AltaySec

Veri Sömürgeciliği ve Dijital Egemenlik: Bir Ülkenin Verisi Kimin Elinde?

Mart 2026'da İran'ın BAE'deki AWS veri merkezlerini vurması, dijital altyapı bağımlılığının somut bir güvenlik tehdidine dönüşebileceğini gösterdi. Bu yazı, veri sömürgeciliği kavramından yola çıkarak Türkiye'nin yerli altyapı hamlelerini ve Google Cloud-Turkcell ortaklığının yarattığı egemenlik paradoksunu ele alıyor; veri diplomasisinin neden yakın dönemin kritik gündem maddelerinden biri olduğunu tartışıyor.

Veri Sömürgeciliği ve Dijital Egemenlik: Bir Ülkenin Verisi Kimin Elinde?

Mart 2026'nın ilk günlerinde İran ile ABD-İsrail koalisyonu arasında tırmanan silahlı çatışma, beklenmedik bir hedefe ulaştı: ABD-İsrail ve İran arasındaki savaşın dördüncü günü saldırıların hedefi küresel dijital altyapı oldu. Amazon AWS, BAE ve Bahreyn'deki tesislerinin dronlar tarafından vurulduğunu kabul etti. Bu olaylar, bir bulut sağlayıcısına yönelik ilk doğrulanmış fiziksel saldırılar arasında yer alıyor.

Bankacılık uygulamaları çöktü. E-ticaret platformları durdu. AWS'nin en kritik servislerinden bazıları bölgede kullanılamaz hale geldi; EC2, S3, DynamoDB, Lambda ve RDS gibi temel bulut hizmetlerinde ciddi kesintiler yaşandı. Ve bu kesintilerin faturası yalnızca Amazon'a değil, BAE'nin bankacılık sektörüne, lojistiğine, sağlık sistemine — kısacası gündelik yaşamın büyük bölümüne — yansıdı.

Bu olay, uzun süredir akademisyenlerin ve politika analistlerinin tartıştığı bir kavramı aniden somutlaştırdı: veri sömürgeciliği.

Veri Sömürgeciliği Nedir?

Sömürgecilik denilince akla coğrafi işgal gelir. Ancak 21. yüzyılda bir ülkenin kritik verisinin büyük bölümünün başka bir ülkede konuşlu sunucularda depolanması, işlenmesi ve denetlenmesi, benzer bir bağımlılık ilişkisi yaratıyor — bu kez askerler yerine data center'larla.

Veri sömürgeciliğini üç eksende tanımlamak mümkün. Birincisi altyapı bağımlılığı: bir devletin veya ekonominin kritik dijital işlemlerinin yabancı şirketlere ait fiziksel altyapı üzerinden yürümesi. İkincisi veri egemenliği açığı: bu verilere hangi koşullarda erişileceğini, kimlerle paylaşılacağını ve nasıl işleneceğini belirleyen kuralların o ülkenin yetki alanı dışında kalması. Üçüncüsü ise kesinti riski: altyapının herhangi bir sebeple — siber saldırı, siyasi kriz, silahlı çatışma — devre dışı kalmasının yarattığı kırılganlık.

BAE örneği bu üç boyutu aynı anda görünür kıldı.

Dubai'den Alınan Ders: Fiziksel Güvenlik Açığı

BAE, yapay zeka yatırımlarının odağı haline gelmiş, dev bulut altyapısını bölgesel bir güç göstergesi olarak konumlandırmıştı. Bu saldırılardan önce BAE'nin veri merkezi pazarının 2026'daki 3,29 milyar dolar seviyesinden 2031'e kadar 7,7 milyar dolara çıkması öngörülüyordu.

İran, 1 Mart 2026'da tarihte ilk kez bir ticari bulut altyapısını stratejik hedef olarak değerlendirdi ve BAE'deki AWS veri merkezini füze ve dronlarla vurdu. Sunucular beton içine alınmış olsa bile soğutma ve güç kaynağı sistemleri savunmasızdı — İran hibrit bir savaşta bunu gösterdi.

Bir aydan fazla süre geçmesine rağmen AWS panelleri etkilenen bölgedeki hizmetlerde çeşitli kesintiler bildirmeye devam etti ve Amazon'un bu hizmetleri kullanan müşterilere iade ettiği kredi bazı raporlara göre 150 milyon dolara mal oldu.

Bu noktada dikkat çekici olan şu: BAE, teknik olarak veri egemenliği stratejisi geliştirmiş, hatta yerel veri depolama zorunlulukları getirmişti. Ama verisini barındıran altyapının sahibi değildi. Bölgeden veri şirketlerinin kaçışını durdurmak amacıyla BAE Merkez Bankası ülke içindeki veri depolama gereksinimlerini geçici olarak gevşetmek zorunda kaldı. Egemenlik iddiasının kâğıt üzerinde kaldığı an gelip çatmıştı.

Türkiye'nin Yerli Hamleleri

Türkiye bu tabloyu uzaktan izlemiyor. Son yıllarda ciddi adımlar atılıyor; ancak bu adımların her biri kendi içinde bir paradoks barındırıyor.

Gölbaşı Veri Merkezi, stratejinin en somut ayağı. Ulaştırma ve Altyapı Bakanı Abdulkadir Uraloğlu'na göre 28.500 metrekarelik alanıyla Türkiye'nin en büyük veri merkezlerinden biri olacak olan tesis, e-Devlet verileri başta olmak üzere kritik kurumların tüm veri ve bulut ihtiyacını yerli yazılımla karşılayacak; 2027'de hizmete girmesi hedefleniyor. 30 MW kurulu güç ve 1.600 kabinet hedefiyle Türksat'ın mevcut kapasitesi ikinci fazda 8 katın üzerine çıkacak.

Türksat Bulut ise Şubat 2026'da tanıtıldı. Kamu kurumları ve özel sektörün bulut depolama, büyük veri analitiği, yapay zekâ uygulamaları ve kritik iş yükleri dahil tüm dijital altyapı ihtiyaçlarını yerli kaynaklarla karşılamayı hedefliyor.

TÜBİTAK BİLGEM ise kritik kamu sistemleri için güvenli yazılım geliştirme, siber güvenlik araştırmaları ve ulusal kriptografi standartları alanlarında yerli kapasite oluşturmaya devam ediyor.

Bu yatırımların hepsi olumlu adımlar. Ama aynı dönemde imzalanan bir başka anlaşma, resmin daha karmaşık olduğunu gösteriyor.

Egemenlik mi, Entegrasyon mu? Google Cloud-Turkcell Paradoksu

Kasım 2025'te Cumhurbaşkanı Erdoğan'ın da katıldığı bir törenle duyurulan anlaşmayla Turkcell ve Google Cloud, Türkiye'nin ilk hiper ölçekli bulut bölgesini kurmak için yaklaşık 3 milyar dolarlık ortaklık kurdu.

Turkcell CEO'su Ali Taha Koç anlaşmayı şöyle tanımladı: "Ülkemizin dijital egemenliğini koruyacağız. Bu region ülkemizin regülasyonlarına yüzde 100 uyumlu. Türkiye'nin verisi Türkiye'de kalacak."

Teknik gerekçe güçlü görünüyor: veri fiziksel olarak Türkiye'de tutulacak, yerel regülasyonlara uyum sağlanacak, üç ayrı lokasyonla yedeklilik oluşturulacak. Multi-zone mimarisi ve yüzde 100 yerel regülasyon uyumu garantisiyle egemen bulut çözümü hayata geçirilmesi hedefleniyor.

Ancak burada kaçınılmaz bir soru ortaya çıkıyor: Fiziksel altyapı Türkiye'de olsa bile yazılım katmanı, yapay zeka modelleri, lisanslama anlaşmaları ve operasyonel kontrol büyük ölçüde Google'da kalıyorsa, egemenlikten ne kadar söz edilebilir? Verinin coğrafi konumu ile verinin üzerinde kimin kontrol hakkına sahip olduğu iki ayrı sorudur. BAE, verisini ülkesinde tutuyordu — ama altyapı yabancı bir şirkete aitti ve savaş başladığında o şirket mühendislerini geri çekti, önceliklerini kendi kararlarına göre belirledi.

Bu, "egemen bulut" tartışmalarının can alıcı noktası. Yüzde 100 yerel uyum, yüzde 100 kontrol anlamına gelmiyor. Turkcell-Google ortaklığı, Türkiye'ye küresel ölçekli altyapıya erişim sağlıyor. Bu ekonomik açıdan değerli. Ama stratejik bağımlılığı sıfırladığını söylemek güç. İki yaklaşım arasındaki gerilim, önümüzdeki yıllarda politika yapıcılar için temel bir seçim noktası olmaya devam edecek.

Avrupa'nın Yolu: EuroStack

Türkiye bu soruyla yalnız değil. AB de aynı ikilemi yaşıyor ve cevap arayışı somutlaşmaya başlıyor.

Mart 2025'te Avrupa'nın önde gelen teknoloji şirketleri ve sektör kuruluşları, Avrupa Komisyonu liderliğine açık bir mektup yönelterek EuroStack adıyla bilinen girişimi merkezine alan bir çağrıda bulundu; bu girişim yarı iletkenden buluta, işletim sisteminden dijital kimliğe uzanan bütünleşik bir Avrupalı teknoloji yığını inşasını hedefliyor.

EuroStack'te Avrupa'nın rekabet gücünü ve stratejik özerkliğini korumak için kritik dijital altyapıların dış sağlayıcılara olan bağımlılığının azaltılması gerektiği savunuluyor; ancak birbirine bağlı bir dünyada tam anlamıyla kendine yeterlilik ne mümkün ne de arzu edilen bir durum olarak görülüyor.

AB'nin somut adımları da geliyor. AB Komisyonu 180 milyon euroluk "egemen bulut" ihalesini sonuçlandırdı ve AB kurumları önümüzdeki 6 yıl boyunca bulut hizmetlerini Avrupa merkezli sağlayıcılardan temin edecek.

EuroStack ile Türkiye'nin yaklaşımı arasında yapısal bir fark var: AB çok taraflı, kolektif bir çerçeve oluşturmaya çalışıyor. Türkiye ise ağırlıklı olarak ulusal düzeyde karar alıyor. Her iki yaklaşımın da sınırlılıkları var; ama bu tablodan çıkan ortak sonuç, yerli altyapı olmadan egemenlik iddiasının zemin bulamayacağı yönünde.

Dört Birbiriyle Bağlantılı Sorun

BAE saldırısı ve küresel tartışmalar, birbirine zincirlenmiş dört temel sorunu gözler önüne seriyor.

İlki, altyapı bağımlılığı. Kritik devlet ve ekonomik işlemlerin yabancı şirketlere ait sunuculara dayanması, o şirketlerin aldığı kararların doğrudan ulusal güvenliği etkileyebileceği anlamına geliyor.

İkincisi, egemenlik paradoksu. Verinin fiziksel olarak yurt içinde tutulması ile o verinin işlendiği platformun kontrolünün yurt dışında kalması arasında derin bir gerilim var. Google Cloud-Turkcell örneği bu paradoksu iyi özetliyor.

Üçüncüsü, fiziksel güvenlik açığı. Veri merkezleri artık yalnızca siber saldırıların değil, konvansiyonel ve asimetrik savaşın da hedefi. Bir veri merkezi saldırısı, herhangi bir siber saldırıdan daha etkili olabilir. News-pravda

Dördüncüsü, uluslararası çerçeve yokluğu. Savaş hukuku açısından veri merkezlerine yönelik fiziksel saldırıların nasıl sınıflandırılacağı, hangi uluslararası normların geçerli olacağı hâlâ belirsiz. Bu olayların, bilgi altyapısına yönelik ilk bilinen fiziksel saldırılar arasında yer aldığı kabul ediliyor — ve uluslararası hukuk bu boşluğu henüz dolduramadı.

Çözüm Katmanları

Bu sorunların tek bir çözümü yok; ama farklı katmanlarda eş zamanlı adımlar atmak mümkün.

Teknik katmanda kritik kamu altyapısının yerli veya güvenilir ortaklık altyapısına taşınması, coğrafi dağıtım ve yedekleme planlarının geliştirilmesi öncelikli görünüyor. Gölbaşı Veri Merkezi bu katmanın somut bir parçası.

Hukuki ve regülasyon katmanında veri yerellileştirme kurallarının kapsamının genişletilmesi ve yabancı bulut sağlayıcılarıyla yapılan anlaşmaların daha şeffaf bir denetim mekanizmasına bağlanması tartışılmalı.

Diplomatik katmanda ise "veri diplomasisi" kavramı önem kazanıyor. Veri akışlarının, sınır ötesi veri erişim kurallarının ve dijital altyapının savaş hukuku kapsamındaki statüsünün ikili ve çok taraflı anlaşmalarla düzenlenmesi, önümüzdeki dönemin acil gündem maddelerinden biri haline geliyor. Türkiye, coğrafi konumu ve NATO üyeliğiyle bu alanda arabulucu bir rol üstlenebilecek kapasiteye sahip.

Son Not: Veri Diplomasisi

BAE örneği, dijital egemenliğin salt teknik bir mesele olmadığını gösterdi. Altyapı kimin elinde, veri nerede işleniyor, erişim koşulları kim tarafından belirleniyor — bunlar artık dış politikanın da sorularına dönüştü.

Türkiye, yerli altyapı yatırımlarıyla doğru yönde adım atıyor. Ama bu adımların Google Cloud gibi küresel ortaklıklarla ne ölçüde uyumlu olduğu sorusu yanıt bekliyor. Egemenlik, altyapı inşa etmekle değil, o altyapı üzerinde gerçek kontrol hakkına sahip olmakla ölçülüyor.

Veri diplomasisinin henüz kuralları yazılmış değil. Bu boşluğu fark eden ve doldurma kapasitesi olan ülkeler, dijital çağın jeopolitik dengesinde daha güçlü bir konum kazanacak.

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge