[NetsecTR] Ynt: Ynt: misafir interneti hk

[Kadir Güvener]

Hepinize cevaplarınız için çok teşekkür ederim. Aslına bakarsanız guest 
oluşturduğum portalda user bilgilerinin çıktısını alabiliyoruz. Bu formda "bu 
ağ ... firmasına ait bir ağdır ve yapacağınız tüm işemlerler şu şu gerekçelerle 
loglanacaktır" şeklinde bir not yazsak, bu kağıtları bir rıza formu ile 
birlikte imzalatsak bu işimizi görür mü? Bu ıslak imzalı formları da 2 yıl süre 
ile tutmak zorundamıyız?

BR

Kadir Güvener

________________________________
Gönderen: Volkan Evrin <volkan.ev...@karel.com.tr>
Gönderildi: 15 Haziran 2020 Pazartesi 09:22
Kime: liste@netsectr.org <liste@netsectr.org>; Kadir Güvener 
<kadir.guve...@outlook.com>
Konu: Re: [NetsecTR] Ynt: misafir interneti hk

Merhaba,

Serkan beyin de belirttiği gibi, konu çok boyutlu.

İşletme olarak yurtdışı merkezli olsanız da TR yasa ve yönetmeliklerine bağlı 
olarak gerekli teknik ve idari uygulamaları yapmanız gerekecek.
4c (sms), genel kabul görmüş ve yaygın bir merkezi yetkilendirme işleminde 
(hotspot örneğin) kullanıcının kendi kimliğini, kendine ait bir cihaz ile 
doğrulaması temeline dayandığı için (inkar edememezlik) güvenilir kabul 
ediliyor. Fakat, tek seçenek değil. 4-C "...ve benzeri yöntemlerle 
kullanıcıları tanımlayacak sistemleri kurmak." dediği için burada önemli olan, 
"kullanıcıyı tanımlamak". Bunu için farklı yöntemler (ıslak imzalı form vb.) de 
olabilir.

Genel olarak benzer bir sistemi biz de işletiyoruz. Ana gerekçe, 5651 
gereklerince
1) Şirket, sahip olduğu İnternet çıkışlarındaki her işlemden sorumludur. Bu 
nedenle çalışan ya da misafir, birine İnternet erişimi veriyorsa, gerekli her 
türlü teknik ve idari önlemleri almalı ve her bir DHCP kaydı için (en az 2 yıl 
saklamak üzere) kayıt tutmalı (bu DHCP'yi hangi IP'ye atadı, o IP hangi cihaz 
tarafından kullanıldı, o cihaz kime ait vb.). Bu arada, detaylı tırafik kaydı 
tutmak, genelde şirketlerin inisiyatifinde bir konu, zira o loglar, ISS'lerin 
ana sorumluluğu.
2) Şirket, anayasa ve diğer yasalar gereğince, aldığı her teknik ve idari 
önlemi, "öncesinde" çalışan ya da misafir kullanıcısına "bildirmek" ve hatta 
ıslak imza (veya kabul edilebilir bir onay ile) kayıt altına almak zorunda. Bu, 
diğer yasaların (iş yasası, kvkk, vb.) gerekleri olan şeffaflık ve 
bilgilendirme şartlarını sağlamak için. Bu bildirim olmadan, kişilerin 
kayıtlarını tutmak, İnternet tırafikleri izlemek, kaydetmek, vb. Şirket ağında 
olsa dahi başka yasal sorunlara neden olacaktır.
3) Çalışanlara, imzalı bildirim olması ön şart olarak, iç ağdaki kablosuz ağı, 
yerel ağ şartlarında; danışman-tedarikçi-sıtajyer vb. uzun süreli işlemlerde 
yönetici onaylı kablosuz ağ kullanım formu (ki yasal sorumlulukları ve şirket 
BG politikalarını bildirerek) ile kayıt altına alarak; kısa süreli misafirlerde 
de hotspot ile (kendi kayıtlarını yapmaları, sms ile doğrulamaları) ana 
ağlardan bağımsız bir İnternet hizmeti veriyoruz.
4) Her 3 durumda da cihaz(kişi)-dhcp-IP kayıtları tutuluyor. 5651'e göre de 
inkar edilemezlik, bozulmalara karşı güvenli (imzalı ve zaman damgalı) şekilde 
2 yıl saklanıyor.

Yasal olarak şirket, kendi ağından çıkan her paketten, tırafikten, erişimden 
sorumludur. Fakat, burada önceden bildirim, teknik önlemlere rağmen kötü 
niyetli kullanım, şirket güvenlik politikalarına rağmen yasal olmayan 
işlemlerde, olası ceza konuları işlemi yapana rücu edilebiyor. Sonuçta, her 
kişi, yaptığı işlemden bireysel olarak sorumludur. Burada en ince konu, kişinin 
eylemi ile şirketin yönetim erkinin ilişkisi olacaktır. Bu konuda da olay 
aslında, yasal mercilerin alanıdır artık...

Bu anlamda Kadir bey size önerim, kablosuz ağ için "guest user" açarken, açılan 
kişiye bir form imzalattırın (üstünde kısaca, yasal olarak sorumluluklarını 
hatırlatın). Onu tüm misafir kablosuz ağ kullanıcılarını özel bir VLAN'da 
tutun, bu ağın iç ağlarla bağını kesin, genel İnternet çıkışlarını da en az 
düzeyde tutun ve onların loglarını da ayrı bir başlık altında saklayın. Fazla 
bürokratik gibi gelse de, şirketinizi yasal olarak daha az sıkıntıya sokacağını 
unutmayın. Misafir sayısı çok fazla ise (bürokrasi yorucu ise), ilk tanımlama 
için bir hotspot çözümünü inceleyin, derim.. Kolay gelsin.

Saygılar
Volkan Evrin


Volkan Evrin
Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü



Ar-Ge Merkezi
D +90 850 251 6012
F +90 312 267 0244
www.karel.com.tr<http://www.karel.com.tr>

Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir:
http://www.karel.com.tr/eposta-hukuki-sartlari
________________________________
From: Kadir Güvener [mailto:kadir.guve...@outlook.com]
Sent: Monday, June 15, 2020, 8:46 AM
To: liste@netsectr.org<mailto:liste@netsectr.org>
Subject: [NetsecTR] Ynt: misafir interneti hk

Merhaba,

şunu hala net anlayabilmiş değilim. Yurt dışı merkezli bir şirketiz. 
Türkiyedeki bir üretim fabrikası olarak hizmet veriyoruz. Polo alto firewall 
cihazlar kullanıyoruz ve kullandığımız tüm kablosuz ağlar farklı vlanlarda. 
Şirketimize gelen bir denetçi,misafir vb için guest user açıyoruz ve bu genelde 
bir kaç gün için geçerli oluyor. Soru şu, bu durumda 4c deki sms uygulamasını 
yapmak zorundamıyız? Bu firewalların yönetimi merkez security ekibi tarafından 
yapılıyor. Loglama ile ilgili yurtdışından farklı bir özel ayrım olmalı mı? 
Bunu yurtdışı ekibine nasıl ifade edebilirim?

BR

Kadir Güvener

________________________________
Gönderen: 
serkan.ak...@nebulabilisim.com.tr<mailto:serkan.ak...@nebulabilisim.com.tr> 
<serkan.ak...@nebulabilisim.com.tr><mailto:serkan.ak...@nebulabilisim.com.tr> 
adına Liste <liste-boun...@netsectr.org><mailto:liste-boun...@netsectr.org>
Gönderildi: 12 Haziran 2020 Cuma 13:02
Kime: liste@netsectr.org<mailto:liste@netsectr.org> 
<liste@netsectr.org><mailto:liste@netsectr.org>
Konu: Re: [NetsecTR] misafir interneti hk


Merhaba,



5651 Sayılı kanunun bir uzantısı olan Internet toplu kullanım sağlayıcı 
yönetmeliğine göre internet hizmet verdiğiniz kişilerin sms ve benzer 
yöntemlerle tanımlayarak kayıt altına alma zorunluluğu bulunuyor. İlgili 
yönetmelik size yardımcı olacaktır. Kağıda yazılı parola madde 4 c bendine 
aykırıdır, kullanılmaması gerekir. Diğer yandan 5651 kadar KVKK gereği de bazı 
çalışmalar yapmak gerekir, kişilerin bu bilgilerinin kayıt edileceğinden 
haberdar olması ve onaylaması gerekir. Önerim kvkk, 5651 ve bilgi güvenliği 
konularında uzmanlaşmış bir şirketten destek almanız olur çünkü konu çok 
boyutlu.



https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=23501&MevzuatTur=7&MevzuatTertip=5



İKİNCİ BÖLÜM

Yükümlülükler ve Sorumluluklar

İnternet toplu kullanım sağlayıcılarının yükümlülükleri

MADDE 4 – (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri şunlardır:

a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak amacıyla 
içerik filtreleme sistemini kullanmak.

b) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve iki 
yıl süre ile saklamak.

c) Kamuya açık alanlarda internet erişimi sağlayan toplu kullanım sağlayıcılar, 
kısa mesaj servisi (sms) ve benzeri yöntemlerle kullanıcıları tanımlayacak 
sistemleri kurmak.

(2) İnternet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere 
erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin yanı 
sıra, ilave tedbir olarak güvenli internet hizmeti de alabilirler.





[cid:part2.D752BA32.2D34F773@karel.com.tr]<https://www.nebulabilisim.com.tr/>

Serkan Akcan

Managing Partner, CEO

Direct : +90 (850) 432 86 10

Office : +90 (850) 432 86 32

[cid:part4.F551DD87.7793B037@karel.com.tr]<https://www.facebook.com/nebulabilisim>
  [cid:part6.2B1F098F.36D364D7@karel.com.tr] 
<https://twitter.com/nebulabilisim>   
[cid:part8.C9EBE345.74CAE052@karel.com.tr] 
<https://www.linkedin.com/company/nebula-bilisim-sistemleri>





From: Liste <liste-boun...@netsectr.org><mailto:liste-boun...@netsectr.org> On 
Behalf Of Okan BOZDEMIR
Sent: Wednesday, June 10, 2020 4:53 PM
To: liste@netsectr.org<mailto:liste@netsectr.org>
Subject: [NetsecTR] misafir interneti hk



Herkese merhaba.



Şöylee bir senaryo düşünün= Misafir ağınıza bağlanan kişinin laptopı üzerindeki 
lisanssız yazılımın tespit ediliyor.Tespit edilen WAN IP sizin şirket IP niz bu 
durumda lisans sahibi firmaya şu xxx firmasının kullandığı IP de tespit edildi 
bilgisi gitti. Böyle bir durumu engellemek veya takipe tmek için 
yapıalbilecekler nelerdir mesela? Fikirlerini almak isterim.



Örneğin her misafire verilen k.adı şifre bilgisi mesela fişle veriliyorsa fişin 
bir nüshasına Kullanıcı ad soyad imza bilgisi alınırı, bu saklanı.Böyle bir 
tespitte ise ilgili amc adresi arka plandaki loglama yazılımından 
eşleştirilerek bunun şirkete ait laptop olamdığı belirlenir. Ama bu kabul görür 
müğ?Yasal yaptırmı nedir?



Msiafir ağına bağlanırken zorunlu tutulan emtine böyle bir durum için ne 
yazılabilir mesela? “Kullandığınız laptopta lsiansız Yazılım tspit edilirse 
bunun sorumluluğu size aittir” yazılsa Kullanıcı bunu kabule derse hukuken 
geçer limidir gibi gibi ….





Okan BOZDEMİR

BT Sistem ve Network Uzmanı











-------------------------------------------------
Üyelikten ayrılmak için
netsec-le...@netsectr.org<mailto:netsec-le...@netsectr.org> adresine mail 
atabilirsiniz.

-------------------------------------------------

<https://www.karel.com.tr/it-strateji-gunu>[cid:reklam-imza-v2_d072508b-4fa9-468d-abf3-537d45de0a91.jpg]<http://www.karel.com.tr/sirket-profili><http://www.karel.com.tr/sirket-profili>

-------------------------------------------------
Üyelikten ayrılmak için
netsec-le...@netsectr.org adresine mail atabilirsiniz.

-------------------------------------------------