İster özel kullanım için olsun ister ticari, günümüzde bilgilerin elektronik ortama geçirilmesi ve internete erişebilirlik vazgeçilmez bir nitelik kazanmıştır. Bu durum bilgilerin gizliliğinin sağlanması, bozulmaması, yetkisiz erişimin engellenmesi gibi çok ayaklı güvenlik sorunları ve ihtiyaçları doğurmaktadır. Bilgi güvenliği konusunu eğer tehditler/riskler ve sorumluklular/yaptırımlar şeklinde iki başlıkta değerlendirecek olursak; ikinci başlık hukukun ilgi alanına girmektedir.
Elektronik haberleşme hizmeti sunan operatörlerin hizmet sunumu ile ilişkili veri transferinde gizliliğin korunması yükümlülükleri, “Elektronik Haberleşme Güvenliği Yönetmeliği”nde belirlenmiştir. Dolayısıyla sektörel regülasyonlar, kullanıcıların bilgi güvenliğinin operatörlerce sağlanması için çeşitli düzenlemeler getirmekte ve denetim kapsamına sokmaktadırlar. Yönetmelik 6. Maddesinde öngördüğü tehdit ve zafiyetlerin gerçekleşmemesi için operatörleri gerekli güvenlik önlemlerini almaya mecbur kılmakta ve ISO 27001 sertifikası almaya yöneltmektedir. Bu yükümlülükler, işletmeciler bakımından uyulması zorunlu düzenlemeler olduğundan, bunların yerine getirilmemesi BTK yaptırımlarına tabidir. Diğer yandan, bu tip risklerin gerçekleşmesi halinde operatörlerin asli hizmetindeki bir yükümlülük yerine getirilmediğinden ağır ticari kusur gerçekleşmiş olur ve zarar gören müşterilerine karşı da tazminat sorumluluğu gündeme gelecektir.
Günümüz dünyasında, salt elektronik haberleşme hizmetleri kolaylaşmış ve bayağılaşmıştır. İletişim bir hizmet olarak operatörler için dahi eksik kalmakta, adeta ücretsize dönme eğilimine girmektedir. Örneğin operatörler arası çağrı sandırma ücretlerindeki düşüş, reklam ve katma değerli hizmetler sayesinde bilançolarda çarpıcı kayıpları engellemektedir. Katma değerli hizmetler ve içerik satışı bugün ve gelecekte tüketici tercihlerinde belirleyici olacaktır. Dolayısıyla artık operatörler, yazılım ve donanım ile ve hatta uygulamalar ile müşterilerine ulaşmaktadırlar. Bu hizmetlere bağlı olarak da bilgi güvenliği operatörler için dahi çok daha karmaşık hale gelmektedir. ICT hizmetleri piyasasının operatörler dışında kalan işletmeleri için ise BTK’nın sektörel düzenlemeleri dışında daha serbest bir alan mevcuttur. Aslında tüm hizmetlerin yetkilendirme rejiminde mümkün olduğunca serbestleşme en tercihe şayan yöndür. Bilgi güvenliği risk ve ihlal alanlarının toptan yasaklanması veya genel izin rejimi şeklindeki bir regülasyon ile sağlanmaya çalışılırsa, internetin getirdiği özgür düşünce üretim ve paylaşım ortamı ve bunun toplumlara kazandırabileceği gelişme potansiyeli engellenmiş olur. Bu sebeple güvenlik risklerini önlemek hukuki yararı ile bu amaçla konacak regülatif düzenlemelerin getireceği kısıtlamalar birbirleriyle çelişik bir sorunsalı ortaya koymaktadır.
Bir örnek ürerinden tartışmaya devam edersek: Fiber teknolojisinin iletişim hatlarında kullanımının yaygınlaşması ve sayısal içeriğin inanılmaz hızla artarak son kullanıcı noktalarında muhafazasının güçleşmesi, data center’ların önemini artırmaktadır. Hatta yazılım ve uygulama hizmetlerinde dahi internet üzerinden sağlanacak iletişim ile uzaktan hizmet alınabilmesi ve sadece tam ihtiyaca uygun hizmet ve kapasite kullanımı gibi faydalarından dolayı “cloud computing” “bulut bilişim” uygulamaları hayatımıza doğru adımlarını
sıklaştırmıştır. Bulut bilişim, data-center hizmetlerini ikinci nesle atlatma potansiyeli taşımaktadır. Bireysel kullanıcılar veya küçük işletmeler de artık yüksek internet erişim hızları ile birlikte, bilgilerini ve uygulamalarını sanal ortamda muhafaza ederek fiziksel mekânlardaki kapasitelerini kullanmama imkânına kavuşabilirler. Bu uygulamanın yaygınlaşmasında en önemli tereddüt, bilgi güvenliği risklerinin gerçekleşmesi halinde tüm bilgilerin kaybı gibi çok büyük zararlara yol açabilecek olmasıdır. Bu hizmet bakımından akla ve dile gelen felaket senaryoları, sanal ortamda saklanan bilgilerin kaybolması riski bireysel güvenlik tedbirleri bazında bertaraf edilemezse gerçek bir ticari hizmet olarak yaşama şansı yoktur.
Teknolojinin gelişmesiyle birlikte elektronik haberleşme veya daha genel olarak ICT hizmetlerindeki yenilikleri mevzuat kuşkusuz hep geriden takip edebilecektir ve sorun çıktıkça çözüm üretmeye çalışacaktır. İnternet sayesinde bireyin düşünce, bilgi üretim ve iletim imkânlarındaki özgürleşme, güvenlik risklerinin önlenmesi veya suçla mücadele için site erişim yasaklaması veya spamla mücadele adına port kapatma mantığıyla regüle edilemeyecek kadar değerlidir. Bu nedenle bilgi güvenliği alanında regülatif düzenlemelerin, kullanıcı bazında kurumsal ve bireysel güvenlik tedbirlerinin teşvik edilmesine odaklanması, hukuki sorumluluk uygulamalarının etkinleştirilmesi üzerinden yürütülmesi en doğru çözüm gibi görünmektedir.