GİRİŞ
Gelişen teknolojinin kazanımlarından olan bilgisayar ve internetin giderek yaygınlaşması ve hayatı kolaylaştıran ciddi bir rol üstlenmesi üzerine gerek bireyler gerekse devletler, bilgisayar, internet ve ağ tabanlı sistemlerin kullanımını neredeyse hayatın her alanına entegre etmiştir.
Günümüzde ticaretten, kritik alt yapı hizmetlerine; enerji üretimi ve dağıtımından, hukuk işlerine; endüstriyel tesislerden kamu hizmetlerine kadar, büyük öneme sahip birçok işin yürütülmesinde internet ve bilgisayarlar kullanılmaktadır. Bütün bunları desteklemek ve kesintisiz, sürdürülebilir hizmet yaratabilmek amacıyla da ağ tabanlı yeni sistemler ve bilişsel veriler oluşturulmuştur.
Varlığını internete borçlu olan bu sistem ve veriler, taşıdığı önem itibariyle kötü niyetli müdahalelere ve saldırılara açık durumdadır. Bunun sonucunda ise “Siber Egemenlik Alanı”, “Siber Uzay”, “Siber Saldırı” ve “Siber Savaş” gibi kavramlar ortaya çıkartmıştır. Ne var ki siber alanla ilgili normlar yeni yeni ortaya çıkmaktadır. [1] Uluslararası hukuk kurallarının bu alana uygulanıp uygulanamayacağı ise tartışmalıdır.
SİBER ALAN NEDİR?
Uluslararası hukuk ve iç hukuka göre bir devletin ülkesi kara, deniz ve hava bölümlerinden oluşmaktadır. [2] Bununla beraber, teknolojinin gelişmesiyle, “İnternet, telekomünikasyon ağları, bilgisayar sistemleri ve entegre işlemciler ve denetleyiciler dahil olmak üzere bilgi sistemleri altyapılarının birbirine bağlı ağından meydana gelen bilgi çevresindeki küresel alan yani siber alan[3]” ortaya çıkmıştır.
Siber alan, ülkeler tarafından çeşitli şekillerde tanımlanmıştır ve bu tanımlamalar ışığında bunun devletin egemenlik hakkı çerçevesinde nasıl konumlandırılacağı, bu bölümlerden biri gibi kategorize edilip edilemeyeceği farklılıklar göstermektedir. ABD, Çin, Rusya gibi ülkelerin her birinin buna getirdiği farklı açıklamalar mevcuttur.
ABD,2017 Ulusal Güvenlik Strateji Belgesinde; hava, kara, deniz ve uzay alanlarına siber alanı da dahil etmiştir.[4]
Türkiye ise 2016-2019 Ulusal Siber Güvenlik Stratejisi’nde; siber uzay, tüm dünyaya ve uzaya yayılmış̧ durumda bulunan bilişim sistemlerinden ve bunları birbirine bağlayan ağlardan oluşan veya bağımsız bilgi sistemlerinden oluşan sayısal ortam olarak tanımlamıştır. [5]
Siber alan içinde, devlet dışı ve devletin kendisi olmak üzere çeşitli aktörler mevcuttur.Devlet dışı aktörler, Hacker (Bilgisayar korsanı), Hacktivists(Bilgisayar Aktivistleri), Cyber Warriors (Siber Savaşçılar), Organize suç şebekeleri , Script Kiddies (Senaryo- Kod Amatörleri) olarak sayılabilir. Devlet aktörleri ise onun adına hareket eden kolluk kuvvetleri, istihbarat servisleri ve silahlı kuvvetlerdir.
Devlet, Siber Alan ve Egemenlik Hakkı
Egemenlik devlet olmanın temelidir ve üç temel hakkı beraberinde getirmiştir. Toprak bütünlüğü ve toprak otoritesi hakkı, devlet yetkilerinin bağımsızlık hakkı ve uluslararası düzende devletlerin eşitliği. [6]
Ne var ki devletler siber alan üzerinde egemenlik hakkı ilan edememektedir çünkü siber ortamda iletişimler sanal bir boyuta sahiptir ve genellikle bölgesel bir sınırı bulunmamaktadır. Buna rağmen, siber uzayın bilgisayarlar, entegre devreler, kablolar ve iletişim altyapısından oluşan fiziksel bir yönü de vardır.[7] İşte devletler bu altyapılar üzerinde egemenlik hakkını kullanabilmektedir. Bu yüzden de siber altyapı devletin denetimine tabiidir.
Siber Saldırı Nedir?
Birleşmiş Milletler Genel Kurulu’nun 3814 (XXIX) sayılı ve 1974 Tarihli Kararına göre saldırı “Bir devletin diğer bir devletin egemenliğine, ülke bütünlüğüne veya siyasi bağımsızlığına karşı veya işbu tanımda belirtildiği üzere, Birleşmiş Milletler Antlaşması ile bağdaşmayan diğer herhangi bir tarzda silahlı kuvvet kullanılmasıdır.”
Siber saldırı ise, bir bilgi işlem ortamını/altyapısını bozmak, devre dışı bırakmak, tahrip etmek veya kötü niyetli olarak kontrol etmek veya verilerin bütünlüğünü bozmak veya kontrol edilen bilgileri çalmak amacıyla bir kuruluşun siber uzay kullanımını hedef alan siber uzay yoluyla yapılan saldırıları olarak adlandırılmaktadır.[8]
Siber saldırı türleri, “Hizmet Engelleme”, “Yetki Artırımı”, “Truva Atı” ,”Botnetler” “Mantık Bombası” ve “Solucanlar” olarak sıralanabilir. Ayrıca önceden belirlenmiş bir hedefe saldırmak için programlanan “Gelişmiş Siber Tehditler” (Advanced Persistent Threats – APT) de mevcuttur ve bu saldırılar ile herhangi ağa bağlı olmayan sistemlere kendilerini gizleyerek girebilir uzun süre tespit edilmeden saldırılarını sürdürebilirler.
Siber saldırıların hedefinde; “sosyal ağlar”, “akıllı şebekeler,” “kapalı devre sistemler”, “acil yardım sistemleri”, “çeşitli web sayfaları”, “kritik alt yapılar” bulunmaktadır.[9]
Siber Saldırıların Etkileri
Siber saldırıların, siber sistemler üzerinde yarattığı sonuçlar siber aktörleri doğrudan ve dolaylı olarak etkilemektedir. Siber sistemler üzerindeki etkiler, “Verim kaybı (Degradation)”; “Kesilme (Interruption);” “Değiştirme (Modification)”; “Aldatma (Fabrication)”; “Durdurma (Interception)”; “Yetkisiz kullanım (Unauthorized use)” olarak tasnif edilmiştir. [10]
Ayrıca Siber saldırı sonucunda finansal maliyet ve gizli maliyet olmak üzere çeşitli külfetler ortaya çıkmaktadır. Dünya Ekonomik Forumu’na göre, siber saldırıların maliyeti saldırı türüne göre değişmektedir. Örneğin: Kötü amaçlı yazılımlardan kaynaklanan siber saldırıların ortalama maliyeti: 1,4 milyon dolara kadar yükselirken; Hizmet Reddi (DOS) kaynaklı siber saldırıların ortalama maliyeti: 1,1 milyon doları bulmaktadır.[11] Bununla beraber siber saldırılarla ilişkili çok sayıda gizli maliyet vardır. Gizli maliyetler şirket içi karışıklıklar, itibar kaybı, müşteri kayıpları, yasal yükümlülüklerin ihlali, GDPR aykırılıkları, sözleşme ihlalleri, mesleki kural ve standartların ihlalleri[12] şeklinde sıralanabilir.
Yine, bu makalenin asıl konusu olan devletlere yöneltilmiş siber saldırılar da mevcuttur. “Siber saldırılarla kritik bilgiler elde edilebilir, her çeşit istihbarat, askeri komuta ve kontrol sistemleri devre dışı bırakılabilir, bilgisayar destekli silahlara ve sistemlere zarar verilebilir, bankalar ve borsalar gibi ekonomik açıdan kritik kurumlar çalışamaz hale getirilebilir, devletlerin milli güvenlikle ilgili web sitelerinden bilgiler sızdırılabilir ya da internet ağına bağlı sistemlere ciddi zararlar verilebilir.” [13]. Örneğin; 2007 yılında Estonya çok ciddi siber saldırılara uğramıştır. Estonya Hükümetinin açıklamalarına göre Savaş Anıtının kaldırılmasını takiben[14] “Yerel Medyaya”, “Hükümet Altyapı Tesislerine” ve “Finansal Hizmet Sağlayıcılarına” karşı peşi sıra gerçekleşen saldırıların boyutu o kadar ağırdır ki “Dijital Pearl Harbor” olarak adlandırılmıştır.”[15] Saldırıların doğal sonucu olarak Estonya halkı etkilenmiş ve ciddi karışıklıklar meydana gelmiş, iletişim sorunları ve maddi kayıplar ortaya çıkmıştır. Sorumluların bulunabilmesi adına hükümet, NATO ve AB uzmanlarından yardım istemiştir. Örnekten yola çıkılarak anlaşılacağı üzere devletler varlıklarını sürdürebilmek için siber güvenlik önlemleri almak durumundadır.
Ne var ki burada, uluslararası hukuk kurallarının siber saldırılara nasıl uygulanacağı sorunu ortaya çıkar.
Siber Saldırılar ve Egemenlik Sorunu
Siber alanının “suniliğinin” egemenlik sorunu yaratması ve bunun sınırlarının hala tam anlamıyla oturtturulamamış olması sebebiyle henüz bu alanda tam anlamıyla bağlayıcı ve caydırıcı özel bir düzenleme oluşturulamamıştır. Bu anlamda iki farklı görüş bulunmaktadır: mevcut silahlı çatışma kuralların uyarlanması (ABD destekli görüş) ve siber silahların yasaklanması. (Rusya destekli görüş). Görüş farklılıkları her ne kadar kolektif bir çözüm bulunmasını zorlaştırsa da barış ve güvenlik ortamının sürdürülebilirliği açısından var olan normlara başvurmak ve uyarlama yoluna gitmek yer yer çözüm getirebilmektedir. Bu bağlamda uyarlamaya kaynak teşkil edecek en önemli norm “mevcut uluslararası düzeni ve devlet davranışlarını belirleyen Birleşmiş Milletler Anlaşması’dır.” “Bu norma Birleşmiş Milletler teşkilatına üye olsun veya olmasın bütün devletler uymak zorundadır.”[16]
Siber Savaş, Uluslararası Hukuk Bakımından Kuvvet Kullanımı ve BM Antlaşması
Siber Savaş̧, bir ulus devletin başka bir ulus devletin bilgisayarlarına ya da ağlarına nüfuz etme, hasar verme veya aksamaya yol açma eylemleri olarak ifade edilmektedir. (Clarke ve Knake, 2010:6) [17] Siber savaşın aktör ve amaç olmak üzere iki unsuru vardır. Burada aktör devlet, amaç ise bir devletin diğer bir devletin ağlarına veya sistemlerine zarar verme niyetidir.
Silahlı güce başvurma konusunda günümüzde temel alınan düzenleme olan BM Antlaşması’nda kullanılan terim, “kuvvet kullanmadır”. Birleşmiş̧ Milletler Anlaşmasının 2.maddesinin 4.fıkrasına göre; “Teşkilatın üyeleri, milletlerarası münasebetlerinde gerek bir başka devletin toprak bütünlüğüne veya siyasi bağımsızlığına karşı, gerekse Birleşmiş̧ Milletlerin amaçları ile telif edilemeyecek herhangi bir surette, tehdide veya kuvvet kullanılmasına başvurmaktan kaçınırlar”.
Ancak burada, atıf sorunu, hangi durumların barışı tehdit edip etmediği ya da ne ölçüde tehdit ettiği gibi cevaplanması gereken problemler ortaya çıkmaktadır. Buna örnek olarak 2010 yılında İran’ın nükleer geliştirme tesisine yönelik gerçekleştirilen “Stuxnet” saldırısı gösterilebilir. “Stuxnet basitçe bir bilgisayar virüsü olarak anılsa da, esasen uzaktaki bilgisayar sistemlerine nüfuz etmesi ve bunları kontrol altına alması için tasarlanmış son derece kompleks bir bilgisayar programıdır”.[18] Ülkenin nükleer geliştirme tesisi gibi, kritik alt yapısını hedef alan bu saldırı ciddi bir yıkıcı etkiye sahip olması sebebiyle BM Antlaşmasını kapsamında bir saldırı olarak nitelendirilebilecektir. Bununla beraber bir kuvvet kullanımının ve buna bağlı aşağıda da bahsedileceği üzere meşru müdafaa hakkının kullanılabilmesi için saldırının isnat edilebilmesi gerekmektedir. Her ne kadar bu saldırının ABD [19]ve İsrail[20] tarafından gerçekleştirildiğine inanılsa[21]da doğruluğu ciddi ölçüde kanıtlanamamıştır. Bu sebeple isnat edilebilirliği yoktur.
İsnat edilebilirlik ,barışı tehdit edip etmeme ve kuvvet kullanımı olarak nitelendirilebilme problemini bertaraf etmenin yolu ise BM Güvenlik Konseyi’nin her olayı kendi içinde dikkatlice değerlendirerek karar almasıdır.
Kuvvet Kullanma Yasağının İstisnası: Meşru Müdafaa Hakkı
Birleşmiş̧ Milletler Anlaşması’nın 51. Maddesi ile, “İşbu Antlaşmanın hiçbir hükmü, Birleşmiş̧ Milletler Üyelerinden birinin silahlı bir saldırıya hedef olması halinde, Güvenlik Konseyi Milletlerarası barış̧ ve güvenliğin muhafazası için lüzumlu tedbirleri alıncaya kadar, tabii olan münferit veya müşterek meşru müdafaa hakkına halel getirmez. Bu meşru müdafaa hakkını kullanarak Üyelerin aldığı tedbirler derhal Güvenlik Konseyi’ne bildirilir ve Konseyin, işbu Antlaşmaya dayanarak milletlerarası barış ve güvenliğin muhafaza veya iadesi için lüzumlu göreceği şekilde her an hareket etmek yetki ve ödevine hiçbir vesile tesir etmez.” Şeklinde açıklandığı üzere bir devlet silahlı saldırıya hedef olduğu takdirde bunu bertaraf etmek için meşru müdafaa hakkına başvurabilecektir. Meşru müdafaa hakkının kullanılması, gereklilik, orantılılık, yakınlık ve ivedilik şartlarına tabidir.
Eylemlerin hangi durumda silahlı saldırı olarak kabul edilebileceği konusunda ise tartışmalar mevcut olmakla beraber iki önemli kaynak mevcuttur. Bunlardan biri Birleşmiş Milletler Genel Kurulu’nun 3314 (XXIX) sayılı ve 1974 tarihli Kararı’nın 3. Maddesinde belirtilen saldırı tanımıdır. [22] Buna göre saldrı, “bir başka devletin egemenliğine, ülke bütünlüğüne ya da siyasi bağımsızlığına karşı ya da BM Şartı’na aykırı herhangi bir biçimde silahlı kuvvet kullanma” olarak tanımlanmıştır. [23]
Bu tanımdan hareketle, devletler arası barış ve güvenliği korumak adına geniş yorumlama yapıldığı takdirde siber saldırıların da silahlı kuvvet kullanma kapsama gireceği sonucunda varılabilir. Burada dikkat edilmesi gereken diğer bir husus siber saldırının devlet dışı aktörler değil, başka bir devlet tarafından veya devlete bağlı aktörler tarafından gerçekleştirilmiş olması gerektiğidir. Devlet dışı aktörlerin eylemleri yasadışı olsa bile bu kapsamda değerlendirilmeyecektir.
Devlet ve ona bağlı aktörlerin gerçekleştirdiği saldırıların siber saldırı olarak nitelendirilmesinde kullanılan bir diğer kaynak ise NATO tarafından geliştirilen uluslararası hukukun siber savaş için nasıl uygulandığına ilişkin akademik, bağlayıcı olmayan bir çalışma olan “Savaşa Uygulanacak Uluslararası Hukukla ilgili Tallinn El Kitabı”nın geliştirilmesi olmuştur. [24] Bu kriterler: Yıkıcılık(severity), Anilik(immediacy) , Nedensellik (directness); İstilacılık (invasiveness) Ölçülebilirlik (measurability);Askeri Karakter(military character); Devletin Rolü(state invovement); Muhtemel Meşruiyet (presumptive legitimacy); [25] olarak tasnif edilmiştir.
Bu belgeye göre yapılabilecek en mantıklı şey yeni normlar oluşturulana kadar uluslararası çatışma hukukuna ait normların bu alana uygulanmasıdır. Tam anlamıyla çözüm getirmese, konu hakkında hala çeşitli tartışmalar olsa da şu an için barış ortamının korunabilmesi ve hukuki zeminde hareket edilebilmesi için Talinn Klavuzu ve BM antlaşması büyük öneme sahiptir.
SONUÇ
- Günümüzde siber saldırılar uluslararası boyutta, artan bir ivme ile devletlerin varlığını ve güvenliğini tehdit etmektedir.
- Siber alanda gerçekleşen bu saldırıların devletlerin egemenlik alanına dahil edilip edilemeyeceği ve dahil edilirse nasıl edileceği konusunda tartışmalar mevcuttur. Ancak siber altyapı hizmetleri ve denetimi bu egemenliğe dahildir.
- Siber saldırılar karşısında henüz bağlayıcı normlar geliştirilmemiştir. Bu sebeple saldırı öncesi önlemlerin alınması hayati öneme haizdir.
- Siber saldırılara yönelik çözüm geliştiren iki bakış açısı bulunmaktadır. Bu görüşlerden baskın olan ABD’nin desteklediği ilk yaklaşıma göre halihazırda var olan normlar siber alana uyarlanmalıdır.
- Günümüzde bu uyarlamaya esas alınabilecek en bağlayıcı norm Birlemiş Milletler Antlaşmasıdır.
- Buna göre Kuvvet kullanmayı düzenleyen Antlaşmanın 51. Maddesinden yola çıkılarak meşru müdafaa hakkı kullanılabilmektedir.
- Bu konuda bir diğer önemli çalışma ise NATO öncülüğünde hazırlanan Talinn Kılavuzudur.
- Siber saldırılar hakkında normlar yaygınlaşıncaya kadar çoğunluk devletleri koruyabilmek adına geniş yorum yapılmasından yana olmuş ve silahlı çatışma hukukunun kurallarını uygulamaya karar vermiştir. Aksi takdirde barış ve güvenliğin sağlanması zorlaşacaktır.
KAYNAKÇA ve DİPNOTLAR
- BOLAT Can, Siber Saldırılara Karşı Meşru Müdafaa Hakkının Uluslararası Hukuk Açısından İncelenmesi, Doktora Tezi (http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf)
- https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
- Hüseyin Pazarcı, Uluslararası Hukuk, Gözden Geçirilmiş 3.Bası, Turhan Kitabevi, Ankara 2014, s.143
- National Security Strategy of the United States of America 2017,
- https://www.whitehouse.gov/wp-content/uploads/2017/12/NSS-Final-12-18-2017-0905.pdf,s.8, 09.09.2018
- T.C. Ulaştırma Denizcilik ve Haberleşme Bakanlığı, 2016-2019 Ulusal Siber Güvenlik Stratejisi, (Çevrimiçi) http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf, 12.09.2018
- Harriet Moynihan,International Law Programme, The Application of International Law to State Cyberattacks Sovereignty and Non-intervention,
- https://csrc.nist.gov/glossary/term/Cyber_Attack
- Piret Pernik,” Improving Cyber Security: NATO and The EU”, International Centre for Defence Studies, Talinn, 2014, s.1.
- https://www.cybertalk.org/9987-2/
- https://www.lawscot.org.uk/members/business-support/technology/cybersecurity-guide/the-consequences-of-a-cybersecurity-breach/
- S. YENAL, N. AKDEMİR ÇAKÜ Sosyal Bilimler Enstitüsü Dergisi/ Journal of Institute of Social Sciences Cilt/Volume: 11, Sayı/Number: 1, (Nisan/April 2020): 414-450
- http://hrlibrary.umn.edu/instree/GAres3314.html
- https://en.wikipedia.org/wiki/Tallinn_Manual
- Micheal N.Schmitt et.al, Talinn Manual, s.51
- ULUSLARARASI HUKUK BAĞLAMINDA SİBER SAVAŞ VE SAVAŞ HUKUKU KURALLARININ SİBER SAVAŞA UYGULANABİLİRLİĞİ MESELESİ ,Arş. Gör. Erdi ŞAFAK
- STUXNET SALDIRISI VE ABD’NİN SİBER SAVAŞ STRATEJİSİ: ULUSLARARASI HUKUKTA KUVVET KULLANMAKTAN KAÇINMA İLKESİ ÇERÇEVESİNDE BİR DEĞERLENDİRME, Şener ÇELİK
[1] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[2] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[3]https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
[4]https://www.whitehouse.gov/wp-content/uploads/2017/12/NSS-Final-12-18-2017-0905.pdf
[5]http://www.udhb.gov.tr/doc/siberg/2016-2019guvenlik.pdf [6](https://www.chathamhouse.org/sites/default/files/publications/research/2019-11-29-Intl-Law-Cyberattacks.pdf
[8] https://csrc.nist.gov/glossary/term/Cyber_Attack
[9] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[10] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[11] https://www.cybertalk.org/9987-2/
[13] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[14] https://www.bbc.co.uk/turkish/news/story/2007/05/070517_estonia_cyber.shtml
[16] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[17] https://dergipark.org.tr/en/download/article-file/1114311
[18] https://hukuk.deu.edu.tr/dosyalar/dergiler/dergimiz-15-1/senercelik.pdf
[19] https://hukuk.deu.edu.tr/dosyalar/dergiler/dergimiz-15-1/senercelik.pdf
[21] https://hukuk.deu.edu.tr/dosyalar/dergiler/dergimiz-15-1/senercelik.pdf
[22] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf
[23] http://hrlibrary.umn.edu/instree/GAres3314.html
[24] https://en.wikipedia.org/wiki/Tallinn_Manual
[25] http://nek.istanbul.edu.tr:4444/ekos/TEZ/ET001670.pdf