TUBİTAK Kripto Varlık Hizmet Sağlayıcıları İçin Güvenlik ve Uyumluluk Zorunlulukları

Son dönemlerde çıkan yasalar ve yönetmeliklerle, kripto varlıklar alanında teknik ve güvenlik standartlarının belirlenme yetkisinin TUBİTAK’a verildiği kamuoyuna açıklanmıştır. Bu doğrultuda, TUBİTAK “Kripto Varlık Hizmet Sağlayıcıları için Bilgi Sistemleri ve Teknolojik Altyapı Kriterleri” başlıklı yeni düzenlemeleri yayımlamıştır. Bu kurallara uyum, kripto hizmeti sağlayan kuruluşlar için zorunlu hale gelmiştir ve temel olarak şu alanlara odaklanmaktadır:

• Soğuk (Kuru) Cüzdanlar: Fiziksel izole ortamlar veya cihazlar kullanılarak, bağlantısız veya yalnızca güvenli iletişim kanallarını kullanan cüzdanlar tercih edilmelidir. Anahtarların üretimi, saklanması ve kullanımı uzman prosedürlere uygun olmalı, donanım güvenlik modülleri veya akıllı kartlar kullanılmalı ve düzenli denetimler ve saldırı analizleri yapılmalıdır. Fiziksel ve siber saldırılara karşı dirençli olmaları esas olmalıdır.
• Sıcak (İşlem) Cüzdanlar: İnternet bağlantısı olan günlük işlemler ve transferler için kullanılabilir. Erişim denetimleri güçlendirilmiş olmalı, çok faktörlü veya biyometrik doğrulama teknikleri uygulanmalı, güncel yamalar ve güvenlik güncellemeleri takip edilmelidir. Ayrıca, iletişim ürünleri TLS veya VPN gibi güvenilir protokollerle güvence altına alınmalı ve trafik izleme yapılmalıdır.

• Güvenli yazılım geliştirme standartları benimsenmeli; kodlarda güvenlik açıkları statik ve dinamik analiz araçlarıyla tespit edilmeli. Güncellemeler, imzalanma ve doğrulama süreçleriyle yapılmalı.
• Güvenli iletişim protokolleri (TLS, VPN) kullanılmalı ve ağ güvenliği (firewall, saldırı tespit sistemleri) sağlamlaştırılmalı.
• Ağ trafiği sürekli izlenmeli ve anormal aktiviteler tespit edilmelidir.

• Anahtarlar, izole ve güvenli donanım modüllerinde (HSM) üretmeli, saklamalı ve yedeklemeli.
• Yedekler, şifreli ve erişim sınırlandırılmış ortamlarda tutulmalı, düzenli test edilerek kurtarma planları hazırlanmalı.
• Tüm süreçler uluslararası güvenlik standartlarına uygun olmalı; örneğin ISO/IEC 19790 veya Common Criteria.

• Erişim sınırlandırılması ve çok faktörlü kimlik doğrulama esas olmalı.
• Günlük işlemler en düşük ayrıcalık prensibiyle yönetilmeli, ve OTP veya biyometrik doğrulama gibi ek güvenlik katmanları kullanılmalı.
• Oturumlar süre sonunda otomatik kapatılmalı ve aktivitelerin kaydı tutulmalı. Ayrıca, saldırılara karşı düzenli sızma testleri yapılmalı.

• Anahtarlar, yüksek güvenlikli ortamda, şifreli ve ulaşımı kontrol edilerek saklanmalı.
• Yedekler farklı ve güvenli lokasyonlarda bulunmalı; düzenli test edilerek olası acil durumlar için hazır tutulmalı.
• Yedekleme ve kurtarma işlemleri, uluslararası standartlara uygun ve sürekli denetim altında olmalı.

• Güvenlik ve kriptografi uygulamaları, ISO/IEC 27001, Common Criteria ve benzeri uluslararası normlara uygun olmalı.
• Güvenlik sertifikaları alınmalı, denetimler düzenli yapılmalı ve uyum sağlandığı belgeye bağlanmalı.

• Tüm bileşenler, ulusal ve uluslararası standartlara göre test edilip, saldırı ve açıklar için düzenli denetlenmeli.
• Güncellemeler, dijital imza ve sertifikalar kullanılarak güvence altına alınmalı ve yalnızca yetkili, imzalanmış kaynaklar tarafından yapılmalı.

• TLS 1.2 ve üzeri sürümler, VPN ve SSH gibi güvenli protokoller tercih edilmeli.
• Ağ güvenliği, firewall ve saldırı tespit sistemleriyle sağlanmalı; anormal faaliyetler tespit edilip, önlemler alınmalı.
• Veri aktarımında yüksek düzeyde şifreleme ve detaylı log tutma koşul olmalı.

• Veri merkezleri, erişim kontrolleri, kamera sistemleri ve 24 saat izleme ile korunmalı.
• Güç sürekliliği için UPS ve jeneratörler, iklim ve yangın risklerine karşı önlemler alınmalı.
• Fiziksel ortamlar, sel, yangın ve elektrik kesintisi gibi risklere dayanıklı hale getirilmeli.

• Hizmet sağlayanlar ve kullanıcılar, görev ve sorumluluklarına uygun net politikalarla yönetilmeli.
• Tüm işlemler, kimlik doğrulama ve yetkilendirmeye uygun olmalı, işlem logları düzenli tutulmalı.
• Olaylara müdahale planları hazırlı ve düzenli tatbikatlar yapılmalı.

• Sağlanan sistemler ve veriler düzenli yedeklenmeli.
• Yedekler farklı konumlarda saklanmalı ve hızlı kurtarma testleri düzenli olarak yapılmalı.
• Olası afet ve siber saldırılara karşı önleyici iş ve iletişim planları hazır bulunmalı.

• Geliştirilen yazılımlar, uluslararası standartlara uygun olarak ve güvenlik ilkelerine göre tasarlanmalı.
• Kodlarda güvenlik açıkları düzenli analiz edilmeli.
• Güncellemeler, dijital imza ve denetimle, güvenli ve kontrollü süreçler içinde yapılmalı.
• Test ortamları ve bağımsız güvenlik uzmanları tarafından periyodik denetimler yapılmalı.

• Çok faktörlü kimlik doğrulama, biometrik ve güvenli token gibi ek katmanlar kullanılmalı.
• Kullanıcı ve sistem erişimleri, roller ve sorumluluklara göre belirlenmeli.
• Erişim talepleri, onay ve denetim süreçleriyle kontrol edilmeli, erişim ve aktiviteler loglanmalı.
• Oturumlar, zaman aşımı ve otomatik kapanma ile korunmalı.
• Uzaktan erişimde de güvenlik katmanları ve düzenli denetimler şarttır.

Bu rapor, dijital ve fiziksel altyapıların güvenliğini sağlamak amacıyla kapsamlı ve entegre bir güvenlik stratejisinin temel ilkelerini ortaya koymaktadır. Güvenlik, yalnızca teknik önlemlerle sınırlı kalmayıp, süreçlerin, politikaların ve insanların da katılımını içeren çok yönlü bir yaklaşım gerektirir.

Her seviyede alınacak olan önlemler, riskleri minimize etmek, olası ihlal ve saldırılara karşı dayanıklılığı artırmak ve sürdürülebilir bir güvenlik ortamı oluşturmak için kritik öneme sahiptir. Güvenliğin sağlanması, sürekli güncellenen ve gelişen tehditlere karşı proaktif ve uyumlu yaklaşımlarla mümkün olur. Bu kapsamda, teknolojik gelişmeler, uluslararası standartlar ve en iyi uygulamalar dikkate alınmalı ve uyum süreçleri sürekli olarak gözetilmelidir.

Sonuç olarak, bu rapor, güvenlik süreçlerinin tasarlanmasında, operasyonel uygulamalarda ve yönetim stratejilerinde temel bir rehber niteliği taşımakta olup, kurumların ve organizasyonların güvenlik seviyelerini anlamlı biçimde artırmasına katkı sağlar. Doğru uygulandığında, hem bilgi güvenliği hem de fiziksel varlıkların korunması açısından sağlıklı ve sürdürülebilir bir temel oluşturur.

Av. Ali ERŞİN’in Hukuk ve Bilişim Dergisi 1. Sayı’sındaki “Elektronik Para Sistemlerinde Güvenlik Riskleri ve Yönetimi” isimli yazısına bağlantıdan ulaşabilirsiniz.

Yazarın “Kripto Para Borsaları ve Hak İhlalleri” isimli yazısını okumak için bağlantıya tıklayınız.

Yazarın “Edux Academy’deki” “Siber Güvenlik ve Adli Bilişim” eğitimine bağlantıdan kaydolun!

Mail: av.ersinali@gmail.com

Tel: 0541 316 96 21