2022’nin sonlarında, BT yönetişimi ile ilgili bir bölüm eklemek için Hollanda Kurumsal Yönetişim Yasası’nın bir güncellemesi yayınlandı. Yönetmelik, borsaya kote şirketlerin yöneticilerinin hissedarların, çalışanların ve diğer paydaşların çıkarlarını korumak için davranış kurallarını belirler.
Revizyon, 2023 şirketlerinin yıllık raporlarında listelenenlerin, önemli BT sistemlerinin sorunsuz ve güvenli bir şekilde çalışmaya devam etmesini nasıl sağladıklarını açıklamalarının isteneceği anlamına geliyor. Bunu anlaşılır kılmak için, Hollandalı denetçiler meslek birliği Norea, dijital bir mali tablo geliştirdi: “Kontrol BT’de” bildirimi.
Michiel Steltman, kendini güvenilir bir buluta adamış iş, bilim ve hükümet kuruluşlarından 20’den fazla kuruluşun oluşturduğu bir ittifak olan Dutch Online Trust Coalition’ın (OTC) çekirdek ekip üyesidir. Steltman’a göre, yıllık mali raporun bu dijital eşdeğeri doğru yönde atılmış bir adım, ancak daha yapılacak çok iş var.
“Örneğin, şirketlerin düzinelerce farklı güvenlik gereksinimleri listesini karşılaması ve neredeyse aynı şeyleri kontrol eden 10 farklı denetçiye sahip olması gerekmediğinden emin olmak için düzenleyiciler arasında daha iyi bir işbirliğine ihtiyaç var” dedi.
“Müşteriler ve tüketiciler, hissedarlar, vatandaşlar, finansörler ve ayrıca denetçiler ve düzenleyiciler gibi diğer paydaşlar için bulut hizmetlerinin güvenilirliği konusunda güvence almak karmaşıktır.
“Bir sağlayıcının web sitesinde genellikle güvenmeniz gereken özel bir beyan olabilir. Ya da belki raporlar var ama bunlara sadece denetçiler erişebilir” diyerek, bunun bir bulut sağlayıcının güvenliğini nasıl sağlayıp sağlamadığını değerlendirmeyi zorlaştırdığını sözlerine ekledi.
Öte yandan sağlayıcılar için zorluk, paydaşların tümünün, tüm yasal güvenilirlik gerekliliklerinin karşılandığını kanıtlamak için ek kanıt talep etmesidir.
Steltman, “Özellikle daha küçük oyuncular için ve Hollanda’da birçoğumuz var, bu imkansız” dedi. “Her denetim veya belgelendirme, zaman ve paraya mal olur. Hollanda’da bu konuda kayıtsız kalırsak, yakında yalnızca büyük teknolojinin kalması ve tüketiciler olarak bizlerin seçim yapma özgürlüğümüzü kaybetmesi riskini taşıyoruz.”
Her iki sağlayıcının da güvenliği sağlamak için neler yaptıklarını gösterebildiği ve paydaşların bunu güvenilir bir şekilde anlayabildiği bir duruma ulaşmak için OTC üç sütun belirlemiştir. Birincisi, standartlaştırılmış ve uyumlaştırılmış güvenlik ve BT yönetişim çerçeveleri için çalışmaktır. İkincisi, denetimlerin ve teftişlerin de standartlaştırılması ve belirlenen gereklilikleri karşılaması gerektiğidir. Üçüncüsü, tüm paydaşlar tarafından erişilebilir ve kullanılabilir raporlar olmalıdır.
“Şu anda, ikinci ve üçüncü sütunlar hala pek gerçekleşmiyor ve bu, sorunlar ve bir etiket ve sertifika ormanı yaratıyor. Bu üç sütundan herhangi biri eksik olursa, gerekli güven ve güvence oluşmayacaktır” dedi.
Avrupa düzeyinde ENISA tarafından geliştirilmekte olan Bulut Hizmetlerine İlişkin Avrupa Birliği Siber Güvenlik Sertifikasyon Programı (EUCS) yönergesi üzerinde çalışmalar bir süredir devam etmektedir.
“Başlangıçta bu, Alman C5’i kullanmak istedikleri bir Fransız-Alman evliliğiydi. [Cloud Computing Compliance Controls Catalogue] Fransız SecNumCloud ile birlikte yeni bir onay mührü haline geldi,” dedi Steltman.
“Online Trust Coalition olarak, Hollanda’nın alamet-i farikası Zeker Online’dan bazı önemli ilkeleri ekleyebildik. Denetim ve raporlama hakkındaki fikirlerimiz EUCS’de sona erdi. Bununla oldukça gurur duyuyoruz.”
Yeniden kullanım ve işbirliği çok önemli
OTC tarafından öngörülen bir sonraki adım, beyannamelerin ve ifadelerin yeniden kullanılmasıdır. Steltman, “Endişemiz, AB’nin uyum sağlama konusundaki iyi niyetine rağmen, düzenleyicilerin yine de kendi listelerini ve uyumluluk kontrollerini yeniden yapacak olmalarıdır” dedi. İşte burada Norea’nın “Kontrol BT’de” ifadesi devreye giriyor.
“Bu şekilde şirketler, EUCS’yi kullanan tedarikçilerin kullanımı da dahil olmak üzere, BT ve güvenlikleri konusunda kontrolün kendilerinde olduğunu gösterebilirler. Bu, uzun bir gereklilik listesi olan katı bir denetim olabilir, ancak böyle bir yıllık denetim pek çok amaç için yeterli olacaktır” dedi.
İşin püf noktası, alıcıların bunun kuruluşların işlerinin yolunda olduğunu kanıtlamak için kullandıkları standart olduğunu kabul etmeleri gerektiği gerçeğinde yatmaktadır. “Şu anda, herkesin kendi güvenlik gereksinimlerini oluşturduğu ve bunun kanıtını kendi yöntemiyle talep ettiği bir durumdayız.”
Steltman, bulut sağlayıcıların güvenliklerini kontrol altında tuttuklarını kanıtlamak istediklerine inanıyor: “Ancak bunu her müşteri için özel olarak yapmak imkansız. Düzenleyici yükün pratikte yattığı yer burasıdır, güvenlik önlemlerinin alınmasında değil. İşte tam da bu yüzden standardizasyon ve uyumlaştırma yönünde çalışmamız hayati önem taşıyor.”
Hollanda, birçok KOBİ oyuncusuyla büyük, geniş bir dijital sektöre sahiptir. Piyasayı sağlıklı tutmak için, rekabete devam edebilmeleri ve düzenlemelere, işaretlere ve etiketlere saplanıp kalmamaları çok önemlidir.
“Aksi takdirde, telekom pazarında olduğu gibi aynı şey olacak – sadece büyük şirketler kalacak. Bunu yaparak, bu dünyanın teknoloji devlerinin ekmeğine yağ sürüyorsunuz ve aynı zamanda müşterilerin seçim özgürlüğünü kısıtlıyorsunuz” dedi.
EUCS’ye büyük ihtiyaç
Avrupa Birliği de uyumlaştırma çabasındadır, ancak uygulamada bu henüz sağlanamamıştır. Bu nedenle Steltman, Hollanda’nın kendi adımlarını atmaya başlaması gerektiğine inanıyor.
“Düzenleyiciler birbirlerinin yargılarına daha fazla güvenmeye başlamalı” dedi. “Hollanda’daki bazı düzenleyiciler, zaten çok yoğun oldukları için birlikte çalışmaya başlamaları gerektiğini fark etseler de, bu hâlâ büyük bir zorluk.”
Bu arada, EUCS, Steltman’ı hayal kırıklığına uğratacak şekilde, Fransa ile bir ihtilaf nedeniyle iki yıldır rafta oturuyor. Fransız hükümeti, Avrupalı olmayan bulut satıcılarını en üst düzeydeki siber güvenlik güvencesinin dışında bırakmak istiyor. Bu seviyeye hak kazanmak için başvuru sahipleri, Avrupalı olmayan hiçbir aktörün verilere erişimi olmadığını veya başka bir deyişle yalnızca AB mevzuatına göre çalıştığını kanıtlamalıdır.
Steltman’a göre bunlar, EUCS’nin geliştirilmesinde yeri olmayan siyasi etkilerdir: “Bu plana Avrupa düzeyinde büyük bir ihtiyaç var, bu yüzden siyasi etkilerden arındırılmış bir şekilde mümkün olan en kısa sürede serbest bırakılması gerekiyor. Ondan sonra egemenlik hakkında daha fazla konuşabiliriz.”