Elektronik Ticaretin Siber Güvenlik Boyutları

Doç. Dr. Mehmet Bedii Kaya

Elekronik ticaret hızla büyümekte ve elektronik ticaret satış modelleri çeşitlenmektedir. Bir ürünün internette satmak isterseniz kendi web sitenizde doğrudan satabilirsiniz ya da bir online pazaryerinde aracılar üzerinden satabilirsiniz. Her iki modeli de kullanmak artık çok kolaydır. Alternatifler fazladır.

Peki, doğrudan satış yöntemi ile aracılı satış yöntemlerinin avantajları ve dezavantajları nelerdir? Bir ürünü internet ortamında satarken değerlendirilmesi gereken en önemli faktör nedir? Siber güvenliğin elektronik ticarete etkisi nedir? Elektronik ticarette temel siber güvenlik riskleri nelerdir?

I. Doğrudan Satış Yöntemi

Elektronik ticarette klasik yöntem doğrudan satış yöntemidir. Bu modelde en büyük dezavantaj, elektronik ticaret girişimcisinin altyapının kurulması ve işletilmesine ilişkin tüm maliyetleri ve külfetleri tek başına üstlenmesidir.

Hizmet sağlayıcı veya genel tabirle girişimci; web ve mobil dâhil her türlü platforma uygun altyapı geliştirmek, sunduğu hizmetin sürekliliğini ve güvenliğini sağlamak için yatırım yapmak, ölçeklenebilir bir internet trafiği bant genişliğine sahip olmak, stok takibinden lojistik yönetimine kadar gerekli tüm yazılımlar için lisans almak, diğer hizmet sağlayıcılarla müşterek iş ilişkisi geliştirmek, web sitesini elektronik ticarete ilişkin uygulanabilir tüm mevzuata uyumlu hâle getirmek, satış yapacağı web sitesinin bilinirliğinin artırılmasını sağlamak ve bunun için reklam ve tanıtım maliyetlerine katlanmak, satış ve satış sonrası hizmetler için destek birimi kurmak, rakipleriyle rekabet edebilmek için uygun promosyon imkânlarına sahip olmak, yurt dışına satış yapacaksa buna uygun dil seçeneklerini sunmak ve ihracata ilişkin tüm gümrük süreçlerini her bir ülke için yönetmek ve sayılan tüm bu işler için personel istihdam etmek zorundadır.

İnternete artık sadece masaüstü bilgisayar üzerinden erişilmemektedir. Dizüstü bilgisayarlardan tabletlere, cep telefonlarından akıllı televizyonlara kadar çeşitli cihazlardan internete erişilmekte ve farklı yazılımlar kullanan bu cihazlar vasıtasıyla tüketiciler mal ve hizmet siparişinde bulunmaktadır. Bir elektronik ticaret girişimcisinin başarılı olabilmesi için tüm bu platformlara uyumlu bir altyapı kurması ve arayüzlerini güncel tüm cihazlara uyumlu hâle getirerek işletmesi gerekmektedir. Aynı şekilde, altyapısı için yüksek bir internet bant genişliğine sahip olması, gelen yüke göre trafiği ölçeklendirebilmesi, farklı coğrafyalara en hızlı erişimi sunabilmek için de içerik dağıtım ağı teknolojisi kullanması gerekmektedir.

Web sitesinin kurulması tek başına yeterli değildir, hizmetin kalitesinin ve güvenliğinin sağlanması devamlı bir yatırım gerektirmektedir. Elektronik ticaret altyapıları, barındırdıkları finansal veriler sebebiyle bilişim suçlarının hedefi hâlindedir. Elektronik ticaret girişimcisinin bilhassa kullanıcı verilerine yönelen güncel riskleri bertaraf etmek için siber güvenlik yatırımı yapması gerekmektedir. Bu, ihtiyari değil bilakis zorunlu bir giderdir.

Elektronik ticarette bir diğer zorunlu gider, iş süreçlerine ilişkindir. Elektronik ticaret girişimcisinin, stok takibinden lojistik yönetimine kadar gerekli tüm yazılımlar için lisans alması lazımdır. Ayrıca, kullandığı tüm uygulamaların uçtan uca birlikte çalışabilirliğini sağlayarak stoklarının güncelliğini ve satışa sunduğu mal ve hizmetlerin niteliklerinin doğruluğunu her an temin etmesi gerekmektedir.

Kendi platformu üzerinden satış yapacak elektronik ticaret girişimcisinin mal ve hizmetleri tedarik ettiği iş ortaklarıyla, ödeme kuruluşlarıyla, lojistik alanında faaliyet gösteren hizmet sağlayıcıların her biriyle müstakil iş ilişkisi geliştirmesi gerekmektedir. Girişimcinin bu modelde iş yapabilmesi için ödeme kuruluşlarıyla ve lojistik hizmet sağlayıcılarla bire bir müzakerelerde bulunması, sistemlerini her bir ödeme kuruluşu ve lojistik hizmet sağlayıcıyla uyumlu hâle getirmesi ve kendisine sunulan bireysel tariflerle satış yapması gerekmektedir. Nihayetinde her bir hizmet sağlayıcıyla düşük hacimli işler için münferit bir müzakere gerçekleştireceğinden hizmet sağlayıcılara daha yüksek bir bedel ödemesi kaçınılmaz olacaktır.

Elektronik ticaret girişimcisi, başta web sitesi ve mobil uygulaması olmak üzere satış yaptığı tüm kanalları, elektronik ticarete ilişkin uygulanabilir tüm mevzuata uyumlu hâle getirmek zorundadır. Eğer yurt dışındaki tüketicilere mal ve hizmet sunuluyorsa hedeflenen ülkedeki elektronik ticaret sisteminde tüketiciler, ticari iletiler, kişisel verilerin korunması ve siber güvenlik başta olmak üzere ilgili mevzuatın tüm gerekliliklerine uyum sağlanması gerekmektedir. Keza, yurt dışına satış yapılacaksa buna uygun dil seçeneklerinin sunulması ve ihracata ilişkin tüm gümrük süreçlerinin her bir ülke için yönetilmesi zorunludur. Tüm bu yabancı mevzuattaki değişikliklerin de takip edilerek kendi elektronik ticaret sitesine gereğince yansıtılması beklenmektedir.

Mevzuata uyum giderleri, sadece elektronik ticaret ve kişisel veri düzenlemelerinden ibaret değildir. Faaliyet gösterilen her bir ülkedeki ilgili mevzuatın gözetilmesi gerekmektedir. Örneğin, bazen satış kanallarında coğrafi veri kullanılması sebebiyle bile yüksek oranlarda yıllık lisans ücreti ödemek zorunda kalınmaktadır.

Her girişimci gibi elektronik ticaret girişimcisinin de başarması gereken en önemli şey, satış yapacağı web sitesinin bilinirliğinin artmasını sağlamak ve rakipleriyle rekabet edebilmek için uygun promosyon imkânlarına sahip olmaktır. Bunun için önemli bir reklam ve tanıtım maliyetine katlanmak gerekir. Dijital mecralarda reklam ve tanıtım yapmak kolay olsa da doğru zamanda, doğru hedef kitlesine reklam yapabilmek için arama motorlarından ve davranışsal reklamcılık faaliyetlerinden yararlanılmalıdır. Ancak rekabet sebebiyle özellikle arama motorlarında belirli anahtar kelimelerin kullanım maliyeti çok yüksektir. Web sitesinin, arama motoru optimizasyonu da zahmetli bir süreçtir; esaslı bir yatırım gerektirmektedir.

Peki, tüm bu külfetlere karşı kendi web sitesi üzerinden tüketicilere doğrudan mal ve hizmet satışı yapmanın avantajı var mıdır?

Şüphesiz, bu modelin de kendine özgü avantajları vardır. İlk avantaj müşteri portföyüne ilişkindir. Web sitesi üzerinden satış yapılan müşteriler girişimcinin kendi portföyünde kalmaktadır. Bu kullanıcılara ilişkin oluşan tüm veriler, ziyaretçi verileri ve değerler de girişimcinin uhdesindedir; her türlü analitik analiz için herhangi bir aracıya gerek duyulmaksızın bunlara doğrudan erişilebilmektedir. Verinin bu şekilde uhdede kalması ticari sırların korunması açısından da avantaj sağlamaktadır. Yapılan reklam ve tanıtım neticesinde ortaya çıkan işletme bilinirliği de doğrudan girişimciye ait olmaktadır.

İkinci avantaj ise kuralları belirlemeye ilişkin takdir yetkisidir. Girişimci, hangi kurala ve hangi indirim veya promosyon yöntemine göre satış yapacağına kendi menfaatlerine göre kendisi karar verebilmektedir. Girişimci, riski üstlendiği kadar faydadan da doğrudan istifade etmektedir. En önemlisi ise platformda satış yapmaya devam etmesi için üçüncü kişinin onayına ihtiyaç duymaması veya kurallarına tabi olmamasıdır. İnternet ortamında gerçekleştirdiği satışlar için üçüncü bir kişiye komisyon ödeme zorunluluğu da doğmamaktadır. Platformda satışın durdurulması (de-platformisation), diğer bir deyişle platformdan menedilme riskiyle karşılaşmayacak olmak da iş sürekliliğini sağlamak adına önemli bir avantajdır.

II. Aracılı Satış Yöntemi

Elektronik ticaret altyapısı geliştirmenin ve bunu yönetmenin ortaya çıkardığı maliyet ve külfetler sebebiyle elektronik ticarete geçiş yavaş olmuştur. Elektronik ticarete ilişkin gerekli teknik ve hukuki bilgiye sahip olmama sebebiyle elektronik ticarete dönüşümde ciddi başarısızlıklar yaşanmış; bu başarısızlık hikâyeleri, elektronik ticarete yatırım yapmanın önünde önemli bir psikolojik bariyer oluşturmuştur.

Minimum maliyetle ve en hızlı şekilde internet ortamında satış yapılmasının önemli bir ihtiyaç olduğunu tespit eden girişimciler, buna yönelik platformlar geliştirmeye başlamıştır. Üçüncü kişilerin satış yapmasına olanak tanıyan platformlar, işin teknik ve hukuki külfetini üstlenerek girişimcilere kapılarını açmıştır. Bu iş modelinin adı aracı hizmet sağlayıcılıktır.

Aracı hizmet sağlayıcı, web ve mobil dâhil her platforma uygun altyapı geliştirip bu altyapının sürekli ve güvenli şekilde işletilmesinin külfetini üstlenmektedir. Bunun karşılığında doğrudan ve dolaylı kazanç elde etmektedir. Doğrudan kazanç, platformdaki işlemlerden aldığı komisyondur. Dolaylı kazanç ise tüm müşterilerin aracı hizmet sağlayıcının kendi portföyünde kalmasıdır. Bu kullanıcılara ilişkin oluşan tüm veriler, ziyaretçi verileri ve değerler aracı hizmet sağlayıcının uhdesindedir.

Aracı hizmet sağlayıcı, pazarlık gücü sayesinde hizmet sağlayıcılarla daha avantajlı sözleşme ilişkileri geliştirebilmektedir. Bu sayede, platformu üzerinden satış yapacak hizmet sağlayıcılara ücretsiz kargo veya kredi kartı kullanımında makul komisyonlar gibi özel avantajlar sunabilmektedir. Bu tür avantajlar, rekabet açısından da platform üzerinden satışı cazip kılmaktadır.

Aracı hizmet sağlayıcıların oluşturduğu platformlar, elektronik ticaret için bir pazar yeri niteliğindedir. Bu pazar yerleri, ağ etkisi sayesinde hizmet sağlayıcılara mal ve hizmetlerini tüketicilere sunmak için veri ve daha fazla bağlantı olanağı sağlamaktadır. Nihayetinde, ağ etkisinde ağ ne kadar büyürse ağdan fayda da o kadar artmaktadır. Dolayısıyla, pazar yerlerinin büyümesi bu açıdan ağın tüm üyelerine fayda sağlamaktadır. Aracı hizmet sağlayıcının platformu pazara benzetilirse aracılı satış, şehrin en işlek pazarında tezgâh açıp satış yapmak; aracısız satış ise girişimcinin, şehrin nispeten ücra bir köşesindeki dükkânında satış yapması gibidir.

Tek bir platform üzerinden birçok satıcıya ulaşmak tüketiciler için de muhtelif faydalar barındırmakta, makro seviyede tüketici refahına katkı sunmaktadır. Platform ekonomisi sayesinde tüketiciler mal ve hizmetlere daha makul ücretlerle erişebilmektedir. Platformların muhtelif hizmet sağlayıcılarla gerçekleştirdiği toplu pazarlık gücünün neticesinde kargo gibi yan unsurlardan tüketiciler çok avantajlı şekilde faydalanabilmektedir.

Aracı hizmet sağlayıcılar üzerinden satış yapılmasının siber güvenlik ve kişisel verilerin korunması bakımından etkisi nedir? Yukarıda da belirtildiği gibi bilhassa siber güvenliğin sağlanması önemli bir maliyet unsurudur. Siber risk ve tehditler gün geçtikçe şekil ve boyut değiştirmektedir. Aracı hizmet sağlayıcıların, belirli bir ölçeğe kavuşmalarıyla birlikte siber güvenlik için gereken altyapı ve istihdamı sağlamakta bireysel hizmet sağlayıcılara göre daha avantajlı olacakları söylenebilecektir.

Kişisel verilerin korunması açısından da benzeri bir değerlendirme yapılabilir. Kişisel verilerin tek bir platforma verilmesi, bunların internet ortamında kontrolsüz alanlara dağılmamasını sağlayacaktır. Öte yandan, verilerin tek bir platformda toplanması büyük bir risk olarak da değerlendirilebilir. Her iki önermenin de makul bir dayanağı vardır. Yine de kişisel verilerin tek bir platform üzerinde işlenmesi ve saklanmasının, mevzuata uyum maliyetleri dikkate alındığında tüketiciler lehine bir duruma dönüşmesi daha mümkündür. Şöyle ki: kişisel verilerin korunmasına ilişkin mevzuata uyumun beraberinde getirdiği maliyet sebebiyle girişimcilerin bundan kaçınması, uyuma ilişkin bilinç eksikliği, özellikle küçük işletmelerde muhatap bulamama sorunu veya bir ihlal durumunda bunu tazmin etme gücünün olmaması gibi faktörler dikkate alındığında tek bir noktadan uyumun gerçekleştirilmesi tüketicilerin lehine olacaktır.
Aracı hizmet sağlayıcılık modeli, düzenleyici otoriteler için de bünyesinde muhtelif avantajlar barındırmaktadır. Bu model sayesinde, geniş tüketici kitlesine ilişkin hesap verebilirliğin tek bir noktadan sağlanması, uyum seviyesinin tek bir noktada kontrolü ve gerektiği durumlarda uyum seviyesinin yeni risk ortamlarına göre hızlıca güncellenmesi nispeten daha kolaydır. Daha az veri sorumlusuyla muhatap olacak veri koruma otoritelerinin daha geniş alanda mevzuat uyumunu denetlemesi de hâliyle kolaylaşacaktır.
Bir girişimcinin aynı anda hem kendi web sitesi üzerinden doğrudan hem de aracı hizmet sağlayıcı üzerinden dolaylı satış gerçekleştirmesi veya bunun tam tersi de mümkündür. Hibrit çözümlerin de kendine has avantaj ve dezavantajları vardır.

III. Elektronik Ticaretin Siber Güvenlik Boyutu

İnternet ortamında bir ürün satarken doğrudan satış mı yapmalı, aracıların online pazar yerleri mi kullanılmalıdır?

Bu kararı verirken artık dikkat edilmesi gereken önemli bir faktör fikrimce siber güvenliği sağlama maliyetidir. Siber saldırılar çok kompleks hale gelmektedir. Yapay zeka siber saldırı araçlarını geliştirmeyi epeyce kolaylaştırmıştır. Eklentiler sebebiyle güvenlik açıklarının yönetilmesi aşırı külfetli bir hale gelmektedir.

Elektronik ticaret altyapılarında siber güvenliği sağlamak için neler yapılmalıdır? Siber güvenlik yatırımlarının sınırı yoktur. Lakin bir siber saldırı neticesinde ortaya çıkabilecek zarar, bir hizmet sağlayıcı için yıkıcı bir boyuta ulaşabilmektedir. Çok fazla örneklerini görmeye başladık.

Avrupa Birliği Hukukunda da Türk Hukuku açısından da aynı riskler ve külfetler gündeme girmektedir. 7545 sayılı Siber Güvenlik Kanunu’nun getirdiği idari para cezaları ve ihdas ettiği siber suçlar dikkate alındığında elektronik ticaret modeline ilişkin karar verirken; iş modelini seçerken mutlaaka bir etki analizi yapılması zorunludur.

Aracı hizmet sağlayıcılar siber saldırılardan muaf değildir tabii ki. Buradaki tartışma, bir esnaf veya tacirin ürünlerini satarken hangi e-ticaret modeline karar verirken dikkat etmesi gereken parametrelere dikkat çekmektir.

Satış modeli tercihine yönelik genel gözlemlerim şu şekildedir:

(1) E-ticaret altyapısı oluşturma maliyetleri sebebiyle aracı hizmet sağlayıcılar ilk dönemlerde tercih edilmiştir.

(2) Altyapı maliyetlerinin azalması ve aracıların komisyon oranlarının yüksekliği sebebiyle doğrudan satış modeline bir dönüş başlamıştır.

(3) Doğrudan satış yapan web sitelerinin tüm teknik külfetinin üstlenilmesi ve maliyetlerin sürekli artması sebebiyle ise tekrar aracılar üzerinden pazar yerlerinden satışa dönüş başlamıştır.

Elektronik ticarette trend nereye doğrudur?

Bir hizmet sağlayıcı siber güvenlikle ilgili tüm maliyetleri sağlaması kârlılığını ne kadar etkilemektedir?

Elektronik ticaret girişimcileri, bilhassa da KOBİ’ler özelinde çok fazla saha çalışması yapılması gereken bir konudur. Yine de denilebilir ki, siber güvenliği sağlamadak elektronik ticaretin en önemli bileşenidir. Siber güvenlik riskleri, seçilecek elektronik ticaret modelini doğrudan etkilemektedir.