ABD'den bulut platformlarına ihracat kontrol düzenlemesi

Şafak Herdem - HERDEM Avukatlık

Amerika Birleşik Devletleri (ABD) Dışişleri Bakanlığı tarafından 26 Aralık 2019 tarihinde, 25 Mart 2020 tarihinden itibaren geçerli olmak üzere verilen ara karar (final interim rule) uyarınca, uçtan uca şifreleme yöntemi kullanılarak korunan kontrollü teknik verilerin ABD dışına transfer edilmesinin, ABD ulusal güvenliğini korumak ve savunma ve askeri teknolojilerin ihracatını kontrol etmek adına gerekli rejimleri düzenleyen Uluslararası Silahlanma Trafiği Yönetmelikleri (International Traffic in Arms Regulations, “ITAR”) mevzuatı kapsamında, ihracat olarak kabul edilmediğine ve gerekli diğer bütün kurallara uymak kaydıyla, bu tür verileri ihraç edenlerin ihracat lisansı almasına gerek olmadığına karar verildi.

İlgili karar, özellikle ITAR ihracat kontrollerine tabi teknik veriyi ABD dışına bulut ortamında aktaran şirketler bakımından rahatlık sağlamanın yanı sıra ITAR mevzuatı dahilinde ihracat, yeniden ihracat (reeksport), geri transfer veya geçici ithalat teşkil etmeyen teknik veri özelliklerini belirten bir değişiklik getirdi. Bu kapsamda ilgili verinin aşağıda belirtilen gereksinimleri karşılaması durumunda ITAR kapsamında ihracat olarak değerlendirilmeyeceği belirtilmiştir:

- Tasnif dışı (unclassified),

- Uçtan uca şifreleme kullanılarak koruma altına alınmış;

- Yazılım uygulaması, kriptografik anahtar yönetimi ve diğer prosedürler ve kontrollerle desteklenen Federal Bilgi İşleme Standartları Yayını 140–2 (FIPS) veya ilgili mevzuat ile uyumlu kriptografik modüller (donanım veya yazılım) kullanılarak veya yürürlükteki ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) yayınlarında sağlanan yönergelere veya İleri Şifreleme Standardı (AES) tarafından elde edilen en az 128 bit güvenlik gücüne eşdeğer güvenlik gücü sağlayan diğer şifreleme yöntemleriyle güvence altına alınmış,

- Kasıtlı olarak ITAR tahtında tanımlanan yasaklı ülkelerdeki veya Rusya’da bulunan bir kimseye gönderilmemiş veya burada saklanmamış ve benzeri şekilde bu ülkelerden veya Rusya’dan gönderilmemiş olan veriler

Veri korumasında hangi hususlara dikkat edilmeli?

Amacının ITAR ve EAR kapsamında ihracat izinleri gerekliliklerini uyumlaştırmak olduğu belirtilen karar kapsamında kriptografik korumanın, verinin ABD dışına gönderilmesinden önce uygulanması ve verinin gönderildiği alıcının güvenlik sistemine girinceye kadar korumasının bozulmadan kalması gerektiği belirtilmiştir. Gerçek kişiler arası iletişim bakımından bu korumanın veriyi içeren e-postanın (veya gönderim için hangi yöntem kullanılıyorsa) alıcıya gönderilmesinden önce gönderenin bilgisayarındaki verilerin şifrelenmesiyle; kuruluşlar için ise verinin kuruluş içi ilgili birim tarafından kuruluşun güvenlik ağından ayrılmadan önce şifrelenebilerek yönetilebileceği önerilmiştir.

Bütün bunlarla birlikte ihracatçıların, teknik verilerin ABD dışındayken veya ilgili alıcı tarafından şifresi çözülene kadar koruma yönteminin bozulmaması, şifrelemenin sürekliliğini sağlamaları ve yukarıda açıklanan yasaklı ülkelerden birine/birinden gönderim olmayacağını temin edebilmeleri gerekmektedir. Bu verilerin gönderici veya alıcı dışındaki herhangi bir kimse tarafından şifresinin çözülebilir olması gibi durumlarda, ilgili veri güvenli kabul edilmeyebilir. Bu konuda özellikle bulut sistem kullanan kuruluşların, bulut depolama şifrelemelerinin koruma düzeyinden emin olmalarını ve bu tür düzenlemelerin oluşturulmasında yabancı servis sağlayıcıları hakkında gerekli özeni göstermenin önemli olduğunu aksi halde potansiyel ihlal riski doğabileceğine dikkat çekilmektedir.