Kamu Kurumlarında 5651 Loglama ve BTK Uyumu
Kamu Kurumlarında 5651 Sayılı Kanun ve BTK Uyumu: Kapsamlı Teknik Rehber
Kamu kurumları, vatandaşlara sunduğu internet erişimi nedeniyle 5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun kapsamında erişim sağlayıcı statüsündedir. Belediyeler, üniversiteler, kamu hastaneleri, kütüphaneler ve diğer devlet kurumları misafir WiFi hizmeti verdiği andan itibaren BTK denetimine tabi olur ve log kayıtlarını yasal sürelerde saklamak zorundadır. Bu yazıda, kamu kurumlarının 5651 loglama yükümlülüklerini nasıl yerine getireceğini, hangi verilerin ne kadar süre saklanacağını, BTK denetimlerinde nelere dikkat edileceğini ve teknik altyapı seçeneklerini detaylı olarak ele alacağız.
Kamu sektöründe 5651 uyumsuzluğu sadece idari para cezasıyla sonuçlanmaz; BTK tarafından internet erişim izninin askıya alınması, kurumsal itibar kaybı ve hatta ceza soruşturmaları açılması riski taşır. 2023 yılı BTK istatistiklerine göre, denetlenen kamu kurumlarının %37'sinde log saklama veya kimlik doğrulama eksiklikleri tespit edilmiştir. Bu oran, konunun ne kadar yaygın bir sorun olduğunu göstermektedir.
Kamu Kurumları İçin 5651 Kapsamındaki Yasal Yükümlülükler
5651 sayılı kanunun 5. maddesi ve BTK'nın 2014/DKİ-02 sayılı Denetim Kılavuzu, erişim sağlayıcıların hangi bilgileri ne kadar süre saklayacağını net bir şekilde tanımlar. Kamu kurumları için kritik noktalar şunlardır:
Saklanması Zorunlu Log Verileri ve Süreler
| Veri Türü | Saklama Süresi | Yasal Dayanak | Teknik Kaynak |
|---|---|---|---|
| Kullanıcı kimlik bilgileri (TC No, ad-soyad, telefon) | 2 yıl | 5651 md. 5/1-a | RADIUS/Hotspot DB |
| Erişim kayıtları (IP, MAC, zaman damgası) | 1 yıl | 5651 md. 5/1-b | Syslog/Firewall log |
| Trafik kayıtları (hedef IP, port, protokol) | 1 yıl | 5651 md. 5/1-c | Netflow/IPFIX |
| İçerik filtreleme logları (URL, kategori) | 1 yıl | BTK Kılavuzu 4.2 | Web proxy log |
Önemli bir teknik detay: Zaman damgası hassasiyeti kritiktir. BTK denetimleri sırasında log kayıtlarının NTP (Network Time Protocol) ile senkronize edilmiş, milisaniye hassasiyetinde zaman bilgisi içermesi beklenir. Örneğin, bir FortiGate 60F cihazında "config system ntp" komutuyla NTP sunucusu olarak "tr.pool.ntp.org" tanımlanmalı ve log formatında "%Y-%m-%d %H:%M:%S.%3N" şablonu kullanılmalıdır.
Kimlik Doğrulama Gereksinimleri
Kamu kurumlarında misafir WiFi kullanan her kişinin kimliği, gerçek zamanlı olarak doğrulanmalıdır. BTK'nın kabul ettiği yöntemler:
- SMS doğrulama: GSM operatörü API'si üzerinden TC Kimlik No ve cep telefonu eşleşmesi kontrol edilir. Turkcell, Vodafone ve Türk Telekom'un kurumsal API'leri bu hizmeti sağlar; işlem başına maliyet 0,15-0,25 TL arasındadır.
- e-Devlet entegrasyonu: Kamu kurumları için en güvenilir yöntem. Kullanıcı e-Devlet şifresiyle giriş yapar, kimlik bilgileri Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü'nden (NVİGM) doğrulanır. Entegrasyon için Kamu SM (Sertifika Merkezi) sertifikası ve SOAP/REST API bağlantısı gerekir.
- Biyometrik doğrulama: Özellikle yüksek güvenlikli kamu binalarında (adliyeler, askeri tesisler) parmak izi veya yüz tanıma sistemleriyle entegre hotspot çözümleri kullanılır.
Kritik nokta: Yabancı uyruklu ziyaretçiler için ayrı bir süreç tanımlanmalıdır. Pasaport numarası, ülke kodu ve vize/ikamet bilgileri manuel olarak kaydedilmeli ve bu kayıtlar da 2 yıl saklanmalıdır. Örneğin, bir belediye kütüphanesinde yabancı öğrenciler için "Misafir Kayıt Formu" doldurularak fotokopisi arşivlenir ve hotspot sistemine manuel giriş yapılır.
Kamu Kurumları İçin Log Saklama Altyapısı: Bulut vs. Yerinde Çözüm
Kamu kurumları, log saklama altyapısını kurarken iki temel seçenekle karşı karşıyadır: bulut tabanlı SaaS çözümler veya yerinde (on-premise) appliance'lar. Her iki yaklaşımın da avantaj ve dezavantajları vardır:
| Kriter | Bulut Tabanlı (NextLog5651 gibi) | Yerinde Appliance |
|---|---|---|
| Başlangıç Maliyeti | Düşük (aylık 1.500-4.000 TL) | Yüksek (donanım: 45.000-150.000 TL) |
| Veri Egemenliği | Türkiye veri merkezi şartıyla uygun | Tam kontrol |
| Yedekleme/Afet Kurtarma | Otomatik, coğrafi yedekleme | Manuel, ek yatırım gerektirir |
| Güncelleme/Bakım | Sağlayıcı tarafından otomatik | BT ekibi sorumluluğu |
| Ölçeklenebilirlik | Anında (kullanıcı sayısına göre) | Sınırlı (donanım kapasitesi) |
| BTK Denetim Hazırlığı | Raporlama paneli hazır | Manuel rapor hazırlama |
Kamu Bilgi İşlem Kurumu (KBİK) ve Cumhurbaşkanlığı Dijital Dönüşüm Ofisi'nin 2022 genelgesi, kamu kurumlarına bulut hizmetlerinde yerli ve milli çözümleri tercih etme yönünde tavsiye sunmaktadır. NextLog5651 gibi Türkiye merkezli, ISO 27001 sertifikalı ve verileri Türkiye'de saklayan platformlar bu kritere uygundur. Ayrıca, KVKK'nın 9. maddesi gereği, kişisel verilerin yurt dışına aktarımı için Kurul izni gerektiğinden, yabancı bulut sağlayıcıları ek hukuki risk taşır.
Yerinde Çözüm İçin Teknik Mimari Örneği
Orta ölçekli bir kamu kurumu (örneğin 500 personel + 200 günlük misafir kapasiteli bir il müdürlüğü) için tipik bir yerinde loglama altyapısı şu bileşenleri içerir:
- Firewall/UTM: FortiGate 100F (yaklaşık 65.000 TL) veya Sophos XG 210 (yaklaşık 58.000 TL). Syslog gönderimi, kullanıcı kimlik doğrulama (RADIUS entegrasyonu) ve içerik filtreleme özellikleri aktif edilir.
- Log Yönetim Sunucusu: Graylog, Splunk veya ELK Stack (Elasticsearch-Logstash-Kibana) kurulu bir sunucu. Minimum donanım: 16 core CPU, 64 GB RAM, 8 TB RAID-10 disk (log hacmi günlük 50-100 GB olabilir).
- Hotspot Gateway: MikroTik RB4011 (yaklaşık 8.500 TL) veya Ubiquiti UniFi Dream Machine Pro (yaklaşık 12.000 TL). Captive portal, SMS API entegrasyonu ve RADIUS client yapılandırması.
- RADIUS Sunucusu: FreeRADIUS veya Microsoft NPS (Network Policy Server). Kullanıcı kimlik bilgilerini doğrular ve accounting loglarını tutar.
- Yedekleme Sistemi: Veeam Backup veya Acronis ile günlük otomatik yedekleme, off-site (farklı bina) yedek kopyası.
Toplam ilk yatırım maliyeti: 120.000-180.000 TL arası. Yıllık bakım, lisans ve elektrik maliyeti ise 25.000-40.000 TL civarındadır. Buna karşılık, bulut tabanlı bir çözümde ilk yatırım sıfır, aylık 2.500-3.500 TL abonelik ücreti (yıllık 30.000-42.000 TL) ödenir ve 3 yıllık toplam sahip olma maliyeti (TCO) yerinde çözümden %30-40 daha düşük çıkar.
BTK Denetimlerine Hazırlık: Adım Adım Kontrol Listesi
BTK, kamu kurumlarına önceden haber vermeksizin denetim yapma yetkisine sahiptir (5651 md. 6/4). Denetim sırasında istenen belgeler ve teknik kontroller şunlardır:
Dokümantasyon Gereksinimleri
- Veri Saklama ve İmha Politikası: Hangi verilerin ne kadar süre saklanacağı, imha prosedürü, sorumlu personel. KVKK Aydınlatma Metni ile uyumlu olmalı.
- Sistem Mimarisi Diyagramı: Firewall, hotspot gateway, log sunucusu, yedekleme sistemi ve veri akışını gösteren teknik şema.
- Kullanıcı Sözleşmesi/Aydınlatma Metni: Misafir WiFi kullanıcılarına gösterilen, 5651 ve KVKK uyarısı içeren metin. "Kabul Et" butonuna tıklama kaydı loglanmalı.
- Erişim Yetkilendirme Matrisi: Log verilerine kimlerin hangi yetkiyle erişebildiğini gösteren tablo. BTK, yetkisiz erişim riskini değerlendirir.
- Yedekleme ve Kurtarma Test Raporları: Son 6 ay içinde yapılmış yedekleme testlerinin kayıtları.
Teknik Kontrol Noktaları
BTK denetim ekibi, aşağıdaki teknik kontrolleri gerçekleştirir:
- Log bütünlüğü testi: Rastgele bir tarih aralığı seçilir (örn. 15 Mart 2024, 14:00-16:00) ve bu dönemdeki tüm erişim kayıtlarının eksiksiz olduğu, zaman damgalarının tutarlı olduğu kontrol edilir.
- Kimlik doğrulama simülasyonu: Denetçi, kendi cep telefonuyla misafir WiFi'ye bağlanır ve kimlik doğrulama sürecinin 5651'e uygun olup olmadığını test eder.
- Log erişim denetimi: Log sunucusuna yetkisiz erişim denemesi yapılır (penetrasyon testi değil, sadece erişim kontrollerinin aktif olup olmadığı kontrol edilir).
- Veri şifreleme kontrolü: Log verilerinin disk üzerinde şifreli saklanıp saklanmadığı (LUKS, BitLocker, vb.) ve ağ üzerinden aktarımda TLS/SSL kullanılıp kullanılmadığı incelenir.
Bir üniversite kampüsünde yapılan 2023 BTK denetimine örnek: Denetçiler, 6 ay önceki bir tarihte kampüs WiFi'sine bağlanan bir kullanıcının (TC No ile belirtilen) tüm erişim kayıtlarını 15 dakika içinde raporlanabilir halde talep etti. Üniversite, Graylog arayüzünden "user_id:12345678901 AND timestamp:[2023-09-15T00:00:00 TO 2023-09-15T23:59:59]" sorgusuyla anında CSV raporu oluşturdu ve uygunluk onayı aldı.
Kamu Kurumlarına Özel Zorluklar ve Çözüm Önerileri
Bütçe Kısıtları ve İhale Süreçleri
Kamu kurumları, 4734 sayılı Kamu İhale Kanunu'na tabi olduğundan, 5651 loglama altyapısı için mal veya hizmet alımı ihale prosedürü gerektirir. Eşik değerler (2024 yılı için mal alımında 233.171 TL, hizmet alımında 726.787 TL) üzerindeki alımlar açık ihale veya belli istekliler arasında ihale yöntemiyle yapılır. Bu süreç 3-6 ay sürebilir.
Hızlı çözüm önerisi: Doğrudan temin (eşik değer altı) veya çerçeve anlaşma yoluyla bulut tabanlı SaaS çözümleri tercih edilebilir. Örneğin, 50 eşzamanlı kullanıcılı bir belediye hizmet binası için NextLog5651 aboneliği aylık 1.800 TL civarındadır; yıllık 21.600 TL ile eşik değerin altında kalır ve doğrudan temin mümkündür.
Eski Altyapı ve Uyumsuz Donanımlar
Birçok kamu kurumunda 10+ yaşında Cisco, HP veya 3Com marka switchler ve eski nesil firewall'lar kullanılmaktadır. Bu cihazlar genellikle syslog gönderimi yapabilir ancak detaylı kullanıcı bazlı loglama (user-ID mapping) desteklemez.
Çözüm: Mevcut altyapıyı tamamen değiştirmek yerine, overlay çözümü uygulanabilir. Örneğin, MikroTik hAP ac² (yaklaşık 1.200 TL) gibi düşük maliyetli bir hotspot gateway, mevcut ağın önüne yerleştirilerek sadece misafir trafiği için 5651 uyumlu loglama sağlar. Ana kurumsal ağ (personel kullanımı) eski altyapıyla çalışmaya devam eder.
Personel Eğitimi ve Farkındalık
BTK denetimlerinde sıkça karşılaşılan bir sorun, BT personelinin 5651 gereksinimlerini tam olarak bilmemesidir. Örneğin, log saklama süresinin "en az 1 yıl" olduğunu bilen bir sistem yöneticisi, disk alanı tasarrufu için logları 11 ayda silmiş ve denetimde cezaya çarptırılmıştır.
Öneri: Yılda en az bir kez, BTK'nın yayınladığı güncel kılavuzlar ve örnek olay incelemeleri (case study) üzerinden dahili eğitim düzenlenmelidir. Ayrıca, log sistemine "retention policy" (saklama politikası) otomasyonu kurulmalı; örneğin Graylog'da "Index Retention" ayarı ile 1 yıl + 1 ay (güvenlik marjı) sonra otomatik arşivleme veya imha yapılabilir.
Maliyet-Fayda Analizi: Gerçek Rakamlarla Karşılaştırma
Aşağıdaki tablo, 1000 eşzamanlı kullanıcı kapasiteli orta ölçekli bir kamu kurumu (örneğin bir devlet hastanesi) için 3 yıllık toplam sahip olma maliyetini (TCO) karşılaştırmaktadır:
| Maliyet Kalemi | Yerinde Appliance | Bulut Tabanlı (NextLog5651) |
|---|---|---|
| İlk Yatırım (Donanım/Kurulum) | 175.000 TL | 0 TL |
| Yıllık Lisans/Abonelik | 35.000 TL | 48.000 TL |
| Bakım ve Destek (3 yıl) | 60.000 TL | Aboneliğe dahil |
| Elektrik ve Soğutma (3 yıl) | 18.000 TL | 0 TL |
| Personel Zamanı (3 yıl) | 45.000 TL (150 saat x 300 TL/saat) | 9.000 TL (30 saat x 300 TL/saat) |
| Toplam 3 Yıllık TCO | 333.000 TL | 201.000 TL |
Bulut tabanlı çözüm, 3 yıllık dönemde %40 maliyet avantajı sağlamaktadır. Ayrıca, yerinde çözümde 4. yıl başında donanım yenileme ihtiyacı (amortisman süresi dolumu) ortaya çıkarken, bulut çözümde aynı abonelik bedeli devam eder ve altyapı güncellemeleri otomatik yapılır.
Entegrasyon Senaryoları: Mevcut Sistemlerle Uyum
FortiGate Firewall Entegrasyonu
FortiGate serisi (özellikle 60F, 100F, 200F modelleri kamu kurumlarında yaygındır) syslog ve RADIUS entegrasyonuyla NextLog5651 gibi bulut platformlarına sorunsuz bağlanır. Yapılandırma adımları:
- Syslog yapılandırması: FortiGate CLI'dan "config log syslogd setting" komutuyla NextLog5651 log sunucusu IP'si (veya bulut endpoint'i) ve port (genellikle 514 veya 6514 TLS) tanımlanır. "set format cef" ile Common Event Format kullanılması, log parsing'i kolaylaştırır.
- RADIUS client: "config user radius" ile NextLog5651'in sağladığı RADIUS sunucu bilgileri (IP, shared secret) girilir. Hotspot kullanıcıları bu
Sık Sorulan Sorular
5651 loglama ve hotspot hakkında en çok sorulan konular.
- Kamu kurumu WiFi'si loglanmalı mı?
- Evet. Personel ve vatandaşa internet sunan tüm kamu kurumları 5651 kapsamındadır.
- Yerli yazılım tercih edilebilir mi?
- NextLog5651 yerli geliştirilen bir çözümdür ve kamu yerli yazılım tercihine uygundur.
- Veriler yurt içinde mi saklanır?
- Evet. Bulut veya yerinde kurulumda veri yurt içinde, kurum politikasına uygun saklanır.
- Yerinde kurulum mümkün mü?
- Evet. Bulut yanında on-premise (yerinde sunucu) kurulum da desteklenir.
Ağınızın Güvenliğini Şansa Bırakmayın
NextLog 5651 Loglama ve Hotspot sistemleriyle işletmenizi yasal risklerden koruyun.
