5651 Sayılı İnternet Ortamında Yapılan Yayınların Düzenlenmesi ve Bu Yayınlar Yoluyla İşlenen Suçlarla Mücadele Edilmesi Hakkında Kanun, internet erişimi sunan tüm işletmeleri net bir sorumluluk altına sokar: misafir kullanıcı bağlantılarının kim, ne zaman, hangi IP ile internete çıktığının kayıt altına alınması ve istenmesi halinde yetkililere ibraz edilmesi gerekir. Kayıtların yalnızca üretilmiş olması yetmez; bütünlüğünün bozulmadığını ispatlayan zaman damgalı hash imzaları, en az iki yıllık arşivleme, kullanıcı doğrulama mekanizmaları ve sorgulanabilir bir log mimarisi şarttır. MikroTikBox olarak sahada en sık karşılaştığımız sorun, loglama açık ama denetimde işe yaramayan yapılardır: ya hash imzası yoktur, ya kullanıcı doğrulanmamıştır, ya da arşiv 6 ay sonra silinmiştir. Bu hizmet, bu zincirin her halkasını kapatmak üzere tasarlandı.

Türkiye’de son üç yılda yapılan saha denetimlerinde, küçük ve orta ölçekli işletmelerin yaklaşık dörtte üçünün 5651 uyumluluğunda en az bir kritik eksikle yakalandığı raporlanıyor. Bu eksiklerin büyük çoğunluğu “loglama varmış gibi görünüyor ama gerçekte yok” formundadır: hotspot kurulmuş ama syslog ayarı boşta, MikroTik üzerinde NTP ayarı yapılmamış, log dosyaları rotasyon nedeniyle 7 günde siliniyor, ya da kullanıcı doğrulaması olmadığı için bütün cihazlara aynı kayıt gözüküyor. MikroTikBox’ın 5651 Loglama Hizmeti, bu altı tipik eksiği isim isim kontrol eden bir checklist ile yola çıkar; çıktısı denetime girilebilir bir klasördür, klasörün ne olduğu da yöneticiye eğitilmiş şekilde devredilir.

Bu Hizmet Kime Uygun?

5651 Uyumlu Loglama Hizmeti, misafirlere veya çalışanlara internet erişimi sunan ve denetim/şikayet riski taşıyan her ölçekte işletmeye uygundur. Hizmetin sahada en yoğun talep gördüğü profiller aşağıdadır:

• Kafe, restoran, pastane zincirleri: misafir Wi-Fi sunan ve şikayet/sosyal mühendislik vakalarında abuse mailleri alabilen yerler.
• Otel, butik otel, pansiyon, apart: oda Wi-Fi’si sunan ve oda numarası bazlı kullanıcı doğrulama gerektiren konaklama tesisleri.
• AVM, plaza, iş merkezi: ortak alan Wi-Fi yöneten, kiracılarına da bağlantı tahsis eden tesisler.
• Fabrika ve lojistik tesisleri: üretim alanında çalışan, taşeron ve ziyaretçi cihazlarını ayrı VLAN’larda tutmak isteyen kuruluşlar.
• Eğitim kurumları, dershaneler, kursaneler: öğrenci ve veli Wi-Fi’sini kontrollü sunmak isteyen kurumlar.
• Belediyeler, kütüphaneler, kongre merkezleri: halka açık Wi-Fi hizmeti sunan kamu kuruluşları.
• Hastane, klinik, diyaliz merkezi: hasta yakını Wi-Fi’si sunan ve KVKK kapsamında ek sorumluluğu olan sağlık kuruluşları.
• Coworking ve hub’lar: üye Wi-Fi’sini doğrulanmış kullanıcılarla sunmak zorunda olan paylaşımlı çalışma alanları.
• Spor salonları, kuaförler, güzellik merkezleri: müşterilerine Wi-Fi sunan ve bu nedenle 5651 kapsamına giren küçük işletmeler.
• Anaokulu ve kreşler: veli Wi-Fi’sini sunarken çocuk güvenliği nedeniyle ek filtreleme isteyen kurumlar.

Eğer cihaz parkınız 5 cihazdan fazla ve aynı IP üzerinden farklı kullanıcılar internete çıkıyorsa, 5651 sizi doğrudan ilgilendirir. Misafir bağlanmıyor zaten ya da zaten bir log var cevapları, BTK ya da Cumhuriyet Savcılığı tarafından bir soruşturmada talep edildiğinde işletmeyi koruyacak nitelikte değildir. Pratikte gördüğümüz vakaların hemen tamamında işletme sahibi, sorunla yüzleşene kadar mevzuatın kendisini ilgilendirdiğinin farkında bile değildi.

Hizmet Kapsamı

5651 Loglama Hizmeti, sadece bir log kaydetme aktivasyonu değildir. Mevzuatın aradığı tüm teknik unsurları tek bir mimaride birleştirir. Hizmet kapsamı aşağıdaki bileşenlerden oluşur:

1) Hotspot ve Kullanıcı Doğrulama

• MikroTik üzerinde captive portal (hotspot) tasarımı ve marka kimliğine uygun login sayfası.
• SMS doğrulama entegrasyonu (Netgsm, İletimerkezi, Mutlucell, Mesajpaneli vb.) ile cep numarasının gerçekliğinin kanıtlanması.
• TC kimlik no veya oda numarası doğrulaması (oteller ve kamu kurumları için).
• Sosyal login (Google, Facebook) opsiyonu — KVKK aydınlatma metniyle birlikte.
• KVKK aydınlatma metninin captive portal’da görünür şekilde yayınlanması ve onay kutusu yönetimi.
• Voucher tabanlı misafir erişimi: resepsiyon veya garson tarafından üretilebilen tek kullanımlık şifreler.

2) Loglama Altyapısı

• NAT translation, DHCP lease, hotspot aktif kullanıcı kayıtlarının yapılandırılması.
• Syslog yönlendirmesi: MikroTik’ten ayrı bir log sunucusuna (rsyslog, Graylog, syslog-ng) NTP eşlemeli kayıt aktarımı.
• Saat senkronizasyonu için en az iki NTP kaynağıyla zaman tutarlılığı.
• İşletmenizin kendi sunucusunda ya da MikroTikBox’ın yönetilen log altyapısında saklama seçeneği.
• Log rotasyon politikası: günlük dosya, aylık arşiv, yıllık konsolidasyon.

3) Hash İmzalı Arşivleme

• Günlük log dosyalarının SHA-256 hash imzasıyla mühürlenmesi.
• Zaman damgası servisleriyle (TÜBİTAK Kamu SM, e-Tugra, TurkTrust) imzalı arşiv üretimi.
• En az 24 ay ileri tarihli saklama ve döngüsel yedekleme planı.
• Arşivlerin LZMA/ZIP sıkıştırma + AES şifreleme ile saklanması.
• Yedeğin kopyasının ayrı coğrafi lokasyona aktarılması (S3, Backblaze, Hetzner Storage Box).

4) Belgeleme ve Hazırlık

• Topoloji şeması, IP planı, kullanıcı kategorileri, log akış diyagramı.
• BTK denetim klasörü: ekran görüntüleri, ayar yedekleri, örnek log çıktısı.
• KVKK aydınlatma metni şablonu (avukat onayı için hazır).
• Yıllık kontrol takvimi ve sorumluluk matrisi.
• Olay yanıt (incident response) prosedürü — hangi adımda kim ne yapar.

5) Eğitim ve Devir

• İşletme personeline 1 saatlik uzaktan oturum: log nasıl sorgulanır, yetkili geldiğinde ne verilir.
• Saha sorumlusuna hash doğrulama prosedürünün gösterilmesi.
• Yıllık 1 ücretsiz tatbikat (denetim simülasyonu).
• Yöneticiye özet videolu eğitim materyali ve PDF kılavuz.

Hizmet Süreci

Saha Vakalarımızdan Örnekler

Diğer Hizmetlerle Birlikte Çalışma

5651 Loglama Hizmeti, ekosistemimizdeki diğer çözümlerle bütünleşik çalışacak şekilde tasarlanmıştır:

Uzman Ekibimiz

5651 Loglama Hizmeti, MikroTikBox’ın saha mühendisliği, yasal uyum ve güvenlik tarafından gelen üç farklı uzmanlık dalının ortak çıktısıdır. Hizmeti yürüten ekibin sertifika ve deneyim profili kısaca şu şekildedir:

• MTCNA / MTCRE / MTCWE: MikroTik resmi sertifikalarına sahip ağ mühendisleri kurulumu yürütür.
• MTCSE: Hash zincirleri, syslog güvenliği ve kullanıcı doğrulama akışlarında güvenlik bakışı sağlar.
• CEH (Certified Ethical Hacker): Captive portal bypass denemeleri, oturum çalma vb. saldırı simülasyonları yaparak güvenlik açıkları kapatılır.
• KVKK saha danışmanlığı deneyimi: Aydınlatma metinleri, açık rıza akışı, ihlal bildirimi süreçlerinde 5+ yıl tecrübe.
• BTK denetim deneyimi: Daha önce BTK ve Cumhuriyet Savcılığı talepleriyle karşılaşmış işletmelere belge hazırlamış ekip.

Ekibin başında MikroTikBox kurucu eğitmeni Deniz Aydın bulunur; sahada 1000+ MikroTik cihazı konfigüre etmiş, Türkiye’de düzenli MikroTik eğitimleri veren bir isimdir. Saha ekibinde MTCNA + MTCRE’ye ek olarak en az bir mühendis MTCWE (Wireless Engineer) sertifikalıdır; bu, hotspot ve AP planlamasının teorik değil ölçüm tabanlı yapılmasını garanti eder.

5651 Uyum Kontrol Listesi (Hızlı Bakış)

Sahada hızlı bir öz değerlendirme yapmak isteyenler için aşağıdaki maddelerin hepsinin EVET cevabı vermesi beklenir. Bir tanesi bile HAYIR ise sahanız BTK denetimine hazır değildir ve risk altındasınızdır:

• Misafirler internete bağlanırken kimlik doğrulamasından (SMS, oda, sosyal login, TC) geçiyor mu?
• Hotspot ekranında KVKK aydınlatma metni ve açık rıza onayı var mı?
• MikroTik üzerinde NTP iki kaynakla çalışıyor ve sistem saati doğru mu?
• Loglar ayrı bir syslog sunucusuna düzenli olarak gönderiliyor mu, sadece cihaz üzerinde mi kalıyor?
• Günlük log dosyalarına SHA-256 hash imzası ekleniyor mu?
• Hash dosyaları zaman damgası servisiyle mühürleniyor mu (TÜBİTAK, e-Tugra, TurkTrust)?
• En az 24 ay arşiv tutuyor musunuz ve bu arşivlerin yedeği farklı lokasyonda mı?
• Bir BTK ya da savcılık talebi geldiğinde hangi dosyayı kimin hazırlayacağı yazılı olarak belli mi?
• Personel, ayda en az bir kez kayıtların doğru ürediğini gözle kontrol ediyor mu?

Bu kontrol listesinde 3 ve üzeri HAYIR cevabı çıkıyorsa MikroTikBox 5651 Loglama Hizmeti devreye alındığında üç hafta içinde yapı denetime girilebilir hale gelir; üst düzey karmaşıklığa sahip lokasyonlarda bile bu süre altı haftayı geçmez.

Sıkça Sorulan Sorular

5651 sadece kafeleri mi kapsıyor?

Hayır. 5651, toplu kullanım sağlayıcı tanımı altında internet erişimi sunan her işletmeyi kapsar. Otel, AVM, plaza, fabrika, kütüphane, dershane, hastane, coworking — hepsi sorumludur. Cihaz sayısı küçük olsa bile, aynı IP’den birden fazla kullanıcı çıkıyorsa kapsam içindesinizdir.

Sadece WPA2 parolası vermek yeterli mi?

Değil. Parola sadece kim bağlandığını saymanıza yarar; kullanıcının kimliğini doğrulamaz. 5651 kim, ne zaman, hangi IP sorusunun cevabını ister. Misafir doğrulama için SMS, oda numarası, TC kimlik veya sosyal login gibi yöntemler şarttır.

Log ne kadar süre saklanmalı?

5651 mevzuatına göre minimum 1 yıl, BTK yönetmeliklerine göre uygulamada 2 yıl saklama tavsiye edilir. Biz default olarak 24 ay öneriyoruz; saklama maliyeti düşük, denetim riski yüksektir. Mali müşavir ve avukat tavsiyemiz de bu yöndedir.

Hash imzası nedir, neden önemli?

Hash imzası, log dosyasının bütünlüğünü kanıtlar. Birisi bir kaydı silse, kalan dosyanın hash’i değişeceği için müdahale belli olur. Zaman damgası ile birleştirilen hash, dosyanın o tarihte gerçekten o içerikte olduğunu ispatlar — denetimde işletmeyi koruyan en kritik unsurdur.

Kendi sunucumda mı, sizde mi tutalım?

İkisi de mümkündür. Eğer ofiste sürekli açık ve yedeklenen bir sunucu/NAS varsa orada tutmak ekonomiktir. Yoksa MikroTikBox’ın yönetilen log altyapısı (Türkiye/Almanya lokasyonlarında) tercih edilir; 24 ay saklama ve haftalık doğrulama dahildir.

Mevcut MikroTik cihazımı kullanabilir misiniz?

Çoğunlukla evet. hAP ac², hAP ax², RB4011, RB5009, CCR1009/2004/2116 gibi modeller hotspot ve loglama yükünü taşıyabilir. Çok düşük modeller (hAP lite, hEX lite) için cihaz yükseltmesi öneririz; sahada gerçek kullanıcı testiyle doğrularız.

Kurulum ne kadar sürer?

Tek lokasyonda tipik süre 1-3 iş günüdür. Çok şubeli işletmelerde lokasyon başına yarım gün, merkez kurulumu 1 gün gibi planlama yapıyoruz. Karmaşık yapılar için (3+ VLAN, 802.1X, sertifika otoritesi) 1-2 hafta öngörülebilir.