Bilişim sektöründe ülke yönetimi düzeyinde yapılan düzenlemeler sektördeki değişimlerin hızına erişememektedir. Bu nedenle kurumların özel durumlarını anlatan ve bu durumlara karşı kurumların duruşunu ortaya koyan belgelere ihtiyaç duyulmaktadır.

Politika, uygulamada oyunun kuralları olarak tanımlanabilir. Bilişim Politikaları, bilişim servislerinde kullanıcıların uyması gereken kuralları ve şartları tanımlar. Bu tanımlar bütünü sayesinde kurumun servisleri sunarken yaklaşımı (kurallar, şartlar) gösterilir.

Bilişim politikası tek bir belge değildir, farklı seviyelerdeki belgelerin oluşturduğu bütündür. Alt-politikalar, standartlar ve yönergelerle desteklenmiş bir yapıdır.

Politika ve Etik

Politika ve etik iç içe iki kavramdır. Politika metinleri hazırlanırken çoğunlukla kullanıcıların etik değerleri ile yargılamaları gereken durumlarla karşılaşılır. Etik değerler, kullanıcıya sunulan sınırlar içinde kullanıcının duruşunu belirler.

Örneğin, kullanıcının ofis bilgisayarını kızına doğum günü hediyesi almak (online alışveriş) amacıyla kullanması, bilgisayarın üniversitenin kullanıcıya akademik araştırma yapması için sağlanan bir olanak olduğu göz önüne alınırsa temel kullanım amaçlarına uygun görünmez. Ancak bu durum alternatif olarak kullanıcının mesai saati içinde hediye almak için mağazaya gitmesi karşılığında işyerinin kaybedeceği zaman göz önüne alındığında, anlayışla karşılanabilir. Bilişim kaynaklarının kullanımında "temel kullanım" ve "ikinci kullanım" terimleri bu tür durumlarla ilgili politikaları belirlemek amacıyla kullanılsa da, kullanımın ne zaman temel, ne zaman ikincil kullanım olacağı kullanıcının etik değerleriyle doğrudan ilgilidir.

Politika, Standart, Yönerge

"Politika", "yönerge" ve "standart" terimleri politika terminolojisi içinde sıkça kullanılmaktadır. Bununla birlikte bu terimler arasındaki fark açık değildir. Biz, aşağıdaki anlamları kabul edebiliriz:

Politika: Uyulması gereken özel kurallar ya da şartları belirten belgedir (Örnek olarak "Kabul Edilebilir Kullanım Politikası" belgesi).

Standart: Herkes tarafından uyulması gerek sisteme ya da sürece özel kuralların toplamıdır (İşletim sistemi kurulum standartları). Genel İlkeler ve Kurallar belgeleri bu amaçla hazırlanır. (Örnek: Yerel e-posta servisi/sunucusu işletim kuralları, Masaüstü işletim sistemleri kurulum kuralları vb.)

Yönerge: Uyulması önerilen sisteme ya da sürece özel kuralların toplamıdır. Guideline ya da Baseline niteliğindeki belgeler bu amaçla hazırlanır. (Örnek: Windows XP masaüstü kullanım yönergeleri vb.)

Güçlü bir politika standartlara ve yönergelere referans vermelidir. Bu nedenle politika oluşturma sürecinde politika, standart ve yönergelerin kademeli kullanılmasına özen gösterilmelidir.

Nasıl yazılır?

Politika belgeleri yönetimden habersiz yazılabilir, ancak uygulanamaz. Politikaların belirlenmesi sonucunda başlatılan uygulamalar, Üniversitedeki tüm kullanıcıları doğrudan etkileyen uygulamalar olduğundan belirlenen kuralların "kırılmaması", "istisna gösterilmemesi" gerekir. Bu nedenle bu belgeler mümkünse Üniversite adına karar verici organlar tarafından -gerekirse üniversite içindeki diğer bölüm/birimlerin tek tek onayı alınarak- onaylanmalıdır.

İlk aşamada benzer kurumların çalışmaları incelenebilir, bu kurumların yerleşke yapısı, ağ mimarisi, çalışma biçimleri ortaya çıkarılabilir. İkinci aşamada, kurumun değerleri ve o ana kadar olan uygulamaları belirlenebilir. Bu işlem sırasında verilen servisler, sunulan imkanlar, mevcut iş yapış biçimleri göz önüne alınmalıdır. Üçüncü aşamada, kurumun yapısına uygun olan politika yapıları incelenebilir ve metinler kurum özelinde oluşturularak yazılabilir. Son aşamada belge kademeli olarak yöneticiler tarafından incelenir, gerekli düzeltmeler yapılır ve üniversitenin yetkili organı (komitesi) tarafından onaylanır ve duyurulur. Uygulama aşaması sonraki bölümde anlatılmıştır.

Yazım aşamasında dikkat edilmesi gerekenler (özetle): açık dil kullanımı, tanımların yapılması, Üniversitenin yönetmelikleri ile uyumluluk, yetki/sorumlulukların kurum yapısına paralel olarak belirlenmesi, uygulama/yaptırımların kurumun imkanları dahilinde belirlenmesi. Yazım aşamasında genel politika metinleri, yukarıda anılan yardımcı metinler ile desteklenmelidir.

Nasıl Uygulanır?

Belirlenen politikaların Üniversite yönetimi tarafından onaylanmasının ardından uygulama aşaması politikayı uygulamakla yükümlü kurum ile (bizim örneğimizde Bilgi İşlem Daire Başkanlığı -BİDB) politikayı benimseyecek ve uygulayacak olan diğer kurumlar (bizim örneğimizde üniversitedeki bölümler, birimler, merkezler vb.) arasındaki ilişkilerin çerçevesini belirlemekten ibarettir. Bu konu "Koordinatör Mekanizması" başlığı altında anlatılmıştır.

Politika belgelerinde ve yardımcı belgelerde belirlenenlerin uygulanabilir halde tutulması için sürekli güncellenmesi ve güncellemelerin duyurulması ihmal edilmemelidir.

Koordinatör Mekanizması

ODTÜ'de bilgisayar koordinatörleri, Üniversitedeki bölüm/birimlerin, merkezi bilgi işlem biriminden (BİDB) bağımsız olarak verdikleri bilişim hizmetlerinden ve kullanıcı önündeki bilgisayarların sağlıklı işletilmesinden sorumlu olan kişiler olarak tanımlanmıştır. Bu kişiler merkezi bilgi işlem birimi bünyesinde çalışmazlar, genellikle bölüm başkanı tarafından bölümlerdeki asistanlar arasından bölümle BİDB arasında arayüz oluşturmak üzere atanır. Bu mekanizma sayesinde politika metinlerinde ve alt metinlerde belirtilen ilke ve kuralların uygulanması mümkün olabilmektedir.

Antivirüs Uygulamaları

ODTÜ yerleşkesinde özellikle ağ üzerinde yayılan virüslerin engellenebilmesi için teknik ve sosyal içerikli önlemler alınmaktadır.

Teknik olarak, ağ üzerinde ve e-posta ile yayılan virüslerin engellenebilmesi için merkezi sunucu sistemler ve ağ cihazları üzerinde çalışmalar yapılmaktadır. Merkezi e-posta sunucusu üzerinde antivirüs filtresi olarak açık kaynak kodlu Clam-AV kullanılmaktadır. Virüs yayan IP adresleri ağ üzerinde yarattığı trafik yoğunluğu ve merkezi virüs filtresine takılan virüslü e-postalar ile belirlenmekte, erişimleri kısıtlanmakta ve bilgisayar koordinatörü aracılığı ile çözüm üretildikten sonra yeniden erişim izni verilmektedir. Masaüstü Windows kurulumlarının BİDB tarafından hazırlanan güncellenmiş kurulum CD'lerinden yapılması sağlanarak virüslerin yayılması engellenmeye çalışılmaktadır.

Kullanıcıların bilinçlendirilmesi ve kullanabilecekleri araçların sunulması sosyal önlemler kategorisine girmektedir. Virüs trafiği yoğun olan bölümlerde yüz yüze eğitimler verilmektedir.

SPAM Engelleme Uygulamaları

Merkezi e-posta sunucusu üzerinde SPAM filtrelemek amacıyla açık kaynak kodlu bir yazılım olan Bogofilter Spam Filtresi kullanılmaktadır. Spam e-postalar doğrudan reddedilmemekte, farklı bir e-posta kutusuna (SPAMBOX) yönlendirilmekte, SPAMBOX dizinleri belirli aralıklarla silinmektedir.

P2P

1999 yılında Napster ile başlayan P2P uygulamaları, ağ yapılarında metafor değişikliğine neden olduğu için sorunlu bir alan görülmektedir. P2P kullanımına iki itiraz başlığı bulunmaktadır: Birincisi ağda yoğun trafik yaratması, ikincisi yasal olmayan içerik paylaşımı.

Bunları anlatmadan önce P2P ile ilgili olan yanlış bilgileri öncelikle gözden geçirmemiz gerekir. Lisans haklarının ihlalini engellemek amacıyla firmaların uyguladığı yaptırımlar doğrultusunda P2P trafiği azalmaktadır görüşü doğru değildir. Kullanıcılar farklı P2P ağlarını kullanmaya başladıkları için aynı ağ üzerindeki kullanıcı sayısında zamanla azalma olmuştur ancak toplam trafik ve kullanıcı sayısı artmaktadır. Napster'dan KaZaA ağına, KaZaA'dan DC++ ya da BitTorrent ağlarına geçiş olmuştur ama P2P yazılımı kullanan kullanıcı sayısında ve toplam P2P trafiğinde azalma söz konusu değildir.

Bunun yanında, P2P programları sadece MP3 ve film paylaşımı için kullanılır görüşü doğru değildir. Bazı Linux sürümleri kurulum ve paket dosyaları P2P yazılımları sayesinde paylaşılmaktadır.

Son olarak, P2P kaynaklı yoğun trafik az sayıda kullanıcının ağı yoğun kullanmasından kaynaklanmaktadır görüşü doğru değildir. Tüm kullanıcılar ağa yük getirmektedir.

Yaratılan yoğun trafiği anlayabilmek için öncelikle P2P programların yapısını incelemek gerekmektedir. İlk nesil P2P programları (örneğin Napster), dosyaların isimlerini merkezi bir yapıda depolamaktaydı. Dosyayı arayan kullanıcı dosya adı ile merkez üzerinden sorgulama yapmakta ve dosyayı taşıyan istemci bilgisayarlar üzerinden indirmekteydi.

İkinci nesil P2P programları tamamen merkezsiz çalışmaktaydı. Bu durumda P2P ağına bağlı bilgisayardan çıkan sorgu tüm bilgisayarlara gidiyor ve dosya var cevabı veren bilgisayarlar arasında uygun ağ bağlantısı olan bilgisayardan dosya indiriliyordu. Sonuç olarak çok sayıda sorgu ağ üzerinde dolaşmaktaydı.

Üçüncü nesil P2P programları süper nodlar (düğüm), ve normal nodlardan oluşmaktadır. Normal nodlardan gelen sorgular süper nodlara bağlanmış olan bilgisayarlarda sorulur ve olumlu cevap verenlerden uygun olanından veri indirilir.

Bittorent vb. programlar ile dosyaların tek bir kaynak yerine birçok kaynaktan parçalı halde indirilmesi mümkün olmuştur.

Bu yapıların ağ trafiğine etkileri dosya alışverişi sırasında olmaktadır. Aynı dosyaya yapılan çok sayıda bağlantı ile aynı dosya ağ üzerinde defalarca gönderilmektedir.

P2P konusundaki ikinci itiraz başlığı yasal olmayan içerik konusundadır. P2P yazılımları ile paylaşılan dosyaların telif haklarının ihlal edilmesi söz konusu olabilmektedir. Bu konuda göz önünde tutulması gereken iki önemli nokta vardır: Birincisi bu programların kullanım amacının doğrudan telif hakkı olan eserleri paylaştırmak olmamasıdır. Bu nedenle Betamax davasında olduğu gibi ^* bu programların kullanımı yasal olarak engellenememektedir. İkinci konu, üniversitelerin servis sağlayıcı konuma gelmeleri sonucunda (örnek: yurtlar bölgesinde ve lojmanlarda kalan öğrenci ve personele ait bilgisayarlar) özellikle ABD gibi ülkelerde firmalara karşı duruşlarını "kör göz" olarak tabir edilen biçimde belirlemeye başlamalarıdır. Buna göre, eğer kullanıcının "kendisine ait" bilgisayarda telif haklarını ihlal eden bir kullanıcı üniversite işletimindeki bir IP numarasını kullanarak telif haklarını ihlal ederse ve bu kullanıcı hakkında üniversite firma tarafından uyarı alırsa, üniversite bu kullanıcıyı uyarmakla yükümlü olduğunu söylemekte, bunun ötesinde bir işlem yapmaya hakkı olmadığını savunmaktadır.

Ancak telif hakkı ihlali üniversiteye ait demirbaş bilgisayarlar üzerinden yapılırsa bilgisayarın, üniversite sorumluluğunda olan bir bilgisayar olması nedeniyle, üniversite bu bilgisayarlarda kullanılacak programları belirlemek ya da bu konuda kullanıcısına uygun bir metin imzalatarak sorumluluğunu belirtmekle yükümlü olabilmektedir.

Firmalar, telif haklarının ihlali gibi konularda 1990'lı yıllarda ağ sorumlularını sorumlu tutmakla birlikte özellikle 1993 yılından sonra ağ sorumluları yerine telif hakkını ihlal eden kişileri bulmak üzere girişim yapmaya başlamıştır. Ancak üniversiteler, firmaların ulaşmaya çalıştığı kişilere mahkeme celbi iletmek ya da ceza uygulamak gibi yargı kurumları ve onun kolluk güçlerinin yapması gereken işlemlere başlamadan önce Hukuk Müşavirliklerinin görüşünü almalıdır.

Bilişim teknolojilerinin gelişim çizgisinde P2P yapılarının kullanımını azaltmayacağı, aksine giderek yaygınlaşacağı tahmin edilmektedir. Özellikle sosyo-ekonomik açıdan incelendiğinde ağ yapılarında toplam kazancın ağdaki elemanların karesi ile orantılı olması P2P kullanımının yaygınlaşacağın işaret etmektedir.

ODTÜ ne yapıyor?

Bu noktada ODTÜ iki temelli çözüm üretmektedir: ağ trafiğindeki yoğunluktan hareketle alınan önlemler ve firmalardan telif hakları konusunda gelen şikayetler çerçevesinde alınan önlemler. ODTÜ, Bilişim Kaynakları Kullanım Politikaları metinlerinde yoğun trafiğe ve telif hakkı ihlallerine karşı önlem alabileceğini belirtmiştir. Bu doğrultuda yoğun trafik göz önüne alınarak yoğun trafik yaratan IP adreslerinin erişimleri engellenmektedir. Ancak yoğun trafik her zaman P2P'ye ve P2P kullanımı da her zaman lisans ihlali yapıldığına işaret etmediğinden bu yöntem verimli bulunmamaktadır. Firmalardan gelen şikayetler sonucunda ilgili IP'nin kullanıcısına uyarı hakkında bilgi verilmekte ve BKKP metinleri işaret edilerek konu hakkında açıklama istenmektedir. Bu süreçte de firmalardan gelen şikayetlerin yasal niteliği konusunda Hukuk Müşavirliklerine danışılmaktadır.

(*) 1984 yılında Sony firması tarafından üretilen Betamax formatlı video kasetlerinin çoğaltılabilmesine olanak tanıyan teknolojinin Sony tarafından satışa sunulması üzerine MGM film yapım firması tarafından açılan dava. Dava, kaset çoğaltma işleminin tek amacının lisanssız kopyalama olmaması nedeniyle Sony firması lehine sonuçlanmıştır.

İbrahim Çalışır