KVKK ve SIEM: Kişisel Veri Güvenliğinde Neden Vazgeçilmez?

Siber güvenlik dünyasının iki önemli aktörü: Kişisel Verilerin Korunması Kanunu (KVKK) ve Güvenlik Bilgileri ve Olay Yönetimi (SIEM).

Özellikle şirketlerin veri güvenliğini sağlamak ve yasal düzenlemelere uyum sağlamak adına bu ikilinin neden bu kadar kritik olduğunu ele alacağız.

2016 yılında yürürlüğe giren ve zamanla olgunlaşan KVKK, işletmelerin kişisel verileri koruma konusundaki sorumluluklarını net bir şekilde belirledi. 5651 sayılı “İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun” ile loglama zaten zorunlu hale gelmişken, KVKK ile birlikte bu zorunluluk artık kaçınılmaz bir gerekliliğe dönüştü. Ancak mesele sadece log toplamak değil, asıl önemli olan toplanan bu logları anlamlandırabilmek ve proaktif önlemler alabilmek. İşte tam da bu noktada SIEM ürünleri devreye giriyor.

Log Toplamak Yeterli mi? SIEM Neden Gerekli?

KVKK kapsamında işletmelerden, kişisel veri envanterini çıkarmaları ve verilere erişim yetkilerini sıkı bir matrisle kontrol altına almaları bekleniyor. Bu da demek oluyor ki, kişisel verilere yapılan her erişimin loglanması büyük önem taşıyor. Peki, sadece logları toplamak yeterli mi? Ne yazık ki hayır. Toplanan bu logların sadece birer kayıt olarak kalması, olası bir ihlal anında gecikmeli müdahaleye veya hiç müdahale edilememesine yol açabilir.

KVKK Teknik Tedbirler dokümanı, log yönetiminin teknik tedbirlerin başında geldiğini açıkça belirtir. Ancak bu belgede sadece “log toplamak” değil, aynı zamanda bu logların pasif önleyici sistemler aracılığıyla analiz edilerek bilgi sistem yöneticilerini uyarması ve yönlendirmesi gerektiği de vurgulanır. SIEM tam da bu işlevi üstlenir. Güvenlik Duvarları (Firewall), Saldırı Tespit ve Önleme Sistemleri (IDS/IPS), ağ cihazları, sistem ve uygulama logları gibi birçok farklı kaynaktan gelen verileri toplayan SIEM, tanımlı kurallara göre bu loglar arasında anlamlı ilişkiler kurar ve anormallikleri tespit eder.

Bir log kaydının tek başına ne kadar sınırlı bir bilgi verdiğini düşünün:

“16:19 8/7/2018 User JaneDoe Successful Auth to 10.10.20.109 from 10.10.8.212”
Bu kayıt, sadece bir kullanıcının belirli bir IP adresinden bir sisteme başarılı bir şekilde bağlandığını gösterir. Ancak SIEM, bu kaydı bağlamına oturtarak çok daha anlamlı bir senaryo sunabilir:
“Ofiste kimsenin bulunmaması gereken bir günde bir Ofis Sistemine Pazarlama Departmanına ait bir Hesap bağlantı kurdu”
İşte bu, sıradan bir log kaydının ötesine geçerek potansiyel bir tehdide işaret eden, eyleme geçirilebilir bir uyarıdır.

KVKK Kapsamında Yetki Kontrolü ve SIEM

KVKK, sadece veri toplama ve depolama konusunda değil, aynı zamanda verilere erişim yetkilerinin de sıkı bir şekilde denetlenmesini şart koşar. Teknik tedbirler dokümanı, sadece alarm üretmenin yeterli olmadığını, bu alarmların KVKK yetki kontrolünü içerecek şekilde olması gerektiğini de belirtir.

Peki, yetki kontrolü içeren alarmlar nelerdir ve tüm SIEM çözümleri bu tür senaryoları destekler mi?

KVKK kapsamında, aşağıdaki gibi yetki kontrolü senaryolarına ihtiyaç duyarız:

  • Özel nitelikli kişisel verilerin tutulduğu sunucuya belirli kullanıcıların sadece tanımlı IP adreslerinden erişebilmesi. Örneğin, “ertugrul.akbas kullanıcısı, özel nitelikli kişisel verilerin olduğu sunucuya sadece 192.168.1.137, 192.168.1.200, 192.168.1.10 IP’lerinden erişebilir. Başka bir yerden bağlantı isteği gelirse alarm üret.”
  • Belirli kullanıcıların belirli veritabanı tablolarına sadece tanımlı IP aralıklarından erişebilmesi. Örneğin, “ertugrul.akbas, 172.16.0.0, 172.16.1.0, 172.16.2.0 IP’lerinden birinden Database Server isimli sunucuda kurulu bulunan Database’de bulunan Medical Data tablosuna erişebilsin. Başka bir yerden de bu tabloya erişemesin.”

Bu tür kurallar, oluşturulacak yetki matrisi ile paralel bir şekilde SIEM tarafından takip edilmelidir. KVKK projelerinde bu detayın göz ardı edilmemesi ve SIEM uygulaması yapan ekiple bu senaryoların geliştirilip geliştirilemeyeceğinin net bir şekilde konuşulması hayati önem taşır.

SIEM ile Karşılanan KVKK Teknik Tedbirleri

KVKK Teknik Tedbirler dokümanında yer alan maddeler incelendiğinde, SIEM’in birden fazla maddeyi doğrudan veya dolaylı olarak karşıladığı görülür:

  • Erişim Logları: SIEM, tüm sistemlerdeki erişim loglarını merkezi olarak toplar ve analiz eder.
  • Log Kayıtları: Logların toplanması, depolanması ve uzun süre saklanması konusunda kritik bir rol oynar.
  • Yetki Kontrolü: Yukarıda bahsedildiği gibi, yetki matrisiyle uyumlu alarmların üretilmesini sağlar.
  • Saldırı Tespit ve Önleme Sistemleri: SIEM, IDS/IPS gibi sistemlerden gelen verileri de analiz ederek saldırıların tespitine ve önlenmesine yardımcı olur.
  • Silme, Yok Etme veya Anonim Hale Getirme: Belirli senaryolarla, veri silme veya yok etme işlemlerinin loglarını takip ederek KVKK’ya uygunluğu denetleyebilir.

SIEM çözümü, tıpkı Veri Kaybı Önleme (DLP) yazılımlarının veya Güvenlik Duvarlarının (Firewall) belirli maddeleri doğrudan karşılaması gibi, KVKK teknik tedbirlerinin birden fazla maddesine yanıt vererek veri güvenliği stratejisinde merkezi bir rol oynar.

Günümüz siber saldırı tehditleri göz önüne alındığında, saldırganların sistemlerde iz bırakmamak için log kayıtlarını silme eğiliminde olduğu biliniyor. Bu nedenle, oluşan log kayıtlarının SIEM gibi merkezi bir yerde toplanması ve analiz edilmesi, hem siber saldırıların tespiti hem de KVKK, PCI-DSS, ISO-27001 gibi regülasyonlarla uyumluluk açısından kurumlara büyük faydalar sağlıyor.

KVKK uyumluluğu sadece bir yasal zorunluluk değil, aynı zamanda itibar yönetimi ve müşteri güvenini sağlamanın da anahtarıdır. Bu süreçte doğru SIEM çözümünü seçmek ve yetkin bir ekiple çalışmak, şirketinizin veri güvenliğini sağlamak adına atılacak en önemli adımlardan biridir.