Çin'in siber güvenlik yasası geleceğe ne diyor?

Bireysel hakları korumayı ve büyük şirketlerin faaliyetlerini kısıtlamayı amaçlayan Avrupa'nın genel veri koruma düzenlemesinin aksine, Çin'in siber güvenlik yasası, ülkelerin siber yasalarını gelecekte nasıl uygulayabilecekleri konusunda alternatif bir vizyon sunmaktadır.

Çin'in siber güvenlik yasası geleceğe ne diyor?

 


Çin teknolojik yeteneklerine inanılmaz bir ivme kazandırmış durumda. Küresel ekonomik yapıyı en az iki açıdan yeniden şekillendirmek gerekirse birincisi; Çin, makine, altyapı yapımı, modern lojistik, elektronik ve yenilenebilir enerji ekipmanı gibi ara teknolojide olgun kabiliyetlere sahip. Bu teknolojiler, ekonomik ve sosyal refahı geliştirmek hızla gelişen dünyanın ihtiyacı olan yapı taşını ifade eder. İkincisi; Çin orta teknolojik kapasiteden yüksek teknolojiye ilerledikçe, günümüzün yüksek teknoloji endüstrilerinin birçoğu hızlandırılmış bir oranda yükselmeye devam edecek. Çin'in bilgisayarları, akıllı telefonları, modern metrolarını ve hatta yüksek hızlı trenleri yeni teknolojiye nasıl dönüştürdüğünü biliyoruz. Düşük gelirli ülkeler ve sosyal gruplar bu teknolojilerden en azami şekilde yararlandı. Gelecekte, akıllı ve temiz enerji sistemleri, otonom sürüş arabaları, yeni enerji araçları, otomasyon ve robotik, gelişmiş tıbbi ekipman ve ilaçlarla teknolojide yine zirvede olmanın planlarını yapıyorlar. Günümüzde gelişmiş ülkeler tarafından kullanılan teknolojilerden bazıları giderek daha uygun hale gelecektir. Bu süreç büyük ölçüde ülkeler tarafından yönlendirilecek. Çin'in bu yeni ve sürdürülebilir gelişme girişiminin arkasındaki en önemli itici güçlerden biri olduğunu ifade etmek yanlış olmaz. Ağ trafiğini izlemek ve korumak için teknolojilere çok fazla para harcayan şirketlerin ve ülkelerin sorununu çözemediği açıkça görülür. Odak, çalışanların siber saldırılar hakkında kendi kendilerinin öğrenmelerini sağlamak, onları çevrimiçi saldırılara maruz bırakmanın risklerini ve düşünme yollarını aramaktansa devlet nezdinde çıkartılan yasalarla bu problemin en üst mecradan çözmeye çalışır. Farklı siber saldırı türlerini, metodolojileri üreten bir ülkeye ihtiyaç olduğunu söylemek yanlış olmaz. Çin, bu doğrultuda kurumsal bilgi teknolojisi ortamını temelden değiştirecek benzersiz bir siber güvenlik ve veri koruma rejimi üretti ve bunu geliştirmeye devam ediyor. Çin'deki düşük siber güvenlik vade düzeyi ve üst düzeyde olan çevrimiçi dolandırıcılık, çok sayıda Çinli hükümet kuruluşunu, işyerini ve kişiyi etkiledi ve bu da Çin hükümetinin devreye girmesine neden oldu. Çin siber güvenlik yasası, kuruluşların ve şirketlerin uyması gereken bir düzenleyici çerçeve geliştirerek saldırıları ve sahtekarlıkları kontrol altına almak için çok gerekli bir girişim olarak ön plana çıkıyor. Çin'in siber güvenlik yasası ayrı ve yoğun bir şekilde kontrol edilen egemen bir Çin siber alanı yaratmayı amaçlayan bir yapının zirvesidir. İşletmeler ise bu rejimin kilit hedefidir. Çin güvenlik yasası, önem taşıyan sektördeki şebeke operatörleri için bilgisayar donanımının zorunlu testini ve sertifikasyonunu amaçlar. Bu testler ve sertifikalar, ağ operatörlerinin dahili güvenlik yönetim sistemlerini formüle etmelerini ve ağ güvenliği korumalarını uygulamalarını, virüsleri veya tanımlanmamış siber saldırı biçimlerini önlemek için önlemler almasını sağlar. Yasa ile birlikte şirketler güvenlik önlemleri, önemli şirket ve müşteri verilerini toplayan ve saklayan firmalar için en iyi uygulama önerileri olarak kabul edilebilecek yapının bir parçasını oluşturur. Öte yandan, kritik sektörlerdeki ağ operatörlerinin, ülkedeki ağ operatörü tarafından toplanan veya üretilen tüm verileri Çin içinde saklamasını zorunlu kılar. Ulusal güvenliğe veya kamu yararına tehdit oluşturabilecek herhangi bir ekonomik, teknolojik veya bilimsel verinin ihracatını yasaklar. Çin'de faaliyet gösteren her şirket için, uyumluluk, tanımlanmış bir işlev kadar sürdürülebilir bir süreç olmalıdır. Yasanın çok geniş bir potansiyel hedef ve yükümlülük kapsamı vardır, gereksinimler ve düzenleyicilerin rolleri ve sorumlulukları dahil olmak üzere detaylarda belirlidir. Uygulama ve uygulamadan sorumlu düzenleyici kuruluşlar hem Çin hükümetinin hem de en yerel kurumların düzeyindedir.nAyrıca, ilgili düzenlemelerin sınır ötesi veri transferlerini ve hatta endüstriyel kontrol sistemlerini yöneten, uygulama ve uyumu daha da zorlaştıran tamamlayıcı standartlar vardır. Bu yasa ile Çin, hükümete düzenleme ve uygulama amaçları için bir kuruluşu incelemek ve soruşturmak için yasal yetki sağlar. Bu, üçüncü taraf teftişlerinin yapılmasını ve teknik düzeltmenin yapılmasını anlamını taşır. Düzenlemeler, bir inceleme veya soruşturmada toplanan verilerin güvenliğini ve bütünlüğünü özellikle zorunlu kılar.

Çinli teknoloji firmalarının yaptığı önemli yatırımlar, yeni kanunun eleştirmenlerinin kısmen yerli Çin veri yönetimi ve telekomünikasyon sektörünü küresel rakiplere karşı güçlendirmek için tasarlandığına inanmasının sebeplerinden biri. Çinʼin İnternet yasalarını ihlal ettiği görülen varlıkların çözümlemesini kolaylaştırmak için Çinʼin yetki alanı altında veri toplamak için Pekinʼin yasal bir hamle olduğudur. Bir yerli veya yabancı firmanın bir ulusal güvenlik tehdidi gerçekleştirdiği hemen hemen her türlü eylemi kabul edebilen Çin Ulusal Güvenlik Yasası ile birleştiğinde, şirketlerin eylemleri ciddi şekilde kısıtlanması anlamına gelir. Siber Güvenlik Yasası faaliyete geçmeden önce, yabancı bir firma Çin'deki enerji türbinlerini merkezinden izleyerek operasyonlarını optimize etmek ve erişmek için kullanabiliyordu. Şimdi bu tür şirketler Çin'deki bu verileri tutmak için BT sistemlerini yeniden yapılandırmak zorunda kalmıştır. 2017 yılında, Apple yeni yasanın getirdiği zorunluklara uymak için ilk veri merkezini kurduğunu duyurdu. Apple, şirketin Çin'deki şirketler tarafından işletilen bulut hizmetlerini yeni düzenlemelere uymasının yanı sıra, şirketin ürünlerinin ve hizmetlerinin hızını ve güvenilirliğini artırmasına olanak tanıyacağını belirten bir halkla ilişkiler raporu sundu. Apple, yeni yasanın uygulanmasının ardından Çin'deki veri depolama alanında yapılan değişiklikleri kabul edip açıklayan ilk yabancı firma oldu. Çin güvenlik yasası, Çin hükümetine ve Çinli şirketlere yerleşik bir avantaj sağlıyor gibi görünsede bazı uzmanlara göre; Çin'e yatırım yapma ilgisinin güçlü olması ve yerel pazarın büyüklüğü sebebiyle şirketler ve tüketicileri kaybedebilir. Çin'de faaliyet gösteren şirketlerin birçoğu, Siber Güvenlik Yasasını daha zorlayıcı düzenleyici gereklilikleri uygulayarak “yasal hedef görevlerini taşıma” işlemine katılırken, bazı yabancı firmalar bu doğrultuda hareket etmeyebilir.Bu gerçekleşirse, daha az hareketli ve daha az rekabetçi bir pazar yaratarak Çinli tüketicilere zarar verecektir.Yasanın bir başka maddesi ise, kişisel bilgileri ve önemli iş verilerini Çin'de saklanmalı, güvenlik kuruluşlarına belirtilmeli aynı zamanda teknik destek sağlamalı ve ulusal güvenlik incelemelerini geçirmelidir. Bu kritik alanlar bilgi hizmetleri, ulaşım ve finans içerir. İnternet verilerini yurtdışında onay almadan depolayan veya sağlayan şirketler, işlerini askıya alabilir veya kapatabilir ve işletme lisanslarını iptal edebilir.Çin'deki tüm topraklar devlete aittir.Yabancı şirketler genellikle yerel yönetimlerden toprak kiralamak zorundalar ve yıllar önce imzalanan bu sözleşmelerin birçoğunun süresi doluyor, bu da bazı şirketleri yatırım planlarını iptal etmeye veya ertelemeye zorlayabilir. Çin yeni siber güvenlik yasası ile ilgili düzenlemeler yoluyla bilgi ve teknoloji üzerinde kontrol sahibi olmaya devam edecek gibi görünüyor. Çinʼde faaliyet gösteren tüm şirketler için özellikle veriler için veri merkezi gerekecektir. Denetimciler aynı zamanda verilerin güvenli olmalarını gereksinimlerini karşılayan teknolojinin kullanımını zorunlu kılmayı planlamaktadır. Çin devlet kurumları ve devlete ait ve özel girişimler tarafından tutulan sistem ve bilgilere odaklanmaya devam edecek, bununla birlikte, yabancı şirketler, özellikle veri ihlali gibi bir olay meydana geldiğinde veya çevrimiçi içerik düzenlemelerinin ihlali durumunda daha fazla inceleme olacak ve bu durumdan hem bireyleri hem de şirketleri sorumlu tutulacaktır.