İşletmenize gelen bir misafirin "Wi-Fi şifresi nedir?" sorusuna duvardaki kağıdı göstererek ya da modemin arkasındaki standart WPA2 şifresini fısıldayarak yanıt veriyorsanız, farkında olmadan işletmenizin geleceğini büyük bir adli ve mali riskin ortasına bırakıyorsunuz demektir.
Türkiye’de dijital ağların kontrolünü ve bu ağlar üzerinden işlenen suçların takibini düzenleyen 5651 Sayılı Kanun, kullanıcılarına internet erişimi sunan tüm işletmeleri "Toplu Kullanım Sağlayıcı" olarak tanımlar. Oteller, kafeler ve restoranlar gibi bu işi ticari yürütenlerin yanı sıra; fabrikalar, plazalar, ofisler ve ortak çalışma alanları gibi kendi çalışanlarına veya iş ortaklarına doğrudan bir gelir kapısı olmaksızın internet sağlayan "ticari amaç gütmeyen" yapılar da kanun karşısında tamamen aynı yasal loglama sorumluluklarına tabidir.
Peki, basit bir Wi-Fi şifresi paylaşımı bir işletme yöneticisini nasıl birincil suç şüphelisi haline geçirebilir? 1 Haziran 2026 tarihinde TÜBİTAK Kamu SM altyapısında gerçekleşecek kritik teknik kırılma ne anlama geliyor? Hem 5651’e uyup hem de KVKK cezalarından korunmak nasıl mümkündür?
Bu rehberde, siber güvenlik mühendisliğini bilişim hukukuyla harmanlayarak işletmenizi koruma altına alacak stratejik yol haritasını inceliyoruz.
1. Katalog Suçlar ve Ağ Sahiplerine Yönelik Adli Tehditler
Herhangi bir kimlik doğrulama mekanizması kurmadan, tamamen şifresiz (open Wi-Fi) veya herkes tarafından bilinen standart tek bir şifreyle internet dağıtmak, siber suçluların kimliklerini gizleyerek suç işlemesi için açık bir davetiyedir.
Sizin internet hattınız üzerinden, 5651 Sayılı Kanun'un 8. maddesinde yer alan ve "Katalog Suçlar" olarak tanımlanan şu eylemler gerçekleştirildiğinde yasal yaptırımlar doğrudan hat sahibine yönelmektedir:
- Çocukların cinsel istismarı ve müstehcen içerik paylaşımı,
- Devletin güvenliğine veya anayasal düzene karşı işlenen terör suçları ve siber saldırılar,
- Yasa dışı bahis ve kumar oynanması için yer ve imkân sağlama,
- Müstehcenlik, fuhuş ve intihara yönlendirme,
- Uyuşturucu veya uyarıcı madde kullanılmasını kolaylaştırma,
- Atatürk aleyhine işlenen suçlar.
"Şifreyi Misafire Vermiştim" Savunması Neden Geçersizdir?
Adli makamlar nezdinde yapılan incelemelerde tespit edilen ilk somut veri, servis sağlayıcılar tarafından işletmenize atanan Dış IP adresi (Public IP) olmaktadır. Eğer ilgili suçun işlendiği saniyede, o dış IP üzerinden hangi iç cihazın (MAC adresinin) ve hangi gerçek kişinin bu trafiği oluşturduğunu yasal loglarla kanıtlayamazsanız, soruşturmanın birincil şüphelisi siz olursunuz.
Emsal Yargıtay Kararı (4. Hukuk Dairesi - 06.03.2019, E.2016/16612, K.2019/1233): Davalıya ait IP adresi üzerinden üçüncü bir şahsa hakaret mesajları gönderilmiştir. Hat sahibi, mesajları kendisinin göndermediğini savunmuş olsa da Yargıtay; "hattın güvenliğini sağlamayan ve kullanımını denetlemeyen hat sahibinin, meydana gelen kişilik hakları ihlalinden ve manevi zararlardan hukuken doğrudan sorumlu olduğuna" hükmetmiştir.
Bilişim hukukundaki bu "Kusursuz Sorumluluk" yaklaşımı, yerel ağındaki kullanıcıları ayrıştıracak bir teknik altyapı (Hotspot ve 5651 loglama) kurmayan hat sahibini tüm adli fatura ile baş başa bırakmaktadır. Kanıt sunamadığınız takdirde Türk Ceza Kanunu kapsamında "suça iştirak", "suçluyu kayırma" veya "delilleri yok etme, gizleme veya değiştirme" suçlamalarıyla 6 aydan 2 yıla kadar hapis cezası istemiyle yargılanabilir; BTK denetimlerinde 2026 yılı itibarıyla 15.000 TL'den 100.000 TL'ye kadar idari para cezaları alabilir ve işletmenizin geçici olarak mühürlenmesi riskiyle karşılaşabilirsiniz.
| Cezai ve İdari Durum | Standart Modem / Şifreli Paylaşım | 5651 Uyumlu Zez.digital Hotspot Altyapısı |
|---|---|---|
| Yasal Sorumlu Kimdir? | Doğrudan işletme sahibi / yöneticisidir. Ağdan suç işlendiğinde IP doğrudan sizin adınıza kayıtlıdır. | Suçu işleyen gerçek cihazın sahibidir (SMS veya T.C. Kimlik ile doğrulanmış kullanıcı MAC adresi). |
| İdari Para Cezası Riski | 2026 yılı itibarıyla BTK denetimlerinde 15.000 TL ile 100.000 TL arası idari para cezası uygulanır. | Sıfır. Tüm yasal loglama yükümlülükleri standartlara uygun şekilde tam yerine getirilir. |
| Adli Soruşturmada Konum | Birincil şüpheli, delilleri gizleyen veya suça yataklık eden konumundadır. | Delilleri adli makamlara eksiksiz saniyeler içinde sunan güvenilir tanık konumundadır. |
| İş Yeri Kapatma Tehlikesi | Mevcuttur. Tekrarlanan yasal ihlallerde işletme faaliyeti geçici olarak durdurulur veya mühürlenir. | Yoktur. İşletme yasal mevzuata %100 uyumlulukla kesintisiz çalışmaya devam eder. |
2. Teknik Altyapı Standartları ve Yetersiz Çözümlerin Riskleri
Pazarda maliyetten kaçınmak isteyen pek skin-deep işletme, standart modemlerin "DHCP Kayıt Listesi" veya "Sistem Günlüğü" (System Log) bölümlerinin yasal loglama için yeterli olduğunu düşünerek büyük bir yanılgıya düşmektedir.
Standart bir modemin DHCP servisi, yalnızca yerel ağa (LAN) bağlanan bir cihaza hangi yerel IP adresinin (örn. 192.168.1.15) ve hangi MAC adresinin atandığını kaydeder. Oysa bir siber suç, internetin dış dünyasındaki bir hedef sunucuya bağlanılarak işlenir. Standart modemler; yerel ağdaki cihazın dış dünyaya çıkarken hangi portu kullandığını (Source Port), bağlandığı hedef IP (Destination IP) ve hedef portunu (Destination Port) ya da trafiğin NAT (Network Address Translation) tablosundaki karşılığını kesinlikle kaydetmez. Üstelik bu basit günlükler, modem her yeniden başlatıldığında veya elektrik kesildiğinde tamamen silinir.
Yasal Bir 5651 Logunun Anatomisi
Mahkemelerde "delil niteliği" taşıyan geçerli bir log dosyasının içinde şu teknik bileşenlerin eksiksiz bulunması şarttır:
- Yerel IP Adresi (Source LAN IP): Ağdaki kullanıcının cihazına atanan özel IP.
- Fiziksel Adres (MAC Adresi): Kullanıcının ağ kartına ait dünya üzerinde benzersiz donanımsal kimliği.
- Dış IP Adresi (Public IP) & Kaynak Portu (Source Port): NAT mimarisinde birden fazla kullanıcının aynı dış IP'yi paylaşarak internete çıkabilmesini ve o saniyede kimin ayrıştırılacağını sağlayan en kritik veridir.
- Hedef IP & Hedef Portu (Destination IP / Port): Kullanıcının internette tam olarak hangi sunucuya ve servise bağlandığının ispatıdır.
- Kriptografik Özet (SHA256 Hash): Log verilerinin geriye dönük değiştirilmesini engellemek için üretilen matematiksel özet değerdir.
- Zaman Damgası (Timestamp): Log dosyasının SHA256 özetinin, güvenilir bir zaman kaynağı (TÜBİTAK Kamu SM) tarafından mühürlenerek kesin tarih ve saatle ilişkilendirilmesidir.
01 HAZİRAN 2026: TÜBİTAK ZAMAN DAMGASI ALTYAPISINDA KRİTİK DEĞİŞİKLİK
Bu tarihten önce ağ altyapısını güncellemeyen ve lisans başvurularını tamamlamayan işletmelerin otomatik log imzalama sistemleri kesintiye uğrayacak ve üretilen loglar yasal olarak geçersiz (hükümsüz) kalacaktır. Zez.digital, tüm kurulumlarında bu geçiş sürecini ve yeni nesil SSL sertifikası entegrasyonlarını proaktif olarak yönetmektedir.
3. İdeal Ağ Topolojisi ve Syslog Yönetim Mimarisi
Güvenli ve yasalara tam uyumlu bir ağ mimarisi kurmak, doğru donanımların doğru hiyerarşiyle konumlandırılmasını gerektirir. Zez.digital’in endüstri standartlarında tasarladığı uçtan uca ağ topolojisi şu hiyerarşiyle çalışır:
- VLAN Ayrımı (Sanal Ağ İzolasyonu): İşletmenin en hassas iç sistemleri (kameralar, POS cihazları, muhasebe/personel bilgisayarları) ile müşterilerin bağlandığı misafir hotspot Wi-Fi ağını birbirinden tamamen izole ediyoruz. Bu sayede, misafir Wi-Fi'ına bağlanan bir cihazın kasanıza sızma riski fiziksel olarak sıfırlanıyor.
- Syslog Merkezi Yönetimi: Router/Firewall üzerindeki ağ hareketleri, anlık olarak güvenli bir yerel syslog sunucusuna veya bulut altyapımıza aktarılır. Bu sayede cihaz bozulsa bile geriye dönük veriler asla kaybolmaz.
- Kamu SM Zaman Damgası: Her günün bitiminde (00:00) toplanan log dosyası, 5651 Sayılı Kanunun gerektirdiği biçimde Kamu SM altyapısından zaman damgasıyla kriptografik olarak mühürlenerek bulut sunucularımızda yedeklenir.
4. KVKK Kıskacı ve "Kişisel Veri" Güvenliği
Ağ yöneticileri için en zorlu ikilem, 5651 Sayılı Kanunun getirdiği "log tutma ve kullanıcıyı kimliklendirme" zorunluluğu ile KVKK'nın (Kişisel Verilerin Korunması Kanunu) getirdiği "veri gizliliği ve veri güvenliği" kuralları arasındaki dengedir. Telefon numaraları, T.C. Kimlik bilgileri birer hassas kişisel veridir ve korunmadıkları takdirde KVKK kurumu tarafından işletmenize milyonlarca lirayı bulabilecek idari para cezaları kesilebilir.
Zez.digital olarak, bu iki zıt kanuni gereksinimi bir arada karşılayan yenilikçi entegrasyon çözümleri sunuyoruz. İşte işletmenize en uygun kimlik doğrulama modellerinin karşılaştırmalı detayları:
En popüler ve kullanıcı dostu kimlik doğrulama yöntemidir. Müşterileriniz ağa bağlanmak istediklerinde telefon numaralarını girer ve Zez Hotspot Gateway sistemi üzerinden gönderilen tek kullanımlık SMS onay kodu ile internete bağlanır.
KVKK Uyarısı & Çözümümüz:Telefon numarası doğrudan bir "kişisel veri" olduğundan, karşılama ekranına mutlaka KVKK Aydınlatma ve Açık Rıza metinleri konulmalı ve kullanıcı tarafından onaylanmalıdır. Zez.digital hotspot arayüzleri, bu yasal formları sisteme entegre olarak sunar, böylece hem numarayı yasal olarak doğrular hem de KVKK cezalarından korunursunuz.
Sonuç: Geleceğinizi Risklere Değil, Güvenliğe Emanet Edin
1 Haziran 2026 TÜBİTAK lisans geçiş dönemi yaklaşırken ve KVKK denetimleri her geçen gün sıkılaşırken, geleneksel yöntemlerle Wi-Fi şifresi paylaşmak işletmeler için artık bir seçenek olmaktan tamamen çıkmıştır.
Zez.digital olarak; 5651 loglama yükümlülüklerine harfiyen uyan, KVKK uyum süreçleri eksiksiz planlanmış, modeminize sızma risklerini sıfırlayan akıllı ve yüksek performanslı Hotspot Ağ Çözümlerini işletmeniz için anahtar teslim kuruyoruz. İşletmenizi korumak, yasal risklerinizi sıfıra indirmek ve modern bir misafir ağı kurmak için bizimle bugün iletişime geçebilirsiniz.