Bulut Bilişim (Cloud Computing) ve Hukuki Boyutu

10.07.2019 - 17:03 Yayınlanma

13.04.2024 - 13:33 Güncelleme

Bulut Bilişim (Cloud Computing) ve Hukuki Boyutu

Bulut Bilişim Nedir?

Uzakta konumlandırılmış bilgisayarlara internet üzerinden erişilerek; verilerin saklanması, işlenmesi ve kullanılması bulut bilişim olarak tanımlanabilmektedir.

Bulut bilişim sayesinde, kullanıcılar daha düşük bilgi teknolojileri maliyetleri ile veriler üzerinde işlem yapabilmektedirler. Herkesin her yerden istediği bilgiye erişebilmesi İnternet ile sağlanabiliyorken, yüksek bilgi işlem gücüne bulut bilişim ile ulaşılabilmektedir. İnternet gibi bulut bilişim de teknolojik bir gelişme olmakla birlikte, dünya genelinde halen başlangıç aşamasındadır. Konuya ilişkin teknik standartlar ve yasal düzenlemelerin yetersizliği; hizmet kalitesi ve güvenilirliğine, hizmet sunan tarafa ait veri merkezlerinde saklanan, hizmet alıcı tarafa ait kişisel verilerin veya ticari sırların gizliliğine ve toplu halde saklanan verilerin güvenliğine yönelik ihlallere daha kolay hedef olunabilmesi gibi bir takım güçlükleri de beraberinde getirmektedir.

Bulut Bilişimin Gelişimi

1960 ve 1970’lerde, bilişim ihtiyaçları sadece büyük ölçekli kurum ve kuruluşlar tarafından edinilebilen ve kişisel işlemlerden ziyade, büyük çaplı ve yoğun işlemlerde kullanılan oda büyüklüğündeki ana bilgisayarlar (mainframe) kullanılarak karşılanmaktaydı. Üstelik söz konusu işlemler gerçek zamanlı olmamakla birlikte, kullanıcılar sadece kendileri ile ana bilgisayarlar arasında ara yüz görevi gören terminaller aracılığı ile bu ana bilgisayarları kullanmaktaydılar.

1980’lerde, önceden işlevsiz olan terminaller, bellek ve işlemci kapasiteleri ile performanslarının artması ve fiyatlarının düşmesi sonucunda kişisel bilgisayar (PC) olarak kullanılmaya başlanmıştır. Önceleri ana bilgisayarların elinde olan kontrol, kullanıcıların kendi PC’leri üzerinde çeşitli kişisel işlemleri yapabilmeye başlamaları ile kullanıcıların eline geçmiştir. Bunun sonucu olarak, bilişim hizmetlerinin sunum modeli merkezilikten sıyrılıp, dağıtık bir hale gelmiş, PC donanımı, işletim sistemi ve kişisel uygulama yazılımı alanlarında çok büyük sektörler oluşmuştur. 1990’larda, PC’ler kaynakların paylaşımını ve performansların artırımını sağlayan yerel alan ağları (LAN) üzerinden haberleşmeye başlamıştır. Bunun sonucu olarak kurum ve kuruluşlar kendilerine ait sunucu bilgisayarlardan oluşan bir sistem odası bulundurmaya ve işletmeye başlamışlardır. 1990’ların sonunda ise, uzaktaki kaynakları ve uygulamaları paylaşmak amacıyla birbirlerine bağlanan LAN’lar İnternet’i oluşturmuşlardır. İlk başlarda haberleşme sağlamak amacıyla kullanılan İnternet, bant genişliği (bandwidth) ve bağlantı hızındaki artış ile bağlantı ücretlerindeki düşüş sayesinde temelde içerik paylaşımına dönük olarak kullanılır hale gelmiştir. İçerik, yer ve İnternet servis sağlayıcılığı gibi yeni iş alanları oluşturulmasını sağlayan İnternet, mevcut işletmeler için yeni bir pazarlama kanalı işlevi görmeye de başlamıştır. Kurum ve kuruluşlar kurumsal işlemlere hizmet eden sunucuların yanı sıra eposta, web, anti-virus vb. sunucuları da bulundurmaya başlamışlardır. Çeşitli güvenlik sorunlarına yol açan yaygın İnternet kullanımı, kurum ve kuruluşlar açısından LAN güvenliği konusunda da sorumluluklar yüklemiştir. Bu yıllarda, bilişim hizmetlerinin sunum modeli daha da dağıtık bir hal almıştır. 2000’lerde, bilişim hizmetlerinde satın alma, bakım, işletim, iklimlendirme, enerji, güvenlik, ilgili personel vb. masraflarını azaltmaya yönelik arayışlar, bilişim hizmetlerinin dış kaynak kullanımı (outsourcing) yoluyla alınması fikrini ortaya çıkarmış ve bu bağlamda, dağıtımlı bilişim (grid computing), kamu hizmeti bilişimi (utility computing) ve barındırma (hosting) gibi hizmetler gelişmiştir. Dağıtımlı bilişim, homojen olmayan BİT kaynaklarının (sunucular, depolama sistemleri ve ağ elemanları vb.) ortak bir havuzda toplanması (ızgara-grid) ve bu havuzdan oluşan sanal sistemin tek bir bilişim sistemi şeklinde kullanıcılara sunulmasıdır. Bu uygulamaların, "kullandığın kadar öde" mantığıyla, kamuya açık veya bir kuruluşa özel olarak sunulması ise kamu hizmeti bilişimi (utility computing) olarak tarif edilmektedir. Ancak, belli oranda çözüm sağlayabilen dağıtımlı bilişim, kamu hizmeti bilişimi, barındırma ve benzeri hizmetler, kendi kendine hizmet (self service) ve ihtiyaca göre kapasite arttırma gibi özellikleri sağlayamamış ve bulut bilişimin doğuşuna zemin hazırlamıştır. Bilgi teknolojilerindeki gelişim sonucu işlemcilerde ve genişbant bilgisayar ağı erişimindeki hızlanma ve fiyatlardaki ucuzlama, sanallaştırma teknolojilerinde, yönetim ve süreç otomasyonunda hızlı gelişme ve veri merkezlerinin endüstriyel ölçekli bilişim hizmeti fabrikalarına dönüşmesi bulut bilişim modelinin doğmasına yol açmıştır.

Bulut Bilişimin Önemli Özelliklerine Aşağıda Yer Verilmektedir (EC, 2012):

-Donanım (bilgisayarlar, saklama üniteleri), bulut bilişim sağlayıcısı tarafından sunulmaktadır.

-Bulut bilişim hizmeti için gerekli donanım, bilgisayarların oluşturduğu şebeke tarafından dinamik olarak optimize edilmektedir.

-Donanım kullanımının optimize edilmesi için bulut bilişim sağlayıcılar, kullanıcıların oluşturduğu trafiği, genellikle veri merkezleri veya bilgisayarlar arasında dağıtarak dengelemektedirler.

-Uzaktaki donanım, verileri saklama ve işleme görevlerini yürütürken, e-posta hesaplarında olduğu gibi, farklı uygulamalar üzerinde kullanılabilmesini de sağlamaktadır.

-Kullanıcılar PC, dizüstü ve tablet bilgisayarları ve akıllı telefonları ile yer ve konum fark etmeksizin bilgilerine erişebilmekte ve yazılımlarını kullanabilmektedirler.

-Bulut bilişimin üç katmanı; donanım, platform ve uygulama yazılımıdır.

-Kullanıcılar genellikle kullandıkları kadar ödeme yapmaktadırlar.

-Kullanıcının ihtiyaç duyduğu kapasite artışı saniyeler mertebesinde sağlanabilmektedir.

Bulut Bilişimin Bileşenleri

Bulut bilişim hizmet modelinde birbirleriyle etkileşim halinde bulunan paydaşlar bulunmaktadır.

-Tüketici: Yazılım, platform ya da altyapı servisleri gibi servis sağlayıcının sunduğu hizmetleri kullanan kurum ya da bireylerdir. Genellikle abone olunan servisler “kullandıkça öde” modeline göre kullanılır. Abonelik, program içerisinde sağlanan web arayüzü ya da programlama arayüzleri (API) ile gerçekleştirilir. Tüketici, hizmet seviyesi anlaşması (SLA) ya da kontrat esasına göre servis sağlayıcı ile çalışabilir ve gerçekleştireceği fonksiyona ya da role göre farklı kullanıcı arabirimi ya da programlama arayüzü kullanabilir. Servis sağlayıcı servisin kullanılabilmesi ve kullanırken oluşan problemlerin giderilebilmesi için kullanıcıya gerekli yardımı sağlar.

-Servis Sağlayıcı: Servis sağlayıcı, servisi planlayıp kurar ve tüketiciye ulaştırır. Sunulan servisler temel olarak, altyapı (IaaS), platform (PaaS) ve yazılım (SaaS) servisleridir. Servis geliştiricilerce geliştirilen uygulama ve servisler bunların üzerine kuruludur.

-Servis Geliştirici: Servis geliştirici, servis sağlayıcı tarafından sunulan temel servisleri alır ve yeni uygulama ya da servisler oluşturur. Bu hizmet için servis sağlayıcı tarafından servis oluşturma, yayınlama ve izleme fonksiyonlarının sağlanmasına gereksinim duyar. Oluşturulan servisle ilgili analitik bilgi geliştirici için önemlidir ve servis sağlayıcı tarafından sağlanmalıdır.

Bulut Bilişim Üzerinden Sunulan Hizmetler

Bulut bilişim hizmet dağıtımı SaaS, PaaS ve IaaS olmak üzere üç temel hizmet modelinden oluşmaktadır (NIST, 2011a). Söz konusu hizmet sunum modellerine ilişkin açıklamalara aşağıda yer verilmektedir:

-Servis Olarak Yazılım (SaaS): SaaS, servis sağlayıcı tarafından sunucu üzerinde bulundurulan yazılım uygulamasının birden fazla kişi veya kuruluşa kullanıma sunulmasıdır. Bu hizmetle kuruluşlar lisanslama ve yazılım maliyetlerinden kurtularak daha ucuza aynı kullanım şekliyle kullandıkları kadar ücret ödeyerek bulut bilişim hizmetlerine sahip olmaktadırlar. Kullanıcı kurma, bakım, lisans gibi sorunlarla uğraşmamakta ve bu işler için kaybedilen zaman ve maliyet de kendiliğinden ortadan kalkmaktadır.

-Servis Olarak Platform (PaaS): PaaS, servis sağlayıcı tarafından müşteriye kendi uygulamasını geliştirip, çalıştırabileceği bir platform ile tamamlayıcı servislerin ve gerekli teknolojik altyapının sunulmasıdır. Kullanıcının kendi kurduğu uygulama dışında, platform altyapısını oluşturan bileşenler üzerinde herhangi bir kontrolü ve yönetim imkânı yoktur.

-Servis Olarak Altyapı (IaaS): IaaS, müşterinin ihtiyaç duyduğu temel bilişim kaynaklarını (işlemci, depolama, ağ kaynağı vb.) kendisinin yapılandırabilmesi ve bunların üzerine ihtiyacı olan işletim sistemi ve uygulamaları kurabilmesidir. Müşterinin alt yapı üzerinde yönetimi ve kontrolü bulunmamakta, işletim sistemi seviyesinde sisteme tam bir hâkimiyeti bulunmakta ve firewall gibi bazı ağ bileşenlerini yönetebilmektedir.

Bulut Bilişim Kullanım Senaryoları

Bulut bilişimin kullanımına yönelik bireysel, kurumsal, tekil, çoğul ve servis olmak üzere aşağıda özetlenen 5 farklı kullanım senaryosu bulunmaktadır.

-Bireysel Kullanım: Bu senaryoda servis sağlayıcı tarafından sağlanan bulut hizmetini kullanan tüketicidir. Tüketici, servisin nasıl oluşturulduğu ya da nasıl çalıştığı ile ilgilenmez. “Kullandıkça Öde” en yaygın kullanılan iş modelidir.

-Kurumsal Kullanım: Kurumsal kullanım; kuruluşun son kullanıcılara (çalışanlar, iş ortakları, müşteriler, vb.) kullandırmak amacıyla bulut servislerinden faydalanması (elektronik posta ya da veri paylaşımı servisleri), kuruluş tarafından veri saklama, yedekleme ve veri tabanı servisleri gibi bazı BİT servislerinin bulut servislerine aktarılması, kuruluşlar tarafından BİT altyapısının tamamıyla Bulut üzerine aktarılması ile verimliliği artırmak ve maliyetleri düşürmek amacıyla servis sağlayıcı mimarisinin Kuruluşun veri merkezinde hayata geçirilmesi gibi senaryoları içermektedir. Hangi senaryoların kullanılacağı ve bulut servislerinden hangi oranda yararlanılacağı Kuruluşların stratejilerine ve BİT altyapılarının esnekliğine bağlıdır.

-Tekil Sağlayıcılı Bulut Servisi: Altyapı, uygulama platformu ve yazılım servisleri gibi BİT altyapısı, servis sağlayıcı tarafından tek elden sunulur.

-Çoğul Sağlayıcılı Bulut Servisi: Hizmet alınan servis sağlayıcı servisini bir ya da daha çok servis sağlayıcının sunduğu servisler üzerine kurar. Ancak bu servisi kullanan tüketici yalnızca kendi servis sağlayıcısı ile muhatap olur, diğerlerinden haberi olmaz.

-Servis Geliştirici: Servis geliştirici (kurum veya birey), servis sağlayıcının sunduğu hizmeti geliştirir.

Yerleştirme modelleri

Genel Bulut

Genel bulut uygulamaları, depolama ve diğer kaynaklar bir hizmet sağlayıcı tarafından genel kullanıcılara sunulurlar. Bu hizmetler ücretsiz erişimlidir veya kullanım başına ödeme modeliyle ücretlendirilirler. Genel olarak, Amazon AWS, Microsoft ve Google gibi genel bulut sağlayıcıları kendi altyapılarını işletir ve sadece İnternet aracılığıyla erişim sunarlar (doğrudan bağlantı sunulmaz).

Topluluk Bulutu

Topluluk bulutu aynı alaka ve endişeleri (güvenlik, uyum, yargı gibi) taşıyan özel bir topluluktaki çeşitli organizasyonlar arasında altyapının paylaşılmasıdır. Dâhilî olarak yönetilebilir veya üçüncü parti tarafından yönetilebilir ve dâhilî veya haricî şekilde barındırılabilir. Masraflar genel buluta göre daha az kullanıcıya çıkar (fakat özel buluttan daha fazla kullanıcıya çıkar). Böylece sadece bulut bilişimin masraf kısıtlayıcı potansiyelinin bazıları gerçekleştirilir. Örnek olarak devlet kuruluşları ortak bir bulut kullanarak bilgi işlem ihtiyaçlarını karşılayabilirler.

Hibrit (Karma) Bulut

Hibrit bulut iki veya daha fazla bulutun (özel, topluluk veya genel) birleşimidir, bu farklı bulutlar müstakil olarak bulunmaktadır fakat birbirlerine bağlıdırlar, böylece çoklu yerleştirme modellerinin imkânlarını sunarlar. Hibrit bulut mimarisi, şirketlerin ve bireylerin İnternet bağlantısına gerek olmadan yerel olarak acil kullanılabilme kabiliyeti ile hata tolerans derecesini yükseltmeyi başarır. Hibrit bulut mimarisi hem şirket içi kaynaklara hem de dışarıdan (uzak) sunucu tabanlı bulut altyapısına gereksinim duyar. Hibrit bulutlarda kurum içi uygulamalar esnek, güvenli ve belirli olmalıdır. Hibrit bulut sağlayıcıları bu ihtiyacı (şirket içi uygulamaların esnekliğini) bulut tabanlı hizmetlerin hata toleransı ve ölçeklendirilebilirliği ile sağlar. Yani işletme normal işleyişte özel bulutunu kullanırken yüksek/tepe yük gereksinimlerinde genel buluttan ani kapasite artışlarını karşılayabilmektedir. Hibrit bulutun özel bulut kısmında kritik uygulamalar, genel bulut kısmında ise daha az güvenlik kaygısı duyulan uygulamalar yerleştirilebilir.

Özel Bulut

Özel bulut sadece tek bir organizasyon için işletilen bulut altyapısıdır, dâhilî olarak veya üçüncü parti tarafından yönetilebilir ve yine dâhilî veya haricî olarak barındırılabilir.

Bir özel bulut projesi gerçekleştirilirken iş ortamının sanallaştırılması için belirli bir seviye ve sözleşme derecesi belirlenmelidir ve organizasyonun var olan kaynaklar hakkında kararlarını yeniden değerlendirmesi gerekir. Doğru yapıldığı zaman, iş üzerinde pozitif bir etkiye sahip olabilir, fakat projedeki adımların her biri ciddi hasar görebilme ihtimallerinin engellenmesi adına ele alınması gereken güvenlik meselelerini ortaya koyar.

Özel bulutlar eleştirilere sebep olmaktadır çünkü kullanıcılar hala bunları almak, kurmak ve yönetmek zorundalar hatta daha az aktif katılımlı yönetim modellerinden faydalanamamaktalar, esasında bulut bilişimi bu kadar merak uyandırıcı yapan ekonomik modele olan gereksinimidir.

Bulut Bilişime Duyulan İhtiyaç

Son yıllarda veri kullanımında görülen artışlar sayesinde verinin elde edilmesi ve üzerinde analizler yapılarak genel değerlendirmelerde bulunulması daha kolay hale gelmiştir. Veri artış hızına paralel olarak, verilerin depolandığı donanımlarda da kilobayt (kB) seviyesinden petabayt (PB) seviyesine çıkan önemli gelişmeler yaşanmıştır. Bilgisayar teknolojisindeki hızlı gelişme ve artan talebin sonucu olarak bilgisayar fiyatlarında reel olarak bir azalma meydana gelirken kapasitelerinde de artış sağlanmaktadır. Bilgisayarlar önce masaüstüne, daha sonra da diz üstü ve tablete dönüşmüştür. Donanım ve yazılım konusunda çalışan çok sayıda firma kurulmuştur. Yine çok sayıda kamu kurum ve kuruluşu bu konulara eğilmiş ve yazılım, donanım talebi oluşmasına katkı sağlamıştır. Yatırım maliyetini aşağılara çekmek amacıyla kurum ve kuruluşlar bulut bilişim teknolojilerine yönelmektedirler. Ayrıca uydu verileri ya da diğer klasik yöntemler kullanılarak elde edilen çok büyük boyuttaki verilerin özel yazılımlar kullanılarak analiz edilmesine, sonuçların paylaşılmasına ve güvenli ortamlarda saklanmasına gereksinim duyulmaktadır. Bu nedenle bulut teknolojilerini kullanan kurum ve kuruluşlar ile özel firmaların sayısı hızla artmaktadır. Bir fabrika elektrik şebekesine bağlandıktan sonra sadece şebekeden gelen elektrik enerjisini nasıl harcayacağı ile ilgilenmekte, söz konusu enerjinin nasıl üretildiği ile ilgilenmeye ihtiyaç duymamaktadır. Elektriğin üretilmesi ve kendisine sunulması, elektrik şebekesinin bakım ve idamesi başka tarafların sorumluluğundadır. Bulut bilişimde de, hizmet alıcıların, kullandıkları BİT kaynaklarının nerede, ne şekilde çalıştıkları ve soğutuldukları, çalışmaları için ne kadar personelin görevli olduğu gibi hususlar ile ilgilenmelerine gerek olmayıp, söz konusu hususlar hizmet sağlayıcı tarafın sorumluluğundadır.

Bulut Bilişimin Avantaj ve Dezavantajları

Avantajları: (Microsoft, 2012)

-Bulut bilişim, büyük ve küçük işletmeler gibi günlük bilgisayar kullanıcılarına birçok seçenek sunmaktadır. Bilişim dünyasını daha geniş çeşitlilikte kullanımlara açmakta ve herhangi bir internet bağlantısı ile erişim vererek kullanım kolaylığını artırmaktadır.

-Düşük donanım maliyeti,

-Gelişmiş performans,

-Düşük yazılım maliyeti,

-Anında güncelleme,

-Sınırsız depolama kapasitesi,

-Artırılmış veri güvenliği,

-İşletim sistemleri arasında geliştirilmiş uyum,

-Artırılmış dosya formatı uyumu,

-Grup çalışması.

Dezavantajları:

-Sabit internet bağlantısı gerektirmesi,

-Düşük hızlarda düzgün çalışmaması,

-Uygulamanın yavaş çalışması,

-Güvenlik açıkları,

-Sistem güncellemeleri,

-Deneyimsiz bulut operatörü,

-Kullandığınız programın özellikleri.

Bulut Bilişimde Endişeler

Belki bulut bilişim hakkındaki en büyük endişeler güvenlik ve gizliliktir. Önemli bilgilerin başka bir şirkete teslim edilmesi fikri bazı insanları tedirgin etmektedir. Şirket yöneticileri şirketlerinin bilgilerini kilitli ve anahtarın kendilerinde olduğu bir sistem olmadığı için bulut bilişim sistemlerinin avantajlarından faydalanmakta tereddüt yaşayabilirler.

Gizlilik

Bulut modeli, bulut hizmetleri kontrolü barındıran şirketlerdeki aşırı rahatlıktan dolayı gizlilik hakkının ihlal edildiğini düşünenlerce eleştirilmektedir, çünkü bu şirketler yasal veya yasa dışı bir şekilde barındırma şirketi ile kullanıcı arasındaki iletişimi ve depolanan bilgiyi görüntüleyebilmekteler. Örneklerden biri gizli NSA programı, AT&T ve Verizon birlikte çalışarak Amerikan vatandaşları arasındaki 10 milyon telefon görüşmesini kaydetti, bu olay bilginin mahremiyetini savunanlarda derin bir kuşku yarattı ve telekomünikasyon şirketlerine kullanıcı aktivitelerini gösteren çok büyük bir güç verdi. Birden fazla müşteriye aynı sunucular üzerinde hizmet sağlandığında şirketler arasında gizlilik ihlalleri söz konusu olabilmektedir. Ayrıca bulut hizmeti almak, bulut sağlayıcılarına bir nevi bağımlılığa dönüşebilir, müşteri bulut sağlayıcısını değiştirmek istediğinde sağlayıcının elinde koz olarak kullanabileceği müşterisinin kritik bilgileri olabilir.

Bulut hizmet sağlayıcılarındaki kritik nokta şu ki, müşteri veya kullanıcının verisi aynı sistem (sunucu) üzerinde kalmayabilir veya aynı veri merkezinde de bulunmayabilir hatta aynı sağlayıcının bulutunda bile olmayabilir. Bu durum yargılama yetkisi üzerindeki yasal endişelere sebebiyet vermektedir. Bununla birlikte yasal ortamları uyumlu hale getirmek için yapılan (örneğin US-EN Güvenlik Limanı) çabalar bulunmaktadır, Amazon gibi sağlayıcılar hala büyük marketlere (ABD ve Avrupa Birliği) yerel altyapı yerleştirerek ve müşterilere erişilebilirlik alanlarını seçmesine izin vererek hizmet sağlamaya devam etmektedir. Bulut bilişim gizlilik endişelerini giderememiştir çünkü hizmet sağlayıcıları bulut üzerinde bulunan veriye istedikleri zaman erişebilirler. Hatta kazayla veya kasıtlı olarak değiştirebilirler veya silebilirler.

Güvenlik

Bulut bilişim popülerliğini artırdıkça, bu yeni modelle ortaya çıkan güvenlik sorunları endişeleri artırmıştır. Geleneksel koruma mekanizmalarının etkinliği ve verimliliği yeniden değerlendirilmektedir, çünkü bu yeni yerleştirme modelinin özellikleri büyük ölçüde geleneksel mimarilerden farklılık arz etmektedir.

Bulut bilişim hizmetlerinin göreceli güvenliği geniş kitleler tarafından kabulünü geciktiren tartışmalı bir meseledir. Özel bulut ekipmanlarının fiziksel kontrolünün yapılabilirliği ekipmanların tesis dışında ve başkalarının kontrolünde olmasından daha güvenlidir. Veri bağlantılarının güvenliği için fiziksel kontrol ve veri bağlantılarını görsel olarak incelemek ve portlara erişebilmek gereklidir. Bulut bilişimin benimsenmesi yolundaki engellerin sebebi çoğunlukla özel ve halk sektörünün güvenlik tabanlı hizmetlerinin haricî yönetiminin korku ve endişeye sebep olmasıdır. Bulut bilişim tabanlı hizmetlerin dışarıdan sağlanması ise en temel özelliğidir. Bu durum bulut bilişim hizmet sağlayıcılarına güvenli hizmetlerin yönetimini kurma ve sürdürmeye öncelik verilmesi hususunda iticidir. Güvenlik meseleleri kategorize edilmiştir: hassas veri erişimi, veri ayırma, gizlilik hakkı, virüs kullanımı, geri kazanma (kurtarma), sorumluluk, malicious insiders, yönetim kontrol güvenliği, hesap kontrolü ve çoklu kullanıcı sorunları. Çeşitli bulut güvenlik sorunlarına üretilen çözümler, kriptografi, özellikle kamu anahtar altyapısı (PKI), çok sayıda bulut sağlayıcısı kullanımı, API’lerin standartlaştırılması, sanal makine desteğinin ve yasal desteğin geliştirilmesi gibi.

Bulut bilişimin çok fazla faydasının yanında tehditlere karşı savunmasızdır da. Bulut bilişim kullanımları yaygınlaştıkça, bilişim suçluları muhtemelen sistemde korunmasız yerlere zarar vermek için yeni yollar bulacaklardır. Bulut bilişimde temel düzeyde riskler ve sıkıntılar vardır, bu durum veri güvenliğini tehdit etmektedir. Tehditleri azaltmaya yardım etmek üzere, bulut bilişim sektör liderleri sistemin veriyi koruması için şifrelemesini garanti etmeyi sağlayacak risk değerlendirmeye ağırlıkla yatırım yapmalıdır, yine sektör liderleri platform ve altyapıyı güvenli hale getirmek üzere ve değerlendirme de yüksek güvence sağlayacak güvenilir bir kuruluş kurmalıdır. Güvenilir bir bulut bilişim teknolojisi için güvenlik sorunları ele alınmalıdır.

Sürdürülebilirlik

Bulut bilişimin sıklıkla yeşil bilgi işlemenin bir formu olarak farz edilmesine rağmen, bu sanıyı doğrulamak için yayınlanmış bir çalışma bulunmamaktadır.

Bulut Bilişimin Kötüye Kullanılması

Müstakil olarak satın alınmış donanım gibi, müşteriler bulut bilişim sunucularını kötü amaçlar için satın alabilirler. Parola kırma, satın alınmış hizmetler kullanarak saldırılar gerçekleştirme gibi.

Örneğin 2009’da, bir banka işlemleri trojan virüsü, çok popüler olan Amazon bulut hizmetini yasadışı olarak kişisel bilgisayarlara yazılım güncellemeleri ve zararlı yönergeler yayınlayan bir komuta ve kontrol merkezî olarak kulandı.

Aslında, bulut hizmetlerinin işletim ve yönetiminin etkin bir şekilde yapılabilmesi için işletmeler temel olan bir takım yeteneklere gereksinim duyarlar. Bunlar; talep yönetimi, ilişki yönetimi, veri güvenliği yönetimi, uygulama yaşam döngüsü yönetimi, risk ve uyum yönetimi.

Türkiye’de Bulut Bilişim

Bussiness Software Alliance (BSA) tarafından yayınlanan küresel çapta bulut bilişimin gelişiminde etkili olan ülkeler sıralamasında 24 ülke arasında Türkiye 17. sıradadır.

IDC tarafından Türkiye’de 30 BİT şirketine yapılan anketin analizlerine göre 2011 yılında bulut bilişim hizmetlerinin verilmesine yönelik yapılan toplam pazar harcamalarının 27,78 milyon ABD Dolarına ulaştığı tahmin edilmekle birlikte 2012-2016 döneminde ise yıllık %49,3 artışla 200 milyon ABD dolarını aşması beklenilmektedir.

Söz konusu büyüklükte genel bulut pazarının 2016 yılında 150 milyon ABD Dolarının üzerinde olması hedeflenmektedir (IDC, 2013). Türkiye’de bulut bilişim kamusal ve özel sektör alanlarında incelenmiştir. Bu ayrımın yapılmasının nedeni Bilim ve Teknoloji Yüksek Kurulu (BTYK)’nun 25. Toplantısında alınan kararla kamusal alandaki çalışmaların kapsamı ve ilgili kurumlar belirlenmiştir. Bu kapsamda, kamusal alanda yapılan çalışmalarla ilgili özet verilmiş olup, özel sektörle ilgili bulut bilişimin farkındalığını artırmak amacıyla yapılan Euro Cloud ödül töreninden bahsedilmiş ve mevcut durum tespiti yapabilmek amacıyla BTK tarafından yetkilendirilmiş işletmecilerle yapılan anket çalışması değerlendirilmiştir. Bununla birlikte BTK’nın bulut bilişimle ilgili yetki sınırlarının görülmesi amacıyla 5809 sayılı Elektronik Haberleşme Kanunun ilgili maddelerine yer verilmiştir.

Kamuda Bulut Bilişim Bulut Bilişimin Kamusal Alandaki Gelişmeleri

4 Ekim 1983 tarih ve 77 sayılı Kanun Hükmünde Kararname (KHK) ile kurulan Bilim ve Teknoloji Yüksek Kurulu (BTYK)’nun 25. Toplantısında alınan kararla ivme kazanmaya başlamıştır.

Türkiye Kamu Entegre Veri Merkezinin (TKEVM) kurulmasına ilişkin BTYK tarafından alınan kararın amacı; tüm kamu kurumlarının veri merkezlerinin birleştirilmesi sonucu tek bir veri merkezi kurulmasıdır.

Bu kapsamda;

-Ülkemizde kurumların e-Devlet hizmetlerini verebilmek için kendi altyapılarını geliştirmekte olması,

-Dünyadaki örnekler incelendiğinde veri merkezlerinin birleştirilmesine dair eğilimlerin gözlemlenmesi,

-Güney Kore’nin 48 merkezi kamu idaresinin bilgi sistemleri 2 ayrı şehre konumlandırılacak şekilde tek bir veri merkezinde birleştirilmiştir. Bu sayede 20 yedeklilik, felaket kurtarma merkezi, siber güvenlik, iş sürekliliği, kamu bulutu, etkin işletme maliyeti, kurumlar arası veri paylaşımı gibi hususların tamamına çözüm sağlanması,

-ABD, bulut bilişim ve ortak veri merkezi yaklaşımlarıyla 2015 yılına kadar 800’den fazla veri merkezini kapatmayı planlamaktadır. Bu kapsamda 2015 yılı sonunda 3 Milyar ABD Doları tasarruf edilmesinin öngörülmesi,

-İdari ihtiyaçlar, tasarruf imkânı ve siber güvenlik gereksinimleri doğrultusunda, halen her kurumda müstakil olarak işletilmekte olan veri merkezlerinin tek bir çatı altında birleştirilerek Türkiye Kamu Entegre Veri Merkezi’nin kurulması önem arz etmesi nedenleriyle BTYK’da “Kamu kurumlarının veri merkezlerinin birleştirilmesine yönelik hukuki, teknik ve idari yapılanma modelinin oluşturulmasına ve Türkiye Kamu Entegre Veri Merkezi’nin kurulması çalışmalarının yapılmasına” karar verilmiştir. Söz konusu kararın uygulanmasında sorumlu kuruluş olarak Ulaştırma, Denizcilik ve Haberleşme Bakanlığı görevlendirilmiştir.

Kararla ilgili kuruluşlar da; Başbakanlık, Kalkınma Bakanlığı, TÜBİTAK ve TÜRKSAT olarak belirlenmiştir. Bu kapsamda, Ulaştırma, Denizcilik ve Haberleşme Bakanlığı tarafından yapılan çalışmalar aşağıda özetlenmektedir;

-Veri merkezi kurulmasına ilişkin kararın gerektirdiği çalışmalara başlanabilmesi için Bakanlığın yetkili kılınması gerekmektedir. Buna yönelik olarak Bakanlar Kurulu Karar Taslağı hazırlanmış ve Başbakanlığa gönderilmiştir.

-Bakanlıkça hazırlanan Karar Taslağı Başbakanlık tarafından ilgili kurumlara gönderilmiş ve gelen görüşler Bakanlığa iletilmiştir.

-Bakanlıkça, gelen görüşler doğrultusunda Bakanlar Kurulu Kararı Taslağı yeniden güncellenmiş ve Başbakanlığa gönderilmek üzere hazır hale getirilmiştir. Gelinen aşamada, UDHB tarafından BTYK’nın 104 nolu kararı gereği; öncelikle kurulacak veri merkezine ilişkin hukuki-teknik ve idari yapılanma hususlarını içeren bir rapor hazırlanması ve bu rapor çerçevesinde kurulum çalışmalarına başlanması gerekmektedir.

BİT sektöründe önümüzdeki yıllarda daha da önem arz edecek bulut bilişimin ülke ekonomisine katkısının ciddi boyutlarda olması beklenilmektedir. Bu kapsamda, bulut bilişimin önündeki engellerin kaldırılmasına yönelik düzenlemelerin yapılmasının bulut bilişim pazarının daha güçlü bir şekilde gelişmesine zemin hazırlayacağı değerlendirilmektedir. Konunun önemine binaen 11. Ulaştırma Denizcilik ve Haberleşme Şurasında haberleşme ve posta sektörleri için belirlenen,

2023 Bilgi Toplumu Hedeflerinde Bulut Bilişime İlişkin Olarak;

-Bulut bilişim ile ilgili farkındalığın artırılması,

-Bulut bilişimin gelişimi için bilgi güvenliği mekanizmalarının iyileştirilmesi,

-Bulut bilişim politika ve strateji belgesinin tanımlanması ve geliştirilmesi için ulusal kuruluşlarla, üniversitelerle, TSE ile özel sektörle ve uluslararası kuruluşlarla yakın işbirliğinin geliştirilmesi,

-Bulut bilişim için KOBİ’lerin hedeflerinin tespiti ve teşviki gibi hususların yer alacağı politika ve/veya strateji belgesinin oluşturulması ve bu kapsamda çalışmaların takip edilerek bulut bilişimin yaygınlığının artırılması hususları yer almaktadır. Bu çerçevede, AB’nin düzenleme ve diğer faaliyetlerinin yakından takip edilmesi ve paralelinde Türkiye’de yapılması gereken çalışmaların tamamlanması gerekli görülmektedir. Buna göre;

-Birlikte çalışabilirlik ve veri taşınabilirliği konularında AB’de belirlenecek standartların takip edilmesi ve bu kapsamda ilgili düzenlemelerin yapılması,

-AB içerisinde hizmet sunan güvenli bulut sağlayıcıların belgelendirilmesine ilişkinin stratejinin takip edilmesi ve gereken uyumlaştırmanın yapılması,

-Hizmet seviyesi taahhüdü dâhil olmak üzere, bulut bilişim ile ilgili sözleşmelerin daha adil ve güvenilir olmasını sağlayacak örnek metinlerin dâhil edilmesine ilişkin AB’deki çalışmaların sonuçlarının takip edilmesi,

-AB’ye üye ülkelerin ve sanayicilerin bir araya gelerek oluşturduğu bulut işbirliği platformuna benzer bir yapının Ulaştırma Denizcilik ve Haberleşme Bakanlığı 29 koordinatörlüğünde ve ilgili aktörlerin katılımı sonucunda Üniversite, Sanayi ve Kamu işbirliğini oluşturacak bir bulut bilişim platformunun oluşturulması uygun mütalâa edilmektedir. Bununla birlikte ABD’de bulut bilişim ve ortak veri merkezi yaklaşımlarıyla 2015 yılına kadar 800’den fazla veri merkezinin kapatılmasının planlanması, bu kapsamda 2015 yılı sonunda 3 milyar ABD Doları tasarruf edilmesi öngörülmektedir. Buna paralel olarak, Ülkemizde BTYK tarafından tüm kamu kurumlarının veri merkezlerinin birleştirilmesi sonucu tek bir veri merkezi kurulması kararı alınmıştır. Kamuda veri merkezlerinin tek bir noktaya toplanarak, bulut bilişim hizmetinin sağlanmasının ekonomik açıdan olumlu katkılarının olacağı beklenilmektedir. Benzer şekilde özel sektörde de bulut bilişimin gelişimine destek olunarak kaynakların verimli kullanılmasının sağlanacağı düşünülmektedir. Bulut bilişimin gelişimine hız katabilecek unsurlar arasında hesap verilebilirlik, tüketici hakları, verilerin korunması, teşvikler, standardizasyon hususları yer almaktadır. Bu kapsamda, Türkiye BİT pazarında, birlikte çalışabilirlik ve veri taşınabilirliğine ilişkin düzenlemelerin yapılması, abonelik sözleşmelerinin geliştirilmesi, bulut işbirliği platformunun oluşturulması ile ilgili işlemlerin AB’ye paralel olarak düzenlenmesinin Türkiye’de bulut bilişimin gelişimine pozitif etkide bulunacağı öngörülmektedir.

Hukuki Değerlendirme

Küresel bilgi işleme sahasındaki devrimsel bir değişiklik, tahmin edileceği üzere sorunlar doğuracaktır; ticari marka ihlali, güvenlik endişeleri, veri kaynaklarının paylaşılması gibi.

Ülkemizde 6698 Sayılı Kişisel Verilerin Korunması Kanunu ile birlikte Bulut Bilişim ile ilgili düzenlemeler yapılmış ve KVVK (Kişisel Verileri Koruma Kurumu) tarafından Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler) yayımlanmıştır.

KVVK (Kişisel Verileri Koruma Kurumu)

Kişisel Veri Güvenliği Rehberi (Teknik Ve İdari Tedbirler)

Kişisel Verilerin Bulutta Depolanması

Kişisel verilerin bulutta depolanması, hukuka aykırı işlemenin ve erişimin önlenmesi ile hukuka uygun muhafaza yükümlülüğü olan veri sorumlusunun kendi bilgi teknolojileri sistemi ağından ayrılmasına ve kişisel verilerin bulut depolama hizmeti sağlayıcıları tarafından işlenmesine neden olduğundan, bu durum birtakım riskleri beraberinde getirmektedir. Bu nedenle, bulut depolama hizmeti sağlayıcısı tarafından alınan güvenlik önlemlerinin de yeterli ve uygun olup olmadığının veri sorumlusunca değerlendirilmesi gerekmektedir. Bu kapsamda, bulutta depolanan kişisel verilerin neler olduğunun detaylıca bilinmesi, yedeklenmesi, senkronizasyonun sağlanması ve bu kişisel verilere gerekmesi halinde uzaktan erişim için iki kademeli kimlik doğrulama kontrolünün uygulanması önerilmektedir. Söz konusu sistemlerde yer alan kişisel verilerin depolanması ve kullanımı sırasında, kriptografik yöntemlerle şifrelenmesi, bulut ortamlarına şifrelenerek atılması, kişisel veriler için mümkün olan yerlerde, özellikle hizmet alınan her bir bulut çözümü için ayrı ayrı şifreleme anahtarları kullanılması gerekmektedir. Bulut bilişim hizmet ilişkisi sona erdiğinde; kişisel verileri kullanılır hale getirmeye yarayabilecek şifreleme anahtarlarının tüm kopyalarının da yok edilmesi gerekir.

KAYNAKÇA

https://www.btk.gov.tr/uploads/pages/slug/bulut-bilisim.pdf

https://webcache.googleusercontent.com/search?q=cache:6kdQKtivUK8J:https://tr.wikipedia.org/wiki/Bulut_bili%25C5%259Fim+&cd=1&hl=tr&ct=clnk&gl=tr

https://www.kvkk.gov.tr/yayinlar/veri_guvenligi_rehberi.pdf

https://www.mevzuat.gov.tr/MevzuatMetin/1.5.6698.pdf