Yurt dışına veri aktarımı ve “Bulut” efsaneleri 

0

Bilgiye ulaşmanın oldukça kolay olduğu günümüz dünyasında toplanan “Büyük Veri”nin de nasıl işleneceğinden nerede saklanacağına kadar her şey merak konusu. Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı Barış Karadenizli, “Yurt dışına veri aktarımı ve Bulut teknolojisi” ile ilgili konulardaki görüşlerini sizler için paylaştı.

KVKK başlıklarında sözleşme görüşmelerinde en fazla git gel yaptığımız, en fazla gürültü yaratan başlıklardan biri yurt dışına aktarım ve bulut konuları. Bu aralar sözleşmelerde herkes “Benim bilgim olmadan verilerimi yurt dışına çıkaramazsın”diyor. İnternet dünyasında çok kolay bir durum değil bu, ama uygulanamayacak bir şey de değil.

Bu noktada asıl sorulması gereken soru “Yurt dışına aktarım için izni kim alacak?” olmalı. Şu dipnotu da hemen ekleyelim: Eğer bilgilerinizi verdiğiniz ilk kurum, sizden yurt dışına aktarım için açık rızanızı almadıysa, bilgilerinizin yurt dışına gitmesinde sorun vardır. “İnternet üzerinden çalışan her şey bulut değil mi zaten?” sorusunun aklınıza gelmesi çok doğal. Ancak bu soruya cevabım: Hayır, değil.

Bir internet sitesini bilgisayarınızda/telefonunuzda açtığınızda veriler;

  • Firmanın kendi fiziki adresinde duran internete bağlı sunuculardan da gelebilir, (Bilişim jargonuyla “On-prem” dedikleri dünya)
  • Firmanın muhasebe kayıtlarında, kendi sabit kıymetler envanterinde duran ama bir veri merkezine park edilmiş, elektriği, havalandırması vs. o veri merkezi tarafından yönetilen bir sunucudan da gelebilir, (Yine bilişim jargonuyla “Hosted” hikayesi)
  • Firmanın “Kiralık” olarak bir veri merkezinde kendisine tahsis edilen sunucularından da gelebilir. (Bu senaryoda sunucular, firmanın sabit kıymet envanterinde değildir) İlla her internet sitesi tüm elektronik parçalarıyla “Rack”ler ve ışıkları yanıp sönen donanım parçalarına sahip olmak zorunda değil. Birileri bu ışıkları yanıp sönen elektronik parçalarını başkalarına kiralayabilir, kiralık sunucudan da hizmet alabilirsiniz. Ama o elektronik aygıtlarda tutulan verilerin sorumluluğu o internet sitesinin sorumluluğudur, işin o kısmı değişmez.
  • Bir de verilerin hangi fiziki lokasyonda durduğundan bağımsız olarak arka planda yönetilmesi işini yapıp, verileri yönetebilen mekanizmalar var. Aynı web sitesinin “Müşteri” verileri, fiziki olarak veri tabanını kiralayan şirketin İstanbul’daki veri merkezinde, “Sipariş” dataları Ankara’da, “Fatura” dataları da İzmir’de duruyor olabilir. Ama ön yüzde sistemi yöneten ekip, bunları tek bir ortamda görür. İşte esas bulut hikayesi bu senaryoda başlıyor…

Hayatımızdaki en büyük “Bulut” örneklerinden biri elektrik şebekeleridir. ”Benim elektriğim mutlaka Keban’da üretilmiş olsun”, “Benimkisi mutlaka rüzgar türbininde üretilecek” diyebiliyor muyuz? (Karbon salınım piyasası bunu şekillendirmeye çalışıyor; ama burada dahi evinizde tükettiğiniz elektriğin mutlaka rüzgar türbininden geldiğinin garantisi yok. Siz yenilenebilir bir kaynaktan enerji satan firmanın müşterisiyseniz, firma sizin tükettiğiniz orandaki enerjiyi yenilenebilir kaynaklardan üreterek grid’e iletiyor. Belki de o rüzgar türbininde üretilen elektrik, türbinin etrafındaki köylerde kullanılıyor.)

“Neden kiralık tercih ediliyor?” derseniz, her sene bu ışıkları yanıp sönen cihazların yeni marka ve modelleri çıkıyor. Her satın aldığınız cihaz başa dert; çünkü sürekli bu sunucu çiftliklerini (Server farms) güncel tutmak için yüzbinlerce dolar harcanması gerekiyor. “Bir makine al, 10 yıl kullan” bilişim sektöründe uygulanabilir değil. Bazıları günün sabah saatlerinde çok yük alıyor, diğer saatler boş yatıyor ya da bazıları akşam yemekten sonra çok yük alıyor. Bulut hizmeti veren firmalar da oradaki boşluğu burada değerlendirip, daha optimize bir ortam yaratarak herkese uygun fiyata veriyor. Ayrıca makineleri güncel tutuyorlar. Kısacası “Bulut”un herkese birçok faydası var.

Bunu firmaların araba filolarına da benzetebilirsiniz. Arabaların sahibi olmayı tercih eden firmalar da var kiralamayı tercih eden firmalar da var. Araba anolojisine dönecek olursak, bilişim sektöründe arabaları “Amerika’dan ya da Avrupa’dan” da kiralayabilirsiniz. Konu buradan başlıyor.

Zaman zaman konferanslarda “Yerli bulut mu var ?” diyenler çıkıyor. Bu cümleyi kuranların naçizane biraz fazla önyargılı davranıklarını düşünüyorum; zira cevap “Evet var.” Marka reklamı yapmayalım, ama memleketimizin büyük teknoloji sağlayıcısı firmalarında birçok dostumuzun gece gündüz çalışarak var ettiği  “Yerli” bulut hizmetleri de veriliyor; ama onlarda sistem çökecek olursa, bunu önden algılayıp mili saniyeler içinde yükü otomatik başka bir server’a atabilen özellikler yok. Gerçek bulut değiller gibi detay konular da bir arz/talep konusu. Bu eğer bugün sağlanmıyorsa talep geldikçe buna da cevap üretilecektir. (Kaldı ki bu özellikleri bugün yapabildiğini söyleyen yerli çözümler de var. Bu konu benim uzmanlık alanım değil, bu nedenle burayı işin uzmanlarına bırakalım)

Belli “Bulut”lar yurt dışındalar. Kanun der ki “Bireyler buna açıkça rıza göstermediği durumda, bireylerin verilerini Amerika’ya Avrupa’ya ya da farklı bir yere çıkaramazsın.”

İstisnaları var mı? Elbette var!

Konu kuruma ait rehberde  s. 25’te detaylı açıklanmış durumda. (İncelemek isteyenler buraya tıklayabilir)

“En önemli başlık “Açık rıza”nın varlığı. Yurt dışına aktarım için bilgilendirme yapılacak, açık rıza alınacak veya açık rıza alınmayacaksa kurum henüz “Güvenli ülke” listesini yayınlamadığı için de kuruma taahhütte bulunulacak. Yani buradaki ana tartışma konusu “Bulut” değil, “Yabancı bulut” derdi. Bulut günümüzün gerçeği, “Hangi bulut” detayından ötürü, Bulut’u öcü yapmayalım. Veriler Bulut’ta da tutulabilir. Her geçen gün de artan biçimde tutuluyorlar zaten.

“Veri yurt dışına çıkarsa ne olur? Zaten telefonlardan bilgisayarlara her şey ithal değil mi?”  dememek gerekiyor.

Bugün durumun böyle olması gelecekte de böyle devam edeceği anlamına gelmiyor. Evet, günümüz dünyasında neredeyse her şey ithal, birçok veri birbirine bağlı ve evet bugün birçok verimiz yurt dışına çıkmış durumda. Her gün çıkmaya da devam ediyor… Ancak bu böyle devam etmek zorunda da değil. Nasıl 5G için birçok altyapı bileşenini yerli üretmeye çalışıyorsak, burada da belli düzenlemeler ile piyasayı şekillendirmek ve bilişim gibi kritik bir konuda ülkemizin sadece “Tüketici”, sadece “Müşteri” olması kurgusundan uzaklaşmamız gerekiyor. Bunun cari açığı azaltmakla başlayan, birçok faydası olacak. En önemli etkilerinden biri ekosistem geliştikçe, katma değerli üretim dediğimiz yerlere hizmet eden tarafları olacak. Yani uzun bir yolun daha çok başındayız.

Naçizane 2000’li yılların başlarında yurt dışında donanım + yazılım üretip satan yapılarda belli bir süre ürün yönetimi yapmış biri olarak şunu söyleyebilirim ki; nüfusu fazla olan ülkeler bu tür konularda çok ciddi pazarlıklar yapıyor. Nüfusu kalabalık ülkedeki “Müşteri”nin pazarlık yapmasından bahsetmiyorum. Ülkenin kurumlarının tedarikçi firma ile pazarlık yapmasından, kendi ülkelerinin satın alma güçlerinden ötürü, belli faaliyetlerin kendi ülkelerinde gerçekleştirilmesini sözleşme şartlarına ekletmelerinden bahsediyorum. O zamanlarda buna önem veren ülkeler, belki o gün için en “Harcıâlem” (Commodity) kısımlarda “Montajcı” olarak başladılar. Bugün o ülkelerin bilişim sektörü ekosisteminde farklı katmanlarda dünyaca bilinen farklı farklı birçok firmaları var.

Bu basit gibi duran yurt dışına veri aktarımı tartışmasının arkasında buzdağının başka parçaları var. Zararın neresinden dönersek kârdır. Türkiye’nin verisi Türkiye’de kalsın diyerek bitirelim.

Konuk Yazar: Barış Karadenizli

Kariyer.net Strateji ve İş Geliştirme Genel Müdür Yardımcısı