Merhaba, Misafir ağlarda yapılan işlemlerle ilgili meselenin hukuki ve teknik ayrıntıları olmasıyla beraber teoride ve pratikte farklılıklar da bulunmakta. Uzun analiz ve yorumlardan öte Okan beyin sorusu üzerinden gidersek; öncelikle nasıl kendi çalışanınızla ilgili log tutma yükümlülüğünüz varsa aynı şekilde yetki verdiğiniz misafirlerle ilgili de var. Sizin anlattığınız lisanssız yazılım tespit etme durumu ki en azından işletim sistemi seviyesinde ip vermeden bu durumu tespit edebilir ve erişimi reddedebilirsiniz ama misafir başka gayrı yasal işlemler de yapabilir. Nasıl ispatlayacağız?
Teknik tarafta dış ip (varsa port) aralığınızdan bir işlem şikâyetle size geldi. Zaman bilgisi ve bağlantı adresi de muhakkak olması lazım ki kendi loglarınızdan böyle bir erişimi teyit edebilesiniz. Evet teyit ettiniz, sonra rezerve ettiğiniz iç ip ve onunla ilişkili kullanıcıadı, bilgisayaradı, mac bilgisine ulaşmanız gerekiyor. Bunların hepsi de aslında manipüle edilebilir bilgiler. Ama ip yi destekleyen ne kadar çok bilgi tutarsanız o kadar kuvvetle şüpheli durumu ortaya çıkacaktır. (Burada ne anlatılmak isteniyor; karşı tarafın itirazıyla sizin tüm tuttuğunuz bilgilerin değiştirilmesi sonucu o benim laptopum değil denirse başka destekleyici delillere ihtiyacınız olabilir ki dışardan cihazlara karşı daha dikkatli olunması gerektiği anlaşılıyor.) Bu noktada sizin fiş olarak ifade ettiğiniz ıslak imzalı bir form hazırlanmış ise ki bu forma nelerin yazılacağı önemli -bir kısmı yukarıda geçti- siz o kişinin itirazının yersiz olduğunu ispatlayabilirsiniz. O forma lisanssız yazılımla ilgili bir şey yazmaya gerek kalır mı sizce? Bir de hukuki olarak logları zaman damgalı olarak saklamak gerekiyor. O konuya girmiyorum. Zaman damgalı olarak saklamanız tuttuğunuz logların manipüle edilmesini önlemek ve edilmediğini ispatlamak için bir yöntem. Herkese kolaylıklar. linkedin.com/in/yasinkalli <https://www.linkedin.com/in/yasinkalli> On Mon, Jun 15, 2020 at 5:55 PM Volkan Evrin <[email protected]> wrote: > Merhaba, > > Serkan beyin de belirttiği gibi, konu çok boyutlu. > > İşletme olarak yurtdışı merkezli olsanız da TR yasa ve yönetmeliklerine > bağlı olarak gerekli teknik ve idari uygulamaları yapmanız gerekecek. > 4c (sms), genel kabul görmüş ve yaygın bir merkezi yetkilendirme işleminde > (hotspot örneğin) kullanıcının kendi kimliğini, kendine ait bir cihaz ile > doğrulaması temeline dayandığı için (inkar edememezlik) güvenilir kabul > ediliyor. Fakat, tek seçenek değil. 4-C "...ve benzeri yöntemlerle > kullanıcıları tanımlayacak sistemleri kurmak." dediği için burada önemli > olan, "kullanıcıyı tanımlamak". Bunu için farklı yöntemler (ıslak imzalı > form vb.) de olabilir. > > Genel olarak benzer bir sistemi biz de işletiyoruz. Ana gerekçe, 5651 > gereklerince > 1) Şirket, sahip olduğu İnternet çıkışlarındaki her işlemden sorumludur. > Bu nedenle çalışan ya da misafir, birine İnternet erişimi veriyorsa, > gerekli her türlü teknik ve idari önlemleri almalı ve her bir DHCP kaydı > için (en az 2 yıl saklamak üzere) kayıt tutmalı (bu DHCP'yi hangi IP'ye > atadı, o IP hangi cihaz tarafından kullanıldı, o cihaz kime ait vb.). Bu > arada, detaylı tırafik kaydı tutmak, genelde şirketlerin inisiyatifinde bir > konu, zira o loglar, ISS'lerin ana sorumluluğu. > 2) Şirket, anayasa ve diğer yasalar gereğince, aldığı her teknik ve idari > önlemi, "öncesinde" çalışan ya da misafir kullanıcısına "bildirmek" ve > hatta ıslak imza (veya kabul edilebilir bir onay ile) kayıt altına almak > zorunda. Bu, diğer yasaların (iş yasası, kvkk, vb.) gerekleri olan > şeffaflık ve bilgilendirme şartlarını sağlamak için. Bu bildirim olmadan, > kişilerin kayıtlarını tutmak, İnternet tırafikleri izlemek, kaydetmek, vb. > Şirket ağında olsa dahi başka yasal sorunlara neden olacaktır. > 3) Çalışanlara, imzalı bildirim olması ön şart olarak, iç ağdaki kablosuz > ağı, yerel ağ şartlarında; danışman-tedarikçi-sıtajyer vb. uzun süreli > işlemlerde yönetici onaylı kablosuz ağ kullanım formu (ki yasal > sorumlulukları ve şirket BG politikalarını bildirerek) ile kayıt altına > alarak; kısa süreli misafirlerde de hotspot ile (kendi kayıtlarını > yapmaları, sms ile doğrulamaları) ana ağlardan bağımsız bir İnternet > hizmeti veriyoruz. > 4) Her 3 durumda da cihaz(kişi)-dhcp-IP kayıtları tutuluyor. 5651'e göre > de inkar edilemezlik, bozulmalara karşı güvenli (imzalı ve zaman damgalı) > şekilde 2 yıl saklanıyor. > > Yasal olarak şirket, kendi ağından çıkan her paketten, tırafikten, > erişimden sorumludur. Fakat, burada önceden bildirim, teknik önlemlere > rağmen kötü niyetli kullanım, şirket güvenlik politikalarına rağmen yasal > olmayan işlemlerde, olası ceza konuları işlemi yapana rücu edilebiyor. > Sonuçta, her kişi, yaptığı işlemden bireysel olarak sorumludur. Burada en > ince konu, kişinin eylemi ile şirketin yönetim erkinin ilişkisi olacaktır. > Bu konuda da olay aslında, yasal mercilerin alanıdır artık... > > Bu anlamda Kadir bey size önerim, kablosuz ağ için "guest user" açarken, > açılan kişiye bir form imzalattırın (üstünde kısaca, yasal olarak > sorumluluklarını hatırlatın). Onu tüm misafir kablosuz ağ kullanıcılarını > özel bir VLAN'da tutun, bu ağın iç ağlarla bağını kesin, genel İnternet > çıkışlarını da en az düzeyde tutun ve onların loglarını da ayrı bir başlık > altında saklayın. Fazla bürokratik gibi gelse de, şirketinizi yasal olarak > daha az sıkıntıya sokacağını unutmayın. Misafir sayısı çok fazla ise > (bürokrasi yorucu ise), ilk tanımlama için bir hotspot çözümünü inceleyin, > derim.. Kolay gelsin. > > Saygılar > Volkan Evrin > > *Volkan Evrin* > Kurumsal Uygulamalar ve Bilgi Güvenliği Müdürü > > > > *Ar-Ge Merkezi* > D +90 850 251 6012 > F +90 312 267 0244 > www.karel.com.tr > > Bu e-posta işbu bağlantıyı kullanarak erişebileceğiniz koşullara tabidir: > *http://www.karel.com.tr/eposta-hukuki-sartlari* > <http://www.karel.com.tr/eposta-hukuki-sartlari> > ------------------------------ > *From:* Kadir Güvener [mailto:[email protected] > <[email protected]>] > *Sent:* Monday, June 15, 2020, 8:46 AM > *To:* [email protected] > *Subject:* [NetsecTR] Ynt: misafir interneti hk > > Merhaba, > > şunu hala net anlayabilmiş değilim. Yurt dışı merkezli bir şirketiz. > Türkiyedeki bir üretim fabrikası olarak hizmet veriyoruz. Polo alto > firewall cihazlar kullanıyoruz ve kullandığımız tüm kablosuz ağlar farklı > vlanlarda. Şirketimize gelen bir denetçi,misafir vb için guest user > açıyoruz ve bu genelde bir kaç gün için geçerli oluyor. Soru şu, bu durumda > 4c deki sms uygulamasını yapmak zorundamıyız? Bu firewalların yönetimi > merkez security ekibi tarafından yapılıyor. Loglama ile ilgili yurtdışından > farklı bir özel ayrım olmalı mı? Bunu yurtdışı ekibine nasıl ifade > edebilirim? > > BR > > Kadir Güvener > > ------------------------------ > *Gönderen:* [email protected] > <[email protected]> <[email protected]> > adına Liste <[email protected]> <[email protected]> > *Gönderildi:* 12 Haziran 2020 Cuma 13:02 > *Kime:* [email protected] <[email protected]> <[email protected]> > *Konu:* Re: [NetsecTR] misafir interneti hk > > > Merhaba, > > > > 5651 Sayılı kanunun bir uzantısı olan Internet toplu kullanım sağlayıcı > yönetmeliğine göre internet hizmet verdiğiniz kişilerin sms ve benzer > yöntemlerle tanımlayarak kayıt altına alma zorunluluğu bulunuyor. İlgili > yönetmelik size yardımcı olacaktır. Kağıda yazılı parola madde 4 c bendine > aykırıdır, kullanılmaması gerekir. Diğer yandan 5651 kadar KVKK gereği de > bazı çalışmalar yapmak gerekir, kişilerin bu bilgilerinin kayıt > edileceğinden haberdar olması ve onaylaması gerekir. Önerim kvkk, 5651 ve > bilgi güvenliği konularında uzmanlaşmış bir şirketten destek almanız olur > çünkü konu çok boyutlu. > > > > > https://www.mevzuat.gov.tr/mevzuat?MevzuatNo=23501&MevzuatTur=7&MevzuatTertip=5 > > > > *İKİNCİ BÖLÜM* > > *Yükümlülükler ve Sorumluluklar* > > *İnternet toplu kullanım sağlayıcılarının yükümlülükleri* > > *MADDE 4 –* (1) İnternet toplu kullanım sağlayıcılarının yükümlülükleri > şunlardır: > > a) Konusu suç oluşturan içeriklere erişimi önleyici tedbirleri almak > amacıyla içerik filtreleme sistemini kullanmak. > > b) Erişim kayıtlarını elektronik ortamda kendi sistemlerine kaydetmek ve > iki yıl süre ile saklamak. > > c) Kamuya açık alanlarda internet erişimi sağlayan toplu kullanım > sağlayıcılar*, kısa mesaj servisi (sms) ve benzeri yöntemlerle* > kullanıcıları tanımlayacak sistemleri kurmak. > > (2) İnternet toplu kullanım sağlayıcılar, konusu suç oluşturan içeriklere > erişimi önleyici tedbirleri almak amacıyla içerik filtreleme sisteminin > yanı sıra, ilave tedbir olarak güvenli internet hizmeti de alabilirler. > > > > > > <https://www.nebulabilisim.com.tr/> > > *Serkan Akcan* > > *Managing Partner, CEO* > > Direct : +90 (850) 432 86 10 > > Office : +90 (850) 432 86 32 > > <https://www.facebook.com/nebulabilisim> > <https://twitter.com/nebulabilisim> > <https://www.linkedin.com/company/nebula-bilisim-sistemleri> > > > > > > *From:* Liste <[email protected]> <[email protected]> *On > Behalf Of *Okan BOZDEMIR > *Sent:* Wednesday, June 10, 2020 4:53 PM > *To:* [email protected] > *Subject:* [NetsecTR] misafir interneti hk > > > > Herkese merhaba. > > > > Şöylee bir senaryo düşünün= Misafir ağınıza bağlanan kişinin laptopı > üzerindeki lisanssız yazılımın tespit ediliyor.Tespit edilen WAN IP sizin > şirket IP niz bu durumda lisans sahibi firmaya şu xxx firmasının kullandığı > IP de tespit edildi bilgisi gitti. Böyle bir durumu engellemek veya takipe > tmek için yapıalbilecekler nelerdir mesela? Fikirlerini almak isterim. > > > > Örneğin her misafire verilen k.adı şifre bilgisi mesela fişle veriliyorsa > fişin bir nüshasına Kullanıcı ad soyad imza bilgisi alınırı, bu > saklanı.Böyle bir tespitte ise ilgili amc adresi arka plandaki loglama > yazılımından eşleştirilerek bunun şirkete ait laptop olamdığı belirlenir. > Ama bu kabul görür müğ?Yasal yaptırmı nedir? > > > > Msiafir ağına bağlanırken zorunlu tutulan emtine böyle bir durum için ne > yazılabilir mesela? “Kullandığınız laptopta lsiansız Yazılım tspit edilirse > bunun sorumluluğu size aittir” yazılsa Kullanıcı bunu kabule derse hukuken > geçer limidir gibi gibi …. > > > > > > *Okan BOZDEMİR* > > BT Sistem ve Network Uzmanı > > > > > > > > > > ------------------------------------------------- > Üyelikten ayrılmak iç[email protected] adresine mail atabilirsiniz. > > ------------------------------------------------- > > <https://www.karel.com.tr/it-strateji-gunu> > <http://www.karel.com.tr/sirket-profili> > <http://www.karel.com.tr/sirket-profili> > ------------------------------------------------- > Üyelikten ayrılmak için > [email protected] adresine mail atabilirsiniz. > > -------------------------------------------------
------------------------------------------------- Üyelikten ayrılmak için [email protected] adresine mail atabilirsiniz. -------------------------------------------------
