Siber Güvenlik Hizmetleri ve 5651 Uyum Çözümleri

5651 Sayılı Kanun: İnternet Log Yönetimi ve Uyum Çözümleri

5651 sayılı kanun kapsamında internet log kayıt yükümlülükleri, teknik gereksinimler ve uyum çözümleri. Kimler yükümlü, ne kadar saklanmalı, ceza riski nedir?

İlker Pehlivan
5 dk okuma

Bir apartmanın güvenlik kamerası kaydını düşünün: kimin ne zaman girip çıktığını gösteren bu kayıt, normal bir günde kimsenin ilgisini çekmez; ama bir olay yaşandığında yönetim için tek gerçek savunma aracına dönüşür. 5651 sayılı kanun, işletmenizin internet trafiği için aynı kaydı tutmanızı ister: kim, hangi cihazdan, ne zaman internete çıktı? Personeline, öğrencisine veya müşterisine internet erişimi sunan her işletme bu kaydı tutmakla, yani toplu kullanım sağlayıcısı olarak 5651’e uymakla yükümlüdür.

Bu makalede kimlerin yükümlü olduğunu, hangi teknik gereksinimlerin karşılanması gerektiğini ve loglamayı ihmal etmenin gerçek riskini ele alıyoruz. Bu rehber Siber Güvenlik hizmetimizin yasal uyum koluna odaklanır; sunucu ve ağ cihazlarının genel sertleştirmesi için güvenlik sıkılaştırma (hardening) rehberimize göz atabilirsiniz.

5651 sayılı kanun kapsamında internet log kaydını apartman güvenlik defteriyle kıyaslayan illüstrasyon: giriş kaydı sunucu loglarına dönüşüyor
5651 kapsamındaki internet log kaydı, bir apartmanın güvenlik kamerası ve giriş defteri gibi işler.

Kimler Yükümlü?

İnternete kendi hattınızdan bağlandığınız ve bu bağlantıyı başka biriyle (çalışan, öğrenci, müşteri, misafir) paylaştığınız her durumda 5651 kapsamına girersiniz:

  • Ofislerinde çalışanlarına internet veren şirketler
  • Misafir Wi-Fi’ı sunan oteller, restoranlar, kafeler
  • Öğrencilerine veya personeline internet sağlayan okullar ve üniversiteler
  • Müşterilerine internet erişimi sunan AVM’ler, hastaneler ve benzer işletmeler

Buradaki ayrım genellikle karıştırılır: sizin İnternet Servis Sağlayıcınız (ISP) zaten kendi hattı üzerindeki trafiği loglar, ama bu kayıt sadece “işletmenize” kadar olan trafiği gösterir. Apartman benzetmesiyle söylersek, ISP’nin kaydı sitenin ana giriş kapısındaki kamerayla sınırlıdır; sitenin içindeki hangi dairenin (hangi çalışanın, hangi öğrencinin) o kapıdan çıktığını görmek isterseniz, bu iç kaydı tutmak size düşer. ISP’nin loglaması sizi bu yükümlülükten muaf tutmaz.

Teknik Yükümlülükler: Ne, Ne Kadar ve Nasıl Saklanmalı

Log Kayıt Kapsamı

Loglanması gereken bilgi, bir bağlantıyı geriye dönük olarak kesin biçimde tanımlayabilecek kadar detaylı olmalıdır: internet çıkışı yapan her cihazın iç IP adresi, bu adresin NAT (Ağ Adresi Çevirimi) üzerinden hangi dış IP ve porta eşlendiği, bağlantının başlangıç ve bitiş zamanı. Bu detay seviyesi olmadan, “bu dış IP’yi hangi cihaz kullandı” sorusuna cevap verilemez; kayıt var görünür ama pratikte işe yaramaz.

Saklama Süresi

Trafik bilgisi kayıtları en az 2 yıl saklanmalıdır (5651 sayılı kanunun resmi metninde bu sürenin yasal dayanağını görebilirsiniz). Bu, kamera kaydını bir haftada silen bir apartman yönetimi gibi davranmamak demektir: log sisteminizin eski kayıtları otomatik olarak silmesi değil, belirlenen süre boyunca güvenli bir arşive taşıması gerekir. Depolama kapasitesi planlamasında bu süre baştan hesaba katılmalıdır; aksi halde disk dolduğunda en eski (ve belki de en kritik) kayıtlar sessizce kaybolur.

Güvenli ve Değiştirilemez Depolama

Bir kaydın hukuki delil değeri taşıması için sonradan değiştirilemez (tamper-proof) olması gerekir. Bu genellikle her log bloğunun bir önceki blokla hash zinciriyle bağlanmasıyla sağlanır: zincirdeki herhangi bir kayıt en ufak şekilde oynanırsa, zincir kırılır ve bu kırılma anında tespit edilebilir. Kamera kaydının üzerine sonradan görüntü eklenip eklenmediğini anlayabilmek gibi düşünün; loglama sisteminizin bu garantiyi taşıyıp taşımadığını mutlaka sorgulayın.

5651 log kayıtlarında tamper-proof hash zincirleme yöntemini gösteren illüstrasyon: bir kayıt değiştirilince zincir kırılıyor
Değiştirilemez log arşivi, her kaydı bir öncekine hash ile zincirleyerek çalışır; bir halka oynanırsa zincir kırılır.

Yetkili Makama İbraz

Talep geldiğinde loglar eksiksiz, doğrulanabilir ve okunabilir biçimde sunulabilmelidir. Burada sık yapılan hata, logların var olması ama erişilebilir olmamasıdır: dağınık dosyalarda, farklı formatlarda veya kimsenin hatırlamadığı bir sunucuda duran kayıtlar, ibraz anında pratikte yok kayıtlar kadar sorunludur.

Zaman Damgasının Doğruluğu

Bir logun delil değeri, doğru bir zaman damgası taşımasına bağlıdır. Log sunucusu ile trafiği üreten cihazların saatleri senkronize değilse, aynı olayın farklı kayıtlarda farklı saatlerde görünmesi gibi bir tutarsızlık ortaya çıkar; bu da kayıtların güvenilirliğini doğrudan zedeler. NTP yapılandırması bu yüzden gözden kaçırılmaması gereken teknik bir ön koşuldur; detayları Windows Server kurulum rehberimizde ele alıyoruz.

Bir Kurumda 5651 Boşluğunu Nasıl Bulduk

Yazar olarak, uzun süredir sistem ve ağ desteği verdiğimiz çok lokasyonlu büyük bir kuruma destek vermeye başlar başlamaz yaptığımız ilk incelemede bir şey dikkatimi çekti: kurumun 5651 kapsamındaki loglama yükümlülüğü hiç karşılanmıyordu. Birbirine bağlı onlarca lokasyonun hiçbirinde merkezi, değiştirilemez bir log arşivi yoktu; firewall’lar kendi yerel disklerinde birkaç haftalık kayıt tutup üzerine yazıyordu.

Asıl sorun, kurumun bunu fark etmemiş olması değildi; kimsenin bu konuyu net biçimde sorgulamamış olmasıydı. Böyle bir boşluk, bir olay yaşanana kadar tamamen görünmez kalır; olay yaşandığında ise artık çok geç olur. Benzer bir projeyi kısa sürede nasıl tamamladığımızı, hangi log toplama mimarisini kurduğumuzu 5651 uyum projesi vaka çalışmasında ayrıntılarıyla anlatıyoruz.

Loglama Yapılmazsa Ne Olur?

5651 kapsamındaki yükümlülüklerini yerine getirmeyen toplu kullanım sağlayıcıları idari yaptırımlarla karşılaşabilir. Ancak pratikte asıl risk cezadan önce gelir: kurumunuzun hattı üzerinden bir siber suç işlendiğinde ya da yasa dışı bir paylaşım yapıldığında, elinizde loglama yoksa “bunu kim yaptı” sorusuna cevap veremezsiniz ve şüphe doğrudan kurumunuzun tüzel kişiliği üzerinde kalır. Kamera kaydı olmayan bir sitede yaşanan bir olayda tüm site sakinlerinin şüpheli konumuna düşmesi gibi düşünün.

Çözümümüz

Serçe Bilişim olarak, mevcut altyapınıza entegre edilebilen otomatik log toplama ve arşivleme sistemleri kuruyoruz. Kullandığınız firewall veya yönlendirici markasından bağımsız çalışan merkezi bir log yönetim platformu tercih ediyoruz; böylece donanımınızı değiştirmeden, sadece trafiği doğru yere yönlendirerek uyumu sağlıyoruz.

Somut olarak şunları yapıyoruz:

  • Mevcut altyapı analizi ve uyumluluk değerlendirmesi
  • Merkezi log toplama sisteminin kurulumu ve yapılandırması
  • Hash zincirlemeli, değiştirilemez log arşivleme
  • NTP senkronizasyonunun doğrulanması
  • Periyodik uyumluluk raporları
  • Yasal talep durumunda log ibrazı için teknik destek

5651 Log Yönetimi Hakkında Sık Sorulan Sorular

Personeline, öğrencisine veya müşterisine internet erişimi sunan her işletme 'toplu kullanım sağlayıcısı' sayılır ve kanun kapsamına girer: ofisler, oteller, kafeler, okullar, hastaneler, AVM'ler. İnternete kendi hattınızdan bağlanan tek bir bilgisayarınız bile olsa, o bağlantıyı başkalarıyla paylaşıyorsanız yükümlülük başlar.
Ticari amaç gütmeyen küçük ölçekli paylaşımlar (birkaç kişilik ofis, ev) için yükümlülük teknik olarak daha hafiftir, ancak misafir Wi-Fi'ı ticari faaliyetin bir parçası olarak sunan işletmeler (otel, kafe, AVM) için tam kapsamlı loglama zorunludur. Şüpheniz varsa işletme büyüklüğünüzü ve internet paylaşım şeklinizi değerlendirip net bir cevap verebiliriz.
Trafik bilgisi kayıtları en az 2 yıl saklanmalıdır. Bu süre dolmadan kayıtların silinmesi veya üzerine yazılması, denetim anında ciddi bir eksiklik olarak değerlendirilir; log sisteminin saklama süresini otomatik yönetmesi (rotasyon değil, arşivleme) bu yüzden kritik bir yapılandırma detayıdır.
Bir log kaydı sonradan değiştirilebiliyorsa, hukuki delil değeri de tartışmalı hale gelir. Tamper-proof yapı genellikle her kayıt bloğunun bir öncekinin hash'iyle zincirlenmesiyle sağlanır; bir kayıt en ufak şekilde değiştirildiğinde zincir kırılır ve bu durum anında görünür olur. Loglama sisteminizin bu özelliği taşıyıp taşımadığını mutlaka teyit edin.
Hayır. Firewall'lar genellikle logları sınırlı bir süre (birkaç hafta veya ay) yerel diskte tutar, kapasite dolunca en eski kayıtların üzerine yazar; üstelik TR mevzuatı gereği 5651 kapsamında tutulan logların şifrelenmesi de zorunludur, çoğu firewall'un yerel log mekanizması bu şifreleme garantisini taşımaz. 5651 uyumu için bu logların merkezi, uzun süreli, şifrelenmiş ve değiştirilemez bir arşive aktarılması gerekir; firewall markanızdan bağımsız çalışan bir log toplama katmanı bu ihtiyacı karşılar.
Her cihazın hangi iç IP'den hangi zaman diliminde internete çıktığı, bu çıkışın NAT üzerinden hangi dış IP ve porta eşlendiği, oturum başlangıç ve bitiş zamanları kayıt altına alınmalıdır. Kısacası, bir bağlantı şikayet konusu olduğunda 'bu IP'yi hangi cihaz, ne zaman kullandı' sorusuna kesin cevap verilebilmelidir.
5651 kapsamındaki yükümlülüklerini yerine getirmeyen toplu kullanım sağlayıcıları idari para cezasıyla karşılaşabilir; tekrarlanan ihlallerde yaptırım ağırlaşır. Ancak asıl risk çoğu zaman cezadan önce gelir: bir olay yaşandığında (siber saldırı, yasa dışı paylaşım) kurumunuzun kendisini savunacak hiçbir kaydı olmaz ve şüphe doğrudan kurum tüzel kişiliğinin üzerinde kalır.
Bir logun delil değeri, doğru zaman damgası taşımasına bağlıdır. Log sunucusu ile trafiği üreten cihazların saatleri senkronize değilse, kayıtlar arasında tutarsız zaman damgaları oluşur ve bu tutarsızlık savcılık veya denetim karşısında kayıtların güvenilirliğini zedeler. Bu yüzden NTP senkronizasyonunu [Windows Server kurulum rehberimizde](/hizmetler/bt-sistem-yonetimi/windows-server-kurulumu) anlattığımız adımlarla doğru yapılandırmanız gerekir.
Hayır, ikisi farklı amaçlara hizmet eder ama sık sık birlikte anılır. 5651 kimin ne zaman internete çıktığını kayıt altına almayı zorunlu kılarken, KVKK bu kayıtların ve diğer kişisel verilerin nasıl işlenip korunacağını düzenler. Uygulamada ikisi genellikle aynı projede ele alınır; örneğin [kamera sistemlerinde KVKK uyumu vaka çalışmasında](/projeler/kamera-sistemi-ntp-kvkk-uyum-projesi) bu iki yükümlülüğün nasıl bir arada yönetildiğini görebilirsiniz.
İlker Pehlivan

Yazan

İlker Pehlivan

Kurucu | Ağ ve Sistem Yöneticisi

İlker Pehlivan, karmaşık BT altyapılarını ölçeklenebilir ve güvenli sistemlere dönüştüren bir ağ ve sistem mühendisidir. Şirketlere özel teknoloji rehberleri burada.