KVKK Uyumu için SIEM Checklist: 15 Kritik Gereksinim

Türkiye'de faaliyet gösteren tüm kurumlar, 6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) ve 5651 sayılı İnternet Kanunu'na uymak zorundadır. Bu iki kanun, log yönetimi ve güvenlik izleme konusunda spesifik yükümlülükler getirir. SIEM sisteminiz bu yükümlülükleri karşılamıyorsa, denetimde büyük cezalar riski vardır.

Bu yazıda bir SIEM'in KVKK ve 5651 uyumu için somut olarak neleri yapması gerektiğini inceliyoruz.

Neden SIEM ve KVKK?

KVKK Madde 12, veri sorumlularına "kişisel verilerin hukuka aykırı olarak işlenmesini önlemek" ve "erişimini kısıtlamak" yükümlülüğü getirir. Bu pratikte şu anlama gelir:

• Kişisel veriye kimin eriştiği log'lanmalı
• Yetkisiz erişim tespit edilmeli
• Veri ihlalinin 72 saat içinde KVKK'ya bildirilmesi gerekir

SIEM, bu yükümlülüklerin pratik aracıdır. Manuel süreçler yeterli değildir.

Checklist — 15 Gereksinim

1. Log Retention Süresi

5651 gereği internet erişim log'ları minimum 6 ay saklanmalıdır. Bazı sektörlerde (bankacılık, sağlık) bu süre 2 yıla kadar çıkar.

SIEM'iniz log'ları yasal süreye uyumlu şekilde saklıyor mu? Storage planlamanız hangi plan için ne kadar?

2. Log Bütünlüğü (Integrity)

Denetimde log'ların manipüle edilmediği kanıtlanmalı. Hash/imza ile bütünlük doğrulaması şart.

• Log dosyalarının SHA-256 hash'i hesaplanıyor mu?
• Hash'ler ayrı, güvenli bir konumda saklanıyor mu?
• Log tampering (silinme, değişme) tespit ediliyor mu?

3. Yetkisiz Erişim Tespiti

KVKK Madde 12/1-a: "Kişisel verilerin hukuka aykırı olarak işlenmesini önlemek"

• Mesai dışı erişim denemeleri alarmı
• Yeni lokasyondan erişim alarmı
• Başarısız login zinciri (brute force)
• Admin hesabı ile anormal aktivite

4. Veri İhlal Bildirimi (72 Saat)

Bir veri ihlali tespit edildiğinde 72 saat içinde KVKK'ya bildirim yapılmalı. SIEM'iniz ihlali hızlı tespit edebilmelidir.

• MTTD (Mean Time to Detect) < 1 saat
• Incident management sistemi entegre
• Otomatik bildirim (email, Telegram)
• Forensic delil toplama

5. Erişim Kontrolü ve Audit Trail

Kişisel veriye kimin, ne zaman eriştiği logged olmalı.

• Her kullanıcı işleminin audit log'u
• Değişmez (immutable) audit kayıtları
• 7 yıla kadar erişim log retention (bazı sektörler için)

6. Veri Minimizasyonu

Log'larda gereksiz kişisel veri tutulmamalı. Örneğin kullanıcı adları, email'ler ihtiyaç olmadıkça maskelenmeli.

7. Geo Redundancy

Kritik log'ların kaybını önlemek için yedekli depolama. Tercihen Türkiye'de veri merkezi.

8. Veri Saklama Konumu

Kişisel verilerin yurt dışına aktarımı KVKK'ya bildirim gerektirir. SIEM log'ları yurt içinde saklanmalı.

9. Kullanıcı İşlemlerinin Silinme Sorumluluğu

KVKK Madde 7: Bir kullanıcı veri silinmesini talep ederse, tüm sistemlerden silinmesi gerekir. Log'lar da dahil.

SIEM'inizde seçici silme kabiliyeti var mı?

10. 5651 Formatı — TIB Raporu

5651 kanunu gereği, talep edildiğinde TIB (Bilgi Teknolojileri ve İletişim Kurumu)'ya belirli formatta log raporu sunmak gerekir:

• Kaynak IP
• Hedef IP ve port
• Timestamp (UTC+3)
• Protokol
• Kullanıcı bilgisi (biliniyorsa)

SIEM'iniz bu raporu tek tıkla üretebiliyor mu?

11. Sensitive Data Detection

Log'larda kimlik numarası, kredi kartı, email gibi sensitive veri tespit edilmeli ve alarm üretilmeli.

Örn: Bir POST body'sinde "TCKN: 12345678901" geçmesi = güvenlik incident'i.

12. Role-Based Access Control

SIEM'e kim ne kadar erişebiliyor?

• Superadmin: her şey
• SOC Analyst: log görüntüleme, alarm yönetimi
• Auditor: sadece okuma, değişiklik yok
• Executive: dashboard ve rapor

13. 2FA (İki Faktörlü Kimlik Doğrulama)

KVKK rehberi, kritik sistemler için 2FA zorunludur. SIEM bir kritik sistemdir.

14. Şifrelenmiş Depolama

At-rest encryption — log'lar disk'te şifreli olarak yazılmalı (TDE, FDE).

15. İmzalı, Zamanlı Yedekleme

Yedekler:

• Şifrelenmiş olmalı
• Zaman damgalı olmalı (notary seal)
• Offline bir lokasyonda tutulmalı (air-gapped)
• Geri yükleme testleri aylık yapılmalı

Denetim Hazırlık Checklist

KVKK denetimi geldiğinde hazır olmak için:

1. ✅ Log retention policy yazılı mı?
2. ✅ Son 6 ay log'u mevcut mu? (random örnek ile doğrulanabilir mi?)
3. ✅ Veri ihlali süreç dokümantasyonu mevcut mu?
4. ✅ RBAC matrisi yazılı mı?
5. ✅ Son 12 ay içindeki ihlaller listelenmiş mi?
6. ✅ Her ihlalin kök sebep analizi var mı?
7. ✅ 2FA tüm admin hesaplarda aktif mi?
8. ✅ Yedekleme test raporları mevcut mu?
9. ✅ Veri işleme envanteri güncel mi?
10. ✅ Veri sorumlusu (DPO) atanmış mı?

Ceza Boyutu

KVKK 2024 cezaları:

• Veri güvenliği yükümlülüğüne aykırılık: 1.800.000 ₺'ye kadar
• İhlal bildirimi yapmama: 200.000 ₺'ye kadar
• Aydınlatma yükümlülüğü ihlali: 200.000 ₺'ye kadar

Bu rakamlar her yıl güncellenmektedir.

Özet

• KVKK ve 5651 SIEM için spesifik yükümlülükler getirir
• Retention, integrity, access control, ihlal bildirimi temel 4 konu
• Log'lar yurt içinde tutulmalı (veya yurt dışı rıza alınmalı)
• Denetime hazırlık proaktif süreçtir, son dakika olmaz
• Cezalar yüksek — SIEM yatırımı risk azaltmadır