*Av. Ali Erşin

Bildiğimiz gibi “kripto varlıklar hakkında” son Kanun ve yönetmelik’lerde teknik kriterleri düzenleme yetkisi TÜBİTAK’a verilmişti. TUBİTAK ise 30/04/2025 günü “Kripto Varlık Hizmet Sağlayıcıları Bilgi Sistemleri Ve Teknolojik Altyapı Kriterleri” Rehberini çıkardı. Buna göre “kripto varlık hizmet sağlayıcılar” artık bu kriterlere uymak zorunda olacak. Buna göre kriterler özet olarak aşağıdaki şekildedir:

1.    Cüzdanların Güvenli Tutulması ve Sistem Güvenliğinin Sağlanması

Kripto varlık platformları için en önemli güvenlik gereksinimleri cüzdanlarda oluşmaktadır. Bu sebeple cüzdan güvenliğine dikkat etmeleri gerekmektedir.

1.1. Cüzdan Türleri ve Güvenlik Önlemleri:

Soğuk (İşlevsiz) Cüzdanlar:

  • Fiziksel olarak izole edilmiş ortamlar veya cihazlar kullanılır.
  • Bağlantısız veya yalnızca güvendiğiniz ve izole iletişim kanallarıyla iletişim kurarlar.
  • Anahtarların oluşturulması, saklanması ve kullanımı konusunda uzmanların belirlediği prosedürler uygulanmalı, güvenli donanım çözümleri veya akıllı kartlar tercih edilmelidir.
  • Bu tür cüzdanlar FAQ gibi saldırılara ve risklere karşı dirençli olmalı ve düzenli denetimlerle zayıf noktalar belirlenmelidir.

Sıcak (Aktif) Cüzdanlar:

  • Günlük işlemler veya aktarımlar sırasında internet bağlantısı üzerinden kullanılabilir.
  • Güçlü erişim kontrol mekanizmaları ve kimlik doğrulama süreçleri zorunludur (örneğin, çok faktörlü kimlik doğrulama veya biyometrik doğrulama).
  • Yazılım ve sistem güncellemeleri düzenli ve güncel tutulmalı.
  • Kullanıcı erişimi mümkün olan en düşük düzeyde ve gereken yetkiyle sınırlandırılmalı.
  • Veri aktarımı ve iletişim sırasında güvenli protokoller (TLS, VPN) kullanılarak faaliyetler korunmalı.
  • Ağ trafiği ve sistem etkinlikleri sürekli takip edilerek, şüpheli hareketler tespit edilmelidir.

1.2. Güvenlik Prensipleri ve Politika:

  • Her iki cüzdan tipi için de erişim, kullanım ve yönetim süreçleri yazılı politikalarla tanımlanmalı ve uygulanmalı.
  • Anahtarların korunması için güvenli ortamlar ve şifreleme teknikleri tercih edilmeli, yedekleme ve transfer işlemleri özenle yapılmalı.
  • Fiziksel güvenlik önlemleri, giriş çıkış kontrolleri ve ortam denetimleri sıkı tutulmalı.
  • Sürekli olarak güvenlik analizi ve risk değerlendirmeleri yapılmalı; ortaya çıkan yeni tehditlere karşı önlemler güncellenmelidir.

2.    Sistem ve Yazılım Güvenliği ile Kontrol Mekanizmaları

Yine cüzdanlarla birlikte yazılım ve sistem güvenlikleri de önemlidir. TUBİTAK çok yerinde olarak bu kriterleri de düzenlemiştir.

2.1. Yazılım Güvenliği Standartları:

  • Kritik uygulamalar ve sistemler, uluslararası veya yerel “güvenlik standartlarına” uygun geliştirilmelidir.
  • Kaynak kodlar, statik ve dinamik analiz araçlarıyla denetlenerek, olası güvenlik açıkları tespit edilip giderilmeli.
  • Güvenli kodlama kurallarına uyulmalı; analiz sonrası ortaya çıkan sorunlar giderilmeli ve sistem testleri yapılmalı.
  • Güvenlik sertifikaları alınmalı, ve sistemler bu sertifika gerekliliklerine uygun olmalıdır (örneğin, EAL4 veya daha yüksek seviyeler).

2.2. Güncelleme ve İletişim Güvenliği:

  • Güncellemeler ve yamalar, imzalanmış ve doğrulanmış paketlerle sistemlere entegre edilmelidir.
  • Güncellemeler öncesinde test edilip, onaylandıktan sonra kullanılmalı.
  • Veri ve iletişim güvenliği sağlamak için TLS, VPN veya benzeri güvenli iletişim protokolleri tercih edilmelidir.
  • Kimlik doğrulama ve erişim izinleri düzenli gözden geçirilmeli ve güncellenmelidir.

2.3. Ağ Güvenliği ve Risk Tespit:

  • Güvenlik duvarları, saldırı tespit ve izleme araçları kullanılmalı, ağ trafiği sürekli izlenmelidir.
  • Anormal hareketler ve saldırıya dair belirtiler tespit edildiğinde, otomatik önlemler veya uyarılar devreye alınmalı.

3.    Kriptografik Güvenlik Yöntemleri ve Anahtarların Yönetimi

Yine cüzdan güvenliğine denk olarak kriptografik güvenlik önlemlerini de TUBİTAK zorunlu kılmıştır:

  • Anahtarlar, yüksek güvenlik seviyesine sahip donanım güvenlik modüllerinde (HSM) üretilmeli ve dışardan izole edilen ortamlar kullanılarak saklanmalıdır.
  • Anahtarların üretimi, yedeklenmesi ve dağıtımı, güvenilir ve sertifikalı üreticiler tarafından yapılmalı ve güvenlik ilkelerine uygun olmalıdır.
  • Anahtarların erişimi kontrol altında tutulmalı, yetkili kişilerle sınırlandırılmalı ve bu işlemler detaylı kayıtlara alınmalıdır.
  • Yedekler, farklı fiziksel konumlarda, şifrelenmiş ve güçlü erişim izinleriyle korunmuş ortamlar üzerinde tutulmalı.
  • Yedekler düzenli olarak test edilmeli, acil durumda kullanıma hazır tutulmalı ve uluslararası standartlara uygunluğu takip edilmelidir (örneğin, ISO/IEC 27001).

4. Sıcak (Aktif) Cüzdanlar İçin Güvenlik Kriterleri

  • Bu cüzdanların erişimi ve kullanımı, katı kurallara ve sınırlandırmalarla yönetilmeli.
  • İşlem onaylarında, çok faktörlü kimlik doğrulama, biyometrik doğrulama veya özel güvenlik tokenleri kullanılmalı.
  • Günlük veya devam eden işlemler sırasında, en az yetki ilkesi benimsenerek, erişim sınırlandırılmalı.
  • Kullanıcı oturumları, zaman aşımı ve otomatik çıkış özellikleriyle korunmalı, ve işlemler sürekli izlenmeli.
  • Her hareketin kaydı tutulmalı, şüpheli aktiviteler tespit edilip, güvenlik önlemleri devreye alınmalı.
  • Güvenlik olaylarına karşı acil müdahale ve olay yönetim planları hazırlanmalı, düzenli tatbikatlar yapılmalı.

5. Anahtarların Yedeklenmesi ve Güvenli Saklanması

  • Anahtarlar, yüksek güvenlik seviyesine sahip ve şifrelenmiş ortamlar kullanılarak saklanmalı.
  • Yedekler, farklı ve güvenilir lokasyonlarda tutulmalı ve erişimi sıkı şekilde denetlenmelidir.
  • Yedekler, düzenli olarak test edilerek, acil durumlarda kullanılabilirliği sağlanmalı ve kurtarma prosedürleri güncel tutulmalıdır.
  • Bu süreçlerde kullanılan tüm adımlar, uluslararası güvenlik standartlarına ve en iyi uygulamalara uygun olmalıdır (örneğin, ISO/IEC 27001 gibi).

6. Güvenlik Standartları ve Uygunluk Belgelendirmesi

Bu güvenlik önlemleri alınırken TUBİTAK özellikle ISO gibi uluslararası standartlara uyum gerektiğini düzenlemiştir.

  • Sistemler ve uygulamalar, güvenlik ve kriptografi alanında uluslararası veya ulusal kabul görmüş standartlara uygun geliştirilmelidir.
  • Güvenlik sertifikaları alınmalı, düzenli denetimler yapılmalı ve uyum belgeleri tutulmalıdır.
  • Sistemlerin sürekli güvenlik testleri ve gözden geçirmeleriyle, güvenlik seviyeleri korunmalı ve güncel tutulmalıdır.
  • Bu belgelendirmeler ve uyum süreçleri, bağımsız denetim ve kalite kontrolleriyle desteklenmelidir.

7. Kriptografik Güvenlik Unsurları ve Cihaz Güvenliği

  • Tüm bileşenler, ulusal ve uluslararası kabul edilen güvenlik standartlarına (örneğin, Common Criteria veya ISO/IEC 19790) göre test edilmeli ve denetlenmelidir.
  • Sistemlerin ve donanımların, saldırı ve açıklar karşısında dayanıklılığı düzenli olarak incelenmeli, güvenlik açıkları tespit edilip giderilmelidir.
  • Güçlendirilmiş şifreleme algoritmaları ve protokolleri kullanılmalı, anahtarların korunması ve yönetimi güvenli hizmet sağlayıcılar tarafından yapılmalıdır.
  • Güncellemeler, dijital imzalar ve sertifikalarla güvence altına alınmalı; yalnızca yetkili ve doğrulanmış kaynaklar tarafından yeni versiyonlar yüklenmelidir.
  • Güvenlik seviyelerini sağlamak ve sürdürmek amacıyla, belirtilen standartlara uygun testler ve sertifikalar düzenli alınmalı.

8. Ağ İletişimi ve Güvenli Veri Transfer Protokolleri

Yine ağ güvenliği de en önemli hususlardan olarak karşımıza çıkar:

  • Ağ bağlantılarında, TLS 1.2 veya üzeri sürümler tercih edilerek, güvenli ve şifreli iletişim sağlanmalı.
  • Uzaktan erişim ve veri aktarımı, VPN, SSH veya diğer güvenli protokoller aracılığıyla yapılmalı ve iletişim gizliliği korunmalı.
  • Ağ güvenliği için, güçlü firewall kuralları ve saldırı tespit sistemleri kullanılmalı; trafik sürekli izlenerek olağan dışı aktiviteler tespit edilmelidir.
  • Güvenli haberleşme ve veri transferinde, şifreleme düzeyleri yüksek tutularak, bilgiler korunmalı ve yalnızca yetkili kullanıcıların erişimine izin verilmelidir.
  • Sistem kayıtları ve loglar, olası saldırılar veya hatalar durumunda kullanılmak üzere düzenli şekilde tutulmalı ve güvenli ortamda arşivlenmelidir.

9. Fiziksel ve Çevresel Güvenlik Önlemleri

Her ne kadar yazılım ve cüzdan güvenliği kadar olmasa da fiziksel ve çevresel önlemler de KVHS’lerde karşımıza çıkmaktadır:

  • Veri merkezleri ve sunucu odaları, erişim kontrolleri, kameralar ve 24 saat boyunca sürekli izleme sistemleriyle korunmalıdır.
  • Güç kesintileri ve elektrik arızalarına karşı, UPS ve jeneratörler kullanılmalı, ortamların iklimlendirilmesi ve yangın önleme sistemleri etkin şekilde kurulmalıdır.
  • Fiziksel ortamlar, sel, deprem, yangın gibi doğal afetlere karşı dayanıklı hale getirilmeli ve bu risklere karşı erken uyarı ve itfaiye sistemleri devreye alınmalıdır.
  • Güvenlik personeli ve giriş çıkışların denetimi düzenli yapılmalı, her erişim ve hareket kaydedilmeli, ve erişim izinleri sıkı biçimde sınırlandırılmalıdır.
  • Çevresel risklere karşı sürekli denetim ve bakım programları uygulanmalı, acil durum planları hazırlanmalı ve düzenli tatbikatlar yapılmalıdır.

10. Sistemlerin ve İşleyişin Güvenli Yönetimi

  • Tüm hizmet sağlayıcılar ve kullanıcılar, görev ve sorumluluklarına uygun olarak belirlenmiş politika ve prosedürlerle yönetilmelidir.
  • Erişim ve yetkilendirme işlemleri, roller ve görevler doğrultusunda açıkça tanımlanmalı; kimlik doğrulama ve kullanıcı aktiviteleri detaylı şekilde kaydedilmelidir.
  • Sistem ve uygulama erişimleri, güvenli ve kontrol edilebilir ortamda tutulmalı, görev bazlı erişim politikaları benimsenmelidir.
  • Olaylara hızlı müdahale edilmesi amacıyla, olay yönetimi ve raporlama süreçleri kurulmalı, düzenli olarak test edilerek güncellenmelidir.
  • Gelişmiş izleme ve raporlama araçları kullanılarak, sistemlerin sürekli performansı ve güvenliği takip edilmelidir.
  • Güvenlik ihlalleri ve saldırı durumlarında, önceden belirlenmiş acil müdahale planları devreye alınmalı ve personele gerekli eğitimler verilmelidir.

11. Olası Afetler ve Kesinti Durumlarına Karşı Önlemler

  • Sistemler ve veriler, düzenli olarak yedeklenmeli ve farklı fiziksel konumlarda saklanmalıdır.
  • Yedekler, erişimi ve güvenliği sağlanmış, şifreli ve kullanılabilir durumda olmalı ve düzenli olarak test edilerek gerekli durumlarda hızlıca kullanılabilir olmalıdır.
  • Acil durum planları hazırlanmalı ve afet, doğal afet veya sistem arızaları gibi durumlara karşı hazırlıklı olunmalı; bu planlar düzenli olarak gözden geçirilmeli ve tatbikatlar yapılmalıdır.
  • Kesintisiz hizmet ve veri bütünlüğü için, kurtarma süreçleri ve iletişim protokolleri belirlenmeli ve çalışanlara eğitim verilmelidir.
  • Kritik altyapı ve iletişim kanalları üzerinde, olası felaketlere karşı dayanıklılık ve geri kazanım kabiliyetleri arttırılmalıdır.

12. Yazılım Geliştirme ve Güvenlik Testleri

Tüm yazılımlarda olduğu gibi KVHS yazılımlarında da güvenlik testleri önemlidir:

  • Geliştirilen yazılımlar, uluslararası kabul gören güvenlik standartlarına ve en iyi uygulamalara uygun biçimde tasarlanmalı ve geliştirilmelidir.
  • Kaynak kodlar, düzenli olarak güvenlik açıklarını tespit etmek amacıyla statik ve dinamik analiz araçlarıyla incelenmeli; bulgular doğrultusunda güncellemeler yapılmalıdır.
  • Yazılım güncellemeleri, dijital imza ve sertifikalar kullanılarak güvence altına alınmalı, sadece yetkili ve doğrulanmış kaynaklar tarafından yüklenmelidir.
  • Sistemler ve uygulamalar, bağımsız güvenlik uzmanları veya denetçiler tarafından düzenli olarak test edilmeli ve güvenlik açıkları kapatılmalıdır.
  • Güvenlik ve performans açısından, sistemlerin açiklarının giderilmesi ve iyileştirmelerin yapılması için sürekli iyileştirme ve yenileme süreçleri uygulanmalı.

13. Kimlik Doğrulama ve Erişim Yönetimi

  • Çok faktörlü kimlik doğrulama yöntemleri (örneğin, biyometrik veriler, güvenlik tokenleri veya sms doğrulama) kullanılarak, kullanıcının veya sistemlerin kimliği doğrulanmalı.
  • Erişim kontrolleri, kullanıcıların görev ve sorumluluklarına uygun şekilde tanımlanmalı ve sadece ihtiyaç duyulan yetkiler verilmelidir (görev tabanlı veya rol tabanlı erişim).
  • Tüm erişim talepleri ve işlemler detaylı olarak kaydedilmeli; erişim ve kullanımlar düzenli olarak denetlenmeli ve raporlanmalıdır.
  • Erişim seviyeleri ve izinler, zamanla ve ihtiyaç doğrultusunda güncellenmeli; yetkilendirme ve kimlik doğrulama prosedürleri periyodik olarak gözden geçirilmeli.
  • Uzaktan erişim veya dışarıdan bağlantılar, ek güvenlik katmanları ve güvenli iletişim protokolleriyle korunmalı; VPN veya SSH gibi güvenilir teknolojiler tercih edilmelidir.
  • Oturumlar, otomatik zaman aşımı ve sonlandırma özellikleriyle kapatılmalı; aktif oturumlar şüpheli etkinlikler veya belirli süre geçtikten sonra otomatik sonlandırılmalıdır.
  • Tüm kullanıcı ve sistem aktiviteleri, kimlik doğrulama, erişim ve işlemlerle ilgili detaylı loglar tutulmalı ve uzun vadeli olarak saklanmalıdır.

Sonuç

Bu rapor, dijital ve fiziksel altyapıların güvenliğini temin etmek amacıyla bütünsel ve bütünleşmiş bir güvenlik yaklaşığının temel ilkelerini ortaya koymaktadır. Güvenlik, yalnızca teknik tedbirlerle sınırlı kalmayıp, süreçlerin, politikaların ve insan faktörlerinin katılımını gerektiren çok katmanlı bir yaklaşımın benimsenmesini zorunlu kılar.
Her seviyede alınacak önlemler; riskleri azaltmak, olası ihlal ve saldırılara karşı direnci güçlendirmek ve sürdürülebilir bir güvenlik ortamı yaratmak açısından hayati öneme sahiptir. Güvenliğin sağlanması, sürekli yenilenen ve gelişen tehditlere karşı proaktif ve uyumlu müdahalelerle mümkün olmaktadır. Bu bağlamda, teknolojik ilerlemeler, uluslararası standartlar ve en iyi pratikler dikkate alınmalı ve uyum süreçleri düzenli olarak gözden geçirilmelidir.
Sonuç olarak, bu rapor, güvenlik süreçlerinin tasarımı, uygulama ve yönetim stratejilerinde temel bir referans kaynağıdır ve kurumların ve kuruluşların güvenlik seviyelerini anlamlı biçimde yükseltmesine yardımcı olur. Doğru biçimde uygulandığında, hem bilgi güvenliği hem de fiziksel varlıkların korunması açısından sağlam ve sürdürülebilir bir temel oluşturur.

*Hukuk ve Bilişim Dergisi Genel Koor. / Edux Academy Gen. Koor.

 

Ayhan Sevgi

BThaber Yayın Koordinatörü



Source link