Bulut’ta Veriler Kimin?

24 Ağustos 2012 (Türk İnternet’te çıkan yazım)

Bugüne kadar bulut bilişimle ilgili çok şey yazıldı söylendi. Ancak, ister 2012 yılında Türkiye’de bulut bilişim hizmeti vermeye başlayan çeşitli firmalar, ister buluttan bilgisayar hizmetleri kiralayacağı umulan KOBİ’ler olsun, herkesin bugün değilse, yarın oluşacak durumlar için üstünde birleştiği bir soru var: Bulutta veriler kimin?

Bugünlerde bilişim sektörünün her noktasında “bulut” konuşuluyor. Yararları, ne kadar tasarruflu olduğu, kolayca büyütülebildiği, yönetimde kolaylık sağladığı vsvs.. ama bir yandan da “Bulutta veriler kimin?” sorusu soruluyor: Hem “Buluta yüklediğim verilerin sahibi kim?”, hem de “Buluta açtığım sistemlerde veri güvenliğini nasıl sağlayabilirim?”.

Bulut bilişim internet üzerinden bilgisayar hizmetleri kiralamaya dayalı işbirliği odaklı esnek yapısı ile kullanıcı inisiyatifini öne çıkaran bir yapı. Bu haliyle bulut bilişimde verinin kime ait olduğunu bilmeden veri gizliliğini sağlamanın ve veri gizliliğini sağlamadan da bulutta bilginin kime ait olduğunu denetlemenin imkanı yok. Bu da iki uçlu bir sistem: Hem bulut kullanıcısı hem de bulut sağlayıcısı veri güvenliğine odaklanmak durumunda.

Kurumlar artık buluta güveniyor

Bulut bilişim, Büyük Veriyi anlamlandırarak doğru iş kararları almak ve artan veri trafiğinde bilgiye uygun maliyetlerle ulaşmak için elimizdeki en iyi çözüm. Bu bağlamda, müşterilerini ve dolayısıyla satışlarını arttırmak isteyen bulut sağlayıcıları, 2011’de genel bulut ve KOBİ’ler için güvenlik çözümleri geliştirmeye odaklandılar.

Teknoloji yetmez – Lokasyon Önemli

İngiltere’de 100 BT direktörü ve bilgi işlem müdürü arasında yapılan bir ankette kurumların yüzde 87’sinin bulut bilişime gittikçe daha çok güvendiği ortaya çıktı[1]. Ancak, bulutta güven artışı sürmekle birlikte, verinin nasıl ve nerede depolanacağı konusundaki kaygılar da devam ediyor. Bulutta veri gizliliği için siber saldırılara ve bilgisayar korsanlarına karşı yeni teknolojiler geliştirmek yeterli değil. Aynı zamanda, veri güvenliğine yönelik yasal mevzuatı da hayata geçirmek gerekiyor.

Avrupa Komisyonu Bilgi Toplumu ve Medya Genel Direktör Yardımcı Vekili Megan Richards, “Bulut Bilişim Dünya Forumu”nda yaptığı açıklamada, veri güvenliği sağlandığı takdirde Avrupa’nın verilerinin nerede depolandığının sorun olmayacağını söyledi[2]. Richards, Avrupa’nın verilerinin ABD’de depolanmasının sorun çıkarıp çıkarmayacağı yönündeki soruyu yanıtlıyordu. Türkiye’nin Avrupa Birliği ile yasal uyumluluk çerçevesinde pek çok sektörde mevzuat değişikliği yaptığını düşündüğümüzde, bu sözler ülkemiz için de önem taşıyor.

Bulutta güvenlik için verilerin güvenilir kurumlarda saklanması söz konusu olduğundan, verilerin nerede tutulacağı (lokasyon) sorunu, bugüne kadar bankalar gibi kurumsal firmaların buluta geçmesinin önünde ciddi bir engel oluşturuyordu. Ankete katılan finans sektörü yöneticilerinin yüzde 52’si, kurumların kritik iş uygulamalarını buluta taşımalarının önündeki ilk üç engelden birinin, bulutta verilerin nerede tutulacağı sorunu olduğunu belirtti. Anlık CRM veritabanı güncellemelerine herkesten çok bağımlı olan ticaret sektörü ise bu konuda daha duyarlı: Ticaret sektöründen ankete katılanların yüzde 76’sı “verilerin lokasyonu en önemli sorun” diyor.

Bulutta Güvenlik Tek Taraflı Olarak Sağlanamaz

Bulut bilişimde veri güvenliğini sadece hizmet sağlayıcıya yüklemek gerçekçi değil. İnternetin bilinçli kullanılmasından hangi sistemlerin buluta taşınacağına kadar birçok alanda, bulut hizmeti alan firmalara da önemli görevler düşüyor (yetişmiş eleman eksikliği çeken küçük ve orta ölçekli işletmeler için kritik bir konu).

Hizmet olarak yazılım (SaaS) çözümleri sunan bir firma, veri ve erişim güvenliğinin yanında, hizmet devamlılığını da sağlamak zorunda. Hizmet alan taraf ise, internet üzerinden erişim sağladığı tüm uç cihazların güvenliğine odaklanmak durumunda. Uç cihazların masaüstü ve dizüstü bilgisayarların ötesinde, akıllı telefonlar ve tabletlerle çeşitlenmesi bunu zorlaştırıyor.

Bu meselenin bir yanı… Diğer yanı ise bilişimde aşırı merkezileşme[3]: Bulutun dünyanın bütün internet ve bilgi erişimini barındıran 15 veri merkezinde toplanması durumunda, KOBİ’lerin Ar-Ge özgürlüğünden kurumsal rekabet gücüne kadar her alanda serbest ekonomi riske girecektir. Bu durumda bulutta verinin sahibi kim sorusunun yanıtlanmasına ek olarak, hizmet sağlayıcıların güvenilirliğin de denetlenmesi gerekiyor.

Bulut Hizmet Sağlayıcılarının Güvenilirliği

Veri güvenliğinde antivirüs teknolojilerinden çok daha önemli bir konu varsa o da mevzuat ve uyumluluk şartlarını yerine getirmek bakımından bulut sağlayıcılarının güvenilirliğidir. Sonuçta verinin nerede depolanacağına ve bulut hizmeti sağlayan firmayla anlaşmazlık durumunda hangi ülkeye veya firmaya taşınabileceğine ikili anlaşmalar karar veriyor ve hizmet düzeyi sözleşmelerinin (SLA) bu bağlamda kritik rol oynadığını görüyoruz.

Makalenin devamını Hizmet Sözleşmelerinde Müşteri Bulut Sağlayıcının Karşısında Yalnız Kalmamalı başlığı altında okuyabilirsiniz.

[1] Recent Survey Findings Highlight CIOs Increasing Trust in Cloud Services

[2] All of Europe’s data in US servers? We’re OK with that – EC bod

[3] Özgür Uçkan : Bulut’un Esas Tehlikesi Güvenlik Değil, İnterneti Merkezileştirmesi – 2