Bilgi Güvenliği Standardı

MEHMET ÜST
Neosinerji Bilgi Teknolojileri Genel Müdür / Kurucu Ortak

Bu ayki yazımızda, bilgi güvenliği konusuna biraz değinmek istiyorum. Öncelikle bu hususlarda mevcut kanun ve mevzuatlara kısaca bir göz atalım.

5684 Sigortacılık Kanunu

Sır saklama yükümlülüğü MADDE 31/A – (Ek: 13/6/2012- 6327/60 md.), Sigorta Bilgi ve Gözetim Merkezi MADDE 31/B – (Ek: 13/6/2012- 6327/61 md.) İyi niyet MADDE 32 – (2) Sigorta şirketleri, reasürans şirketleri, aracılar ve sigorta eksperleri sigortalıların hak ve menfaatlerini tehlikeye sokabilecek hareketlerden kaçınmak, mevzuat ve işletme planı esaslarına uygun faaliyette bulunmak, sigortacılığın icaplarına ve iyi niyet kurallarına uygun hareket etmek zorundadır.

Türk Ticaret Kanunu

Türk Ticaret Kanunu’nun 57. maddenin 7. bendine göre “müstahdemleri, vekilleri veya diğer yardımcı kimseleri iğfal sureti ile istihdam edenin veya müvekkillerinin imalat veya ticari sırlarını ifşa ettirmek veya ele geçirmek” haksız rekabet oluşturur. Ticaret Yasası’nın 57. maddenin 8.bendinde ise “Hüsnüniyet kaidelerine aykırı bir şekilde elde ettiği veya öğrendiği imalat veya ticaret sırlarından haksız yere faydalanmak veya onları başkalarına yayma…

Ticarî Sır, Banka Sırrı ve Müşteri Sırrı Hakkında Kanun Tasarısı

“MADDE 1- Maddede, kamu kurum ve kuruluşları ile iktisadî, ticarî ve malî sektörlerde üretim, tüketim ve hizmet alanlarında faaliyet gösteren ticarî işletme ve şirketler, bankalar, sigorta şirketleri ve malî piyasalarda faaliyet gösteren aracı kurumların ticarî sır, banka sırrı ve müşteri sırlarının talep edilmesi, verilmesi, kullanılması ve korunmasına ilişkin esas ve usuller düzenlenmiştir. Ayrıca, kamu kurum ve kuruluşları ile kamu veya özel sektöre ait ticarî işletmeler veya şirketler Kanunun kapsamına alınarak, gerek kamu kurum ve kuruluşlarında gerekse kamu veya özel sektöre ait ticarî işletmeler veya şirketlerin sahip olduğu veya ellerinde bulunan ticarî sır, banka sırrı ve müşteri sırları hakkında bu Kanun hükümlerinin uygulanması sağlanmıştır. Öte yandan, özel kanunlarda düzenlenen ticari sır, banka sırrı ve müşteri sırlarının verilmesini sınırlayan veya yasaklayan hükümler hakkında da bu Kanun hükümlerinin uygulanacağı kabul edilerek, özel kanunlarda yer alan ve bu Kanun kapsamına giren sırların gizliliğine ve dolayısıyla verilemeyeceğine ilişkin hükümlerin uygulanamaması amaçlanmıştır.
Maddede geçen bilgi ve belge kavramı, 4982 sayılı Bilgi Edinme Hakkı Kanununun tanımlar maddesinde yer alan bilgi ve belge tanımı ile aynı anlamda kullanıldığından, her türlü elektronik ortamda tutulan veri ve kayıtları da içermektedir.”
Sigorta şirketlerinin bir kısmında çok sıkı, bazılarında ise kısmi olarak bilgi güvenliği konusunda belli standartlar uygulansa da acenteler tarafında bu konuda herhangi bir uygulama ve bilgi birikimi söz konusu bile değildir.

Günümüzde çok önemli olan bu konuya gerek Sn. Hazine Müsteşarlığı’ nın gerekse SAİK ve TÜSAF başta olmak üzere tüm sivil, etkin ve yetkin meslek örgütlerinin acilen el atması gerektiğini düşünüyorum. Dergimizin birinci sayısında da bu konunun teknik problemlerine kısaca değinmiştim. Bu hususta, sigorta sektöründen görüş alınmak üzere gönderilen Hazine Müsteşarlığı’nın 13.05.2015 tarihli “Sigortacılık Destek Hizmetleri Hakkında Yönetmelik Taslağı” ile geçte olsa ilk adım atılmış görünüyor. “Madde: 3 / f) fıkrasında Sigorta ve Emeklilik şirketlerini ifade eder”, şeklindeki ifade ile yönetmeliğin sadece sigorta şirketlerini kapsadığı belirtilmiştir. İlgili Yönetmelik taslağının aracı kurumları ilgilendiren versiyonunu da acilen bekliyoruz. Acenteler yönetmeliğinde bir değişiklik mi yapılır yoksa yeni bir yönetmelik mi yapılır? Bilemiyorum ama acilen buna da ihtiyaç vardır. Çünkü acenteler özellikle bilgi sistemleri konusunda dışarıdan destek almakta ve destek veren firmaların da birçoğu profesyonel firmalar olmadığından acentenin verisi ve sitemleri amatör insanlara teslim edilmiş durumdadır. Şirketlerin de bilgi güvenliğinin yumuşak karnı tam da burasıdır. Sigorta şirketi istediği mevzuatı ya da uluslararası standardı uygulasın, yüzde 70 üretim bilgisinin girildiği ve tahsilatın yapıldığı kaynakta bir önlem alamazsa şirket içinde aldığı önlemlerin de bir anlamı kalmaz. Onun için bu hususta çıkacak mevzuatlara tüm taraflar destek vermeli ve acenteler içinde bir korunma kalkanı oluşturulmalı.
Acenteler, sektörde bir standart bulunmadığından ya da konuya çok uzak olduklarından, destek hizmeti sağlayıcı firmalar ile kendilerini koruyan bir sözleşmeden çok karşı tarafı koruyan sözleşmelere imza atmak zorunda kalıyorlar. Bu kapsamda acenteler ciddi risk altında bulunuyor.

Neler yapılmalı?

Bu hususta esasen uygulanması gereken bir sürü madde var ancak yazımızda çok önemli gördüğüm bazı maddeleri sunuyorum.

• SAİK tarafından öncelikle dikkat edilecek kurallar belirlenerek yayınlanmalı, internet üzerinden farkındalık eğitimi verilmeli, internet sayfası üzerinden wiki oluşturulmalı..
• Etki alanının büyük olması sebebiyle farklı coğrafyalarda ve farklı ölçekli acentelerde eş güdüm içinde standardizasyonunun sağlanması hedeflenmeli.
• Teknik alt yeterlilikleri konusunda uyuma yönelik tedbirlerin alınması
• Sigorta kuruluşları, acenteler ve müşteriler bağlamını düzenleyecek bir altyapının oluşturulması,
• Mevcut düzenlemelerle (örneğin: Mesleki Yeterlilik Kurumu (MYK)’nın yayınladığı mesleki yeterliliklere) uyum gibi adreslemelerin yapılması,
• Yeterlilik ve hizmet modeline göre sigorta kuruluşlarının sınıflandırılması, bu kapsamda, sorumluluk/yeterlilik kriterlerinin konulması,
• Yeterlilikler, bilişim altyapısı, personel yeterliliği ve yetkinliği, iş hacmi, sürdürebilirlik, etik değerlendirme gibi başlıkları içerebilir,
• Bir çerçeve kapsamında, yapılacak düzenlemelerin kuruluşlara iletilmesi ve bu konuda yeterliliğin sağlanması için süre tanınması,
• Uygulamaya başlayan kuralların, mesleki etik kurulları ve kurallarını da oluşturularak denetlenmesi,
• Sektörel regülasyonun, yasa dışı, rekabeti bozucu, sektörel saygınlığı azaltıcı yaklaşımlardan arındırılması amacı ile devreye alınması.
• Bu kapsamda; belirlenen unsurlar, yetkili ve tarafsız bir kadro ile denetlenmeli ve kurumlar arası tarafsızlığa dikkat edilmeli.
• Acentelere Destek Sağlayıcı firmalarda aranacak özellikler belirlenmeli.
• Örneğin; Bu firmalarda ISO 27001 Bilgi Güvenliği Yönetim Sistemi, BS 10012 (Veri Koruma, Kişisel Bilgi Yönetim Sistemi gibi belgelere sahiplik mutlaka aranmalı. Sigorta acentelerinin dikkat etmesi gereken noktaları ise şöyle sıralayabiliriz:
• Bilgi varlığı olarak taşıdıkları unsurları (müşteri sözleşmeleri, yazışmalar, sigorta kuruluşu ile yapılan işlem bilgileri, şifreler, kullanıcı yetkileri, vb.) güvence altına alacak yöntemleri belirlemeli,
• Destek sağlayıcı firmaların sigorta şirketlerinin verilerine ulaşarak bir işlem yapıyor olması durumunda sigorta şirketleri ile yapılmış bir sözleşmenin varlığı aranmalı. Varsa sözleşmenin kopyası alınıp aralarında yapılan sözleşmeye mutlaka eklenmeli.
• Görev yapan personelden, müşteri işlemlerini yapan, bilgiye erişen, değiştiren, şifre kullanımı yapanlar tanımlı olmalı. Yetkilendirme seviyeleri tanımlanmalı ve yazılı hale getirilmeli.
• Çalışanlar ve yükleniciler ile yapılan sözleşmeler de kendilerinin ve kuruluşun bilgi güvenliği sorumlulukları belirtmeli.
• Bilgi varlığı sahipleri kullanıcıların erişim haklarını düzenli aralıklarla gözden geçirmeli.
•  Bilgi, yazılım ve sistem imajlarının yedekleme kopyaları alınmalı ve üzerinde anlaşılmış bir yedekleme politikası doğrultusunda düzenli olarak test edilmeli.
• Bilginin korunması için kuruluşun ihtiyaçlarını yansıtan gizlilik ya da ifşa etmeme anlaşmalarının gereksinimleri tanımlanmalı, düzenli olarak gözden geçirilmeli ve yazılı hale getirilmeli.
• Kuruluşun bilgisine erişebilen, bunu işletebilen, depolayabilen, iletebilen veya kuruluşun bilgisi için bilgi teknolojileri altyapı bileşenlerini temin edebilen tedarikçilerin her biri ile anlaşılmalı ve ilgili tüm bilgi güvenliği gereksinimleri oluşturulmalı.
• Tedarikçiler ile yapılan anlaşmalar, bilgi ve iletişim teknolojileri hizmetleri ve ürün tedarik zinciri ile ilgili bilgi güvenliği risklerini ifade eden şartları içermeli.

Dikkat çekmek istediğim önemli diğer bir konu ise yukarıda bahsettiğim “Sigortacılık Destek Hizmetleri Hakkında Yönetmelik Taslağı”nın Destek Hizmetlerine İlişkin Esaslar Madde: 4 - 2)’ de “Bilgi sistemleri, sigortacılık mevzuatının gerektirdiği sigortacılık faaliyet ve yükümlülükleri bakımından yönetim, içerik tasarımı, erişim, kontrol, denetim, güncelleme, bilgi/rapor alma gibi fonksiyonlarda karar alma gücünün ve sorumluluğun destek hizmeti alanlarda olması şartıyla destek hizmeti alımına konu edilebilir. Destek hizmeti kapsamında, sigortalılara ait kişisel veriler hiçbir şekilde yurtdışında saklanamaz ve yedeklenemez” şeklinde ifade ediliyor. Çok geç kalınmasına rağmen yönetmeliğin çıkacak olmasını önemsiyor ve destekliyorum. Taslak sektörün görüşlerine sunulduğuna göre bende takıldığım ve çok önemsediğim bir madde üzerinde düzeltme yapılması gerektiğini belirtmek istiyorum.
İlgili maddenin son cümlesinin “…Destek hizmeti kapsamında, sigortalılara ait kişisel veriler kriptografik işlem uygulanmadan hiçbir şekilde yurtdışında saklanamaz ve yedeklenemez” şeklinde veya “…Destek hizmeti kapsamında, sigortalılara ait kişisel veriler hiçbir şekilde yurtdışında saklanamaz ve kriptografik işlem uygulanmadan yedeklenemez” şeklinde olması gerektiğini düşünüyorum.

Günümüzde ‘Bulut Bilişim’in bu kadar geliştiği, bilgi hizmetleri maliyetlerinin bu kadar ucuzladığı ve yönetiminin bu kadar kolay olduğu bir dönemde, bu madde Müsteşarlığın belirttiği şekilde kesinleşirse hizmet sağlayıcılar sadece yerli firmalara mahkum edilmiş olurlar. Günümüzde bu kadar güçlü ve gelişmiş kriptolama metotları varken bu madde yazıldığı şekliyle çıkarsa yanlış olur. Bankacılık sektöründe zamanında yanlış şekilde çıkmış olan bir uygulamayı sigorta sektörüne uygulamanın yanlış olduğunu düşünüyorum. Bankalar krizi çıkığı ve bazılarının battığı yıllarda bazı bankaların tüm sistemleri ve bilgileri yurtdışındaydı. Bu dönemde alınmış bir karardır. Sistemlerin ve bilgilerin asıllarının yurtiçinde olması anlamlıdır ancak yedeğinin yurtdışında kriptolu tutulmasının ne sakıncası var? Tam tersi, eğer felaket ya da savaş diye bir şey varsa felaket merkezinin ya da bilgi yedeklemenin yurtdışında olması kurumu daha da güvenli kılmaz mı? Kamu ve özel kurumların tüm yedekleme bilgileri teknoloji üreten yabancı kökenli firmaların Türkiye’de kurduğu veri merkezlerinde (diğer adıyla felaket kurtarma merkezleri) tutuluyor. Herhangi bir tehlike varsa bunlarda da var demektir. Bu maddeyi Müsteşarlık yetkililerinin bir daha gözden geçireceğini umarak herkese bol kazançlı günler diliyorum.