AVM WiFi Yaz Sezonu Denetimi: BTK Hazırlık Listesi 2024

Yaz Sezonunda AVM WiFi Trafiği ve Denetim Riskinin Artması

Yaz aylarında alışveriş merkezleri, yerli ve yabancı turistlerin yoğun ziyaretleriyle karşı karşıya kalır. Haziran-Eylül döneminde ortalama günlük ziyaretçi sayısı %40-60 oranında artar ve bu artış doğrudan misafir WiFi kullanımına yansır. Bir orta ölçekli AVM'de normal dönemde günde 2.000-3.000 WiFi oturumu açılırken, yaz sezonunda bu sayı 5.000-7.000'e ulaşabilir. Her oturum, 5651 sayılı Kanun kapsamında BTK denetimine tabi bir erişim kaydı oluşturur ve eksik veya hatalı loglama tespit edildiğinde işletmeye ağır idari yaptırımlar uygulanır.

BTK'nın son üç yılda yayımladığı denetim raporları, yaz aylarında özellikle turizm ve perakende sektörüne yönelik kontrollerin yoğunlaştığını göstermektedir. 2023 yılında yapılan denetimlerde, AVM'lerin %34'ünde zaman damgası tutarsızlığı, %28'inde kullanıcı kimlik doğrulama eksikliği ve %19'unda log saklama süresi ihlali tespit edilmiştir. Bu ihlaller, işletme başına 50.000 TL ile 500.000 TL arasında değişen idari para cezalarıyla sonuçlanmıştır. Yaz sezonu öncesi kapsamlı bir hazırlık yapmayan AVM'ler, hem yasal risk altında kalır hem de olası bir siber olay sonrası delil sunma yükümlülüğünü yerine getiremez.

5651 Sayılı Kanun Kapsamında AVM WiFi Loglama Yükümlülükleri

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, ticari amaçla halka açık internet erişimi sunan tüm işletmeleri kapsayan açık bir düzenleme içerir. Alışveriş merkezlerinde sunulan ücretsiz misafir WiFi hizmeti de bu kapsamdadır ve işletme, her kullanıcının erişim kayıtlarını en az iki yıl süreyle saklamakla yükümlüdür.

Kanunun 6. maddesi ve BTK'nın 2014/DK-İY/306 sayılı Usul ve Esasları, loglama sisteminin taşıması gereken asgari özellikleri şu şekilde belirler:

• Kullanıcı kimlik doğrulama: TC kimlik numarası, yabancılar için pasaport numarası veya HES kodu ile SMS doğrulama zorunludur. Yaz sezonunda yabancı ziyaretçi oranı %30'u aşan AVM'lerde çok dilli kimlik doğrulama arayüzü kritik önem taşır.
• Zaman damgası senkronizasyonu: Tüm loglar NTP (Network Time Protocol) ile senkronize edilmiş UTC+3 zaman damgası taşımalıdır. Bir saniyelik sapma bile delil değerini sıfırlayabilir.
• Erişim kaydı detayı: Kaynak IP adresi, hedef IP/URL, port numarası, oturum başlangıç ve bitiş zamanı, aktarılan veri miktarı (byte) gibi teknik parametreler eksiksiz kaydedilmelidir.
• Cihaz tanımlama: MAC adresi, cihaz modeli, işletim sistemi bilgisi gibi tanımlayıcılar, özellikle çoklu cihaz kullanan kullanıcıların takibinde zorunludur.
• Coğrafi konum etiketi: Çok katlı AVM'lerde her erişim noktasının (AP) kat ve bölge bilgisiyle etiketlenmesi, olay anında kullanıcının fiziksel konumunu belirlemek için gereklidir.

BTK denetimleri sırasında, işletmeden rastgele seçilen 10-20 kullanıcının son altı aylık erişim kayıtları talep edilir. Bu kayıtların 48 saat içinde eksiksiz ve okunabilir formatta sunulamaması, doğrudan ceza gerekçesi oluşturur. Yaz sezonunda günlük log hacmi 50-100 GB'a ulaşabileceği için, bulut tabanlı loglama sistemleri hem maliyet hem de erişilebilirlik açısından kritik avantaj sağlar.

Yaz Sezonu Öncesi Teknik Altyapı Kontrol Listesi

Yoğun ziyaretçi trafiği öncesinde AVM yönetimlerinin yapması gereken teknik kontroller, hem yasal uyumu hem de kullanıcı deneyimini doğrudan etkiler. Aşağıdaki tablo, öncelikli kontrol alanlarını ve beklenen standartları özetlemektedir:

Firewall ve Router Konfigürasyon Doğrulaması

Alışveriş merkezlerinde yaygın kullanılan FortiGate, Sophos XG, SonicWall TZ serisi ve MikroTik RouterOS cihazlarının syslog ayarları, yaz sezonu öncesi mutlaka gözden geçirilmelidir. FortiGate cihazlarda config log syslogd setting komutuyla uzak sunucu adresi, port (genellikle TCP 514 veya TLS için 6514) ve log seviyesi kontrol edilir. Sophos XG'de Log Settings → Remote Syslog menüsünden hem firewall hem de IPS loglarının aktif olduğu doğrulanmalıdır.

MikroTik cihazlarda sıklıkla karşılaşılan hata, /system logging action altında remote target'ın doğru IP ve protokol ile tanımlanmamasıdır. Özellikle yaz sezonunda trafiğin artmasıyla UDP tabanlı syslog paketlerinin kaybolma riski artar; bu nedenle TCP veya TLS üzerinden log iletimi tercih edilmelidir. SonicWall cihazlarda ise Log → Syslog Settings altında "All" kategorisinin seçilmesi yerine, sadece "Connections" ve "Security Services" kategorilerinin aktif edilmesi, gereksiz log yükünü azaltarak sistem performansını korur.

Bulut Tabanlı Loglama Sistemlerinin Avantajları

Geleneksel on-premise loglama sunucuları, yaz sezonunda karşılaşılan ani trafik artışlarında hem depolama hem de işlem gücü darboğazı yaşar. Bulut tabanlı çözümler, elastik altyapı sayesinde günlük log hacmi 10 GB'dan 100 GB'a çıksa bile ek donanım yatırımı gerektirmez. NextLog gibi 5651 uyumlu bulut platformları, coğrafi olarak yedekli veri merkezlerinde otomatik yedekleme sağlar ve BTK denetimlerinde talep edilen raporları dakikalar içinde üretir.

Bulut sistemlerin ikinci kritik avantajı, gerçek zamanlı anomali tespitidir. Örneğin, bir kullanıcının 10 dakika içinde 500'den fazla farklı IP adresine bağlantı denemesi veya yabancı bir kullanıcının Türkçe kimlik numarasıyla kayıt girişimi gibi şüpheli davranışlar anında uyarı oluşturur. Bu tür erken uyarılar, hem siber saldırıları hem de sahte kimlikle erişim girişimlerini önler.

Yabancı Ziyaretçi Yoğunluğu ve KVKK Uyumu

Yaz sezonunda AVM'leri ziyaret eden yabancı turistlerin oranı, özellikle İstanbul, Antalya ve İzmir'deki büyük alışveriş merkezlerinde %40'ı aşar. Bu durum, hem 5651 hem de KVKK (Kişisel Verilerin Korunması Kanunu) açısından ek yükümlülükler getirir. Pasaport numarası gibi yabancı kimlik belgelerinin kaydedilmesi, KVKK'nın 10. maddesine göre "özel nitelikli kişisel veri" kapsamına girmese de, açık rıza alınması ve veri işleme amacının net belirtilmesi zorunludur.

Çok dilli aydınlatma metinleri, yalnızca yasal zorunluluk değil, aynı zamanda kullanıcı deneyimini iyileştiren bir uygulamadır. İngilizce, Arapça, Rusça ve Almanca gibi dillerde hazırlanan KVKK aydınlatma metinleri, WiFi giriş portalında kullanıcıya sunulmalı ve onay kaydı loglanmalıdır. BTK denetimlerinde, yabancı bir kullanıcının erişim kaydı incelendiğinde, o kullanıcının kendi dilinde aydınlatma metnini gördüğüne dair kayıt olmaması, KVKK ihlali gerekçesiyle ek ceza doğurabilir.

Veri Saklama Süreleri ve İmha Prosedürü

5651 sayılı Kanun, erişim kayıtlarının en az iki yıl saklanmasını zorunlu kılar. Ancak KVKK, "veri minimizasyonu" ilkesi gereği, işleme amacı ortadan kalktığında verilerin imha edilmesini gerektirir. Bu iki düzenleme arasındaki denge, şu şekilde kurulur: Erişim logları iki yıl boyunca 5651 uyumu için saklanır, bu süre sonunda otomatik olarak imha edilir ve imha işlemi kayıt altına alınır. İmha kaydı, KVKK denetimlerinde işletmenin veri minimizasyonu ilkesine uyduğunu kanıtlar.

Bulut tabanlı sistemlerde, iki yıllık saklama süresi dolduğunda logların otomatik olarak kriptografik silme (cryptographic erasure) yöntemiyle imha edilmesi, hem KVKK hem de ISO 27001 standartlarına uygunluk sağlar. Bu yöntemde, verilerin şifreleme anahtarları geri dönülemez şekilde silinerek veriler okunamaz hale getirilir.

BTK Denetim Senaryoları ve Hazırlık Adımları

BTK denetimleri genellikle önceden haber verilmeden gerçekleşir ve denetim ekibi, işletmeden belirli tarih aralığındaki erişim kayıtlarını 48 saat içinde sunmasını talep eder. Yaz sezonunda yoğunluk nedeniyle sistem yavaşlaması veya log erişim sorunları yaşayan AVM'ler, bu süre içinde veri sunamadığı için doğrudan ceza alır. Aşağıdaki senaryo tablosu, gerçek denetim örneklerini ve hazırlık gereksinimlerini göstermektedir:

Denetim Öncesi Test Senaryoları

Yaz sezonu öncesinde, AVM IT ekiplerinin kendi iç denetim süreçlerini çalıştırması kritik önem taşır. Örnek test senaryosu: IT yöneticisi, rastgele bir tarih ve saat seçerek (örneğin 15 Haziran 2024, 14:30-15:00 arası) bu zaman dilimindeki tüm erişim kayıtlarını talep eder ve sistemin 30 dakika içinde raporlayıp raporlayamadığını kontrol eder. Eğer sistem bu basit testi geçemiyorsa, gerçek BTK denetiminde kesinlikle başarısız olur.

İkinci kritik test, yabancı kimlik doğrulama akışıdır. Bir test kullanıcısı, yabancı pasaport numarası ve yabancı telefon numarası ile WiFi'ye bağlanmaya çalışır. Sistem, SMS doğrulama kodunu uluslararası numaraya başarıyla gönderebilmeli, kullanıcı İngilizce aydınlatma metnini görmeli ve tüm bu süreç eksiksiz loglanmalıdır. Bu test, yaz sezonunda karşılaşılacak gerçek senaryoları simüle eder.

Sektörel Çözümler ve Entegrasyon Gereksinimleri

Alışveriş merkezleri, WiFi loglama sistemini mevcut BMS (Building Management System), güvenlik kameraları ve mağaza yönetim sistemleriyle entegre ettiğinde, hem operasyonel verimlilik hem de güvenlik seviyesi önemli ölçüde artar. Örneğin, bir kullanıcının WiFi erişim kaydı ile aynı zaman dilimindeki kamera görüntülerinin otomatik eşleştirilmesi, olası güvenlik olaylarında delil toplama sürecini hızlandırır.

NextLog'un AVM'lere özel çözümleri, FortiGate, Sophos, MikroTik ve SonicWall gibi yaygın firewall markalarıyla sıfır konfigürasyon entegrasyonu sunar. Sistem, mevcut ağ altyapısına müdahale etmeden devreye alınır ve ilk 24 saat içinde geçmiş logları da geriye dönük olarak toplar. Bulut tabanlı mimari sayesinde, çok şubeli AVM zincirleri tek bir merkezi panelden tüm lokasyonlarının loglama durumunu izleyebilir ve BTK denetimlerinde tüm şubelerin raporlarını tek tıkla oluşturabilir.

Maliyet-Fayda Analizi: Bulut vs. On-Premise

Orta ölçekli bir AVM (günlük 5.000 WiFi oturumu) için on-premise loglama sunucusu kurulumu, donanım, lisans ve kurulum dahil 150.000-250.000 TL başlangıç yatırımı gerektirir. Yıllık bakım, elektrik ve IT personel maliyeti ise 75.000-100.000 TL civarındadır. Bulut tabanlı çözümlerde ise başlangıç yatırımı sıfır, aylık abonelik bedeli 3.000-5.000 TL arasındadır ve tüm güncellemeler, yedeklemeler ve teknik destek dahildir. İki yıllık toplam sahip olma maliyeti (TCO) karşılaştırıldığında, bulut çözümler %40-50 daha ekonomiktir.

Daha önemli olan ise, bulut sistemlerin yasal risk maliyetini sıfırlamasıdır. BTK denetiminde ceza alma riski, on-premise sistemlerde %15-20 iken, SLA garantili bulut sistemlerde %1'in altına düşer. 100.000 TL'lik tek bir ceza bile, iki yıllık bulut abonelik maliyetini amorti eder.

Yaz Sezonu Hazırlık Takvimi ve Aksiyon Planı

Mayıs ayı sonuna kadar tamamlanması gereken kritik adımlar şunlardır:

• Hafta 1-2 (1-14 Mayıs): Mevcut loglama sisteminin kapasite testi, NTP senkronizasyon kontrolü, firewall/router syslog ayarlarının doğrulanması. Eksik veya hatalı konfigürasyonların tespiti.
• Hafta 3 (15-21 Mayıs): Bulut tabanlı loglama sistemine geçiş kararı alınmışsa, pilot uygulama başlatılması. On-premise sistemlerde depolama alanı genişletme ve yedekleme prosedürlerinin güncellenmesi.
• Hafta 4 (22-31 Mayıs): Yabancı dil desteği eklenmesi, çok dilli KVKK aydınlatma metinlerinin hazırlanması, pasaport numarası doğrulama akışının test edilmesi.
• Haziran 1-15: Tüm sistemlerin canlı ortamda stres testi, BTK denetim senaryolarının simülasyonu, IT ekibine denetim prosedürü eğitimi verilmesi.
• Haziran 15 - Eylül 30: Haftalık otomatik sistem sağlık raporları, anomali alarmlarının takibi, gerektiğinde kapasite artırımı.

Sonuç ve Aksiyon Önerisi

Yaz sezonu, alışveriş merkezleri için hem en karlı hem de en riskli dönemdir. Ziyaretçi sayısındaki %40-60'lık artış, WiFi loglama sistemini maksimum kapasitede çalıştırırken, BTK denetim olasılığını da artırır. 5651 sayılı Kanun uyumu, artık opsiyonel bir "güvenlik önlemi" değil, işletmenin yasal varlığını doğrudan etkileyen kritik bir gerekliliktir. Tek bir denetimde alınan 100.000-500.000 TL arası ceza, yıllık IT bütçesinin önemli bir kısmını eritebilir ve marka itibarına kalıcı zarar verebilir.

Mayıs ayı, hazırlık