Savunma sanayinde bir projede aynı anda farklı gizlilik dereceli belgeler dolaşır: tedarikçi listesi (Tasnif Dışı), teknik şartname (Hizmete Özel), mühendislik çıktıları (Özel), askeri operasyonel veri (Gizli). Bu belgelerin her birinin koruması farklı olmalı — yanlış kişiye gitse, kopyalansa, sızdırılsa proje bitti demektir. Geleneksel yöntem (kağıtta damga + parolu zip) hem yetersiz hem manuel.

Microsoft 365'in Information Protection teknolojisi savunma sanayi için tasarlanmış 4-dereceli etiket sistemi ile bu sorunu çözer: belge otomatik etiketlenir, etikete bağlı kontroller (şifreleme, paylaşım engeli, watermark, DRM) otomatik uygulanır, tüm erişim audit log'a düşer. Bu rehber savunma sanayi için Information Protection mimarisinin nasıl kurulacağını detaylı içerir.

1. Information Protection Ekosistemi

1.1 Bileşenler

  • Microsoft Purview Information Protection (MIP) — etiket yapısı + politikalar
  • Sensitivity Labels — kullanıcı tarafında görünen etiketler
  • Auto-labeling — makine öğrenmesi ile otomatik etiket (P2 lisans)
  • Azure Information Protection (AIP) Scanner — on-prem dosya tarayıcı
  • Microsoft Defender for Cloud Apps — bulut uygulamalarda etiket uygulama
  • Office, OneDrive, SharePoint, Teams — etiket uygulanan sistemler

1.2 Lisans Gereksinimi

ÖzellikE3E5
Manual etiketleme
Etikete bağlı şifreleme
Watermark + içerik işaretleme
Auto-labeling (makine öğrenmesi)
Trainable Classifiers (özel pattern)
Information Barriers
Customer Key (BYOK)

Tier-2 ve üzeri savunma sanayi firmaları için E5 zorunlu kabul edilir. Tier-3 KOBİ için E3 + Defender for Office P2 başlangıç olarak yeterli olabilir.

2. 4-Dereceli Etiket Yapısı (Türk Milli Gizlilik Dereceleri)

2.1 Etiket Hiyerarşisi

Sensitivity Labels
├── Public (Tasnif Dışı eşdeğeri)
├── Internal (Tasnif Dışı — kurum içi)
├── Confidential (Hizmete Özel)
│   ├── Limited Access
│   └── Strictly Confidential (Özel eşdeğer)
└── Highly Confidential (Özel — sınırlı dışsal kullanım)
    └── ITAR — US Persons Only (alt etiket)

Önemli: Standart Microsoft 365 (Commercial) "Gizli" derecesi için tek başına yeterli değildir. Bu seviye için ek altyapı + GCC High değerlendirmesi gerekir.

2.2 Etiket Detayları

EtiketTürk DerecesiŞifrelemePaylaşımWatermark
PublicTasnif DışıYokSerbestYok
InternalTasnif Dışı (iç)YokSadece kurum içiOpsiyonel
ConfidentialHizmete ÖzelAES-256Onaylı kişilerVar
Strictly ConfidentialÖzelAES-256 + DRMSınırlı + need-to-knowGörünmez forensic
Highly ConfidentialÖzel — sınırlı dışsalAES-256 + Customer KeyÇok sınırlı + onayÇift watermark

2.3 Etikete Bağlı Kontroller

"Confidential" etiketli belge için:

  • Otomatik şifreleme (AES-256)
  • Sadece etiketli kullanıcı/grup açabilir
  • Dış e-posta gönderim engellenir (DLP ile)
  • USB kopyalama engellenir (Intune ile)
  • Yazdırma loglanır
  • Ekran görüntüsü uyarılır
  • Watermark eklenir (kullanıcı + tarih)

"Highly Confidential" etiketli belge için tüm yukarıdakilere ek:

  • Yazdırma engellenir (kesin)
  • Ekran görüntüsü engellenir (DRM)
  • İçerik kopyalama engellenir
  • Belirli süre sonra erişim otomatik kapanır
  • Forensic watermark (sızıntı durumunda kaynak tespit)
  • Customer Key ile şifreleme (Microsoft mühendisi bile açamaz)

3. Otomatik Etiketleme (Auto-labeling)

3.1 Pattern Bazlı Otomatik Etiket

Information Protection P2 makine öğrenmesi destekli pattern tespit eder. Savunma sanayi için tipik pattern'ler:

  • ASELSAN proje numarası — örn. "ASEL-2024-XXXX" formatı
  • ROKETSAN proje numarası
  • TUSAŞ teknik doküman numarası
  • Askeri terimler — "balistik", "menzil", "güdüm", "muharebe"
  • GTB GTİP kodları — askeri amaçlı ürün kodları
  • Personel sicil + KGB numaraları
  • NATO sembolü ve referansları

Bu pattern'ler tespit edilirse otomatik "Confidential — Limited Access" etiketi uygulanır.

3.2 Trainable Classifiers (Özel ML Modelleri)

Standart pattern'ler dışında özel veri tipleri için Trainable Classifier eğitilir:

  • Firma teknik dokümanları örnekleri verilir (50-200 belge)
  • Microsoft AI bu örneklerle benzer dokümanları tanımayı öğrenir
  • Yeni bir belge oluşturulduğunda AI otomatik kategorize eder
  • Etiket otomatik uygulanır

Örnek: Bir aviyonik firma için "Aviyonik Test Raporu" classifier eğitilir, yeni test raporları otomatik "Hizmete Özel" etiketlenir.

3.3 Manuel + Otomatik Hibrit

Kullanıcılar manuel etiket atayabilir (gerekli olduğunda). Auto-label kullanıcının atadığı etiketle çakışırsa, kullanıcı kararı kazanır (override). Auto-label "Confidential" önerip kullanıcı "Internal" atadıysa, "Internal" geçerli olur (ama loglu).

4. Watermark ve Forensic İşaretleme

4.1 Görünür Watermark

"Confidential" + üstü etiketli belgelerde:

  • Sayfa üzerinde "HİZMETE ÖZEL" + kullanıcı adı + tarih
  • Düşük opaklıkta arka planda
  • Yazdırılmasında watermark da yazılır (kağıt sızıntıda kaynak tespit)

4.2 Görünmez Forensic Watermark

"Highly Confidential" etiketli belgelerde:

  • Görsel olarak fark edilmez
  • İçerikteki minik karakter manipülasyonları (font kerning)
  • Belgeyi açan her kullanıcı için unique imza
  • Sızıntı durumunda hangi kullanıcının kopyasından geldiği tespit edilir

Bu özellik özellikle ana yüklenici-alt yüklenici paylaşımında kritik — hangi alt yüklenicinin sızıntıya neden olduğu net bilinir.

5. Information Barriers — Yabancı Personel İzolasyonu

Savunma sanayinde yabancı uyruklu personel ITAR uyumu için izole edilmelidir. Information Barriers ile:

5.1 Grup Yapısı

  • Azure AD'de "Foreign National" özel grup
  • Vatandaşlık bilgisi HR sisteminden otomatik gelir
  • Vatandaşlık değiştiğinde grup üyeliği otomatik güncellenir

5.2 İzolasyon Politikaları

  • "ITAR — US Persons Only" etiketli belgelere "Foreign National" grubu erişemez
  • ITAR projeli SharePoint sitelerine giriş engelli
  • ITAR projeli Teams kanallarında iletişim engelli (mesaj gönderilse bile alıcı görmez)
  • Yanlışlıkla mesaj/belge paylaşımı otomatik bloke + uyarı

5.3 ITAR Audit Log

ITAR etiketli belgelere yapılan tüm işlemler ayrı audit log'da:

  • Kim açtı, ne zaman, hangi cihazdan
  • Hangi yetki ile (US Person mu Foreign National mı)
  • Yetkisiz erişim denemeleri
  • 10+ yıl saklama (ITAR gereği)
  • ABD denetiminde (DDTC) tek panelden sunulur

6. Ana Yüklenici-Alt Yüklenici Güvenli Paylaşım

6.1 Senaryo

ASELSAN bir alt yükleniciye CAD modeli paylaşacak:

  1. ASELSAN dosyayı "Hizmete Özel — Sadece [Alt Yüklenici A] Erişimi" etiketler
  2. SharePoint üzerinden alt yükleniciye erişim verilir (sadece belirli kullanıcılar)
  3. Alt yüklenici belgeyi açar — sadece kendi yetkili kişileri görür
  4. Yazdırma engellenir, ekran görüntüsü uyarılır
  5. Belirli süre sonra (örn. 90 gün) erişim otomatik kapanır
  6. Tüm aktivite ASELSAN'ın audit log'unda görünür

6.2 Alt Yüklenici Tarafı

  • Alt yüklenici belgenin kopyasını alamaz
  • Belgeyi başkasına gönderemez
  • Yazdırma denerse engellenir veya watermark'lı yazdırılır
  • Kendi cihazından silinse bile bulutta kayıt kalır

6.3 Şüpheli Aktivite Tespit

  • Alt yüklenici toplu indirme yaparsa → ASELSAN'a uyarı
  • Yetkisiz kullanıcı belgeye erişmek isterse → bloke + log
  • Belge dış e-postaya gönderilmek istendiğinde → engelli

7. Pratik Kurulum Adımları

1. Hafta — Etiket Yapısı

  • Microsoft Purview Compliance Center'da 4-dereceli etiket yapısı oluşturulur
  • Her etikete koruma politikaları atanır (şifreleme, watermark, paylaşım)
  • Pilot ekibe (5-10 kişi) etiketler yayınlanır

2. Hafta — Otomatik Etiketleme

  • Pattern tabanlı kurallar tanımlanır (proje numaraları, askeri terimler)
  • Trainable Classifier eğitimi başlatılır (örnekleri ile)
  • Auto-label politikaları aktif edilir

3. Hafta — Tüm Firma + Information Barriers

  • Tüm kullanıcılara etiketler yayınlanır
  • Yabancı uyruklu personel "Foreign National" grubuna atanır
  • Information Barriers politikaları aktive edilir
  • Personel eğitimi (etiket nasıl uygulanır)

4. Hafta — Audit + Eğitim

  • Audit log retention 10 yıla yükseltilir
  • Compliance Manager'da Information Protection skoru takibi
  • İlk müşteri denetim hazırlığı
  • Sızıntı simülasyonu — etiketleme etkinliği test

8. Sık Yapılan Hatalar

Hata 1: Çok Fazla Etiket

10+ etiket tanımlanırsa kullanıcılar karışır, etiketleme yapılmaz. Çözüm: 4-5 ana etiket + alt etiketler maksimum.

Hata 2: Otomatik Etiketleme Çok Sıkı

Auto-label çok sıkıysa false positive yüksek olur, kullanıcılar bypass etmeye başlar. Çözüm: kademeli yayın, başta öneri modunda, sonra zorunlu.

Hata 3: Personel Eğitimi Atlanması

Etiket sistemi teknolojik olarak hazır ama personel kullanmıyorsa fayda yok. Çözüm: 2 saatlik zorunlu eğitim + Attack Simulation Training.

Hata 4: Audit Log Retention Kısa

Varsayılan 90 gün, MSY 2 yıl ister. Çözüm: E5 + Audit Log retention add-on (10 yıla kadar).

Sonuç

Information Protection savunma sanayi için en kritik dijital güvenlik bileşenlerinden biridir. Doğru kurulum + personel eğitimi + sürekli izleme ile gizlilik dereceli verilerin yönetimi profesyonel bir hale gelir, ana yüklenici denetimlerinde sıfır eksik çıkar.

Micro Bilgi Microsoft Yetkili Çözüm Ortağı (CSP) olarak savunma sanayi firmalarına Information Protection 4-dereceli etiket yapısı tasarımı, otomatik etiketleme + Trainable Classifier eğitimi, Information Barriers ile yabancı personel izolasyonu hizmeti sunmaktadır. Görüşmeler NDA ile yapılır. Savunma Sanayi için Microsoft 365 sayfamızı inceleyin veya ücretsiz değerlendirme için iletişime geçin.

İlgili yazılar: MSY 317-2 Uyum Rehberi · ITAR Uyumlu Bulut Çözümleri