Dünyada tekelleşen bir kaç büyük internet devi (Big Tech) var. Bir yandan internet üzerindeki (ve de fiziksel hayattakini de etkileyen) her türlü işe el atan bu devler, kendilerinin boyutunda olmayan firmaları ezip geçerken, kendi aralarında da kurtlar savaşı halindeler. Günümüzde fiziksel ya da online hemen her türlü iş alanlarının hemen hemen en önemlisi “Bulut Servisleri”. Çünkü tüm diğer işlerin altyapılarındaki temel taşlarından birisi.
Kullandığınız Twitter, Facebook, Google ve okuduğunuz –bu dahil– haber siteleri, oyun oynadığınız siteler, cep telefonunuzda kullandığınız uygulamalar, filmler, müzikler yani her türlü internet içeriği size bir veri merkezinden –bazen bunların üzerindeki bulut servislerinden– geliyor. Yani veri merkezi yoksa, içerik de yok.
Bu yazımızda veri merkezleri ve bulut servisleri konusunda Türkiye’de meydana gelen son bir gelişmeyi anlatmak istiyoruz.
Veri Merkezi ve Bulut sektörü, dünyada bu sene 500 milyar dolarlık bir iş hacmi yaratması beklenen ve yıldan yıla büyüyen bir iş alanı. Ülkemizde, büyük telekom operatörlerinin dışında işi sadece ya da ağırlıklı olarak veri merkezi olan bir kaç şirket var. Çünkü internet altyapısının zayıflığını biliyorsunuz. Ek olarak özellikle elektrik fiyatları gibi sıkıntılar çeken bu sektör, devletten yeterli destek göremediği gibi, global big tech’lerin kıskacı altında. Bunların başında da Microsoft geliyor. Microsoft’u önceki yıllardan da BSA gibi hukuk açısından sorunlu uygulamaları ile biliyoruz. Veri merkezlerine yönelik yaptıklarını ise, son 5 yılda 2 eski, 1 yeni olayı –ki yeni olan bu yazıyı yazmamıza neden oldu– anlatalım.
Microsoft AB tarafından anti-tröst cezaları aldı
Önce hatırlatalım; Microsoft’un Ofis ve Windows uygulamalarında tekel durumunda. 1980’lerde IBM’in işletim sistemi sağlayıcılığı ile başladıkları işi, üzerine çeşitli ofis yazılımları koyarak geliştirdiler. Bu konuda dünyada ilk olmaları nedeniyle şanslıydılar. Üstüne bu yazılımları sürekli birbirine bağladılar. Örneğin Windows ile Medya-Player‘ı, Windows ile Internet Explorer‘ı (tarayıcı) 1 tanesini bedava ama birlikte satmaya çalıştılar. Ülkemizde de Türkçeleştirmeyi hızlıca yapmaları, üniversitelerle kurdukları işbirliği programları filan derken, büyük bir pazar gücü durumuna geldiler.
Ama algılarla iş yürütüyorlar. Mesela Apache açık ara önde (yüzde 67) web sunucuyken, Microsoft Apache’den hiç bahsetmeden kendi yüzde 21’lik payını öne çıkaran basın bültenleri yayınlıyordu (şimdi durum daha farklı). Bütün bu çabalar sonucunda Microsoft çeşitli ürünlerinde, diğer ülkelerdekinden çok daha büyük pazar payına sahip hale geldi. Çünkü BTK’nın ismindeki B harfi “Bilgi Teknolojileri” anlamına gelse de, bilişim sektörü ile yerli işletmecileri/firmaları korumak anlamında bir çalışması olduğunu görmedik. Ülkemizde bu çok uluslu firmaların pazar uygulamalarını inceleyen kurum az.
İşte Microsoft yıllar içinde çeşitli uygulamalarla geldiği bu noktada, yerel veri merkezlerinin bazılarına bir çeşit “müşterilerini söyle, yapmazsan yazılımımı geri ver” gibi hukuk ve ticari açıdan uygun olmayan yaklaşımlar gösteriyor. Burada kafa karışıklığı olmasın. Konu, veri merkezinin kendi kullandığı yazılım değil. Veri merkezinin sunucularında olan müşterilere ait Microsoft uygulamaları. Detayını anlatalım.
Bulut müşterilerinin adlarını öğrenmek istiyorlar
Avrupa Birliğinde veri merkezlerine yaklaşımları ile şikayet edilen Microsoft, Türkiye’deki veri merkezlerine de baskı yapıyor. Yanına danışmanlık firması KPMG’yi alıp, iki şirketin de Dublin şubesinden olan elemanların yönettiği bir operasyon ile Veri Merkezlerinin müşteri listelerini almaya uğraşıyorlar. 5 yıl önce bunu “Telif Hakları” başlığı ile yapmışlardı, şimdi “Yasaklı Müşteri” diyerek yapmaya çalışıyorlar.
Dünyanın en büyük yazılım şirketlerinden olan ve Azure markası altında bulut bilişim hizmetlerine yönelik de faaliyet gösteren Microsoft, Türkiye’de faaliyet gösteren yerel veri merkezleri ile SPLA (Service Provider Licence Agreement) sözleşmesi yapıyor. Yani bireysel ve kurumsal müşterilerine sattığı hizmetler dışında, toplu kullanım için de lisans satıyor.
İşte bu parası ödenmiş lisansı bir silah gibi kullanıyor ve servis sağlayan veri merkezine “müşteri adlarını, adresini ver vergi numarasını vermesi” için baskı yapıyor.
Microsoft, bu hukuksuz yaklaşımını da güzel paketlemiş. Kendisi de rakip olduğu yani bulut servisi verdiği için, araya bir başka firma olan KPMG’yi sokuyor ve verileri kendilerinin değil KPMG İrlanda’nın alacağını ve denetleyeceğini söylüyor. Ancak arada ilginç başka bir cümle daha var; KPMG bu verileri Microsoft’un içindeki ticari departmanlara vermeyecekmiş ama İrlanda’daki “Microsoft Trade Compliance Team”e verebilirmiş. Bunu da not etmeyi ihmal etmiyorlar.
Microsoft’un Türkiye’ye satışlarındaki faturalarının vergi cenneti olan Dublin’den kesildiğini not edelim.
KPMG bunun neresinde?
Microsoft ile KPMG arasında MBSA (yani Microsoft Business and Services Agreement) anlaşması varmış. Veri merkezinin KPMG’ye vereceği müşteri listesinde, “yasaklı müşteri kontrolü” amacıyla bir denetim yapılacakmış. Yasaklı müşteri kim derseniz, ABD’nin yaptırım uyguladığı ülkelerdeki firmalar, bu yasaklı müşteriler kapsamına giriyor.
Üstelik müşteri verilerini isteyen ve alacak olan temsilciler, her 2 firmanın da Türkiye şubesinden değil. Microsoft, Dublin-İrlanda ve KPMG Dublin-İrlanda’nın çalışanları. Neden acaba? Bunu yaparak, Türkiye’de meydana gelebilecek hukuki sorunları bertaraf mı ediyorlar?
Veri Merkezi ile KPMG arasında bir ticari ilişki olmadığı için bu müşteri listesini vermek için NDA, yani gizlilik sözleşmesi, de imzalaması istendiğinde bundan kaçınıyor. Microsoft’un bu kapsamdaki “ilkeleriyle” uyumlu davranıldığına işaret eden bir şirket politikasının olup olmadığı soruluyor ve paylaşması isteniyor. Ama o da yok. Karşılığında ise veri merkezinin başının üzerinde “öyleyse Microsoft yazılımını kullanmayın” giyotini duruyor.
Ama aşağıda anlatacağız, 5 yıl önce yine müşteri listesi istediklerinde veren bir veri merkezi, müşterilerinin Microsoft tarafından alındığını iddia ediyor. Ne kadar doğru ya da yanlış bilemiyoruz. Söyleyenin yalancısıyız.
Dolayısıyla,Türkiye’de de ofisleri olan bu iki firmanın, ülkemizde yerleşik ofisleri aracılığıyla da gerçekleştirebileceği bu denetim faaliyetinin, hem Türkiye’deki servis sağlayıcılarına (iç süreç dokümanları) hem de müşterilerine ait kişisel verileri yurt dışıyla paylaşmayı gerektirecek bir yolla yapılması, “Türkiye’nin verisi Türkiye’de kalmalı” anlayışıyla ters düştüğü gibi, “bu bir müşteri kapma taktiği midir?” düşüncelerine de yol açıyor.
Diğer yandan KPMG’nin İngiltere’de 2 yıl üstüste firma denetim hataları nedeniyle birisi 57 milyon TL ve diğeri 500 milyon TL eşdeğeri ceza aldığını hatırlatalım. KPMG ülkemizde de Türk Telekom konusunda tartışıldı. 2017 bilanço verilerinin önüne koyduğu açıklamada yazdıkları yüzünden tepki görünce, hem açıklamayı düzelttiler, hem de açıklama yapmak zorunda kaldılar.
Microsoft enterprise müşterisi büyük operatörlere gitmiyor
Bu noktada ilginç ama Microsoft, veri merkezi işleten büyük operatörlere gitmiyor. Bunun bir nedeni, o firmaların kendilerinin içişlerinde kullandıkları yazılımlarla Microsoft’un “Enterprise” denilen büyük müşteri kapsamına girmeleri diye düşünülüyor.
Diğer yandan “reseller” denilen ve ülkeye Microsoft yazılım dağıtan firmalardan da müşteri listesi istenmiyor. Bunlar distribütörlerle çalışıyor. Ayrıca sistem entegratörleri var. Bunlardan müşteri listesi isteniyor mu?
Bir de şu var; gelen müşteri Microsoft ürünü kullanıyorsa, AWS, Google, Equinix, Huawei, Softlayer vs Veri Merkezleri bu hizmeti veriyorlar. Bu büyük veri merkezlerine de yasaklı müşteri soruluyor mu?
Yoksa, sadece sahipsiz olan yerel veri merkezlerinin mi müşterileri soruluyor? Peki niçin?
Kaldı ki, Veri Merkezlerinden “Bare Metal” sunucu kiralayan veya kendi sunucuları olan müşterilerin Windows işletim sistemini kullanıp kullanmadıklarını bilme imkanı yokken, yasaklı müşteriler niye buluta gelsinler?
5 yıl önce veri merkezi müşterilerinin sunucularına bakmak istedi
Yukarıda dediğimiz gibi benzer bir olay 5 yıl önce de yaşandı. Microsoft’un yine Türkiye şubesi değil, İrlanda / Dublin’den gelen elemanları, danışmanlık firması olan EY’nin (Ernest Young) yine Dublin şubesinden gelen elemanlarla birlikte Türkiye’deki bazı veri merkezlerini dolaşarak “telif hakları” iddiası altında, müşterilerinin bilgilerini istedi.
Microsoft bireysel, kurumsal dışında bu türlü internet servisi sağlayan firmalar ile SPLA (Service Provider Licence Agreement) denilen bir sözleşme yapıyor. Bu sözleşme veri merkezinin kendi kullandığı yazılım için değil. Toplu kullanım yani müşterilerinin kullandığı Microsoft yazılımlarının kendi sunucularında devamı için. Dolayısıyla bu lisansı kaybederse, aslında müşterilerini kaybeder. Yani müşterisi Microsoft’un bir yazılımını kullanıyorsa, bu hizmeti vermek durumunda kalıyorlar.
İşte 5 yıl önce Microsoft ve EY, “sunucularında yer alan müşterilerin kullandığı Microsoft ürünlerinin lisansa uygun olup olmadığını denetlemek için” diyerek, veri merkezlerine gelip sunucuları açmalarını istedi. Hatta hukuksuzlukta daha ileri gidip, veri merkezinin kendisinin işletmediği –bankalar gibi bazı müşteriler kendi işletimini kendisi yapıyor, sadece 7×24 internet hizmeti almış oluyor– sunuculardaki müşterileri bile açmalarını istediler.
Bazı veri merkezleri “kendilerinin ticari sırrı” ve ileri talep için “müşterimin ticari sırrı” diyerek karşı çıktı, bazı veri merkezleri de bu denetim için yazılı ve imzalı belge istedi. Microsoft ve EY böyle bir belge veremedi.
Ancak müşteri adlarını veren bazı veri merkezleri, büyük müşterilerinin Microsoft Azure’a geçtiğini gördüklerini söylüyor ve soruyorlar “denetim yaparken, müşteri listesini müşterileri öğrenmek için mi istediler”.
Microsoft’un yasal olarak böyle bir hakkı yok. Ancak “ver misketlerimi geri” türü bir yaklaşım göstererek; “eğer müşterilerin sunucularını göstermezseniz, sizin lisanslarınızı da iptal ederiz” baskısı güttüğü anlaşılıyor.
Küçük veri merkezlerinin IP’lerini blokladı
Yine Microsoft’un 3 yıl önceki başka bir hareketi de şu oldu; illerde yerel ve oranın esnafına hizmet veren küçük veri merkezleri var. Bunlardan küçük esnaf hizmet alıyor. Ancak 2020 Şubatında aniden çok sayıda yerel veri merkezinin IP’lerinin bloklandığını gördük. Bunun anlamı şuydu; bu IP’lerden Microsoft servisi kullanmak istediğinizde, kullandığınız IP bloklanmış oldukları için servise erişemiyorsunuz. Yerel yönetimlerde (belediye, tapu, kaymakamlık vs) çalışanların mail adresleri hotmail.com. Dolayısıyla bu veri merkezlerinden mail alan küçük esnaf yerel yönetimle haberleşemez hale gelince, Microsoft’a geçmeyi düşündü. Yerel veri merkezleri aylarca Microsoft’a bu sorunu yazıp çizdikten ve haber alamadıktan sonra, biz haber haline getirdik. Sorun çözüldü ancak ertesi sene yeniden yaptılar.
Yerel veri merkezleri durumu, “büyük müşterileri 1995-2010 aralığında aldılar, KOBİ’leri 2005-2015 aralığında aldılar, şimdi esnafı elimizden almaya çalışıyorlar” şeklinde yorumlamışlardı.
Microsoft fırsatını bulunca, kendisine mecbur bırakıyor
Microsoft başta da söylediğimiz gibi, herkesi ya da her şirketi kendisine mecbur bırakan bir taktikle yazılım satıyor. Bunun delilleri AB’deki davalardır. Ama bu hafta içinde ABD’deki oyun sektörü ile ilgili bir davada da aynı şeyi gördük. Activision Blizzard oyun firmasını 69 milyar dolara almaya çalışan ve bunu aldığı takdirde herkesi kendisine mecbur bırakacağını iddia eden Sony gibi firmalara bir takım sözler veren Microsoft’un Activision Blizzard’ı satın alması ile ilgili olarak ABD’de devam eden “Ticaret Komisyonu (FTC) – Microsoft” davasında yer alan bir şirket içi sunuma göre, Microsoft, Windows 365 ile Windows’u “kurumsal” tarafta giderek daha fazla buluta taşıyor ancak bireysel tüketicileri de aynı şekilde taşımayı hedefliyor. Haziran 2022 tarihli dahili bir “iş durumu” sunumunda Microsoft, Windows 365’i, buluttan herhangi bir cihaza akış halinde tam bir süreç sağlamak üzere geliştirmeyi tartışıyor ve bunu “uzun vadeli bir fırsat” olarak yorumluyor.
Yani Microsoft, oyun, hotmail kullanan yerel yönetimlerdeki çalışanlar, ofis uygulamalarını kullanan KOBİ’ler derken, küresel pazar gücü olmanın avantajını bulut servislerinde öne geçmek için kullanacak gözüküyor. Bunun için hukuku bypass edecek, bu yazıdaki benzer yöntemleri de kullanabiliyor. Bunu yaparken de, KPMG firması da bir cins iş ortağı. Birlikte yapıyorlar.
Durumu, Telkoder’in avukatı Gökhan Candoğan’a sorduk. Şöyle dedi :
“Microsoft, tekel konumunun getirdiği bütün haksız avantajları sonuna kadar kullanma niyeti ile hareket ederek, Türkiye’de veri merkezi işletmeciliğinin gelişmesine engel oluyor. Belirli dönemlerde veri merkezi işletmecilerinden, müşterilerine ait bilgileri talep eden Microsoft, bu şekilde davranarak, bir yandan kişisel verilerin korunmasına dair Türkiye mevzuatı ile GDPR’ı, diğer yandan da hakim durumundan yararlanarak rekabet hukuku esaslarını ihlal ediyor. Ve ne yazık ki görüşmelerle bu sorunu aşmak mümkün görünmüyor. Bu yüzden, yakın dönemde AB bünyesinde başlatılan şikayet süreçlerinin bir benzerinin Türkiye’de de yaşanması olası görünüyor.”
Çok uluslu firmalar Türkiye’yi istedikleri gibi yönlendiriyor
Microsoft bunları yaparken maalesef karşısına çıkan bir devlet kurumu henüz yok. Bilgi teknolojileri ve İletişim Kurumu adını taşımasına rağmen BTK, bilişim firmaları konusunda herhangi bir etkiye ya da yetkiye sahip değil. Zaten bu firmalar Tübisad isimli sektörel dernekte de çoğunluk durumundalar ve bu derneği kullanarak özellikle Sanayi Bakanlığı’ndan istedikleri KDV indirimi gibi avantajlar elde edebiliyorlar.
2018’deki Cumhurbaşkanlığı seçimi sonrasında kurulan Dijital Dönüşüm Ofisi ise, tüm iddialı kuruluşuna karşın, içi boş ve sektörlerin görüşlerini almadığı raporlar çıkarmaktan başka bir şey yapmıyor.
Rekabet Kurumu’ndan henüz bulut konusunda bir rekabet kararı ya da soruşturması görmedik. Umarız onlar bu işi sıkı tutarlar.
Sorular
Hem Microsoft’a hem de KPMG firmasına yazı öncesinde cevap vermek isterlerse diye 2 Temmuz’da suallerimizi ilettik. Ancak yazının yayınlanma zamanına kadar elimize cevaplar ulaşmadı. Bundan sonra ulaşırsa, cevaplarını da memnuniyetle yayınlarınız. Suallerimiz şu şekildeydi;
Microsoft’a Sualler
Dublin’den gelen bir temsilciniz ve KPMG’nin Dublin’den gelen bir temsilci, Türkiye’deki bazı Veri Merkezlerini ziyaret ederek, “yasaklı müşteri denetimi” diyerek, SPLA lisansları kapsamında müşteri adları, adresleri ve vergi numaraları talep edilmiş. Bu konuya dair haber yaptığımız için şu soruları tarafınıza iletiyoruz.
- Veri merkezlerinden istediğiniz bilgilere bakıldığında, “yasaklı müşterilerin listesini” verip, “şunlar şu nedenle yasaklıdır, bunlar sizde var mı?” diye sormak yerine Neden tüm müşteri listesini soruyorsunuz?
- Yazılım satıp, parasını aldığınız ticari bir firmanın müşteri verilerini istediğinizi görüyoruz. Bu bilgiler ticari sırra girmiyor mu?
- Ve bunu da o firmanın ticari ilişkisi olmayan bir başka firmaya (KPMG) verdirmeye zorladığınızı görüyoruz. Sizinle sözleşme yapmış, o firma ile değil. Neden bunu yapıyorsunuz? Rekabet konusunda sorun yaşamamak için mi?
- SPLA lisansı yani HAKİM DURUMUNUZ size (sözleşmede yazsa bile), bir anlamda size rakip olan veri merkezlerinin ticari sırlarını almak için nasıl bir hak veriyor? Bunu kullanmanız aslında bir cins tehdit gibi olmuyor mu?
- Bu uygulamayı mesela Rus ortağı olan Turkcell’e nasıl uyguluyorsunuz?
- Büyük veri merkezlerinden bazıları ile konuştuk. Onlara gidilmemiş. Burada baskı yapabileceğiniz, yapamayacağınız veri merkezi ayrımı mı var? Hangi veri merkezinden müşteri listesi isteyeceğinize nasıl karar veriyorsunuz?
- Bu uygulamayı Avrupa Birliğindeki veri merkezlerine yapıyor musunuz?
- Hangi veriye göre karar vereceksiniz? Bu verilerin hangisine bakarak ya da bu verilerden hareketle neye bakarak “ihlal var” diyeceksiniz?
- Neden Microsoft ve KPMG Turkiye olarak değil de Dublin olarak geliyorsunuz? Bunun nedeni Türk kanunlarından sorun çıkmasını engellemek midir?
- İrlanda’nın sürmekte olan kişisel veriler davasındaki, regülatörün (DPC) yaklaşımı malum. Ülke ekonomisini sağlayan çok uluslu firmaların lehine düzenlemeler yapmaya çalışmakla ünlü. Örneğini Schrems davalarında görüyoruz. Acaba bu nedenle mi Dublin üzerinden geliyorsunuz?
- KPMG NDN imzalamaktan neden çekiniyor?
- KPMG Türkiye colateral olarak bu bilgilerin gizliliğini garanti altına alacak mı?
KPMG’ye Sualler:
- KPMG kendisiyle ticari ilişkisi olmayan firmalardan müşteri listelerini hangi hukuki çerçevede istiyor?
- KPMG doğrudan taraf mıdır? Yanınızda Microsoft ile ziyaret yapmış olsanız da, sınırları zorlamış olmuyor musunuz? Microsoft lisanslisi olan veri merkezi ile ilişkisiniz hangi çerçevededir?
- Neden NDA imzalamaktan çekiniyorsunuz? Hukuki sorun olacağı için mi?
- KPMG bu operasyonda, Mircosoft’un “rekabet ihlali örtüsü” görevi mi görüyor? Çünkü istenen bilgiler ticari sır. Hukuki açıdan, “tüm müşteri listesi” istenmesi yerine, “Yasaklı müşteri listesi” verip, “bunlar sizde var mıdır?” diye sormak daha doğru olmaz mı? Neden böyle yapmadınız?
- Büyük veri merkezlerinden bazıları ile konuştuk. Onlara gidilmemiş. Hangi veri merkezinden müşteri listesi isteyeceğinize nasıl karar veriliyor?
- Huawei de Türkiye’de cloud servis sunuyor. Onu da denetliyor musunuz?
- Bu uygulamayı Avrupa Birliğindeki veri merkezlerine yapıyor musunuz?
- Hangi veriye göre karar vereceksiniz? Bu verilerin hangisine bakarak ya da bu verilerden hareketle neye bakarak “ihlal var” diyeceksiniz?
- Neden Microsoft ve KPMG Turkiye olarak değil de Dublin olarak geliyorsunuz? Bunun nedeni Türk kanunlarından sorun çıkmasını engellemek midir?
- İrlanda’nın sürmekte olan kişisel veriler davasındaki, regülatörün (DPC) yaklaşımı malum. Ülke ekonomisini sağlayan çok uluslu firmaların lehine düzenlemeler yapmaya çalışmakla ünlü. Örneğini Schrems davalarında görüyoruz. Acaba bu nedenle mi Dublin üzerinden geliyorsunuz?
- KPMG Türkiye colateral olarak bu bilgilerin gizliliğini garanti altına nasıl alacak?
Kaynak: https://turk-internet.com/microsoft-turkiyedeki-veri-merkezlerinden-yine-musteri-bilgisi-istiyor/