COVID-19 sonrasında kalıcılaşan uzaktan ve hibrit çalışma modelleri, 5651 sayılı kanun kapsamındaki log kaydı yükümlülükleri açısından yeni sorular doğurmuştur. "Çalışanım evden bağlanıyor, bu trafik loglanmalı mı?", "VPN kullanan çalışanlar için sorumluluk kime ait?" gibi sorular, BT yöneticileri ve işletme sahiplerinin sık sık karşılaştığı belirsizlikler arasındadır.
Sorumluluk Sınırının Net Tanımı
5651 kapsamındaki log yükümlülüğü, "toplu kullanım sağlayıcısı" tanımı etrafında şekillenmektedir. Bu bağlamda işverenin sorumluluğu, kurumsal ağ altyapısının sınırlarıyla belirlidir:
- Çalışan kendi evindeki ISP hattını kullanarak internete bağlanıyorsa, bu trafik işverenin log yükümlülüğü kapsamında değildir.
- Çalışan, kurumsal VPN sunucusuna bağlanarak işverene ait ağ üzerinden internete erişiyorsa, VPN çıkış noktasındaki trafik loglanmalıdır.
- İşveren tarafından tahsis edilmiş özel bir internet hattı (örneğin ADSL/fiber modem) üzerinden çalışılıyorsa, bu hat 5651 kapsamındadır.
İşverene ait ağ altyapısından geçen trafik loglanmalıdır. Çalışanın kendi kişisel internet hattı, işverenin yükümlülüğü dışındadır. VPN split tunneling (bölünmüş tünel) kullanılıyorsa, yalnızca kurumsal VPN üzerinden geçen trafik loglanır.
VPN Yapılandırması ve Log Stratejisi
Uzaktan çalışma ortamlarında en yaygın yapılandırma, site-to-site ya da uzaktan erişim VPN'idir. Log yükümlülüğü açısından iki farklı VPN yaklaşımı şu sonuçları doğurur:
Full tunnel VPN: Tüm internet trafiği kurumsal VPN üzerinden geçer. Bu durumda VPN sunucusunun çıkış noktasında tüm trafik loglanmalıdır. Merkezi yönetim açısından en güvenli yaklaşımdır.
Split tunnel VPN: Yalnızca kurumsal ağ kaynaklarına erişim VPN üzerinden gider, genel internet trafiği çalışanın kendi ISP'si üzerinden gider. Bu durumda kurumsal VPN'den geçen trafik loglanır, genel internet trafiği işverenin sorumluluğunda değildir.
Mobil Çalışanlar ve BYOD Politikası
Kendi cihazını iş için kullanan (BYOD) çalışanlarda durum daha karmaşıktır. Çalışan, kişisel cihazıyla kurumsal WiFi'a bağlandığında bu trafik 5651 kapsamında loglanmalıdır. Ancak çalışan aynı cihazla kendi mobil hattını ya da ev internet bağlantısını kullandığında, bu trafik işverenin sorumluluğu dışındadır.
BYOD ortamlarında net bir sorumluluk haritası çıkarmak ve çalışanlara bunu yazılı politika ile bildirmek hem yasal uyumluluk hem de KVKK açısından kritik önem taşır.
"Uzaktan çalışmada net bir ağ politikası hem çalışanı hem işvereni korur. Nerede sona erdiğinizi bilmeden nerede başladığınızı bilemezsiniz."
Logiyo ile Hibrit Ortam Yönetimi
Logiyo'nun çoklu log kaynağı desteği, dağıtık hibrit çalışma ortamlarını tek bir konsoldan yönetmenizi sağlar. VPN sunucusu, merkez ofis ağı ve şube ağlarının logları tek panelde konsolide edilerek hem 5651 uyumluluğu hem de güvenlik izleme sürekliliği sağlanır. Hibrit ortam çözümlerimiz hakkında bilgi alın.