Siberbülten siber güvenlik ile ilgili haberlerin bulunduğu bir site olmanın dışında, siber güvenliğin sosyal bilimler ile kesişme noktalarındaki konularla ilgilenen akademisyen, öğrenci ve araştırmacılar için bir yayın platformudur. Bu bölümde siberalan ve siber güvenliğin uluslararası hukuk, uluslararası ilişkiler, strateji, güvenlik ve siyaset bilimine ile ilişkisi ve yansımaları ile ilgili blog tarzı yazılar ve derin analizler bulabilirsiniz.
İnternet, 90’lı yılların başında onu sıradan insanlar olarak hepimiz kullanmaya ve ona bağlı hale gelmeye başlayana kadar, sadece bu işin uzmanlarının ilgilendiği bir alan olarak görüldü. Fakat daha bu senenin başında bir Beyaz Saray yetkilisi günümüzde siber güvenliğe bakışı tarif ederken “uzmanları için bir alan” ifadesini kullandı. İşte problem ve gereken çözüm bu ifadede yatıyor.
Hayattaki rolümüz ne olursa olsun her birimiz siber güvenlik hakkında geleceğin bilgisayar dünyasını şekillendirecek kararlar alıyoruz.
Bu kararları meseleyi sadece “bilgi teknolojisi kalabalığı” içinmiş gibi görerek uygun araçlar olmadan alıyoruz. Neyin mümkün ve uygun olduğunu tanımlayan temel terimler ve asıl kavramlar anlaşılamamış; daha da kötüsü bazen saptırılmış durumda. Bazı tehditler abartılıyor ve bu tehditlere aşırı tepki tepki gösteriliyorken, bazıları görmezden geliniyor.
Internet bize neredeyse her sorunun cevabını bulmak gibi bir güç vermişken, siber güvenliğin geçmişte kalan efsaneler ile geleceğe dair aldatmacaların sarmalandığı bir alan olarak, aslında ne olmuş olduğunu ve şu anda ne konumda bulunduğumuzu belirsizleştirmesi muhtemelen en büyük problem. Eğer internet dünyasını güvence altına almak konusunda etkili herhangi bir şey elde etmek istiyorsak öncelikle onu açıklığa kavuşturmalıyız.
1. Efsane: Siber Güvenlik Daha Önce Karşılaştığımız Hiçbir Zorluğa Benzemiyor
Işıktan da hızlı küresel bilgi ağlarıyla çepeçevre sarılmış hissetmek çok doğal. Victoria dönemi insanlarının, haberleşme ve ticaretin atlardan rüzgarla çalışan telli telegraflara ve daha sonra kablosuz radyolara nasıl geçtiğini ve bunları nasıl düzenleyecekleri konusundaki endişelerinin nasıl hissettirdiğini düşünürsek henüz hiçbir şey tam olarak yeni değil.
Tarih bilincine sahip olmak çağımızın yeniliklerine nasıl tepki vereceğimiz konusunda bizi yönlendirebilir. Bu sadece internet tarihini ve buralara kadar nasıl geldiğimizi öğrenmek değil, aynı zamanda bilgi teknolojileri alanı dışındaki alanlar hakkında öğrenmekle de ilgili. Mesela hükümetin üstlenmesi gereken rolü düşünürken ,Hastalık Kontrol Merkezleri gibi dünyadaki en başarılı kuruluşlara ve halk sağlığının tedbirin önemi hakkında bize ne öğretebileceğine, farkındalığın ve eğitimin derecesine ve bilgi paylaşımının güvenilir yöntemlerine bakabiliriz. Benzer şekilde suç tehdidiyle ve küresel alandaki devletle bağlantılı olduğu iddia edilen gruplarla boğuşurken denizlerin nasıl düzenlendiğine, korsanlar ile hükümet izniyle çalışan korsan gemilerinin hangi adımlarla devre dışı bırakıldığına ve uluslararası normların oluşturulmasına bakabiliriz. Bireysel aktörler ve paylaşılan ortak alan (kamu) açısından imajları düşünüldüğünde, çevre kirliliği ile savaşan hukuki ve ekonomik araçlara yönelebiliriz.
Siber güvenlikte sorunun tam karşılığı olan çözümler olmamasına rağmen sorunlar tamamen yeni sayılmaz.
2. Efsane: Her Gün Milyonlarca Siber Saldırı ile Karşı Karşıya Kalıyoruz
Yakın bir zamanda emekli olan NSA ve Siber Komutanlığın başındaki General Keith Alexander, 2010’da Mecliste her gün sayısız siber saldırıyla muhatap olduklarını söyledi. bu ifadeyi verdi. Çinli liderler de kendi hackerları hakkında ithamda bulunulduğunda Amerika için benzer iddialarla karşılık verdiler. Bu rakamlar doğru ama tamamıyle işe yaramaz.
Bireysel saldırı teşebbüslerini veya hedefli kötü amaçlı yazılımları saymak bakteri saymak gibidir, büyük rakamlar kolayca elde edilebilir fakat asıl önemli olan etki ve kaynaktır. Öyle ki bu rakamlar, eşek şakasından, siyasi protestolara, ekonomi ve güvenlik ilişkili casusluklara kadarbir zarar veremeden once ilkel savunma yöntemleri tarafından yakalanan tarama ve izlemelerden karşılaştığımız tehdit çeşitlerini bir noktada bağlar ve ayırt edilemez hale getirir.
Bu, hepsi aynı barut teknolojisine dahil olduğu için, maytaplı çocuklardan sis bombalı göstericilere, tabancalı ajanlardan el bombalı teröristlere ve füzeli ordulara kadar her şeyi aynı kategoriye sokmaya benziyor.
Basın açıklamalarındaki rakamları ve birbiriyle ilgisiz şeyleri bir araya getirmeyi bir kenara bırakmalı ve online tehditleri karmaşıklaştırmamalıyız. Riskleri tartmalı, meselenin nasıl ve kim tarafından çözüleceğini bulmalıyız.
3. Efsane: Bu Bir Teknoloji Problemi
Teknoloji dünyasında, PEBCAK (Problem Exists Between the Chair and Keyboard) ile ilgili eski bir şaka vardır. Siber güvenlik tam anlamıyla insanlar ve onları özendirme tehbirleri ile ilgili. Pek çok önemli teknik düzeltme ve kullanılacak yeni araçlar mevcut. Fakat kuruluşlar ve bireyler kendilerini güvence altına almaya yatırım yapmaya istekli değilse, o zaman emniyetsiz kalacaklar.
Yapabileceğimiz en önemli şey, bizi sihirli değneğin gerçekliğine inandırarak boş umutlar beslememizi sağlayan korku ve cehaletten, çalışmaya doğru direncin önemini dikkate alarak zihniyet değişikliğine gitmek. Internet kullandığımız sürece, savunma ne kadar iyi olsa da, suçlular, düşmanlar ve eski moda kötü şans birer risk olarak karşımıza çıkacak. Çözüm ise bunlar aracılığıyla nasıl güç sağlayacağımız ve aksilikleri nasıl hızlıca bertaraf edebileceğimiz. Hem kullandığımız sistemler hem de ruhlarımız için parolamız “sakin ol ve devam et” olmalı. Bu, özellikle liderler ve sürekli, enerji nakil hatları şebekesinin kesilmesi veya Wall Street’in devre dışı kalması gibi senaryolara atıfta bulunarak ateşe körükle giden medya için geçerli. “Sincaplar” her sene yüzlerce güç kesintisine neden olurken, iki kez de NASDAQ’ta ticari faaliyetlerin durmasına sebep oldular. Eğer Rocky ve Bullwinkle’ın gerçek dünya versiyonlarını hayatta tutmayı başarırsak, siber taraftaki korkulan fakat hala kurgulanan tehlikelere karşı daha dirençli olabiliriz.
4. Efsane: En İyi Savunma İyi Bir Saldırıdır
Üst düzey Pentagon yetkilileri, evlerinin bodrumunda Red Bull yudumlayan birkaç ergenin nasıl Kitle İmha Silahı tipi bir saldırı gerçekleştirebileceği hakkında konuşuyor. Dahası bir rapor bu saldırının öngörülebilecek bir gelecekte olabileceğini belirtiyor. Bu da Pentagon’u, siber saldırı araştırmaları için siber savunma araştırmalarına ayırdığı yıllık bütçenin yaklaşık olarak 2.5 katı daha fazla bir meblağ ayırmaya sevk etti.
Fakat gerçek göründüğünden daha karmaşık. İran nükleer programını sabote eden ve dijital bir silah olan Stuxnet, siber tehditlerin yeni nesillerinin tehlikesini gösterirken, bunların şekerli içeceklerin ötesinde uzmanlık ve kaynak gerektirdiğini gösterdi. Red Bull sizi kanatlandırabilir fakat ileri düzey bir saldırı için ivedi bir uzmanlık sağlamaz. Stuxnet’in yaratımında istihbarat analizi ve toplanmasından, mühendislik ile nükleer fizik hakkında ileri düzey bilgiye kadar her şey gerekliydi.
Daha da önemlisi bu doğru bir strateji değil. Bu herhangi bir ikili ilişkinin, sadece benzer yeteneklere sahip diğer bir devleti engellemek zorunda olduğu ve oyunda kazığa diktiği bir soğuk savaşı değil. Dışarıda sayısız ve çeşitli saldırgan varken, saldırı yeniliklerine birincil çözümümüz olarak harcama yapmak, camdan evimizi kasırgalardan veya komşu çocuklarından veya teröristlerden taş bileme takımı ile korumaya çalışmayı düşünmek gibi. Seksi olmayabilir ama Superbowl’da da (Amerikan Futbolu Şampiyonluk Müsabakası) siber güvenlikte de en iyi savunma, gerçekten iyi bir savunmadır.
5. Efsane: Hackerlar Günümüzde İnternet için En Büyük Tehdit
Kötü şeyler yapan ve planlayan kötü çocuklar internette kol geziyor. Fakat dikkatli olmazsak tedavi, hastalıktan daha kötü sonuçlara yol açabilir. İnternet güven ortamına dayanır ancak internetin her türlü yöntemle, üstelik hükümetler tarafından tehdit edildiğine şahitlik ediyoruz. Hepsi, bildiğimiz ve sevdiğimiz haliyle, internetin güvenilirliğine, şeffaflığına ve müşterek yönetimine karşı çalışıyor.
Birçok hükümet, online tehditelere karşı, internetin daha kapsamlı kontrolü ve yönetimindeki reformlar için çağrılarını sıklaştırarak, iç düzeni koruma adına ifade özgürlüğünü ve sivil toplumu sonlandırmayı ve ulusal güvenlik maskesi altında teknik ticari bariyerler inşa etmeyi amaçlıyor. Bizi online tehditlerden korumayı vaad edip hayatlarımızdaki en güçlü siyasi, ekonomik, ve sosyal değişim aracını tahrip edecek önlemlere karşı uyanık olmalıyız.
Yazının orjinali 2 Temmuz 2014 günü www.wired.com adresinde The 5 Biggest Cyber Security Myths, Debunked başlığıyla yayımlanmıştır.
Son birkaç gündür dünyadaki gazete ve web sitesi editörlerinin keyfi yerinde olmalı. Hackerların birkaç Hollywood yıldızının çıplak fotoğraflarını çalarak, internetten yayınlaması hepsinin işini kolaylaştırdı. Uzağa gitmeye gerek yok Salı günü Türkiye’deki belli başlı haber sitelerine girenlerin karşısına bu ‘skandal’ ile ilgili haberler, daha doğrusu foto galeriler çıkıyordu.
Dünya medyasının da magazinsel tarafına odaklandığı olayı takip eden birkaç gün içerisinde FBI, konuyla ilgili bir soruşturma başlattı ve Apple sistemlerinde güvenlik açığı olmadığını mağdur kullanıcıların şifrelerinin kırıldığını açıkladı. Fakat bu ABD’de son zamanlarda yaşanan ilk siber saldırı değildi.
Geçtiğimiz hafta aralarında JPMorgan gibi küresel anlamda sektör devlerinin bulunduğu bir grup ABD bankasına ciddi siber saldırılar düzenlenmiş, saldırılan bankalardan JPMorgan hariç diğerleri isimlerini açıklamamıştı. Saldırı ile ilgili FBI, başlattığı soruşturmada saldırının arkasında kimin olduğunu bulabilmek için CIA’den yardım istemişti. Yıldızların fotoğrafların ortaya saçılması ABD’de banka saldırılarını ile ilgili devam eden tartışmayı rafa kaldırdı. Bu iki saldırı arasında teknik olarak bir benzerlik bulunmasa da, iki saldırının da dünyanın belli başlı medya organlarında ve Amerikan kamuoyunu belirleyen önemli gazete ve televizyonların gündeminde olması dikkatleri bir kez daha siber güvenlik konusunu dolayısıyla da siber güvenlik ürünü geliştiren şirketlere çevirdi.
Ünlülerin çıplak fotoğraflarının yayınlanmasının ardından iki siber güvenlik şirketi Palo Alto Networks ve FireEye’ın hisselerinde ciddi yükselişler gözlendi. Ünlülerin mahrem fotoları Palo Alto yatırımcılarına %5.6 kazandırırken, FireEye’ın borsadaki değeri yüzde 9’luk bir artış gösterdi. Bu artışların neden kaynaklandığına dair bir açıklama yapılmazken, tartışmanın soğumasının ardından hisse fiyatları tekrar ‘normale’ döndü.
Hackerların sansasyonel saldırılarının siber güvenlik şirketlerinin borsadaki fiyatlarını yükseltmesine daha önce de şahit olmuştuk. Amerikan perakende satış devlerinden Target’in 40 milyon müşterisinin bilgisini bir siber saldırı sonrasında çaldırmasının ortaya çıkması da yine FireEye hisselerine yaramıştı.
Siber güvenlik şirketleri bir yandan müşterilerinin güvenliklerini sağlamaya çalışırken, aynı zamanda ciddi oranda saldırı kapasitesini de bünyesinde bulunduruyorlar. Bu şirketler sık sık kendi pazarlarını oluşturmak için tespit edilmesi zor saldırılar düzenlemek ve özellikle medyanın dikkatini çekecek hedefler seçmek ile suçlanıyor. Fakat bunlar ispata muhtaç iddialar olarak kalıyor.
Buna rağmen son olayda birkez daha gördük ki, kamuoyu oluşturma bir yana artık kim yaparsa yapsın siber saldırıların, güvenlik şirketlerinin hisselerine anında olumlu etkisi bulunuyor.
The Washington Post gazetesinin siyaset bilimi içerikli kısa denemelerden oluşan blogu olan The Monkey Cage‘de başlayan siber güvenlik yazı dizisinde, siyaset biliminde siber güvenliğin yeri ve önemi tartışılıyor. George Washington Üniversitesi’nde siyaset bilimi dersleri veren Henry Farrell’in kaleminden çıkan makaleler, bir akademisyenin akademik konuları herkesin anlayabileceği bir üslupla yeniden ele alma çabasının ürünü. Yazı şu şekilde ilerliyor:
Siber güvenlik konusundaki tartışmalar oldukça ateşli. Bir tarafta, daha güçlü bir siber güvenlik olması gerektiğini savunanlar, ABD’nin güç, finans ve diğer kritik altyapı sistemlerinin her zaman risk altında bulunduğunu ve ülkenin dijital bir “Pearl Harbor’a” hazırlıklı olması gerektiğini savunuyorlar. Diğer tarafta da, açık ve özgür bir interneti savunanlar ise, böyle bir saldırı ihtimali konusunda oldukça şüpheciler. Bunun yerine sınırsız bir bilgi toplama ve özgürlük kısıtlama eğiliminde olan ABD güvenlik kurumlarının asıl tehlikeyi oluşturdukları düşüncesindeler. Güvenliği savunanlar, açık internet taraftarlarını çocukça naif bulurken, açık interneti savunanlar, daha fazla güvenlik isteyenleri güç elde etmeye çalışmakla suçluyorlar.
2010’da Intelligence Squared tartışması, bu iki tarafın argümanları hakkında bize fikir veriyor. Tartışmada, Marc Rotenberg ve Bruce Schneier siber savaş tehdidi tarihini, ABD yönetiminin abartması olduğunu iddia ediyorlar. NSA’in eski yöneticisi, Mike McConnell de, ABD ekonomisinin siber tehditlere karşı son derece hassas olduğunu anlatmaya çalışıyor.
Bu tartışmadan anlaşılan, siber güvenlik konusunda, iki tarafın siber güvenlik denilince anladıkları arasında fark bulunması. Rotenberg ve Schneier, sivil hakların önemini vurgularken, McConnell ve Zittrain, ulusal güvenlikten bahsediyor. Bakış açıları ve siyasî öncelikleri arasında fark bulunuyor.
Bu iki yaklaşım arasındaki fark, Helen Nissenbaum’un bir makalesinde açıklanmış. Nissenbaum farkı, “teknik bilgisayar güvenliği” ve “siber güvenlik” arasındaki fark olarak açıklıyor. Teknik bilgisayar güvenliği yaklaşımı, bilgisayar güvenliği perspektifinden beslenirken, siber güvenlik, bunu bir geleneksel milli güvenlik meselesi olarak görüyor. Teknik bilgisayar güvenliği yaklaşımı, güvenliği, bireysel bilgisayar sistemlerinin zararlı kimselere karşı korunması için uygun teknolojilerin kullanılması olarak düşünür. Siber güvenlik yaklaşımı ise, siber güvenlik konusunu, milli sahanın yeni bir biçimi olan siber alanın düşman varlıklara karşı korunması olarak düşünmektedir.
Tüm bu tartışmalardan anlaşılan da, siber güvenlik ile ilgili fikir beyan etmeden önce, en temelde güvenlik denilen şeyin yeniden tanımlanması gerektiğidir. Bu teknik bir mesele midir? Yoksa topyekun bir mücadeleyi gerektiren kolektif bir ulusal güvenlik sorunu mudur?
Açıkça görünen o ki, “güvenlik” kavramına yöneltilen bu değişik yaklaşımlar, değişik politik tercihlere yol açmaktadır.
Yazının orjinali 23 Ocak 2014 günü Washington Post gazetesinde yayımlanmıştır
Stuxnet ortaya çıktığından beri, siber güvenliğin bütün boyutlarıyla ilgilenen herkesi bir heyecan sardı. Siber güvenlik bugüne kadar sadece marjinal gibi görünen bazıuzmanlar tarafından tartışılırken, Stuxnet kadar büyük ölçekli ve profesyonel bir siber saldırının devletler düzeyinde gerçekleştirilmesi, meseleyle uzaktan yakından ilgilenen herkesi bu konuya daha da gömülmeye itti. Stuxnet, siber savaşın ve siber silahların, bir dönem tartışılan uzay savaşlarıgibi sadece kağıt üzerinde kalmayacağınıgösterdi. Ayrıca meselenin içinde devlet dahli olma ihtimali de, bu konuda bir uluslararasıdüzenleme gerekliliğini bir kez daha gözler önüne serdi.
Kısaca hatırlamak gerekirse, Stuxnet, Haziran 2010’da farkedilen ve İran’ın Natanz nükleer geliştirme tesisine saldırmak için geliştirilmişolan bir siber silahın adıdır. Bu saldırı, resmi olarak hiçbir devlet tarafından üstlenmemişolsa da, saldırıçok büyük ihtimalle bir ABD-İsrail ortak yapımıdır. Zira her iki ülkeden de bu konuda herhangi bir yalanlama gelmemiştir. Ayrıca David Sanger de 2011 yılında yazdığımakalesinde ve daha sonra çıkan Confront and Conceal kitabında, Stuxnet’in Obama’nın emriyle NSA’in Maryland’deki merkezinde geliştirildiğini ve İsrail’de kurulan bir model nükleer tesiste denendiğini iddia etmektedir. Sanger’in iddialarıoldukça inandırıcıolsa da, bu konuda herhangi bir resmi açıklama yapılmamışolması, iddialarıempirik açıdan sorgulanabilir kılmaktadır.
Bir siber saldırı, hedef sistemdeki sistem açıklarınıkullanarak içeri sızar. Stuxnet’te ise, “zero-day”yani sıfırıncıgün açıklarıadıverilen, sistem açığıpiyasalarında değeri kimi zaman yüz binlerce dolarıbulabilen sistem açıklarından bolca kullanılmıştır. Diğer bir deyişle Stuxnet’in tasarlanması, milyon dolarlık bir bütçeye mal olmuştur. Bu da, Stuxnet’in amatör birey veya gruplarca değil de ancak bir ulus devlet bütçesi ve teknik birikimi ile tasarlanmışolduğu konusunda ikna edici bir veri sunmaktadır. Bu konuda, Stuxnet’in geliştirilmesinde ana rolüolduğu iddia edilen devlet olan ABD’nin suskunluğunun çeşitli sebepleri bulunmaktadır. Öncelikle böyle bir saldırıyıüstlenmek, beraberinde başka bir devletin egemenlik haklarınıihlal anlamına gelmektedir. Sözkonusu hedef ülke, İran gibi uluslararasıhukukla sıkıntılıbir devlet bile olsa, sonuçdeğişmeyecek ve ABD bu saldırıdan dolayıhaksız konumda gibi görünecektir. İkincisi (ve siber güvenlik çalışan siyaset bilimciler açısından çok daha heyecan verici olan ise) uluslararasıilişkilerin en temel kavramlarından biri olan caydırıcılık açısından ABD suskunluğunun belli bir anlama geliyor olmasıdır. Caydırıcılık, siber caydırıcılık ve ABD suskunluğu konusuna yine bu yazıda değinilecektir.
Stuxnet, Natanz’daki uranyum zenginleştirme tesisine saldırırken, bunu, akıllara durgunluk verecek derecede ustalık ve kurnazlık içeren süreçlerle yapmıştır. Öncelikle belirtmek gerekir ki, bu nükleer tesis, diğer tüm SCADA sistemleri gibi global internet ağından güvenlik gerekçeleriyle koparılmışşekilde işlemektedir. Yani bu sisteme bir virüs bulaştırabilmek için USB sürücüveya harici hard disk gibi bir aparatın sisteme bir şekilde dahil edilmesi gerekmektedir. Stuxnet’in de bunu, bu nükleer tesise hizmet veren üçüncüşahıslar, yani taşeron firmalar ile gerçekleştirdiği düşünülmektedir.
Stuxnet, aktif olduğu süre boyunca, nükleer tesiste içinde uranyum zenginleştirilen santrifüjlerin dönüşhızlarınıetkileyerek kullanım ömürlerini azaltmak suretiyle zenginleştirme sürecine zarar vermeyi hedeflemiştir. Bunu yapmaya başlamadan önce, SCADA ekranlarında, daha önceden almışolduğu 21 saniyelik ekran görüntüsünüdefalarca döndürerek kontrol mühendislerini yanıltmayıbaşarmıştır. Arka planda, santrifüjlerin dönüşhızlarınıartırıp azaltarak ömürlerini azaltmıştır. Kırılan veya parçalanan santrifüjlerin yerine yenilerinin takılmasıgerekmektedir. Bu şekilde, nükleer zenginleştirme süreci tamamen sekteye uğramasa da, İran uranyum zenginleştirme planlarında en azından 2 yıllık bir üretim aksamasıolduğu düşünülmektedir. Stuxnet’in neden bu şekilde bir eylem planıizlediği konusunda çeşitli tahminler bulunmaktadır. Stuxnet, bir anda tüm sistemi parçalayacak, tüm santrifüjleri kıracak şekilde değil de, uzun vadede gizli şekilde bu parçaların kullanım ömürlerini azaltacak şekilde dizayn edilmiştir. İran ise ömrübiten santrifüjleri, yenileriyle değiştmesine imkan verecek sayıda santrifüjüüretip yedekte beklettiğinden, nükleer geliştirmede ciddi bir zarar görülmemiştir. Yine de Stuxnet, tüm bunlara rağmen, kamuya açıklanan ilk siber silah olarak tarihe geçmiştir.
Bugüne kadar konuyla ilgili sessizliğini koruyan İran’ın geçtiğimiz günlerde Stuxnet’i uluslararasımahkemeye taşıyacağıyönünde bir haber basına yansıdı. Bu yazıda da Stuxnet gibi bir siber saldırının UluslararasıAdalet Divanı’na taşınmasısürecinde neler yaşanabileceği konusunda bir değerlendirme yapılmışve tüm bu hukukîsürecin siber güvenlik açısından önemi tartışılmıştır.
Stuxnet, teoride, uluslararasıhukukun en temel metinlerinden biri olan BirleşmişMilletler Sözleşmesi’ni de (The Charter of the United Nations) ihlal etmiştir. Bu sözleşmede, 1.2.4’te açıkça şu şekilde belirtilmektedir: “Tüm üyeler, uluslararası ilişkilerinde gerek herhangi bir başka devletin toprak bütünlüğüne ya da siyasal bağımsızlığına karşı, gerek BirleşmişMilletler’in Amaçları ile bağdaşmayacak herhangi bir biçimde kuvvet kullanma tehdidine ya da kuvvet kullanılmasına başvurmaktan kaçınırlar.”Stuxnet’te de açıkça bir başka devletin egemenlik haklarınıihlal sözkonusudur.
Bilindiği üzere, bir devletin başka bir devletin egemenlik haklarına ve bütünlüğüne saygıduymasıuluslararasıhukukun en temel kaidelerinden birini oluşturmaktadır. Başka bir devletin topraklarınıolduğu kadar, sanayi ve teknik altyapısına saygıduymak, o devletin egemenliğini ilgilendiren bir konudur ve ihlali durumunda uluslararasıhukukun ve uluslararasıtoplumun yaptırımlarıyla karşıkarşıya kalınmaktadır. Normal şartlar altında, her devlet, gayrihukuki olarak verdiği tüm zararlarıkarşılamak zorundadır. Bu konuda uluslararasıhukuk normlarıgayet nettir. Teamül olarak bu şekilde tüm devletlerce kabul edilen bu norm, artık uluslararasıhukuk davalarının kararlarıneticeleriyle de, hukuk mevzuatına girmiştir. 1928’de Milletler Cemiyeti’nin mahkemesi olan Daimi UluslararasıAdalet Divanı(Permanent Court of International Justice) tarafından görülen ve Chorzow FabrikasıDavasıolarak da bilinen Germany v. Poland PCIJ davasında mahkemenin tazminat verilmesi konusunda verdiği karar, bu konuda gelecek tüm davalar için uluslararasıhukuğun temellerinden birini oluşturmuştur. Mahkemeye göre: “Herhangi bir taahhüdün ihlalinin beraberinde tazminat ödeme yükümlülüğügetirmesi, hem uluslararasıhukukun hem de genel olarak hukuk anlayışının temel ilkelerinden biridir.”
İlk bakışta Stuxnet’in de aynışekilde, Natanz nükleer tesisine verdiği zarardan dolayıABD’nin tazminat ödemesi gerektiği düşünülebilir. Zira ortada açık bir egemenlik ihlali ve bir devletin sanayisine verilmişciddi bir ekonomik ve teknik zarar bulunmaktadır. Yalnız bu noktada, siber güvenlikle ilgili çok ciddi bir duvara çarpılmaktadır. Siber güvenliğin temel problemlerinden biri de, hayata geçirilmişbir siber saldırının gerçekten kim tarafından gerçekleştirildiğinin tespitinin kimi zaman imkansız olmasıdır. “Attribution”yani isnat problemi olarak anılan bu sorun, bir siber saldırısırasında kullanılan IP’lerin bambaşka proxy’ler kullanılarak gerçekleştirilmesinden veya saldırıyıgerçekleştiren grubun arkasında ulus devlet desteği olmasının tespit edilmesinin çok zor olmasından kaynaklanmaktadır. Stuxnet konusunda da şimdiye kadar resmîbir açıklama yapılmamıştır ve tahminler hukukîolarak spekülasyon mesabesindedir. Sözkonusu bu isnat problemi, yani saldırının kime atfedileceğinin tam olarak kestirilememesi, Stuxnet için olduğu kadar diğer tüm siber saldırıların da hukukîolarak problem teşkil etmesinin nedenlerinden biridir. Öyle ki, örneğin Rusya’dan kaynaklandığıdüşünülen bir saldırı, bambaşka bir ülkedeki amatör bir grup tarafından gerçekleştirilmişolabilmektedir ve bu zincirin tam takip edilerek nihaîolarak kimin saldırıdan sorumlu tutulacağı, çözümüzor bir engeldir.
Bahsedilen bu isnat sorunu, uluslararasıhukuk açısından da ilginçbir durum ortaya çıkarmaktadır. Zira UluslararasıHukuk Komisyonu’nun (ILC) 2001 yılında kabul ettiği “Devletlerin UluslararasıHukuka Aykırıİşlemlerinin Sorumluluğu Hakkında Hükümler”(ARSIWA [Articles on Responsibility of States for Internationally Wrongful Acts]) taslağı, devletlerin hangi eylemlerinin hangi durumlarda uluslararasıhukuka aykırıolarak nitelendirilebileceğini açıklığa kavuşturmaya çalışmıştır. Devletlerin kimi eylemleri “uluslararasıhukuka aykırı”(internationally wrongful) olarak nitelenerek yargılanabilir. Fakat yine ARSIWA’nın 2. maddesine göre, sözkonusu eylemin açıkça “sözkonusu devlete isnat edilebilmesi”gerekmektedir. Yani diğer bir deyişle, hukuksuz eylem işlediği iddia edilen devletin bu eylemi gerçekten işlediğine dair açıkça ikna edici deliller bulunmalıdır. Fakat Stuxnet bağlamında, bu şekilde bir isnadiyet problemi bulunmaktadır. Geleneksel silahlarda bir silahıdizayn eden ve saldırıda kullanan devlet kolaylıkla bulunabilirken, Stuxnet gibi bir siber silahta durum bu kadar kolay değildir. Bu türden siber saldırılar, kodlar yoluyla yapıldığından, salt kod incelenerek saldırıarkasında herhangi bir ülke dahli bulunmasımümkün olmayacaktır. Dolayısıyla mahkemenin davayıdelil yetersizliğinden dolayıincelemeye almamasısözkonusu olacaktır. Bu durumda da siber güvenlikteki isnadiyet problemi açıkça hukuku altetmişolacak ve siber saldırılar için yeni bir hukuki yaklaşım ihdas edilmesi gerekecektir.
Aslında, bu şekilde Stuxnet’i ABD’nin işlediğine dair bir yeterli kanıt elde edilemese bile, bir devletin bir saldırıyıüstlendiğini “beyan etmesi”de saldırının devlete isnat edilebilmesi için yeterli olacaktır. Aynıtaslak hukuk belgesinin, yani ARSIWA’nın 11. maddesinde anlatılan “ikrar yoluyla isnat”(attribution by ackowledgement) devreye sokulabilir. Zira ARSIWA’nın 11. maddesi şöyledir: “Daha önceki maddeler altında bir devlete isnat edilemeyen eylemler, yine de, devletin bu eylemin kendi eylemi olduğunu beyan etmesi ve üzerine almasıdurumunda, uluslarararasıhukuka göre bu devletin eylemi olarak sayılacaktır.”Diğer bir deyişle, beyan, isnadiyet için bir temel oluşturmaktadır. Beyanın isnadiyet açısından yeterli kabul edilmesi, uluslararasıhukukta ARSIWA taslağıoluşturulmadan önce de önemli bir normdur. Örneğin 1956’da görülen ve Deniz Feneri Tahkimi olarak bilinen France v. Greece davasında, Girit’in Yunanistan devletinin topraklarına katıldığıbeyanı, Girit’in yaptığıeylemin Yunanistan devletine isnat edilmesi için yeterli bir dayanak olarak görülmüştür. Görüldüğüüzere açık beyanlara ek olarak bu şekilde bir dolaylıbeyan dahi isnadiyet içinde değerlendirilebilmektedir.
Fakat Stuxnet bağlamında, ABD’li devlet yetkililerinin beyanatlarıgerçekten güçlübir dayanak teşkil edecek kadar sağlam değildir. Sanger’ın kitabındaki iddialarının ya da basında çıkan diğer iddiaların mahkemece delil olarak kabul edilebilmesi oldukça zordur. Bu beyan eksikliği, isnadiyet için yeterli görünmemektedir.
Tüm bunlara rağmen, mahkeme davayıgörmeyi kabul edebilir. Bu durumda, ABD’nin mahkemede kendini savunup savunmayacağıkonusu çok önemlidir. Eğer savunmayıseçerse ve Stuxnet’i resmîolarak kendisinin yaptığınıkabul ederse, bu durumda ABD tazminat ödeme ve prestij kaybıgibi riskleri göze almak durumunda kalacaktır. Eğer kendini savunmayıseçmezse de, bu durumda siber caydırıcılık açısından son derece önemli bir fırsatıkaçırmışolacaktır. Zira siber caydırıcılık, geleneksel caydırıcılıktan farklıdır. Normal şartlarda herhangi bir silahıüreten ve elinde bulunduran bir devlet, salt bu durumdan bile, diğer devletleri kendisine karşıgüçkullanmaktan vazgeçirir ve caydırıcılıktan yararlanmışolur. Ancak siber silahlar kodlardan oluştuğundan, karşıdevlete gözdağıvermekte kullanılmalarıneredeyse imkansızdır ve devletlerin ikincil güçgösterilerine ihtiyacıvardır. Stuxnet gibi, bir mühendislik harikasısiber silahın ABD tarafından uluslararasıarenada sahiplenilmemesi, son derece stratejik bir siber caydırıcılık hamlesinin elden kaçırılmasıanlamına gelecektir. Yalnız bu noktada şöyle bir eleştiri haksız sayılmaz: Stuxnet ortaya çıktığından beri, bu siber silahın kendisine atfedilmesi neticesinde ABD zaten siber caydırıcılıktan fazlasıyla yararlanmıştır. Sadece resmi bir açıklama ile üstlenmemişolması, caydırıcılıktan feragat etmesi anlamına gelmez. Böyle bir bakışaçısıda şimdilik son derece haklıgörünmektedir. Gerçekten de ABD’nin resmîolarak suskun kalması, kendisine siber güvenlik konusunda geldiği aşama hakkında son derece önemli bir prestij kazandırmıştır.
Yine de, uluslararasıhukuk açısından olayıincelemeye devam edilmesi gerekirse, ABD’nin kendisini savunurken kullanmayıseçeceği argüman, bu saldırıyıkendini ve bölgedeki müttefiki İsrail’i koruma adına gerçekleştirdiği olabilecektir. İran’ın uranyum zenginleştirmesinin, muhtemel bir nükleer silah amacıyla kullanılmasınıönceden önleme girişimi olarak kendini savunmaya gidebilir. Bu durum, uluslararasıhukuka aykırıişlemler hakkında yukarıda bahsedilen taslakta ele alınmıştır. Bir devlet, kendisine ya da temel çıkarlarından birine bir zarar geleceği iddiasıyla zorunlu olduğu hallerde uluslararasıhukuka aykırıbir eylem işlediğini iddia ederek kendini savunma yoluna gidebilir. Yukarıda bahsedilen ARSIWA’nın 25. maddesi, “zaruret”hallerini hükme bağlamıştır. Bu maddeye göre, “zaruret”(necessity) iddiasıiçin “devletin, kendi temel çıkarlarına büyük ve mutlak bir tehlikenin önlenmesi için bu hukuka aykırıeylemi işlediğini”açıkça gösterebilmesi gerekmektedir. Bu zaruret konusu, hukuka aykırıkimi eylemlerin işlenebilmesinin önünüaçmaktadır. ABD’nin de olasıStuxnet davasında kendini savunmasıdurumunda, bu maddeyi dayanak olarak kullanmak istemesi muhtemeldir. ABD, İran’ın Natanz’da geliştirdiği uranyumun, kendinin ve bölgedeki müttefiki İsrail’in güvenliğini tehlikeye atabileceğini, bunun da 25. maddede belirtilen “büyük ve mutlak bir tehlike”(“a grave and imminent peril”) teşkil ettiğini iddia edebilir. Fakat buradaki sorun, Natanz’da geliştirilen uranyumun herhangi bir nükleer silahta kullanıldığına dair bir kanıt yoktur. Ayrıca İran, UluslararasıAtom Enerjisi Ajansı’nın aktif bir üyesidir ve dolayısıyla bu ajansın güvenlik tedbirleri gereğince, Natanz’da geliştirilen uranyumun askeri silah geliştirmede kullanılmayacağınıtaahhüt etmiştir. Bu durumda ABD’nin olasıbir Stuxnet davasında kendini savunurken, işlediği iddia edilen eylemi güvenliğini korumak için “zaruret”altında yaptığışeklinde bir iddia da mesnetsiz bulunarak mahkeme nezdinde haksız bulunabilir.
Olası Stuxnet davasının siber güvenlik ve uluslararasıhukuk açısından başka bir önemi daha bulunmaktadır. 2009 ve 2012 yıllarıarasında, NATO’nun girişimiyle uluslararasıhukuk uzmanlarına yazdırılan ve savaşhukuku ile uluslararasıinsani hukukun siber savaşa uygulanabilirliğini irdeleyen Tallinn Kitapçığı’nın mevcut uluslararasımahkemelerce dikkate alınıp alınmayacağı, muhtemel bir Stuxnet davasında görülebilecektir. Tallinn Kitapçığı, henüz sadece uzman görüşlerini içeren bir kitap hükmündedir. Herhangi bir ülke ya da ülkeler tarafından resmîolarak kabul edilmişveya tartışılmışdeğildir. Yine de, bu türden uzman görüşleri uluslararasıhukuk için önemlidir. UluslararasıAdalet DivanıTüzüğü’nün (Statute of the International Court of Justice) 38(1) maddesinde sayılan uluslararasıhukuğun kaynaklarıarasında, anlaşmalar ve teamüller ile birlikte uzman hukukçuların görüşleri de bulunmaktadır. Bu maddeye göre “çeşitli milletlerin en üstün hukukçularının hukukîkararlarıve öğretileri de 59. maddeye tabi olmak üzere”uluslararasıdavalarda mahkemenin karar vermesine yardımcıolmak için dayanak teşkil edebilir. Tallinn Kitapçığıda bu açıdan uluslararasıhukuk açısından değerli bir metindir. Bu kitapçığın sayısız hükmü, siber saldırıların tıpkıgeleneksel saldırılar gibi egemenlik ihlali teşkil ettiğini ve tazminat gerektirdiğini karara bağlamıştır. Bununla birlikte kitapçık, siber saldırılarıda detaylıolarak ele almış, başa gelmesi muhtemel senaryolarıhesaba katarak, bu durumlarda hangi hukuk mevzuatının işletilebileceğini açıklamıştır. Yalnız Stuxnet davasında veya herhangi bir davada, Tallinn Kitapçığı’nın hükümlerinin kullanılıp kullanılmayacağınıveya uzman görüşüolarak nitelendirilip nitelendirilmeyeceğini zaman gösterecektir.
Stuxnet dava süreciyle ilgili bir çok belirsizlik bulunmaktadır. İran gerçekten bu siber saldırıyımahkemeye taşıyacak mı; mahkeme bu davayıkabul edecek mi; eğer dava görülecek olursa, ABD kendini savunma yoluna gidecek mi; eğer savunmayıseçerse hangi argümanlar ile hareket edecek; dava sonunda mahkeme nasıl bir karar verecek, Tallinn Kitapçığı’ndaki hükümleri dikkate alacak mı, bunların hepsi cevaplarıbelli olmayan sorular. Sonuçnasıl olursa olsun, dava süreci hangi yönde şekillenirse şekillensin, kesin olan bir şey vardır. O da Stuxnet’in uluslararasıbir mahkemece değerlendirilmesinin siber güvenlik ve siber alanın düzenlenmesi konusunda uluslararasıdüzeyde ciddi adımlar atılmasının önünüaçacağıgerçeğidir. Siber güvenliği ulusal düzeyde farkedilmişolmasına rağmen, uluslararasıarenada hala hukukîdüzenlemelere ve normlara ihtiyaçduyulmaktadır. UluslararasıAdalet Divanıveya ilişkili tahkim komisyonlarından birinde Stuxnet’in dava edilmesi, bu konuda, bir çok açıdan son derece önemli ve heyecan vericidir.
Bu yazı ilk olarak Bilim ve Gelecek dergisi, 125. sayıda yayınlanmıştır.
Suudi Arabistan Ordusu Suriye, Bahreyn ve Yemen’deki siyasi vaziyetlerin değişmesi üzerine savunma doktrininde değişiklik yapmaya karar vermiş. Saudi Defense Doctrine (SDD) adı verilen yeni belge mümkün olan en kısa zaman içerisinde Siber güvenlik ve Uzay için yeni iki komutanlık kurulmasını öngörüyor.
Körfez ülkelerinin siber güvenliğe olan ilgisi yeni değil fakat 2012′den sonra ciddi bir artış gösterdiğini söylemek yanlış olmaz. Bunun önemli iki sebebi var. Birincisi her alanda tehdit olarak görülen İran’ın siber kabiliyetlerini ciddi oranda arttırması, ikincisi ise 2012 yılında yaşanan hedefli siber saldırılar.
İkincisinden başlayalım.
2012 Ağustos’unda dünya petrol devi Suudi Arabistan’ın petrol şirketi Saudi Aramco’yu hedef alan siber saldırıda şirketin bilgisayarlarının yarısı (30 bin) devre dışı bırakılmış ve içerisindeki bilgiler silinmişti. Bilgilerin başka bir yere transfer edilip edilmediğine dair herhangi bir bilgiye henüz ulaşılmadı. Shamoon adı verilen virüsle yapılan saldırının hemen ardından bu sefer Katar’ın doğalgaz şirketi RasGas’ın bilgisayarları aynı virüsün hedefindeydi. Aramco kadar olmasa da RasGas’da ciddi oranda zarar gördü. Petrol ve doğalgaz gibi stratejik sektörlerde ciddi anlamda üretim yapan şirketleri hedef alan saldırılar sadece o kurumların ya da bulundukları ülkeyi ilgilendirmiyor; aynı zamanda bölgesel ve küresel etkileri de bulunuyor.
Bu saldırıların kimin tarafından gerçekleştirildiğine dair kesin bir bilgi olmasa da, parçaları birleştirdiğimizde olağan şüpheli olarak İran karşımız çıkıyor. Shamoon virüsünün analizine ve saldırı biçimine bakıldığında Şiilerin dini referanslarına rastlanması dikkat çekiyor. Yazlım kodları arasında Şiilerin kayıp imamlarından birinin adının geçmesi, saldırıyı üstlenen grubun isminin Adaletin Keskin Kılıcı (Cutting Sword of Justice- Hz Ali’nin de Adaletin Kılıcı olarak anıldığını hatırlayalım) olması ve saldırının Kadir gecesinde düzenlenmesi İran şüphesini arttırıyor. Fakat bunlardan daha önemli bir etken saldırının arkasında İran olduğunu neredeyse kesinleştiriyor. O da Shamoon virüsünün İran’ı hedef alan Flame adlı virüsle benzer teknik özellikler arz etmesi.
Oğul Bush zamanında Olympic Games operasyonuyla İran’a seri şeklinde siber saldırılar düzenlendiğini artık dünya biliyor. Bu saldırılardan biri İran’ın nükleer programına hasar vermeyi amaçlayan Flame saldırısıydı. Ne kadar zarar verildiği henüz bilinmese de İran bu saldırıdan sonra yazılımın analizini yapıp daha da geliştirerek kendine özgü bir silah haline getirdiği anlaşılıyor. Flame’in bulunduğunun açıklandığı tarih 2012 Mayıs, Aramco saldırısı ise 2012 Ağustos’ta gerçekleştirildi. Uzmanlar 3 ayın yazılımın geliştirilmesi için yeterli bir süre olduğunu söylüyorlar.
Bu noktada İran’ın siber kabiliyetlerini geliştirmesine de bir paragraf ayrılması gerekiyor. 2009 yılındaki Cumhurbaşkanlığı seçimlerinde Ahmedinejad karşıtlarının sokak gösterilerini sosyal medya üzerinden örgütlemesi ve bu protestoların dünyada yankı bulması, Tahran yönetimini internet sansürü-takibi konusunda daha gelişmiş yöntemler izlemeye itti. İlerleyen yıllarda nükleer tesisleri hedef alan Stuxnet gibi saldırılar ise, İran’ı sistemlerin korunması ve internet sansürünün bir adım ötesine taşıdı ve İran ordusu taarruzi siber kabiliyetler geliştirmeye başladı. Kurumsal olarak bu noktada atılan önemli bir adım 2012 yılında (yine) İran Cumhurbaşkanı Ruhani’nin liderliğinde Siber Alan Yüksek Konseyi’nin kurulması oldu.
Her alanda İran’ı bir tehdit olarak gören Körfez ülkeleri de, saldırılar karşısında bir arayış içine girdi. Devasa bütçeleri olmasına rağmen teknik yetersizlik ve durum farkındalığının eksikliği, ibrenin Batılı güvenlik şirketlerine yönelmesine sebep oldu. Baltimore’da bir şirket olan CyberPoint International, Bush döneminde Beyaz Saray Siber Güvenlik danışmanı olan Richard Clarke aracılığıyla, Birleşik Arap Emirlikleri için ‘Electronic Security Authority’ birimini kurmak için anlaşmaya vardı. Tarih tabi ki 2012. Şirketin Abu Dabi temsilcisi de yine Bush’un ilk döneminde Siber Alan Güvenlik Ofisinin başında olan Paul Kurtz. Bu arada Katar ve Suudi Arabistan’da ABD’li siber güvenlik şirketleri ile masaya oturdular. Sonunda Katar Booz Allen Hamilton ile anlaştı. Birkaç gün önce savunma doktrininde siber komutanlık kuracağını açıklayan Suudi Arabistan’ın ise yine Amerikan özel sektöründen destek aldığı düşünülüyor.
The Middle East Economic Digest verilerine göre Körfez’de yıllık 10 milyar dolar siber güvenlik için harcanıyor. Arabistan hükümeti 2023′e kadar 1.4 trilyon dolarlık güvenlik bütçesi ayırdı. 2007-2018 yılları arasında sadece siber güvenlik için ayrılan bütçe 33 milyar dolar. Körfez sermayesi hem piyasada itibarlarını korumak hem de daha güvenli sistemlere sahip olmak için siber güvenlik danışmanı arıyorlar.
Kaçan fırsat nerede mi? Türkiye Arap dünyasına, Körfez bölgesine açılım peşinde. Başarılı da oluyor. Ancak Konya’daki esnafımızı Yemen’e götürüp şekerleme satışı stratejik bir başarı değildir. Bu ülkelere yazılımcılarımız, bilgisayar uzmanlarımız ve pentestçilerle dolu uçaklarla inmeliyiz. Neden başlıkta ‘yeni’ yazıyor, kaçan fırsatın neresi yeni diyorsanız, 6 yıl öncesine gidelim. 2008′de Gürcistan’a siber saldırı olduktan sonra hiçbir Türkiye güvenlik şirketi Tiflis’in kapısını çalmamıştı.
