Uğur Ermiş tarafından yazılmış tüm yazılar

Uğur Ermiş, 2012 yılından beri Uludağ Üniversitesi İ.İ.B.F. Uluslararası İlişkiler Bölümü Siyasi Tarih Anabilim dalında Araştırma Görevlisi olarak çalışmaktadır. “Nükleer Caydırıcılık Olgusunun Siber Caydırıcılık Kavramı ile Karşılaştırmalı Analizi” başlığıyla yaptığı yüksek lisans tez çalışmasını 2015 yılında savunmuştur. Uludağ Üniversitesi'nde doktora eğitimine devam etmektedir. Kritik altyapıların siber güvenliği ve siber caydırıcılık kavramları konusunda yayımlanmış makaleleri bulunmaktadır.
Makale & Analiz

Siber uzay güçler dengesini değiştiriyor

Yorum yapın

ABD’li siyaset bilimci Joseph Samuel Nye, “Nuclear Lessons for Cyber Security” başlıklı makalesinde nükleer alan ve siber uzay arasında, bir önceki yazımızda irdelenen tüm benzerlikleri ve farklılıkları ortaya koyduktan sonra nükleer tarihten alınacak tecrübeyle, siber uzayın geleceğine ilişkin çıkarımlarda bulunmaktadır.

Nye, nükleer çağın başında bu güce sahip devletlerin kabul etmediği işbirliğini daha sonra kabul etmesine benzer bir sürecin siber uzayda da gerçekleşeceğini savunmaktadır. Bu bağlamda, meydana gelen olayların bu süreci oluşturduğu ve hızlandırdığını örnek gösteren Nye, nükleer alanda II. Berlin Krizi ve Küba Füze Krizi’nin doğurduğu etkiyi siber uzayda Estonya ve Gürcistan’a yapılan DDOS saldırıları ile İran’a yapılan STUXNET saldırısının oluşturacağını düşünmektedir. Yapılan saldırılar ve gelecekte gerçekleşecek saldırılar devletleri işbirliğine itecektir. Bu sürecin ardından gerçekleştirilecek uluslararası işbirliği ve oluşturulacak düzenlemeler siber uzayı daha güvenli bir yer haline getirecektir. Nye, tespit/isnat konusunda ortaya konulan tüm argümanlara rağmen siber caydırıcılığın mümkün olduğunu iddia etmektedir. Savunmanın daha güçlü hale getirilmesi, aktif savunmanın sağlanması, kimliği önemsenmeksizin saldırgana doğrudan karşı saldırı gibi önlemlerle caydırıcılık sağlanabilecektir. Lupovici’ye benzer şekilde Nye da çalışmasında özellikle siber uzayın devlet dışı aktörlere verdiği güce vurgu yapmaktadır. Bu aktörlere karşı caydırıcılığın daha zor sağlanacağı ve böyle durumlarda önleyici tutumun ve insan temelli istihbaratın önemli olacağını belirtmektedir.

UĞUR ERMİŞ’İN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYIN

Nye, “Cyber Power” adlı çalışmasında “Nuclear Lessons for Cyber Security” makalesinde kısaca değindiği, siber uzaydaki aktörler ve aktörlerin konumlarını ayrıntılı olarak irdelemektir. Bilindiği üzere 1648 Westphalia Barış Antlaşmaları’yla uluslararası sistemde aktörler yeniden tanımlanmıştır. Westphalian dönemde, feodal lordların, prenslerin, dini otoritenin ve imparatorların gücü paylaştığı uluslararası sistem değişmiş ve merkezi devletlerin yegane aktör olduğu sistem ortaya çıkmıştır. Bu süreçte güç kazanan merkezi devletler kendi içerisinde bulunan diğer aktörleri ortadan kaldırmışlardır. Ulusal kiliseler kurularak devletin içişlerine müdahale etmek isteyen Katolik Kilisesi engellenmiştir. 1848 Devrimleri diğer adıyla uluslar baharı sonrası ise merkezi devletler/imparatorluklar ulus devletler şeklinde bölünmüştür. I. Dünya Savaşı sonrası genel kabul gören ulusların kendi kaderini tayin hakkı ilkesi ile daha da güç kazanan ulus devletler, günümüzde yaklaşık 200 devletten oluşan uluslararası sistemin temelini teşkil etmektedir.

Siber uzayın ortaya çıkışı sonrası ve özellikle siber uzayın kullanımında son 20 senede yaşanan artış ise ulus devletlerin tek meşru otorite olarak kabul edildiği sistemi tehdit etmektedir. Siber uzayın sanal katmanında sınırların olmayışı ve bu durumdan kaynaklı egemenlik alanlarının belirsizliği, devlet dışı aktörlerin güç kazanmasına neden olmuştur. Bu durumu güç yayılımı (power diffusion) olarak kavramsallaştıran Nye, devletlerin kara, deniz ve hava boyutlarında olduğu gibi siber uzayda da bir güç olarak var olmalarına karşın, siber uzayın doğasının devletlerin tek aktör olarak bu alanda hâkim olmalarına izin vermeyeceğini belirtmiştir. Bu bağlamda siber uzayda güç, büyük devletlerden diğer devletlere ve daha da önemlisi devlet dışı aktörlere yayılmaktadır. Ortaya çıkan yeni sistem ise pre-westphalian sistemin çok aktörlü yapısı ile benzerlik göstermektedir.

Nye’ın ortaya koyduğu bu görüşe katılmakla birlikte her ne kadar siber uzayın doğası, aktör yapısı itibariyle pre-westphalian dönemle benzerlik gösterse de bu alanda aktörlerin birbirleriyle ilişki kurarken dayandığı kapasiteler farklılık göstermektedir. Daha öncede belirttiğimiz gibi siber uzayda en fazla varlığa sahip olan devletler saldırıya en açık olanlardır. Orta Çağ’da askeri anlamda en güçlü olan aktör, diğer aktörler üzerinde egemenlik kurarken, siber uzayda güçlü olan aktörün diğer aktörler üzerinde egemenlik kurması mümkün değildir. Aksine, siber uzayda güçlü olan devletin siber uzayda varlığı olmayan ama ofansif kabiliyet geliştirmiş bir aktör karşısında konvansiyonel karşılık vermesi dışında bir seçeneği yokken, ofansif kabiliyet geliştiren aktör, siber uzayda devlete büyük zarar verebilir.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

 

Makale & Analiz

Nükleer dünyadan siber uzaya: İktidarın yeni boyutu

Yorum yapın

Joseph S. Nye, “Nuclear Lessons for Cyber Security” isimli makalesinde 1950’li yıllardan başlayarak ABD ve SSCB’nin nükleer silah sahibi olması sonrası bu silahların defansif ve ofansif kullanımı ile, misilleme ve kontrol altında tutulması gibi alanlarda geliştirdikleri on yıllar alan pratikleri incelemiştir. Bu incelemenin ardından da nükleer alandan alınacak derslerin siber uzayda uygulanıp uygulanamayacağını sorgulamıştır.

Siber uzayın fiziki ve sanal katmanını birbirinden ayıran Nye, diğer yazarların da belirttiği gibi siber uzayın fiziki altyapısını oluşturan parçaların (fiber kablolar, kapalı ağlar, internet altyapısı) klasik egemenlik kurallarına tabi olduğunu belirtmiştir. Bu altyapının üzerinde oluşan sanal yapının ise klasik egemenlik kuralları çerçevesinde kontrol edilmesinin zorluğuna vurgu yapmıştır.

UĞUR ERMİŞ’İN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYIN

Nye’ın altını çizdiği bir diğer unsur ise siber uzayın maliyet etkinliğidir. Deniz ve hava güçleri ve bu güçlerin alan hâkimiyetlerinin maliyeti oldukça fazladır. Nye ise siber uzayın maliyet etkinliği sayesinde devlet dışı aktörlerin ve göreli olarak küçük devletlerin önemli roller oynayabileceği bir alan olduğunu belirtmektedir.

Nye, “Cyber Power” isimli çalışmasında deniz ve hava boyutlarıyla benzer karşılaştırmayı yapmasının ardından siber uzay ile kara boyutu arasında üç benzerlik tespit etmektedir. Bu benzerlikler “aktör sayısı”, “alana giriş kolaylığı” ve “gizlenme/kamuflaj imkanları”’dır. Deniz, hava ve uzay boyutlarının aksine kara boyutuna benzer şekilde siber uzayın oluşturduğu beşinci boyutta da büyük güçler mutlak bir hâkimiyet kuramayacaklardır. Çünkü en çok ağlanan devlet, aynı zamanda saldırıya en açık olan devlettir. Bu nedenle büyük güçlerin diğer boyutlarda hâkimiyetlerini destekleyen ağlanmışlıkları, siber uzayda en büyük zaafları haline gelmektedir.

Amir Lupovici’nin vurguladığı siber uzayda saldırının, savunma karşısındaki üstünlüğü tezine Nye da katılmaktadır. Büyük güçlerin siber uzayda savunma ve saldırı yapabilmek için geliştirdikleri tüm kapasitelerine rağmen özellikle internetin güvenlik kaygısı duymadan geliştirilen mimarisi, herhangi bir aktörün bulabileceği göreli olarak basit bir sistem açığıyla çok büyük zararlar verme potansiyelini ortaya çıkarmaktadır.

Siber uzayı farklı kılan bir diğer unsur ise saldırganın ortadan kaldırılması sorunudur. Fiziki dünyada silahsızlandırma, düşmanın yok edilmesi ya da işgal edilmesiyle çözülebilecek olan bu sorun, siber uzayda tespit/isnatta yaşanan problemlerden dolayı kolayca çözülememektedir. Tespit / isnat noktasında genellemeye giden Nye, temelde siber uzay kaynaklı tehditleri beş başlıkta ele almaktadır. Sadece rahatsızlık verici yönünden dolayı hacktivizmi bir kenara koyduktan sonra siber suç ve siber terörü devlet dışı aktörlerle ilişkilendirirken, siber savaş/saldırı ve ekonomik amaçlı siber casusluğu ise devletlerle ilişkilendirmektedir. Nye’ın ekonomik amaçlı siber casusluğu devletlerarası düzeyde gerçekleşmesi muhtemel bir tehdit olarak kabul eden bu genellemesi tarafımızca kabul edilmemektedir. Çok uluslu şirketlerin değerlerinin ve kontrol ettikleri meblağların üçüncü dünya ülkelerinin ekonomileriyle yarıştığı günümüzde, ekonomik amaçlı siber casusluğun devlet dışı aktörler tarafından yoğun olarak kullanılma potansiyeli içerdiği varsayımında bulunulabilir.

Nye, makalesinin ilerleyen bölümlerinde, siber uzay ve nükleer alanı karşılaştırarak bazı temel farklılıklara vurgu yapmaktadır. Bu farklılıklar genel ve soyut olarak dört başlıkta belirtilebilir:

1) Siber saldırı ve nükleer saldırı arasında nitelik farkı bulunmaktadır. Siber saldırı kaynağı belirsiz ve etkisi uzun zaman sonra fark edilebilecek şekilde gerçekleşebilirken, nükleer saldırılar gayet açık, etkisi ve kaynağı belirlenebilecek şekilde olmaktadır.

2) Siber saldırılar çok büyük meblağlara mal olan ekonomik zarara neden olsa da en fazla insanlığı birkaç on yıl geriye götürebilecek kapasiteyi barındırmaktadır. Oysa nükleer silahlar insanlığı tamamen ortadan kaldırabilir.

3) Siber uzay içerisinde askeri yapılar çok az yer tutarken, nükleer alan tamamen askeri kökenlidir.

4) Siber uzay ekonomik nedenlerden ötürü tüm aktörlere açıkken, nükleer alan özellikle nükleer terörizm endişesinden ötürü devlet dışındaki aktörlere kapalıdır.

Yukarıda genel ve soyut olarak verilen tüm bu farklılıklara karşın Nye’a göre siber uzay ile nükleer alan arasında siber uzayın kullanımı noktasında yönlendirici benzerlikler bulunmaktadır. Bu benzerlikler dört başlıkta ele alınabilir:

1) “Devam eden teknolojik değişimin stratejideki ilk teşebbüsleri zorlaştırması beklenmektedir,

2) Yeni bir teknoloji üzerine strateji kurmak yeterli deneysel tecrübeden yoksun kılacaktır,

3) Yeni teknolojiler sivil-askeri ayrımına yeni konular ilave edecektir,

4) Siviller tarafından kullanım, ulusal güvenlik stratejisinin işlevselliğini zorlaştıracaktır.”

Bu benzerliklerden ilki olan devam eden teknolojik değişimin stratejideki ilk teşebbüsleri zorlaştırması beklentisine göre nükleer silahların ilk kez kullanılmasından sonra ortaya konan stratejiler, 1950’li yıllarda hidrojen bombasının ve kıtalararası balistik füzelerin icat edilmesiyle işlevsiz hale gelmiştir. Bu noktadan sonra, “sonu olan caydırıcılık yaklaşımı”’nın yerini, “varoluşsal caydırıcılık” almıştır. Yaşanan bu değişim Lupovici’nin de ortaya koyduğu üç ilkeden biri olan tehdidin gerçekliğini ön plana çıkarmıştır. Küba Füze Krizi’nde ABD’nin rakamsal üstünlüğüne rağmen birkaç SSCB bombası iki devletin birbirini karşılıklı olarak tamamen imha etme korkusunu ortaya çıkarmış ve varoluşsal caydırıcılık savaşı önlemiştir.

Günümüzde siber uzayda yaşananlara da aynı analoji uygulanabilir. Nükleer silahlanmada hidrojen bombasının yarattığı kırılma, siber uzayın kullanımının son 20 senede yaşadığı artışa ve bu artışın ortaya çıkardığı problemlere benzetilebilir. Bu süre içinde yaşanan artış ve önümüzdeki süreçte bu artışın devam etmesi, siber uzayda verilecek zararların devletler açısından varoluşsal etkileri olmasına yol açacaktır. Bu nedenle geliştirilecek stratejiler teknolojide yaşanacak değişimlere uyumlu olmalıdır.

Nye’ın ikinci olarak belirttiği yeni bir teknoloji üzerine strateji kurmanın yeterli deneysel tecrübeden yoksun kılacağı benzerliğine uygun bir biçimde; 9 Ağustos 1945’te Nagazaki’ye atılan nükleer bombadan sonra dünyada hiçbir güç nükleer bombayı savaşta kullanmamıştır. Elde edilen kısıtlı veriye karşın, stratejistler yeterli deneysel tecrübeden yoksun halde varsayımsal senaryolar üzerinden kaynaklarını boşa kullanmışlardır. Siber uzayda ise saldırganlar, son on yılda yapılan belli başlı saldırılardan gelen veriler neticesinde daha fazla bilgiye sahip olmuşlardır. Bu noktada siber yıkıma ilişkin elde edilen veriler, alanı nükleer deneyimden ayırmaktadır. Bu ayrıma ve eldeki tüm verilere karşın henüz bir siber savaş yaşanmamıştır. Estonya ve Gürcistan’da yaşanan DDOS saldırısı ya da İran’a STUXNET’le yapılan endüstriyel sabotaj sadece gelecekte yaşanabileceklere dair ipuçları vermektedir. Tüm bu ipuçlarına karşın yaşanacak bir siber savaşta hesap edilemeyen zararların neler olacağı ya da Lupovici’nin de vurguladığı ölçülülük ve suçlunun ayrımının savaş hukuku çerçevesinde nasıl yapılacağı bilinmemektedir.

Bu benzerliklerden üçüncüsü olan yeni teknolojik buluşların sivil – askeri ayrımına yeni konular ilave etmesine göre, söz konusu bu teknolojilerin ortaya çıkmasının ardından kullanımı ve kontrolü, devletin farklı mekanizmaları tarafından farklı şekilde algılanmaktadır. Örneğin ABD’de nükleer çağın başlangıcında siyasi karar vericiler nükleer teknolojinin kullanımını ve kontrolünü, Atom Enerjisi Komitesi’ni kurarak sivillere bırakmışlardır. Nükleer silahların kontrolü orduya verilse de oluşturulmaya çalışılan stratejilerle hükümet kontrolü altında tutulmaya çalışılmıştır. Bu bağlamda nükleer çağda yaşanan problemlerin benzeri, siber uzayda da yaşanmaktadır. Siber uzayda yapılacak askeri operasyonlar üzerindeki sivil (hükümet) kontrolünün nasıl sağlanacağı belirsizdir. Belirsizliğin en büyük nedeni ise siber uzayın doğasıdır. Nükleer çağda karar alma süresi kimi durumlarda dakikalara inerken, siber uzayda bu süre saniyelere inmiş durumdadır. Gerçekleşen saldırı karşısında savunmanın nasıl yapılacağı, angajman kuralları çerçevesinde karşılık verilecekse bu karşılığın mahiyeti ya da aktif siber savunmanın hangi sınırdan sonra misilleme veya saldırı şeklini alacağı soruları ve bu sorulara kısıtlı sürede asker ya da sivil hangi kurumun cevap vereceği önem kazanmaktadır.

Nye’ın son olarak ortaya koyduğu varsayıma göre siviller tarafından kullanım, ulusal güvenlik stratejisinin işlevselliğini zorlaştıracaktır. Örneğin Nükleer teknoloji her ne kadar askeri amaçlarla kullanım için keşfedilse de kısa sürede sivil alanda da kullanılabileceği fark edilmiştir. Nükleer santrallerde üretilecek enerjinin göreli olarak ucuz olması nedeniyle dünyayı değiştirebileceğine dair inanç, karar alıcılar tarafından da desteklenmiştir. ABD Başkanı Dwight Eisenhower’ın da desteklediği “Barış İçin Atom” gibi programlar, nükleer enerjinin dünyaya yayılmasını teşvik etmiştir. Her ne kadar ABD Atom Enerjisi Komisyonu nükleer teknolojinin yayılması üzerinde kontrol iddiasıyla kurulsa da alanın ticarileşmesi bu kurumu başarısız kılmıştır. Hindistan nihayetinde nükleer enerji üretecek santrallerde kullanılması amacıyla verilen materyaller ve destek sayesinde 1974’te kendi nükleer silahını geliştirmiştir. Fransa benzer desteği Pakistan’a vermiştir. Almanya ise uranyum zenginleştirme teknolojisini Brezilya’ya vermiştir. Tüm bu süreç boyunca nükleer enerjinin barışçıl amaçlarla kullanılmasını sağlamak gayesiyle kurulan kurumlar ise ticari çıkarı olan devlet ve şirketlerin baskısı altında kalmıştır. Siber uzayda ise sivil sektörün payı nükleer alanla karşılaştırılamayacak kadar fazladır. Liberal ekonomilere sahip devletlerin ekseri çoğunluğunda kritik altyapılar özel sektör tarafından işletilmektedir. Siber uzayda devletin doğrudan kontrolü altında olan kısım ise oldukça kısıtlıdır. Bu koşullar altında ulusal siber güvenliği sağlamak zorlaşmaktadır. Özel sektör ise çoğu noktada kendi güvenliğini kendi sağlayacağı söylemi altında düzenleyici regülasyonlara karşı çıkmaktadır. Devletin ortaya koyacağı zorlayıcı regülasyonlar ise özel sektörün hakim olduğu alanda piyasa koşullarını bozma riski taşımaktadır. Devlet-özel sektör işbirliğinin ise ne kadar başarılı olacağı belirsizdir. Orta çıkan bu durum, siber uzayın güvenliğini ve devletlerin ulusal siber güvenliklerini, nükleer alanla karşılaştırılmayacak kadar tehlikeye sokmaktadır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

Saldırganı tespit edememek caydırıcılığı öldürür mü?

Yorum yapın

Richard L. Kugler  “Deterrence of Cyber Attack”  isimli çalışmasında ABD özelinden hareketle siber caydırıcılığın mümkün olup olmadığını sorgulamaktadır. Kugler çalışmasında siber uzayda yapılan tüm saldırılarda caydırıcılığın mümkün olmadığını, buna karşın zarar verme potansiyeli olan saldırılara karşı caydırıcılığın yeterli olacağını iddia etmektedir. Bu bağlamda Kugler tespit/isnat problemine değinmiştir. Tespit/isnat problemi caydırıcılığın sağlanmasını imkansız kılmamaktadır. Kugler’a göre imkanlar dahilinde tespit edilebilen ve/veya saldırganın kimliğini ortaya koyduğu durumlarda caydırıcılık geçerlidir.

Bu bağlamda Kugler’ın altını çizdiği bir diğer önemli konu Soğuk Savaş’ın aksine günümüzde tek bir caydırıcılık stratejisinin işlevsel olmayacağıdır. Soğuk Savaş boyunca tehdit nükleer silah, rakip ise nükleer silaha sahip diğer devletlerdir. Siber uzayda ise tehdit ve rakip farklı düzeylerde ve birden fazladır. Bu nedenden dolayı tek bir caydırıcılık stratejisi yetersizdir, yapılması gereken farklı düzeylerde farklı tehditlere özel caydırıcılık stratejileri oluşturmaktır.

UĞUR ERMİŞ’İN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYINIZ

Kugler çalışmasında, ABD ve müttefiklerinin sadece bilgi sistemlerinin değil siber uzaya bağlı tüm kritik altyapılarının saldırıya açık olduğunu belirtmiştir. Bunun da ötesinde siber uzayın kullanımı ve buna bağlı olarak siber uzaya bağımlılığın her geçen gün arttığı küreselleşen dünyada, saldırılacak sistemlerdeki açık sayısı da hızla artmaktadır. Diğer bir deyişle siber uzayın kullanımında yaşanan artış çift taraflı bir tehlikeyi barındırmaktadır. Belirttiğimiz gibi bu artış, saldırılacak sistemlerdeki açık sayısını arttırdığı gibi bu açıklara saldırma potansiyeli olan rakip sayısını da arttırmaktadır. Bu bağlamda ortaya çıkan yeni aktörler, tehdidin niteliğini ve niceliği de arttırmaktadır.

Finansal yönden incelenecek olursa küreselleşen dünyada çoğu aktör ekonomik gelişimini siber uzaya borçludur. Ortaya çıkan ekonomik gelişim, yeni aktörlerin küresel politikadaki gücünü arttırmaktadır. Ekonomik açıdan gelişim içindeki bu aktörler siber uzayda çok fazla harcama yapmadan, geliştirdikleri güç ile uluslararası sistemde büyük yatırımlarla diğer dört boyutta güç geliştiren aktörlerle güç mücadelesine girebilir. Bu bağlamda siber uzayın maliyet açısından uygunluğu devletleri ofansif kapasite geliştirmeye teşvik edebilir.

Siber uzayın ortaya koyduğu bu yapıda klasik caydırıcılıkta gerekli olan güçlü bir savunma ve misilleme yapabilmek için etkili bir saldırı kapasitesine ek olarak, saldırganın motivasyonunu ve psikolojisini etkileyecek kapasite geliştirilmesine de ihtiyaç vardır. Bu şekilde oluşturulacak bir caydırıcılık stratejisi tüm saldırıları engelleme kapasitesine sahip olmasa da belli başlı saldırıları engelleyebilir.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]
Makale & Analiz

Siber caydırıcılık: Teoriği kolay pratiği zor

Yorum yapın

Will Goodman, “Cyber Deterrence Tougher Than Theory in Practise” adlı makalesinde siber caydırıcılık üzerine geliştirilen teorik yaklaşımların işlevselliğini sorgulamaktadır. Bu noktada siber saldırıların fiziksel katmandan bağımsız olmadığını öne süren Goodman, siber uzayda teorinin pratikten yoksun olduğunu belirtmektedir. Ona göre siber uzayda caydırıcılığın, teorisyenler tarafından tartışılmasının üç sebebi vardır. Bu sebepler genel ve soyut olarak:

  1. Gelecekte yaşanması muhtemel siber savaş riskinin hızla artması,
  2. Diğer dört boyutta (kara, hava, deniz, uzay) başarıyla uygulanan caydırıcılığın beşinci boyutta etkili olma ihtimali,
  3. Caydırıcılığı sağlamak için yapılacak tüm yatırımların maliyetinin, yaşanacak çatışmada baş gösterecek zarardan göreli olarak daha az olması.

Yukarıda genel ve soyut olarak verilen Goodman’ın ortaya koyduğu sebeplerden dolayı 1994 yılında James Der Derian’ın siber caydırıcılık kavramını kullanmasından bu yana siber uzay ve bu alanda sağlanacak caydırıcılığa yönelik ilgi artmaktadır. Yapılan tüm teorik çalışmaların pratikte test edilmemiş olmasından dolayı, siber uzayda caydırıcılığın etkili olup olmayacağı tartışması ortaya çıkmaktadır.

Goodman çalışmasında caydırıcılığın sağlanabilmesi için sekiz temel unsur ortaya koymaktadır. Bu unsurlar:

  1. Menfaat (Korunmak istenen)
  2. Caydırıcı deklarasyon
  3. Esirgeyici/engelleyici önlemler
  4. Cezalandırıcı önlemler
  5. İnanılırlık
  6. Güven verme
  7. Korku
  8. Kar-zarar hesabı

Yukarıda maddelendirilen bu sekiz unsuru bir bütün halinde açıklamak gerekirse, devletler caydırıcılığı herhangi bir konudaki menfaatlerini korumak için kullanırlar. Bu bağlamda devletlerin yapması gereken, öncelikle menfaatlerini koruyacak ve bu doğrultuda menfaatlerine zarar verecek devletlerin cezalandırılacağını ortaya koyan bir deklarasyonda bulunmalarıdır. Bu deklarasyon doğrultusunda devletler öncelikle menfaatlerine saldırılması durumunda onları koruyacak şekilde defansif, ardından da saldıran devlete bedel ödetmek amacıyla ofansif önlemler almalıdır. Caydırıcılığı asıl işlevsel kılan ise kapasite ile tehdit (deklarasyon) arasındaki paralellik ve ortaya konan kapasitenin menfaatlere zarar verilmesi halinde kullanılacağına dair tarihsel referanslardan beslenen inanılırlıktır. İnanılırlık kadar önemli diğer unsurlar ise menfaatlere zarar verilmemesi halinde rakip devlete zarar verilmeyeceğine dair oluşturulan güven, ödetilecek bedelden kaynaklanan korkudur. Son olarak rakip devletin rasyonel davranacağından hareketle yapılacak kar-zarar hesabı, caydırıcılıkta etkin rol oynamaktadır.

UĞUR ERMİŞ’İN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYINIZ

Caydırıcılığın sağlanması noktasında gerekli olan sekiz unsurun yanında, caydırıcılığın siber uzayda işlevsel hale gelebilmesi için özellikle dikkat edilmesi gereken beş başlık ön plana çıkmaktadır. Bu başlıklar Goodman tarafından genel ve soyut olarak şöyle tespit edilmiştir:

  1. “Devletler, siber çatışma esnasında caydırıcı mesajın oluşturulmasını, iletilmesini ve saldırgan tarafından anlaşılmasını sağlamalıdır.
  2. Devletler, ofansif ve defansif kapasitelerinin etkinliğini korumalıdır.
  3. Karşı saldırı yapılmadan önce saldırganın kimliği doğru bir şekilde tespit edilmelidir.
  4. Devletler ilk saldırı sonrasında karşı saldırı kapasitelerinin varlığının devamını garanti altına almalıdır. Daha da önemlisi savunmacı ve saldırgan devlet arasında jeopolitik simetri olmalıdır.
  5. Güvencenin (güven verme) yokluğu siber caydırıcılığın sağlayacağı ilişkiye ket vurabilir.”

Goodman çalışmasında ortaya koyduğu teorik yaklaşımı iki alan çalışmasıyla somutlaştırmaktadır. 2007 Estonya ve 2008 Gürcistan çatışmalarını inceleyen Goodman, bu iki çatışmada siber caydırıcılığın neden başarısız olduğunu irdelemektedir.

Goodman iki noktada ise 2007 Estonya Saldırısının siber caydırıcılığın sağlanmasında gelecekte örnek olabilecek olumlu kısmını öne çıkarmaktadır. Bu noktalardan ilki Estonya’nın defansif önlemlerde sağladığı başarıdır. Estonya CERT’i saldırının yoğun olarak geldiği ülkelerin internet çıkışlarını bloklayarak ve yoğun saldırı altında olan Estonya web sayfalarını erişime geçici olarak kapatarak defansif önlemleri başarıyla uygulamıştır.

İLGİLİ HABER >> ESTONYA TÜM ÜLKEYİ BULUTA TAŞIYOR

İkinci önemli nokta ise Estonya hükümetinin uluslararası antlaşmalar çerçevesinde RF içerisinde soruşturma talep etmesidir. RF ise uluslararası antlaşma hükümlerine rağmen işbirliği yapmayı reddetmiştir. Bu durum RF’nin Estonya Saldırısındaki sorumluluğunu kanıtlanamamasına rağmen soruşturmayı engellemesi neticesinde RF’nin saldırıdan sorumlu olduğu sonucunun doğmasına neden olmuştur. Zira Estonya Saldırısı, saldırıyı yapan aktörün devlet tarafından gizlenmesi ve savunmacı devlete yardımın reddi gelecekte de yardımı reddeden devletin saldırıdan sorumlu sayılacağı bir yaklaşımı ortaya çıkarmıştır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

2008 Gürcistan Saldırısı siber caydırıcılığın sağlanması noktasında bazı olumlu gelişmeler ortaya koymuştur. Bu gelişmelerden ilki siber saldırıyla verilecek zararın uzun vadeli anlamsızlığıdır. Diğer boyutların aksine dijital bilgi çok düşük maliyetlere sonsuz kez çoğaltılabilmektedir. Bunun da ötesinde neredeyse maliyetsiz şekilde zarar gören data/veri kurtarılabilmekte ya da programlar işlevsel hale getirilebilmektedir. Bu durum uzun vadede siber saldırıyı anlamsız hale getirmektedir.

İLGİLİ YAZI >> GELENEKSEL CAYDIRICILIK SİBER ALANDA MÜMKÜN MÜ?

İkinci olumlu gelişme ise diğer tüm boyutlardan çok daha kolay bir şekilde siber saldırıya uğrayan devlete yardım edilebilmesidir. Bu yardım diğer boyutların aksine kritik öneme sahip olan “zamanın kullanımını” mecbur kılan ve maliyeti olan kuvvet aktarımını gerektirmemektedir. Bu bağlamda Gürcistan, siber saldırıya uğradıktan sonra, hükümete ait web sayfalarını üçüncü ülkelerin yer sağlayıcılığı üzerinden sunmuştur. Yaşanan üçüncü olumlu gelişme ise sistemlerin kapalı ağlarla korunabileceğidir. Siber uzayda saldırılar ağa bağlı sistemlerde bulunan açıklar sayesinde yapılmaktadır. Sistemin ağdan koparılması ise saldırının yapıldığı açıkları ortadan kaldırmaktadır. Kapalı ağda çalışan Gürcistan hava savunma sistemleri bu çerçevede siber saldırıdan etkilenmemiştir. Siber saldırılardan etkilenmeyen bu sistemler, görevlerini başarıyla yerine getirerek oldukça gelişmiş RF savaş uçaklarını düşürmeyi başarmıştır.

Goodman’ın ortaya koyduğu ve yukarıda ayrıntılı olarak verilen bu üç olumlu gelişmenin birinci ve üçüncüsü 2008 Gürcistan Saldırısı’nın ardından gerçekleşen diğer saldırılar ve gelişen teknolojiler karşısında geçerliliğini yitirmiştir. Zira 2011 yılında İran’a yapılan STUXNET Saldırısı ile siber saldırı neticesinde ilk kez fiziki hasar verilmiştir. Goodman’ın dijital bilginin çoğaltılması ve kurtarılması sayesinde saldırının anlamsızlaşacağına dair iddiası, siber saldırıyla fiziki hasar verilmesi neticesinde geçerliliğini kaybetmiştir.

Benzer biçimde Goodman’ın kapalı ağların güvenli olduğuna dair iddiası da STUXNET Saldırısı ile geçerliliğini yitirmektedir. İran’ın nükleer tesisleri kapalı ağlar üzerinden yönetilmesine rağmen, sisteme hafıza kartı üzerinden sosyal mühendislik ya da fiziki istihbarat yoluyla yazılım bulaştırılmıştır. 2014 yılında düzenlenen Black Hat konferansında ise İsrailli bilimadamları mavi lazer kullanımıyla kapalı ağdaki bir yazıcıdan veri çalmayı başarmış ve aynı yöntemle kapalı ağlara uzun mesafelerden veri aktarmanın mümkün olduğunu iddia etmişlerdir.

Makale & Analiz

“Geleneksel caydırıcılığın siber alanda uygulanabilirliği” üzerine bir inceleme

Yorum yapın

Patrick M. Morgan “Applicability of Traditional Deterrence Concepts and Theory to the Cyber Realm” adlı çalışmasında klasik caydırıcılığın ilkelerini ortaya koyarak, Soğuk Savaş boyunca klasik caydırıcılığın nasıl işlediğini incelemiştir. Ardından bu ilkelerin siber uzaya uygulanması noktasında oluşacak problemleri ortaya koyan Morgan, siber uzayda caydırıcılığı sağlayabilmek için gereken olası girişimleri çalışmasında sıralamıştır.

Morgan caydırıcılığın temel isterleri olarak “saldırıyı karşılayacak savunma” ve “misillemeyi sağlayacak saldırı” kapasitesini ve bunu gerçekleştirecek “komuta ve kontrol yapısı”’nı kabul etmektedir. Bu noktada Morgan, Soğuk Savaş boyunca uygulanan savunma ve saldırı yönetimiyle, siber uzayda uygulanagelen yapı arasındaki farka dikkat çekmektedir. Soğuk Savaş’ta savunma ve nükleer kapasiteyi de içeren saldırı, merkezi olarak yapılırken; siber uzayda devletlerin sadece saldırı kapasitesi merkezi olarak yönetilmektedir. Savunma kapasitesi ise saldırılan hedefin sahip olduğu lokal savunma mekanizmaları tarafından yapılmaktadır. Soğuk Savaş’ın aksine siber uzayda düşmanın gücü ve verebileceği zararın boyutu bilinmemektedir. Alınacak zararın ne kadardan sonra kabul edilemez olduğu ve ne zaman misillemenin gerekeceği ise savunmanın saldırı kapasitesinin aksine lokal olduğu bu yapıda karar verilmesi zor bir soru haline gelmektedir. Morgan caydırıcılığın işlevsel olabilmesi için siber uzayda savunmanın da merkezileştirilmesinin önemini vurgulamaktadır. Morgan’ın savunmaya verdiği bu önemin bir diğer sebebi ise caydırıcılığı sağlamak için temel ister olarak ortaya koyduğu komuta kontrol yapısına yapılacak siber saldırının, sadece siber kapasiteyi değil devletin tüm saldırı kapasitesini etkileme tehlikesini içermesidir.

İLGİLİ YAZI >> SİBER SAVAŞ VE CAYDIRICILIK: ZORLUKLAR VE TRENDLER ÜZERİNE

Morgan siber uzayda savunmanın ve komuta kontrol yapısının saldırı sonrasında devamlılığını sağlamak adına, yedeklemenin önemli olduğunu vurgulamaktadır. Morgan’ın çalışmasının yayınladığı 2010 yılı itibariyle bu yaklaşım doğru gözükse de 2010 yılında ortaya çıkan ve 2011 yılında etkileri tam olarak anlaşılan STUXNET Saldırısı ile siber saldırı yaparak fiziki hasar verilebileceği gerçeğinin ortaya çıkması, yedekleme yaklaşımını büyük ölçüde işlevsiz bırakmıştır.

İLGİLİ HABER >> STUXNET VE ULUSLARARASI HUKUK: BİR SALDIRININ ANATOMİSİ

Morgan’a göre klasik caydırıcılıkta önemli olup, siber caydırıcılık sağlanmaya çalışılırken problemli olan unsurlar da bulunmaktadır. Bu unsurlardan biri de mesajın saldırgana iletilmesi sürecidir. Soğuk Savaş’ta nükleer caydırıcılık sağlanırken rakibin kim olduğu ve hangi motivasyonla hareket ettiği gayet açıktır. Siber uzayda ise saldırganın kimliğinin tespiti mümkün olmayabilir. Bu durumda kimliksiz saldırgana mesajın iletilmesi sorunu ortaya çıkmaktadır. Saldırganın kimliği kadar bir diğer önemli hususta saldırganın motivasyonudur. Motivasyonu bilinmeyen saldırgana verilmesi gereken doğru mesajın ne olacağını bilmekte zordur.

Morgan’ın altını çizdiği bir diğer önemli zorlukta inandırıcılıktır. Caydırıcılığın başarılı olabilmesi için yapılacak tehdit inandırıcı olmalıdır. Tehdit inandırıcı olduğu kadar rakip devlette, tehditin gerçekleştirileceğine dair inançta olmalıdır. Siber uzayda ise saldırıyı yapan aktörün kimliği ve motivasyonunun tespiti dahi oldukça zorken yapılan tehdidin inandırıcı olması mümkün değildir. Bunun da ötesinde tespit edilen saldırgana verilecek siber karşılığın zarar verme kapasitesi de bilinmezliğini korumaktadır. Verilecek siber karşılığın saldırgana zarar vermeyeceğine dair oluşan inanç, daha büyük saldırılara neden olabilir.

Morgan’ın öne çıkardığı son unsur ise klasik caydırıcılığın aksine siber uzayda yaşanan istikrar sorunudur. Caydırıcılığın istikrarı sistemin güvenli olmasını ve nihayetinde kontrolünü sağlamaktadır. Caydırıcılıkta devletlerin oluşturduğu inandırıcılık istikrarı destekler. İstikrar inandırıcılık kadar rakiplerin saldırma isteğinin fazlalığıyla da ilişkilidir. Bu bağlamda istikrarı korumak rakip devletin saldırma istediği kuvvetlenmeden müdahale edilmesine bağlıdır. Kriz ne kadar büyürse istikrar o kadar tehlikeye girer. Bu bağlamda caydırıcılığın istikrarı ile rakibin rasyonelliği arasında ters orantı vardır. Siber uzayda ise saldırganın savunmaya karşı kapasitesindeki hızlı değişim istikrarı sarsmaktadır. Nükleer caydırıcılıkta savunmanın zorluğu probleminin üzerinden, misilleme tehdidi ile gelinmiştir. Siber uzayın doğası gereği misilleme üzerinden oluşturulan yaklaşım geçerli değildir. Bu bağlamda devletler siber uzayda inandırıcı tehdide sahip değilken istikrarı sağlamak zorlaşmaktadır. Bu duruma karşın silahların kontrolü istikrarı sağlayabilir. Siber uzayda silahsızlanma ise nükleer silahların aksine mümkün gözükmemektedir. Siber uzayda silahsızlanmanın mümkün olmamasının en temel nedeni geliştirilen silahların nihayetinde dijital bilgi olmasıdır. Dijital bilgiyi ise saklamak kolay, kontrol ise zordur. Yapılacak uluslararası işbirliği ise saldırı halinde alınacak hasarın önüne geçebilir ve caydırıcılığın istikrarına katkı yapabilir.

Morgan çalışmasının sonunda siber caydırıcılığın sağlanması için önerilerde bulunmaktadır. Öncelikle siber uzayda savunma merkezileştirilmeli ve saldırıya derhal ve tüm yönleriyle karşılık verilmelidir. Dijital bilginin korunması noktasında yedekleme oldukça önemlidir. Siber uzayda saldırı kapasitesinin tamamen ortaya konması saldırı kapasitesine zarar verme potansiyelini içerse de caydırıcılığı sağlamak için misilleme kapasitesi yeterince gösterilmelidir. Bir diğer önemli hususta savunmanın yapılabilmesi için yeni teknolojilere yapılacak harcamaların arttırılmasıdır. Son husus ise siber uzayda silahların kontrolüne ilişkin uluslararası mutabakatın sağlanmasıdır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FIRMU DOLDURUNUZ

[wysija_form id=”2″]