BDDK, SPK, TCMB, Cumhurbaşkanlığı Dijital Dönüşüm Ofisi ve ISO27001 Denetimleri, KVKK ve 5651 Sayılı Yasa Açısından Loglar ve Bu Logların T.C Mahkemelerince Geçerliliği
Toplanan logların denetim, yönetmelik ve kanunlar açısından geçerliliğini dört başlık altında değerlendireceğiz:
1. Canlı loglar ve logların arşivde durmasının yetersiz olduğu durumlar
2. Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
3. Zaman damgası sunucusu senkronizasyonu
4. Denetim izlerinin bütünlüğünün periyodik kontrolü
Canlı loglar
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) Bilgi ve belge saklamaya ilişkin diğer mevzuat hükümleri saklı kalmak kaydıyla denetim izleri asgari 3 yıl süreyle denetime hazır bulundurulur ve yedek alınması suretiyle, yaşanacak olası felaketler sonrasında da erişilebilir olmaları temin edilir.
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞ”
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
Denetime hazır 10 yıl diyor.
Çalışanlarla ilgili özlük dosyasın 10+1 yıl (Çalışana ait şirket içindeki internet aktivitesi veya kaynak erişimleri de özlüğe dahildir) tutulması gerekliliğini bu noktada hatırlamak gerekir.
KVKK:
Kişisel Verilerinin Yer Aldığı Ortamlara İlişkin Yaptığı Erişimlerin Log Kayıtları: En Az 2 Yıl Olmak Suretiyle İş Davalarına Konu Olabilmesi Sebebiyle 10 Yıl
KVKK kapsamında veri silme logları için 3 yıl (3+1 yıl) gerekliliğini de vurgulamak gerekir.
5651 Sayılı Yasa:
2 Yıl
Aşağıda TCMB, SPK ve BDDK tebliğlerinin loglarla ilgili maddelerine dikkatlice bakılırsa:
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (4) Denetim izleri asgari 5 yıl saklanır.
Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ:”
9- (6) 3 yıl süreyle denetime hazır bulundurulur
Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ”:
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır
SPK 5 yıl saklanır diyor TCMB ve BDDK ise 3 yıl süreyle denetime hazır bulundurulur diyor. Yani TCMB ve BDDK 3 yıl saklanır demek yerine 3 yıl süreyle denetime hazır bulundurulur diyor. Sizce fark nedir? İkisinin arasında bir fark olduğu açık değil mi?
Burada logların denetim sırasında makul sürede gelmesini isteyen denetmenler olduğu gibi buna dikkat etmeyenler de olabiliyor. Mesela ben “Bankacılık Düzenleme ve Denetleme Kurumunun “FİNANSAL KİRALAMA, FAKTORİNG VE FİNANSMAN ŞİRKETLERİNİN BİLGİ SİSTEMLERİNİN YÖNETİMİNE VE DENETİMİNE İLİŞKİN TEBLİĞİ” içerisindeki 3 yılı canlı üç yıl olarak isteyen denetim süreçlerine tanık oldum.
Ayrıca denetim sırasında şirketlerin uygulamak istedikleri pratikler var. Mesela Sermaye Piyasası Kurulu denetimi son1 yılı kapsadığı için ve o 1 yıldan rastgele günler seçildiği için, log arşivdeyse geri yükleme vs. ile uğraşmamak için bazı firmaların Teftiş birimi 1 yıllık log canlıda olsun, hızlıca cevap verelim diyor denetim taleplerine.
Ayrıca GDPR, PCI, Basel II, HIPAA, SOX, NISPOM, CISP gibi uluslararası pek çok regülasyon da logların 1 ila 7 yıla kadar saklanması gerektiğini söylüyor. Bunlardan PCI bunu ayırmış mesela ve 90 gün canlı olmalı sonrasını nasıl istersen öyle derken diğerleri canlı veya arşiv diye ayırmadan süre belirtmiş.
Bildiğiniz gibi canlı loglar her an elinizin altında ve ne sorsanız hemen cevap alabileceğiniz loglardır.
Arşiv loglar ise bir eti derin dondurucuda, buzda beklettiğinizi düşünün, işte arşiv loglar etin o hali gibidir. İşinize yaraması için mutlaka arşivden açılması gerekir. Yani etin dondurucudan çıkması, buzunun çözülmesinin beklenmesi gerekir ki bu loglarda bazı durumlarda haftalar sürebilir (Mesela son 6 ayın tamamını içeren arama ve raporlarda).
O zaman ikinci soruyu sormanın vakti geldi. O zaman neden loglar devamlı canlıda durmuyor? Bunun nedeni ihtiyaç duyulan disk miktarının büyüklüğü. Bu yüksek disk kullanımı probleminden kurtulmak için loglar birkaç ay sonra arşive kaldırılır.
Dolayısı ile bir SIEM veya içinde Bir SIEM olan hizmet alırken şu sorular sorulması gereken kritik ama atlanan sorulardır.
Logları 1 yıl canlıda tutabiliyor muyuz?
Eğer bir yılı canlıda tutulabiliyorsak 1 yıl için toplamda ne kadar disk kullanıyoruz?
Eğer birkaç aydan sonrası arşivde ise:
Arşivden 1 günü arama ne kadar sürüyor?
Arşivden 1 haftayı arama ne kadar sürüyor?
Arşivden 1 ayı arama ne kadar sürüyor?
Zaman damgası gerekliliği ve kriptografik işlemler veya hash almanın yetersizliği
Canlı logların yanı sıra bir de mahkemelerde logların delil olabilmesi durumu var. Bu konuda 5651 sayılı yasa ile ilgili
Resmî Gazetenin 30 Kasım 2007 CUMA tarihli 26716 Sayısındaki
İNTERNET ORTAMINDA YAPILAN YAYINLARIN DÜZENLENMESİNE DAİR USUL VE ESASLAR HAKKINDA YÖNETMELİK İçerik Sağlayıcıları, Yer Sağlayıcıları ile Erişim Sağlayıcılarının
Sorumluluk ve Yükümlülükleri kısmında “Dosya bütünlük değerlerini zaman damgası ile birlikte saklamak ve gizliliğini temin etmekle,” yükümlüdür diyor.
Burada logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini sağlamanın yetmeyeceği bilinmeli.
Yine tebliğlerde mesela Türkiye Cumhuriyet Merkez Bankası “ÖDEME VE ELEKTRONİK PARA KURULUŞLARININ BİLGİ SİSTEMLERİ İLE ÖDEME HİZMETİ SAĞLAYICILARININ ÖDEME HİZMETLERİ ALANINDAKİ VERİ PAYLAŞIM SERVİSLERİNE İLİŞKİN TEBLİĞİ”
13- (2) Denetim izleri, ayrıntılı incelemeye ve taramaya imkân verecek, denetime hazır, gizliliği, bütünlüğü, güvenliği sağlanarak yedekli bir şekilde ve zaman damgalı olarak en az on yıl süreyle saklanır.
Oturum özellikleri ve denetim izleri kısmında
“25 — (5) Zaman damgası, 5070 sayılı Kanun kapsamında tanımlanan zaman damgasına dayanır” deniyor.
Yine Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi aşağıdaki maddede zaman damgası isteniyor.
3.1.8.4 1: Detaylı Kayıt Tutulması: Sistem iz kayıtları; olay açıklaması, olay kaynağı, olay zamanı, kullanıcı/sistem bilgisi, kaynak adresleri, hedef adresleri ve işlem detayları bilgilerini içerecek şekilde tutulmalı ve bütünlüğü zaman damgası ile korunmalıdır.
https://cbddo.gov.tr/SharedFolderServer/Genel/File/bg_rehber.pdf
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ yönergelerinde de konu ile ilgili EK A.12.4.1, A.12.4.2, A.12.4.3 de atıflar var.
Ayrıca logların değişmezlik garantisini sağlamak için uygulanan kriptografik yöntemlerin veya hash alma periyodunun da logların değiştirilemeyeceği sıklıkla olması diğer önemli bir durumdur. Mesela eğer bu süre 1 dakikadan daha fazla ise mahkeme karşısında bu sürede logların değişmediğini ispat etmeniz istenirse loglarınız delil niteliğini kaybedebilir.
Logların mahkemece istenmesi durumunda eğer lehte bir avantaj sağlayacaksa şirket avukatlarını veya hukuki mercileri karşı tarafın logları ile birlikte zaman damgalarını da mahkemece istenmesi sağlanmalı. Ayrıca karşı taraf zaman damgası sağlayamıyor ama değişmezlik ve bütünlük konularında kriptografik yöntemler veya hash kullandığında ısrar ediyorsa bu sefer de logların değişmezlik garantisini sağlamak için uygulanan kriptografik yöntemlerin veya hash alma periyodunun da logların değiştirilemeyeceği sıklıkla olduğunun ispatını isteyin. Mesela eğer bu süre 1 dakikadan daha fazla ise mahkeme karşısında bu sürede logların değişmediğini ispat etmesini isteyin ve karşı tarafın loglarına karşı avantaj elde edin ama başta dediğim gibi eğer lehte bir avantaj sağlayacaksa
Logların kriptografik yöntemler, hash alma veya başka bir yöntemle sadece log bütünlüğü ve değişmezliğini mi sağlıyoruz yoksa bununla birlikte 5651 sayılı yasaya uygun olarak ve ilgili yönetmeliklere göre zaman damgası basıyor muyuz?
Bazı sektörlerde şu soru da sorulmalı. TÜBİTAK KAMU SM gibi BTK Tarafından yetkilendirilmiş Zaman Damgası Sağlayıcılarından alınmış zaman damgalarını kullanabiliyor muyuz? Bu önemli bir soru çünkü şu anda lazım olmasa bile ileride istenirse kullanabilecek miyiz?
Zaman damgası sunucusu senkronizasyonu
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
Zaman senkronizasyonu
MADDE 23 — (1) Kurum, Kuruluş ve Ortaklıkların bilgi sistemlerinde kullandıkları zaman bilgisi tek bir referans kaynağına göre senkronize edilir. Zaman bilgisi atomik saatler vasıtasıyla temin edilir.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Bilgi ve İletişim Güvenliği Rehberi madde 3.1.8.3
Kayıtlarda zaman damgalarının tutarlı olması için ağa bağlı tüm sistemlerin (sunucular, iş istasyonları, güvenlik ürünleri, ağ aygıtları vb.) düzenli olarak zaman bilgisinin alındığı; yedekli yapıda ve senkronize zaman sunucusu kullanılmaktadır. Sunucularda ilgili NTP ayarlamaları yapılarak tüm sunucularda zaman senkronizasyonu sağlanmaktadır.
ISO27001 BİLGİ GÜVENLİĞİ YÖNETİM SİSTEMİ yönergelerinde de konu ile ilgili EK EK A.12.4.4 de atıflar var.
Yukarıdaki tebliğlerde istenen şeyi kısaca özetlemek gerekirse log sunucusunun zamanı değiştirilse bile şirketin resmi olarak tanımlayacağı bir NTP sunucu kullanarak zaman damgası basması gerekir.
Örnek NTP sunucu listesi:
1. 0.tr.pool.ntp.org
2. 1.tr.pool.ntp.org
3. 2.tr.pool.ntp.org
4. 3.tr.pool.ntp.org
5. ime.google.com
6. time1.google.com
7. time2.google.com
8. time3.google.com
9. time4.google.com
10. time.windows.com
11. time-a-g.nist.gov
12. time-b-g.nist.gov
13. time-c-g.nist.gov
14. time-d-g.nist.gov
15. time-a-wwv.nist.gov
16. time-b-wwv.nist.gov
17. time-c-wwv.nist.gov
18. time-d-wwv.nist.gov
19. time-a-b.nist.gov
Denetim izlerinin bütünlüğünün kontrolü
Sermaye Piyasası Kurulu “BİLGİ SİSTEMLERİ YÖNETİMİ TEBLİĞİ”:
22- (2) Denetim izlerinin bütünlüğünün bozulmasının önlenmesi ve herhangi bir bozulma durumunda bunun tespit edilebilmesi için gerekli teknikler kullanılır. Denetim izlerinin bütünlüğü düzenli olarak gözden geçirilir ve olağandışı durumlar üst yönetime raporlanır
Yukarıdaki tebliğde denetim izlerinin bütünlüğü düzenli olarak gözden geçilmesi isteniyor. Yani günde 1 veya haftada bir gibi bir periyotla otomatik olarak kontrol edip raporlayın bir araç (Eğer manuel yapmayı denemezseniz!!!) ihtiyacına atıfta bulunuluyor.
