir zamana kadar ticaret politikası için kilit bir konu değil iken, sürecin gelişmesi ile uluslararası ticaret politikası için önem arz eden konu olmaya başlamıştır. Siber güvenlik endişeleri önemli zorlukların ortaya çıkmasına sebep olmuş ve siber güvenlikle ilgili iddialar büyüyen ticari anlaşmazlıkların ana kaynağı haline gelmiştir. Bu yazıda uluslararası ticaret politikalarında siber güvenliğe yönelik düzenlemeler incelenecektir.

Uluslararası ticarette siber güvenliğin geleceği, doğrudan sadece ülkeler için sanal bir alanı kapsamakla kalmayıp, aynı zamanda daha geniş olan küreselleşmiş toplumu da şekillendirmektedir. Bununla birlikte, siber güvenlik ve uluslararası ticaretin birbirlerini nasıl etkileyebileceği, mevcut uygulanan politikaların sorunları yeterince çözüp çözemeyeceği ve siber güvenlik endişelerinin uluslararası ticaret üzerindeki olumsuz etkilerini yeniden ayarlamak için neler yapılabileceği halen gelişime açık bir mevzudur. Uluslararası ticaretteki siber güvenlik sadece mevzuata uygunluk sorunu olmayıp, aynı zamanda bir iş stratejisi sorunu ve jeopolitik sorun olarak görüldüğü de ifade edilebilir.

 

A) Uluslararası İşbirliği

Günümüz teknolojik yapısı göz önüne alındığında bir siber saldırıda/suçta birden fazla sistemin kullanılması ile bahse konu olan siber suç ile ilişkili varlıkları aramak veya ele geçirmek ek bir yetki alanı zorluğu oluşturmaktadır. Siber saldırıda araç olan bazı sistemlerin bulunduğu ülke ile bilgisayar/bilişim suçunun işlendiği/gerçekleştiği ülkelerin yasalarında/düzenlemelerinde farklılık olabilir veya ilgili kanıtların bulunduğu ülke, sahip olduğu bilgiyi diğer ülke ile paylaşmak istemeyebilir. Bu zorluklar bilgisayar suçlarının başarılı bir şekilde kovuşturulmasını zorlaştırmaktadır.

Bilgisayar suçu politikasında uluslararası iş birliğine doğru kaydedilen en önemli gelişme Avrupa Konseyi Siber Suçlar Sözleşmesi (The Council of Europe Convention on Cybercrime)‘dir. 47 Avrupa üye ülkesinin çoğunluğu tarafından imzalanan ve ardından onaylanan anlaşmaya ek olarak, Birleşik Devletler de anlaşmayı imzalayarak onaylamıştır. Siber Suçlar Sözleşmesi‘nin öncelikli odağı, siber suçların soruşturulması ve kovuşturulması sırasında uluslararası iş birliğini teşvik etmek için siber suç politikasında standartlar oluşturmaktır. Avrupa Konseyi Siber Suçlar Sözleşmesi hakkında detaylı bilgi için kaynaklardaki COE bağlantısı incelenebilir.

Birden çok ülkede faaliyet gösteren global ölçekli firmalar (Beko, Twitter, LC Waikiki), bulundukları ülkedeki kanunlara (GDPR, KVKK,…) uygun hareket etmelidir.

 

B) İthalat / İhracat Kısıtlamaları

Dünyanın birçok ülkesinde yasal düzenlemeler, uygulayıcılara bazen gerekli izleme vb. durumlar için telefon dinleme yapma vb. yasal hak vermektedir. Kolluk kuvvetlerine bir konuşmayı izleme konusunda yasal hak tanınmış olsa da bu girişimlerinin şifreleme sistemleri tarafından bozulma/engellenme durumu ortaya çıkmaktadır.

Kriptografinin başarıları nedeniyle, birçok ülke kriptosistemlerin ve ilgili kriptografik donanımların ithalatını ve / veya ihracatını sınırlandırmıştır. Bazı durumlarda, Çin, Rusya, Irak, İran gibi ülkeler vatandaşlarının istihbarat teşkilatlarının çözümleyemeyeceği kripto sistemlere erişmemelerini tercih etmekte ve bu nedenden kaynaklı kriptografik teknolojilere ithalat kısıtlamaları getirmeye çalışmaktadırlar.

Not: Türkiye’de de Kamu Kurum ve Kuruluşları ile Gerçek ve Tüzel Kişilerin Elektronik Haberleşme Hizmeti İçinde Kodlu veya Kriptolu Haberleşme Yapma Usul ve Esasları Hakkındaki Yönetmelik ile bir takım hukuki kurallar tanımlanmıştır.

Bazı ülkeler, ithalat kontrollerine ek olarak, düşman ülkelerin gelişmiş şifreleme özelliklerine sahip olmasını önlemek amacıyla da kriptografik teknolojinin belirli ülkelere ihracatını yasaklamaktadır. Etkili bir şekilde, kriptografi daha geleneksel bir silahmış gibi ele alınarak uluslar bu sistemlerin/yapıların yayılmasını sınırlamak isteyebilmektedir. Soğuk savaş sırasında, CoCom (Coordinating Committee for Multilateral Export Controls) tarafından, birçok komünist ülkeye şifreleme içeren belirli teknolojileri ihraç etmemek için çok uluslu bir anlaşma yapılmıştır.

Soğuk savaştan sonra, Wassenaar Düzenlemesi ihracat kontrolleri için standart haline gelmiştir. Bu çok uluslu anlaşma, eski CoCom’dan çok daha az kısıtlayıcı olması ile birlikte yine de Wassenaar Düzenlemesi’ne dahil olmayan ülkelere kriptografik algoritmaların ve teknolojilerin ihracatında önemli kısıtlamalar getirmiştir. Wassenaar Düzenlemesi, geleneksel silahların ve çift kullanımlı (sivil veya askeri amaçlı) mal ve teknolojilerin transferinde şeffaflığı ve daha fazla sorumluluğu teşvik ederek, birikimlerin istikrarsızlaşmasını önleyerek bölgesel ve uluslararası güvenlik ve istikrara katkıda bulunmak amacıyla kurulmuştur. Wassenaar Düzenlemesinin katılımcı devletleri şu şekildedir:

Arjantin, Avustralya, Avusturya, Belçika, Bulgaristan, Kanada, Hırvatistan, Çek Cumhuriyeti, Danimarka, Estonya, Finlandiya, Fransa, Almanya, Yunanistan, Macaristan, İrlanda, İtalya, Japonya, Letonya, Litvanya, Lüksemburg, Malta, Meksika, Hollanda, Yeni Zelanda, Norveç, Polonya, Portekiz, Kore Cumhuriyeti, Romanya, Rusya Federasyonu, Slovakya, Slovenya, Güney Afrika, İspanya, İsveç, İsviçre, Türkiye, Ukrayna, İngiltere ve ABD.

Herhangi bir öğeyi devretme veya devretmeyi reddetme kararı, her bir katılımcı devletin sorumluluğundadır. Düzenlemeye ilişkin tüm önlemler ulusal mevzuat ve politikalara uygun olarak alınmakta ve ulusal takdir yetkisi esas alınarak uygulanmaktadır. Amerika Birleşik Devletleri ile ilgili olarak, aşağıda belirtilecek EAR (Export Administration Regulations) listesi, Wassenaar Düzenlemesi altında kontrol edilen kategorilerle aynı kategorileri yansıtmaktadır.

1990’larda Amerika Birleşik Devletleri, kriptografik teknolojilerin ihracatını yasaklayan başlıca ülkelerden biriydi. Bu kapsamdan önce, ülke dışındaki askeri uygulamalarla yeni bilgi, teknoloji ve ürünlerin uygunsuz bir şekilde aktarılması hakkındaki endişeler, 1970’lerin sonunda seçilen teknoloji ve ürünlerin ihracatını kontrol eden iki kanunun kabul edilmesine yol açmıştır. Bunlar;

  • International Traffic In Arms Regulations (ITAR): Temel olarak savunmaya yönelik yapılar/hizmetler ve ithalat/ihracat işlemlerini kontrol edilmesi şeklinde belirtilen maddeler ile ABD Mühimmat Listesini (22 CFR Bölüm 120-121) oluşturulmuş ve ABD Dışişleri Bakanlığı Savunma Ticareti Kontrolleri Ofisi aracılığıyla düzenlenmiştir. Bu kısımda yayımlanan listelerde bulunan ve tanımsal ifadesi “herhangi bir öğe veya teknik veri (herhangi bir fiziksel formda, modelde, makette veya teknik verileri gösteren diğer öğelerde kaydedilmiş veya saklanmış)” olan, ITAR kapsamında kontrol edilmesi beyan edilen 21 madde mevcuttur. Bu kategoriden 19 tanesi bilgi güvenliği uzmanları tarafından özellikle de havacılık ve savunma endüstrilerinde, bilgisayarla ilgili teknolojilerin ve bilgi hizmet teknolojilerinin potansiyel yan uygulamaları olarak uluslararası düzenlemelerde göz önüne alınması gereken maddelerdir.
  • Export Administration Regulations (EAR): İhracat Yönetim Mevzuatı (EAR) 1979 tarihli İdare Yasası, askeri uygulamalara sahip sivil mal ve teknolojilerin (ekipman, malzeme, yazılım ve teknoloji, veri ve know-how dahil) ihracatını düzenlemeye izin vermiştir. Bu tür kontroller geçici olabilme durumu mevcut olup ve zaman aşımına uğrayabilmektedir.

Yukarıda belirtilen maddeler ABD Ticaret Kontrol Listesi’ni (15 CFR Bölüm 774 2) oluşturur ve ABD Ticaret Bakanlığı, Sanayi ve Güvenlik Bürosu aracılığıyla düzenlenir. Bildirilen 9 kategori içerisinden bilgi güvenliği uzmanlarını ilgilendiren kategoriler aşağıdaki şekilde belirtilebilir.

  • Kategori 4 – Bilgisayarlar
  • Kategori 5 Bölüm 1 – Telekomünikasyon
  • Kategori 5 Bölüm 2 – Bilgi Güvenliği

Önceki ABD ihracat kısıtlamaları büyük ölçüde gevşetilmiş olsa da halen kriptografik teknolojilerin dağıtımının yasadışı kabul edildiği ülkeler mevcuttur. ABD’nin şifreleme teknolojisi ihracatını yasakladığı ülkeler zamanla değişmekte olup, tipik olarak ülkenin çıkarları için önemli bir tehdit oluşturduğu düşünülen ülkeleri içermektedir. ABD ülke çıkarlarına politik olarak düşmanca kabul edilen belirli ülkelere yapılan ihracatın sınırlandırılmasında tek olmayıp benzer yöntemi takip eden ülkeler de bulunmaktadır.

 

C) Sınır Ötesi Veri Akışı

Bilgilerin ulusal sınırlar ötesine taşınması günümüzün küresel ekonomisini yönlendirmektedir. Sınır ötesi veri aktarımları, işletmelerin ve tüketicilerin bu kaynakların dünyanın her yerinde bulunabileceği her yerde mevcut en iyi teknoloji ve hizmetlere erişmesini sağlamaktadır. Sınırlar ötesinde veri serbest akışı, imalattan finansal hizmetlere, eğitime, sağlık hizmetlerine ve ötesine kadar tüm endüstri sektörlerine fayda sağlamaktadır. Kesintisiz bilgi aktarımı, küresel ekonominin büyümesi ve başarısı ile kaçınılmaz olarak bağlantılı olduğu kadar kritik öneme sahiptir.

Bilgi bir sunucudan diğerine veya bir buluttan diğerine geçerken, verilerin ve barındırma organizasyonunun yeri önemli olmaya başlar. Bir ülkede geliştirilen, başka bir ülkeden aktarılan ve son olarak üçüncü bir ülkede saklanan bilgiler, baştan sona yolculuğu boyunca üç farklı yetki alanına ve üç farklı yasal sisteme tabi olabilir. Bazı durumlarda, bilgi bir ülkede depolansa bile, sunucunun sahibi olan kuruluş farklı bir ülkenin üyesiyse, ikincisi söz konusu sistemde depolanan bilgiler üzerinde yargı yetkisi kazanabilir.

Bilgi güvenliği uzmanlarının bu alanda dikkate alması ve ilgilenmesi gereken birçok konu vardır. Örnek olarak;

  • Dünyanın dört bir yanındaki hükümetler, terörizmle mücadele, sahtekârlıkla mücadele etmek ve hizmet sunmak için vatandaşlarını ve ziyaretçilerini tanımlamanın yeni yollarını aramaktadır. Bu, hükümetlerin kimlik kartları, gelişmiş pasaportlar ve diğer seyahat belgeleri, sağlık kartları, sürücü belgeleri vb. yetki belgelerinde biyometrik veri kullanımını düşünmeye teşvik etmiştir. Bu belgeler, yeterli veri koruması olmayan ülkelerde risk oluşturabilecek veri izlerinin kalmasına sebep olmaktadır.
  • Şirketler ve hükümetler, maliyetleri düşürme ve daha verimli olma yolunda, müşterilerinin ve vatandaşlarının kişisel bilgilerinin işlenmesi de dâhil olmak üzere dış kaynak kullanımı faaliyetleri mevcuttur. Bu, veri koruma mevzuatı olmadan ülkelere aktarılan bilgilerin güvenliği ve kötüye kullanımı konusunda meşru endişelere yol açmaktadır.
  • Arama motorları, radyo frekansı tanımlama çipleri (RFID’ler), İnternet Üzerinden Ses Protokolü (VOIP), Web günlüğü ve kablosuz iletişim gibi çeşitli teknolojiler ve uygulamalar, çok miktarda kişisel işlem bilgisi oluşturur ve işlemden sonra uzun süre dayanabilecek veri izleri oluşturmaktadır. Veri saklama gereksinimleri bu verilerin büyük bir kısmı, dünyadaki çeşitli yargı bölgeleri arasında bölünmüş olarak yıllarca devam edebilmektedir.
  • Terörle mücadele ve kamu güvenliği ile ilgili endişeler, hükümetleri bireyleri benzeri görülmemiş bir incelemeye tabi tutmasına sebebiyet vermiştir. Hükümetler, ülkelerine giren kişiler hakkında önemli miktarda kişisel bilgi talep etmekte, şüpheli seyahat ve davranış kalıplarını tespit etmek için değerlendirme araçları geliştirip, izleme listeleri oluşturulması ile bu bilgiler diğer ülkelerle paylaşılmaktadır. Bu, bireylerin ziyaret ettikleri ülkelerde bilgi haklarını kullanabilmeleri konusunda kaygı uyandırmaktadır.

Sınır ötesi veri akışları, ister işleme amaçlı, e-ticareti kolaylaştırmak, kolluk kuvvetleri ve ulusal güvenlik amaçları için ya da sadece insanların günlük yaşamlarına devam etmelerinin sonucu olarak katlanarak artmaktadır. Bu eğilimler, güvenlik uzmanları ve gizlilik ve veri koruma yasalarını denetlemekten sorumlu diğer kuruluşlar için yeni ve karmaşık zorluklar ortaya çıkarmaktadır.

Sınır ötesi veri akışı kavramı gizlilik açısından teğetsel olarak tartışılmıştır (OECD Gizlilik Yönergeleri). OECD Kişisel Verilerin Mahremiyetinin ve Sınır Ötesi Akışlarının Korunmasına İlişkin Kılavuz İlkeler 1980 yılında çıkarılırken, o zamandan bu yana ülkeler arasında aktarılan verilerin etkisini dikkate alma ihtiyacı büyük ölçüde artmıştır. Genel olarak, OECD, serbest bilgi akışında dikkate değer meşru istisnalar da olsa, sınırsız bilgi akışını önermektedir. Serbest veri aktarımının en önemli istisnaları Kişisel Verilerin Gizlilik ve Sınır Ötesi Akışlarında tanımlanmıştır. Gizlilik kılavuzluğundan beş yıl sonra, OECD Sınırsız Veri Akışları Bildirgesini yayınlamış ve bu da engelsiz veri akışlarını destekleme çabalarını daha da artırmıştır. Bir OECD üyesi olan Türkiye de bu yönergelere uymaktadır.

 

D) Ortak Bilgi Güvenliği Yasaları ve Düzenlemeleri

D.1) HIPAA – Health Insurance Portability and Accountability Act

Gizlilik ve Güvenlik bölümleri, Korunan Sağlık Bilgilerini (PHI) yetkisiz kullanım veya ifşaya karşı korumaya çalışır. Güvenlik Kuralı, PHI’nin korunması için İdari, Fiziksel ve Teknik önlemler hakkında rehberlik sağlar. HIPAA, tipik olarak sağlık hizmeti sağlayıcıları, sağlık planları ve takas odaları olan kurumlar için geçerlidir. Ayrıca, 2009 HITECH Yasası, HIPAA’nın gizlilik ve güvenlik hükümlerini, kapsam dahilindeki kuruluşların iş ortakları için de geçerli kılmaktadır.

D.2) Computer Fraud and Abuse Act (CFAA) – Title 18 Section 1030: Fraud and related activity in connection with computers

Bilgisayar suçlarıyla ilgili ilk ABD yasalarından birisidir. Devlet ve finans bilgisayarlarının yanı sıra yabancı veya eyaletler arası ticaretle uğraşan ve bir yıl içinde 5.000 dolar zararla sonuçlanan korunan bilgisayarlara yapılan saldırılar suç sayılmıştır.

D.3) Title 18 Section 1029: Fraud and related activity in connection with access devices

Sahte erişim / telekomünikasyon cihazları ile 1000$ üzerinde fraud olaylarını düzenler.

D.4) Electronic Communications Privacy Act (ECPA)

Bu yasa, telefon iletişimine tanınan telefon dışı elektronik iletişimlere benzer düzeyde arama ve el koyma koruması getirmiştir. ECPA etkili bir şekilde elektronik iletişimleri garantisiz telefon dinlemesine karşı korumuştur. PATRIOT Yasası bazı ECPA kısıtlamalarını zayıflatmıştır.

D.5) PATRIOT Act of 2001

Kolluk kuvvetlerinin elektronik izleme yeteneklerini genişletmiştir. Hat dinleme vb. için daha geniş kapsama alanı sağlamıştır. Anında açıklama gerektirmeden arama ve el koyma için izin verilir. Genel olarak, elektronik izleme ile ilgili olarak kolluk kuvvetlerinin gerektirdiği adli gözetim azaltılır.

D.6) Gramm-Leach-Bliley Act (GLBA)

Finansal kurumların, tüketici finansal bilgilerinin gizliliğini ve bütünlüğünü korumasını gerektirir. Kullanıcıları gizlilik uygulamaları hakkında bilgilendirmeye zorlamıştır.

D.7) California Senate Bill 1386 (SB1386)

ABD’nin ilk eyalet ihlali bildirim yasalarından biridir. Kaliforniya sakinlerini içeren kişisel veri ihlali yaşayan kuruluşların potansiyel açıklamaları kendilerine bildirmelerini gerektirmektedir. Daha sonraki devlet ve federal ihlal bildirimi yasaları girişimleri için öncü olarak hizmet etmiştir.

D.8) Sarbanes-Oxley Act of 2002 (SOX)

Amerika Birleşik Devletleri’ndeki büyük muhasebe skandallarının doğrudan bir sonucu olarak, daha yaygın olarak basitçe SOX olarak adlandırılan 2002 Sarbanes-Oxley Yasası kabul edildi. SOX halka açık şirketler için yasal uyumluluk zorunlulukları oluşturmuştur. SOX’in temel amacı, yeterli finansal ifşa ve finansal denetçi bağımsızlığını sağlamaktı. SOX finansal ifşa, denetçi bağımsızlığı ve risk değerlendirmesi gibi iç güvenlik kontrollerini gerektirir. SOX’in kasıtlı ihlali, cezai yaptırımlarla sonuçlanabilmektedir. SOX, ortaya çıkabilecek problemlerden CEO ve CFO gibi üst yöneticileri sorumlu tutulur ve ilgili üst yönetim bu kanunları imzalarlar.

D.9) Payment Card Industry Data Security Standard (PCI-DSS)

Finans endüstrisinin ödeme kartı bölümündeki kredi kartı bilgisini taşıyan, işleyen veya depolayan satıcılardan PCI-DSS’ye uymalarını zorunlu kılarak, büyük kredi kartı şirketlerine güvenlik politikası, güvenlik aygıtları, kontrol teknikleri ve kart sahibi veri ortamları içeren sistem ve ağların izlenmesi yoluyla kart sahibi verilerinin daha iyi korunmasını sağlamaya çalışmaktadır.

Bu kurallara göre PCI profiline uygun olarak en az 3 ayda bir dış ağ zafiyet testi yapılmasını; senede 2 kere ağ şemasının, kredi kartı akış şemasının, güvenlik duvarı kurallarının, cihazların güvenlik konfigürasyonlarının gözden geçirilmesini; senede en az 1 kere (veya sistemdeki büyük bir değişiklik / güncelleme sonrasında) iç ve dış sızma testleri gerçekleştirilmesini,… belirtir. PCI-DSS standardındaki maddeler için kaynaklardaki pcisecuritystandards bağlantısı, Siber güvenlik açısından PCI-DSS analizi için de Linkedin bağlantısı incelenebilir.

D.10) DMCA (Digital Milenium Copyright Act)

Blog, köşe yazısı gibi fikri bir mülkiyetin gerçek sahibinin olduğunun ispatlanması yeterli olup, DCMA ile mülkün telif hakkı koruma altına alınmıştır.

D.11) Federal Bilgi Güvenliği Yönetimi Kanunu (Federal Information Security Management Act – FISMA)

ABD’nin iktisadi ve ulusal güvenlik çıkarları için üç yılda bir kamu sistemlerini denetler ve akredite eder.

  • NIST (National Institute of Standards and Technology): Türkiye’deki TSE gibi standart oluşturmakla görevli bir kurumdur. FISMA kapsamında standartlar, kılavuzlar, kontrol listeleri,… hazırlar. Bu standartlar Federal Information Processing Standards (FIPS) olarak da bilinir. NIST tarafından hazırlanan kontrol listeleri için kaynaklardaki NIST  bağlantısı incelenebilir.
  • Federal Bilgi İşleme Standartı (Federal Information Processing Standards – FIPS): ABD’de askeri olmayan devlet kurumları (federal hükümetler gibi) ve devletle çalışan kurumların bilişim sistemlerinde kullanacağı standartlar topluluğudur.

 

Kaynaklar

https://www.amazon.com/CISSP-Study-Guide-Eric-Conrad/dp/0128024372

http://web.mit.edu/smadnick/www/wp/2018-13.pdf
http://conventions.coe.int/Treaty/en/Treaties/Html/185.htm
https://web.nvd.nist.gov/view/ncp/repository

CEVAP VER

Yorumunuzu giriniz
İsminizi giriniz

This site uses Akismet to reduce spam. Learn how your comment data is processed.