Dijital Sınırlar ve Yeni Egemenlik Sorunu

Bulut bilişimin ilk yıllarını, “verilerimiz bulutta güvende mi?” endişesi domine ediyordu. Kurumlar, değerli verilerini kendi fiziksel veri merkezlerinin dışına çıkarma konusunda siber güvenlik çekinceleri yaşıyordu. Bugün bu tartışma büyük ölçüde geride kaldı. Küresel bulut sağlayıcıları (hyperscaler’lar), çoğu kurumun kendi başına sağlayamayacağı düzeyde gelişmiş güvenlik protokolleri sunduklarını kanıtladılar. Bununla beraber, teknik güvenlik sorunu çözüldükçe, çok daha karmaşık bir sorun su yüzüne çıktı: Egemenlik.

Artık endişe, bir hacker’ın veriye sızması değil; verinin barındırıldığı ülkenin yasalarının, verinin asıl sahibinin iradesini geçersiz kılmasıdır. Soru basit: “Buluta yüklediğim bu veri, hukuken kime ait?“. Egemen Bulut (Sovereign Cloud) kavramı, bu yasal ve stratejik boşluğa bir yanıt olarak doğdu. Bu yaklaşım, verinin sadece fiziksel olarak nerede durduğuna değil, aynı zamanda yasal olarak kimin kontrolünde olduğuna odaklanır.

Verim Türkiye’de Demek Yeterli Değil

Veri egemenliği tartışmalarındaki en yaygın yanılgı, konuyu fiziksel sınırlarla değerlendirmektir. “Verimiz Türkiye’deki sunucularda tutuluyor, o halde güvendeyiz” varsayımı, dijital çağın gerçekleri karşısında geçerliğini yitirmiştir. Başta KVKK (Kişisel Verilerin Korunması Kanunu) olmak üzere birçok yasal mevzuat, belirli veri türlerinin ulusal sınırlar içinde kalmasını (Data Residency) zorunlu kılar. Bu, egemenlik yolunda atılması gereken ilk adımdır, ancak tek başına yeterli değildir.

Veriniz Anadolu’da bir veri merkezinde olabilir, ancak o veriye erişen yönetim yazılımı, operasyonu yürüten personel veya altyapının sahibi olan ana şirket, başka bir ülkenin yasalarına tabi olabilir.

Bu durumda şu sorular ortaya çıkar:

  • Veriyi barındıran şirketin merkezi yurt dışında ise, o şirketin tabi olduğu ülke yasaları (örneğin bir ulusal güvenlik soruşturması gerekçesiyle) Türkiye’deki verilerinize erişim talep edebilir mi?
  • Sistem yönetimi (operasyon) uzaktan, farklı bir ülkeden yapılıyorsa, bu operatörlerin veriye erişimi nasıl denetleniyor?

“Verim Türkiye’de” demek, dijital egemenlik için bir başlangıç noktasıdır, ancak bir güvence değildir. Veri egemenliği, aynı zamanda o veri üzerinde yasal ve operasyonel kontrolün kimde olduğu ile ilgilidir. Bu karmaşayı çözmek için dünya çapında yeni çerçeveler oluşturuluyor. Örneğin, Avrupa Birliği Komisyonu’nun Ekim 2025’te yayımladığı “Bulut Egemenliği Çerçevesi” (Cloud Sovereignty Framework), bir bulut hizmetinin “egemen” sayılabilmesi için sadece veri konumuna değil; operasyonel kontrolden teknolojik şeffaflığa ve hatta tedarik zinciri güvenliğine kadar çok katmanlı kriterlere bakılması gerektiğini ortaya koydu.

Devletlerin Yargı Alanlarının Çatışması

Verinin Türkiye’de olmasının yetersizliğine ilişkin en somut gerekçe, küresel teknoloji sağlayıcılarının tabi olduğu sınır ötesi yasal yükümlülüklerdir. Veriyi barındıran küresel sağlayıcının merkezinin hangi ülkede olduğu, verinin fiziksel olarak bulunduğu ülkenin yasalarıyla çelişebilmektedir. Bu durum, bulut hizmeti sağlayıcıyı bir “sadakat paradoksu” ile karşı karşıya bırakır: Müşterisinin bulunduğu ülkenin yasalarına mı (örn: KVKK), yoksa kendi merkezinin bulunduğu ülkenin ulusal güvenlik yasalarına mı sadık kalacak?

Bu yargı alanı çatışmasının en bilinen iki örneği ABD ve Çin’dir. ABD’nin Bulut Yasası (CLOUD Act), ABD merkezli teknoloji şirketlerini, ABD yasal mercileri talep ettiğinde, veriler dünyanın neresinde olursa olsun bu verileri teslim etmekle yükümlü kılar. Bu durum sadece ABD’ye özgü değildir. Çin’in Ulusal İstihbarat Yasası da benzer bir yükümlülüğü Çin merkezli teknoloji devlerine getirir. Yasa, Çinli şirketlerin ve vatandaşların, talep edilmesi halinde devlet istihbarat çalışmalarıyla “işbirliği yapmasını” zorunlu kılar. Geri kalan ülkelerin de benzer uygulamaları mevcuttur. Bu durumda;

  1. Yabancı menşeili bir bulut hizmeti sağlayıcısı, Türkiye’deki müşterisinin verilerini KVKK ve diğer düzenlemeler gereği Türkiye’deki bir veri merkezinde tutar. (Yerel Yasaya Uyum)
  2. Aynı sağlayıcı, kendi ülkesindeki bir mahkeme kararı uyarınca, Türkiye’de tuttuğu bu veriyi ilgili mercilere teslim etmekle yükümlü hale gelir. (Kendi Yasalarına Uyum)

Sorun, A veya B ülkesi değil; küresel bir sağlayıcı seçildiğinde, o sağlayıcının aynı zamanda kendi menşei tabi olduğu yasalara uyum zorunluluğundan kaynaklı çatışmadır. Bu yasal gerçeklik, devletleri, “Egemen Bulut” çözümlerine yönelmeye ve teknolojik garantiler aramaya zorlamaktadır.

Teknoloji Devleri Ne Yapıyor?

Dünyanın en büyük teknoloji sağlayıcıları, ulusların artan veri egemenliği taleplerinin ve bu konudaki yasal düzenlemelerin farkındalar. Avrupa Birliği’nden Asya’ya, Türkiye’den Latin Amerika’ya kadar uzanan bu pazarları kaybetmek istemiyorlar. Bu nedenle, geleneksel genel bulut (public cloud) anlayışının dışına çıkarak, yerel düzenlemelere uyum sağlamayı hedefleyen çeşitli “Egemen Bulut” modelleri geliştirmeye başladılar.

Bu yaklaşımlar genellikle üç ana kategoride toplanabilir:

Yazılım Tanımlı İzolasyon:
Genel bulut altyapılarının içine, kuralları ve erişim politikaları tanımlanmış “sanal izolasyon” veya “özel bölgeler” (policy-driven regions) inşa edilir. Veri fiziksel olarak o ülkede tutulur ve erişim, yazılımsal olarak o ülkenin vatandaşları olan personelle kısıtlanabilir. Ancak temel altyapı ve kontrol düzlemi (control plane) hâlâ küresel ağa bağlıdır.		Yerel Ortaklı Modeller:
Küresel sağlayıcı teknolojisini getirir ancak operasyonu (sistem yönetimi, müşteri desteği, fiziksel güvenlik) tamamen yerel, güvenilir bir iş ortağına devreder. Bu model, “Teknolojiyi küresel kaynaktan al, operasyonu yerel tut” felsefesine dayanır.


Tamamen İzole Modeller:
Genellikle ulusal güvenlik, savunma veya istihbarat verileri için kullanılır. Bu modelde, veri merkezi fiziksel olarak tamamen izole edilir (air-gapped), internetle ve küresel bulut ağıyla hiçbir bağlantısı bulunmaz. İçeriye sadece belirli ülke vatandaşlarının ve güvenlik izni olan personelin girmesine izin verilir.

Teknolojik Egemenlik: Anahtar Kimde?

Küresel bir sağlayıcı tarafından sunulan bir bulut hizmetinin anahtarlar hâlâ onlardaysa, kapıyı kime açacaklarına biz karar verebilir miyiz? Bir D Tech Cloud yöneticisi olarak, teknik egemenlikten söz edebilmek için iki şeyi kontrol ederim: Anahtar kimde ve veri işlenirken güvende mi?

Anahtar Kimin Cebinde? (KMS ve HSM)

Veriyi şifrelemek standart bir işlemdir, ancak bu bir güvence değildir. Asıl soru, o şifreyi açan anahtarın nerede durduğudur. Genellikle anahtar saklama işlemi sağlayıcının kendi sisteminde KMS – Key Management Service olarak sunulur. Yukarıda bahsettiğimiz CLOUD Act gibi bir yasal talep geldiğinde, sağlayıcı o anahtarı kullanarak verilerinizi deşifre etmekle yükümlü hale gelir. Gerçek operasyonel egemenlik, anahtarın fiziksel veya mantıksal olarak yalnızca müşterinin kendisinde durduğu modellerle başlar.

Burada devreye HSM (Hardware Security Module – Donanım Güvenlik Modülleri) girer. HSM’ler, şifreleme anahtarlarını dışarıdan müdahaleye korumalı, fiziksel cihazlarda saklar. Bulut sağlayıcı, bu donanıma erişemez; sadece “şu veriyi şu anahtarla şifrele” komutunu verebilir, ancak anahtarın kendisini asla göremez. Bu sayede, yasal bir zorunluluk gelse dahi, sağlayıcının veriyi deşifre etmesi teknik olarak imkansız hale getirir.

Veri İşlenirken Güvende mi? (Confidential Computing)

Egemenlik zincirindeki ikinci kritik halka ise verinin yaşam döngüsüdür. Veriyi korumak için üç aşamaya bakarız:

  1. Duran Veri (Data at Rest): Diskte dururken şifrelidir. (HSM ile çözüldü)
  2. Hareketli Veri (Data in Transit): İnternette giderken şifrelidir. (SSL/TLS ile çözüldü)
  3. Kullanımdaki Veri (Data in Use): Peki ya işlemci (CPU) onu işlerken?

İşte bu üçüncü aşama, geleneksel bulutun en zayıf karnıydı. Bir veri üzerinde analiz yapmak, bir sorgu çalıştırmak veya bir uygulama çalıştırmak için verinin işlemcinin ve sunucu hafızasının (RAM) içinde “açık” yani şifresiz hale gelmesi gerekirdi.

Bu, donanıma fiziksel erişimi olan bir bulut sağlayıcı operatörünün, o anda hafızada işlenen veriyi (örneğin bir kredi kartı numarasını veya hasta bilgisini) görebilme riskini doğuruyordu. Yeni nesil Confidential Computing (Gizli Hesaplama) teknolojileri bu sorunu çözmek için geliştirildi. Intel SGX, AMD SEV gibi donanım tabanlı bu teknolojiler, işlemcinin içinde Trusted Execution Environment (TEE – Güvenilir Yürütme Ortamı) adı verilen, dışarıdan izole edilmiş bir alan oluşturur. Veri, sadece bu kasanın içinde deşifre edilir, işlenir ve işi bittiğinde tekrar şifrelenir. Bu sayede, veriniz işlenirken dahi bulut sağlayıcının işletim sisteminden, sanallaştırma katmanından ve hatta fiziksel erişimi olan sistem yöneticilerinden bile korunmuş olur.

HSM ile anahtarı, Confidential Computing ile de verinin işlendiği süreci güvence altına aldığınızda, dijital egemenlik artık bir yasal denetim olmaktan çıkar, kriptografik bir konu haline dönüşür.

Türkiye’de Mevzuat ve Ulusal Stratejiler

Veri egemenliği tartışması küresel olsa da, çözümleri daima yereldir. Türkiye’de de bu konu, hem yasal düzenlemeler hem de ulusal stratejiler düzeyinde ele alınmaktadır.

KVKK ve Sektörel Düzenlemeler

2024 yılında yapılan son değişikliklerle birlikte Kişisel Verilerin Korunması Kanunu (KVKK), kişisel verilerin işlenmesi ve yurt dışına veri aktarılmasına ilişkin yeni düzenlemelerle birlikte GDPR ile daha uyumlu bir dönem başlattı. Buna paralel olarak, finans, enerji, telekomünikasyon gibi kritik sektör düzenleyicileri ve kamu kurumları, kendi alanlarındaki verilerin ve sistemlerin yurt içinde tutulması (Data Residency) konusunda net zorunluluklar bulunmaktadır. bununla birlikte yukarıda tartıştığımız üzere, bu yasal düzenlemeler verinin yerel kalmasını (Residency) zorunlu kılsa da, örnekleri verilen yasal erişim (Sovereignty) risklerini tek başına ortadan kaldırmaz.

Ulusal Bulut Girişimleri

Mevzuatın yarattığı bu ihtiyaca yanıt olarak Türkiye, kendi ulusal bulut altyapısını oluşturma vizyonunu da ortaya koymuştur. TR-CLOUD veya Kamu Bulutu olarak duyduğumuz bu projeler, kamu kurumlarının dağınık bilişim altyapılarını tek bir çatı altında toplarken, kritik verilerin ulusal denetim altındaki bir altyapıda barındırılmasını hedeflemektedir.

Bu vizyon, veri egemenliği için en ideal yolu temsil etmektedir. Ancak bunun gibi büyük ölçekli ulusal altyapı projelerinin uygulamaya geçiş süreçlerinin kendine özgü zaman ve maliyet dinamikleri olduğu unutulmamalıdır. Proje uygulayıcıların hemen bugün ihtiyaç duyduğu çözümler, mevcut teknolojileri ve bulut sağlayıcıları kullanarak kendi egemenlik adımlarını atmalarını zorunlu kılmaktadır.

D Tech Cloud Yaklaşımı: Üç Adımda Egemenlik

“Egemen Bulut” (Sovereign Cloud), her kuruma uyan tek bir ürün değil, bir ihtiyaç yelpazesidir. Bir e-ticaret sitesinin dijital pazarlama verileri için duyduğu egemenlik ihtiyacı ile bir bankanın kritik müşteri verileri veya bir devlet kurumunun ulusal güvenlik verileri için duyduğu ihtiyaç aynı değildir.

D Tech Cloud olarak bu karmaşayı basitleştirmek ve her kurumun kendi yol haritasını çizmesini sağlamak için, bu yolculuğu üç temel seviyede ele alıyoruz:

D Tech Cloud Tanımlı Egemenlik Seviyeleri

Seviye 1: Veri Yerleşimi (Data Residency)

  • Tanım: Bu, egemenlik yolculuğunun başlangıç noktasıdır. Temel amacı, “Verim belirlediğim sınırlar içinde kalsın, KVKK gibi temel yerel yasalara uyum sağlayayım” demektir.
  • Kimler İçin: Hassasiyeti düşük veya orta düzeyde olan veriler, genel web siteleri ve temel yasal uyumluluğu hedefleyen kurumlar için uygundur.
  • Eksik Kalan: Bu seviye gereklidir, ancak hassas veriler için yeterli değildir. Yukarıda tartıştığımız (CLOUD Act benzeri) yasal erişim taleplerine veya anahtarın sağlayıcıda olması gibi operasyonel risklere karşı bir koruma sağlamaz.

Seviye 2: Operasyonel Egemenlik (Operational Sovereignty)

  • Tanım: Gerçek “Egemen Bulut” burasıdır. Bu seviye, verinin sadece fiziksel olarak değil, aynı zamanda operasyonel ve yasal olarak da ulusal kontrolde olmasını garanti eder.
  • Kimler İçin: Bankacılık, finans, sağlık, kamu hizmetleri gibi kritik ve regüle sektörler ile fikri mülkiyetini korumak isteyen tüm kurumlar için doğru adrestir.
  • Bileşenleri:
    1. Veri belirlenen sınırlar içindedir (Residency).
    2. Veriyi şifreleyen anahtarlar müşterinin kontrolündedir (HSM).
    3. Veri, Confidential Computing ile işlem anında dahi korunur.
  • Faydası: Bu model, küresel sağlayıcıların yasal yükümlülüklerinden kaynaklanan riskleri teknolojik ve operasyonel olarak ortadan kaldırır.

Seviye 3: Tam İzolasyon (Air-Gapped / Dijital Kale)

  • Tanım: Bu, egemenliğin en üst seviyesidir. Altyapı, internetle veya diğer küresel ağlarla bağı neredeyse tamamen koparılmış (air-gapped), fiziksel ve dijital olarak izole edilmiş bir “dijital kale” modelidir.
  • Kimler İçin: En üst düzey ulusal güvenlik verileri, devlet sırları, savunma sanayii projeleri ve istihbarat verileri gibi en yüksek gizlilik gerektiren stratejik varlıklar için kullanılır.
  • Faydası: Dış dünyadan gelebilecek her türlü siber veya yasal tehdide karşı maksimum izolasyon ve koruma sağlar.

Kurumunuzun hangi verisinin hangi seviyede korumaya ihtiyaç duyduğunu belirlemek, dijital çağda atılacak en stratejik adımlardan biridir.

Bulut Sadece Teknoloji Değil, Stratejik Bir Duruştur

Dijitalleşme yolculuğuna “Verim güvende mi?” endişesiyle çıktık; bugün vardığımız nokta ise “Verim gerçekten benim kontrolümde mi?” sorusudur. Güvenliğin teknik bir zorunluktan, egemenliğin stratejik bir gerekliliğe dönüştüğü bu yeni çağda, eski tanımlar yetersiz kalmaktadır. Yukarıda gördüğümüz gibi, veriyi ulusal sınırlar içinde tutmak (Data Residency), küresel yasalara tabi (CLOUD Act vb.) bir sağlayıcının o veriye erişim riskini ortadan kaldırmamaktadır. Bu yasal çatışmalar, Egemen Bulut kavramını bir pazarlama terimi olmaktan çıkarıp, kurumlar ve devletler için hayati bir zorunluluk haline getirmiştir.

Neyse ki, bu egemenlik arayışı, küresel teknolojinin nimetlerinden vazgeçmek anlamına gelmiyor. HSM teknolojisi ile “anahtarı cebimizde tutarak” ve Confidential Computing ile “veriyi işlenirken bile koruyarak”, egemenliği yasal denetimlerden kriptografik gerçeklere dönüştürebiliyoruz.

Sonuç olarak, bulut tercihi artık sadece bir teknoloji veya maliyet kararı değil, bir stratejik duruş meselesidir. Doğru mimari, doğru teknolojiler ve doğru yerel iş ortakları ile hem bulutun sunduğu esneklik ve inovasyondan faydalanmak hem de dijital egemenliğimizi korumak mümkündür.

Leave a comment

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir