Üniversite bilişim sistemleri ile ilgili olarak yapılan inceleme sonucunda; Üniversitenin, bilişim sistemleri ile ilgili bazı yükümlülüklerini yerine getirmediği, görülmüştür.

5651 sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun’un “Tanımlar” başlıklı 2’nci maddesinde;

“(1) Bu Kanunun uygulamasında; (…)

m) Yer sağlayıcı: Hizmet ve içerikleri barındıran sistemleri sağlayan veya işleten gerçek veya tüzel kişileri,

(…) ifade eder.”

Aynı Kanun’un “Yer sağlayıcının yükümlülükleri” başlıklı 5’inci maddesinin üçüncü fıkrasında;

“Yer sağlayıcı, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve bu bilgilerin doğruluğunu, bütünlüğünü ve gizliliğini sağlamakla yükümlüdür.”

Elektronik Haberleşme Sektöründe Şebeke ve Bilgi Güvenliği Yönetmeliği’nin

“Tanımlar ve kısaltmalar” başlıklı 3’üncü maddesinde;

“(1) Bu Yönetmelikte geçen; (…)

c) Bilgi güvenliği yönetim sistemi (BGYS): Bilginin gizliliğini, bütünlüğünü ve erişilebilirliğini sağlamak üzere sistemli, kuralları koyulmuş, planlı, yönetilebilir, sürdürülebilir, dokümante edilmiş, işletmecinin yönetimince kabul görmüş ve uluslararası güvenlik standartlarının temel alındığı faaliyetler bütününü,

(…)

i) İşletmeci: Yetkilendirme çerçevesinde elektronik haberleşme hizmeti sunan ve/veya elektronik haberleşme şebekesi sağlayan ve alt yapısını işleten şirketi,

(…) ifade eder.”

Aynı Yönetmeliği’n “BGYS’nin kurulması, kapsamı ve yönetimi” başlıklı 6’ncı maddesinde;

“(1) İşletmeci, yetkilendirmesine ilişkin tüm hizmetleri ve kritik sistemleri kapsayacak şekilde BGYS kurar.

(2) İşletmeci BGYS’nin kurulması, uygulanması ve sürekliliğinin sağlanması amacıyla bir yönetim mekanizması işletir.”

Hükümlerine yer verilmek suretiyle yer sağlayıcı ve işletmeci konumunda bulunan Üniversite, yer sağladığı hizmetlere ilişkin trafik bilgilerini bir yıldan az ve iki yıldan fazla olmamak üzere yönetmelikte belirlenecek süre kadar saklamakla ve BGYS kurmakla yükümlü tutulmuştur.

Yapılan incelemede; Üniversitede, BGYS’nin, kurulmasına rağmen kablolu ve kablosuz ağların tamamını kapsar şekilde faaliyete geçmediği ve ağ trafiğindeki kayıtların depolandığı sistemin, iki yıl süreyle kayıtları tutabilecek bir kapasiteye sahip olmadığı, anlaşılmıştır.

Bu itibarla; Üniversite bilişim sistemlerinin, bu yönüyle bilgi güvenliği zafiyeti taşıdığı düşünülmektedir.