KVKK Uyumluluğu İçin SIEM ve Log Yönetimi Rehberi

⚠️ Yasal Uyarı: Bu rehber teknik tedbirler odaklıdır. Hukuki danışmanlık yerine geçmez.

1. KVKK ve Log Yönetimi İlişkisi

6698 Sayılı Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verileri işleyen kurum ve kuruluşlara (Veri Sorumlusu) verilerin güvenliğini sağlama yükümlülüğü getirir. Peki, bir hukuk kuralı olan KVKK'nın SIEM veya Log Yönetimi ile ne ilgisi var?

Cevap çok basit: "İspat Yükümlülüğü". Kurumunuzdaki kişisel verilere kimin eriştiğini, ne zaman eriştiğini ve verilerle ne yaptığını kayıt altına almadan, verilerin güvende olduğunu kanıtlayamazsınız.

2. Teknik Tedbirler Rehberi (Madde 17)

KVKK Kurumu tarafından yayınlanan "Kişisel Veri Güvenliği Rehberi", alınması gereken Teknik Tedbirler arasında şunları açıkça sayar:

3. Logların Güvenliği ve Değiştirilemezlik

Log tutmak kadar, o logların güvenliğini sağlamak da önemlidir. Kötü niyetli bir yönetici veya bir saldırgan, sisteme girdikten sonra izlerini silmek için logları değiştirebilir.

Bunu önlemek için loglar ham haliyle ve kriptografik özetleri (Hash) alınarak saklanmalıdır. Hashing, verinin parmak izini almak gibidir; log dosyasında tek bir virgül bile değişse Hash değeri bozulur ve müdahale anında anlaşılır.

4. Veri Sızıntısı Tespiti ve Bildirimi

Kanun gereği, bir veri ihlali yaşandığında bunu 72 saat içinde Kurul'a bildirmeniz gerekir. Ancak bir SIEM ürününüz yoksa, ihlali fark etmeniz aylar sürebilir (veya hiç fark etmeyebilirsiniz).

SIEM sistemleri şunları tespit ederek size zaman kazandırır:

• Mesai saatleri dışında veritabanından toplu veri çekilmesi.
• Yetkisiz bir kullanıcının hassas klasörlere erişmeye çalışması.
• Kullanıcı hesaplarına yapılan Brute-Force (Kaba Kuvvet) saldırıları.

5. ACKLOG ile Teknik Tedbirleri Karşılayın

ACKLOG SIEM, KVKK teknik tedbirler tablosundaki birçok maddede size yardımcı olur: