Kategori arşivi: stratejik siber güvenlik ders notları

stratejik siber güvenlik ders notları

Asimetrik savaş ve siber silahlar

Yorum yapın

Siber silahlar bugün konvansiyonel anlamda yeterince güçlü olmayan yapıların elinde kendilerinden daha güçlü yapılara karşı meydan okumak için başvurulan asimetrik savaş unsurları olarak karşımıza çıkmaktadır.

Asimetrik savaş, eşit ve benzer olmayan iki taraf arasında gerçekleşir. Bu eşitsizlik askeri güç noktasında olabileceği gibi yapıları (devlet/örgüt) statüleri arasında da olmaktadır. Asimetrik savaşta taraflar birçok açıdan farklılık gösterirler. Asimetrik savaşın yeniden dünya gündemine gelmesine başlıca rolü oynayan 11 Eylül saldırıları asimetrik savaş ile ilgili bize açıklayıcı bir örnek sunar.

Simetrik savaşın aksine taraflardan sadece birinin devlet olması asimetrik savaşın karakteristik özelliklerinden biridir. Örnekte ABD karşısında kendisi gibi bir devleti değil, El Kaide adlı terör örgütünü bulmuştur. Bu asimetrinin ilk önemli etkilerinden biri, devletin (ABD) –kâğıt üstünde de olsa- atacağı adımların uluslararası hukuka uygun olma zorunluluğu bulunmasına rağmen, savaşın diğer tarafı için herhangi bir hukuk kuralının bağlayıcılığının olmamasıdır.

Asimetrinin kendini gösterdiği ikinci nokta çatışma taraflarının başvurduğu saldırı stratejileri ve silahlardır. Teröristler sivillerin hayatını tehlikeye atmaktan kaçınmazlar. 11 Eylül’ün de gösterdiği gibi sivil unsurlar (yolcu uçağı) yine sivil hedefler (Ticaret Merkezi) için kullanılabilmektedir. Buna karşın devletlerin masum sivillere herhangi bir zarar vermesi söz konusu olamaz. Çeşitli silahların yasaklanmasının yanı sıra, sivil unsurların bir saldırının parçası haline gelmesi kesinlikle tartışmaya dahi açık değildir. Özellikle İkinci Dünya Savaşında, savaş uçaklarının kullanıma girmesiyle savaşların cephe dışına sarkması ve sivillerin de muhtemel hedefler arasına girmesi her ne kadar savaş hukukuyla düzenlenmeye çalışılsa da, bu hukukun sadece devletler üzerinde bağlayıcılığının olduğunun altını bir kez daha çizmek gerekir.

Bugün bir terör örgütünün konvansiyonel silahlanmaya girişerek, tank ve savaş uçağı sahibi olması gibi bir durum mevcut değildir. Buna karşılık olarak çeşitli bombalı saldırılarda kullanılan intihar bombacıları terör örgütlerinin en kritik silah gücünü oluşturmaktadır. Asimetri tarafların birbirine karşı kullandığı ‘silahlarda’ kendisini bir kez daha göstermektedir. Fransa’da yaşanan ve IŞİD’in üstlendiği terör saldırılarına Paris hükümetinin verdiği yanıt IŞİD’e karşı oluşan koalisyona katılıp, Suriye’ye savaş uçaklarını göndererek IŞİD mevzilerini bombalamak olmuştur.  Bu noktada terör örgütlerinin yeni bir aktör olarak uluslararası politikaya dahil olduğunu not etmemiz gerekmektedir. Bazı devletler –vekalet savaşları- olarak adlandırılan çekişmelerde rakip/düşman devletlere karşı bazı terör örgütlerine destek vermekten kaçınmamaktadırlar. Afganistan ve geçmişte İngiltere’de olduğu gibi devletlerin terör örgütlerini muhatap aldığı asimetrik müzakereler de olmuştur.

Asimetrik savaşta tarafların güçlülük ve zayıflık tanımları da değişmektedir. Siber güvenlik ekseninde baktığımızda; insanların ve kurumların iş yapış biçimlerini kolaylaştıran dijital teknolojiler karşı taraf açısından birer güvenlik açığı olarak değerlendirilebilmektedir. Dolayısıyla savunan taraf açısından bir zayıflık olarak görülmektedir. Saldırgana baktığımızda ise, terör örgütlerinde veya Anonymous gibi gruplarda olduğu gibi gevşek organizasyonel yapı manevra özgürlüğünü artırıp saldırgana, savunanın öngöremeyeceği hamleler yapma kabiliyeti kazandırmaktadır.

Asimetrik savaşın taraflarının her ikisinin de devlet olduğu durumlardan bahsetmek de mümkündür. Bu tür asimetrilerde taraflar aynı statüyü paylaşsalar da, birbirlerine karşı kullanılan strateji ve silahların yanı sıra güçlülük ve zayıflık tanımları ciddi anlamda farklılık göstermektedir.

Konvansiyonel silahlar bağlamında ABD ve İran karşılaştırılmasının kesin galibi ABD olacaktır. Asker sayısı, savunma ve saldırı teknolojileri, dünyanın dört bir yanına yayılmış askeri üsleri ile bu ikili arasında çıkabilecek herhangi bir geleneksel savaşın galibini tahmin etmek güç değildir. Fakat savaşların cephe gerisine sarktığı İkinci Dünya Savaş’ından bu yana, özellikle dijital altyapıların stratejik birer unsur (asset) olarak öne çıktığı çağımızda, güç sadece askeri güç olarak görülmemektedir.

Güç asimetrisinin olduğu bu gibi durumlarda konvansiyonel olarak geride kalan tarafın asimetrik yollara başvurması kaçınılmazdır. Bu yollara başvurularak, konvansiyonel olarak güçlü tarafın yumuşak karnına (bu durumda Amerikan finans sektörü olabilir) siber saldırılar beklenilmelidir. İran’ın ABD’nin büyük bankalarını hedef alan 2013 yılındaki saldırılardan sonra bazı ABD’li uzmanların ‘camdan bir kulen varsa karşı tarafa taş atmayacaksın’ yorumlarıyla Stuxnet’e atıf yaptığını unutmamak gerek.

Asimetrik savaş unsuru olarak yükselen siber silahların sınıflandırılması birçok açıdan önemlidir. Bir silahın tehdit potansiyeli karşı taraf tarafından nasıl algılandığı ile doğrudan ilgilidir. Bir banka soygununda banka çalışanlarının gerçek olarak algıladığı bir oyuncak silah saldırgan elinde gerçek silah etkisi göstermektedir.

Bir silahın tehdit potansiyeli onun kullanımı ile doğrudan ilgili değildir. Banka soyguncusunun elindeki oyuncak tabanca kullanılmadan tehdit algısı oluşturabilmişse bu silah ateşlenmeden etkili olmuş demektir. Silahın etki gücü ile ilgili üçüncü bir nokta ise, silah sahibinin tehdit etme ya da zarar verme niyetidir. Bu da büyük ölçüde algı ile ilgilidir. Annenizin meyve soyarken elinde gördüğünüz bıçağı sizin için bir tehdit oluşturmazken, aynı nesneyi bir caninin elinde gördüğünüzde bu bıçak bir tehdit unsuru oluşturur. Devletler açısından bir müttefikin gelişmiş bir siber silah elde ettiğini öğrenmeniz ile bir rakip/düşman devletin aynı kabiliyete sahip olduğunu öğrendiğinizdeki tehdit seviyesi asla aynı olmayacaktır.

Thomas Rid siber silahları ikiye ayırmaktadır. Generic but low potential tools adını verdiği, gerçek silahlara benzeyen, hedef ayırmaksızın kullanılabilen, elde etmesi kolay olan siber araçlar ilk bölüme girmektedir. Bu araçlarla yapılan saldırılar sonucunda hedefin ‘vurulduğu’ gizlenemez şekilde görülür. Bu duruma bir örnek olarak bankaların web sitelerine yönelik DDoS saldırılarını verebiliriz.

İkinci tip siber silahları ise Specific and high potential weaponary oluşturur. Adından da anlaşılacağı gibi bunlar silah tanımına biraz daha yakındırlar. Fakat anti-radyasyon füzeleri gibi tek kullanımlık olurlar. Sadece hedefleri için özel olarak üretilmişlerdir. Bir kere kullandıktan sonra deşifre olacağı için aynı silahın gelişmiş bir hali size karşı kullanılabilir. Uzun AR-GE yatırımları ve gelişmiş insan gücüne ihtiyaç duyulur. Hedefe özel olduğu için uzun istihbarat çalışmaları sonucunda tasarlanır. Rid bu tür silahlara örnek olarak Stuxnet’i vermiştir.

Yukarıda sayılan nedenler aslında ‘siber silahların maliyetinin konvansiyonel silahlara göre daha düşük olduğu’ tezini ciddi anlamda sarsmaktadır.

stratejik siber güvenlik ders notları

Stratejik siber güvenlikte temel kavram ve referanslar

Yorum yapın

Şehir Üniversite’sinde açılan Siber Güvenlik Yüksek Lisans programında bu dönem Stratejik Siber Güvenlik dersi vermeye başladım. Türkiye’de –bildiğim kadarıyla- ikinci kez açılan bu derste tamamı teknik eğitim görmüş 40’a yakın öğrenciyle birlikte siber güvenliğin strateji, savunma, uluslararası ilişkiler ve uluslararası hukuk gibi teknik olmayan, ya da daha doğru ifadeyle sosyal, alanlarla kesişimine ve etkileşimine ilişkin karşılıklı bir öğrenme süreci oluşturmaya çalışacağız.

İlk dersimizde daha sonraki dersleri anlatırken sık sık atıf yapacağımız temel kavram ve referanslar üzerinde bir tartışma yürüttük. Dersin adından başlayarak öncelikle strateji, taktik ve operasyon arasındaki farkları ortaya koyduk.

Stratejistler genel planlamada ‘neyi, nasıl, neden yapıyoruz?’ gibi temel sorulara kısıtlı kaynaklarını dikkate alarak cevaplar üretir; taktiksel seviyede bu genel hedeflere nasıl ulaşılacağına dair projeler geliştirilir ve nasıl ilerleneceğinin stratejiye uygun olarak çıkarılır. Son olarak operasyonel seviyede bu projelerin adım adım geliştirilmesi sağlanır.

Dersin akşam 18:30’da başlamasına ve sınıfın çoğunluğunun profesyonel hayatta yer almasına rağmen derste sıcak tartışmaların yaşandığını memnuniyetle gözlemledim. Bu tartışmaların en yoğunlarından biri siber alanın sınırlarıyla ilgiliydi. Aslında bu çok da şaşılacak bir durum değil, çünkü literatürde bu konuyla ilgili ciddi tartışmalar var. Siber saldırı nedir? Hangi saldırılar siber saldırı kapsamına girer sorularının net cevapları bulunmuyor. Sosyal bilimlerde tanım tartışmalarının bazı durumlarda on yıllar aldığını ve dersimizin ana konusunun bu olmadığını göz önüne alırsak sadece bu tartışmaların varlığından haberdar olmamız yeterlidir diye düşünüyorum. Mesela literatürde dijital olarak uzaktan kontrol edilen bir insansız hava aracının fiziksel ortamda düzenlediği bir saldırının siber saldırı sınıfına koyulması gerektiğine dair iddiaları burada not etmekte fayda bulunuyor. Bu noktada saldıran ve kurbanın bulunduğu ortamlara göre saldırı sınıflandırması yapıldığını hatırda tutalım. Savaş uçakları bir köyü vurduğunda bu bir ‘hava saldırısı’ olarak adlandırılmaktadır.

Dersin isminden devam ederek ‘güvenlik’ kavramı üzerinde durmamız gerektiğini düşünmüştüm. Thomas Hobbes’dan başlayabilecek bir anlatıma gerek görmeden, güvenlik ve savunma arasındaki farkın 11 Eylül saldırılarından sonra nasıl belirginleştiği üzerinde durarak; bu farkın ABD’de bu ayrımın nasıl Savunma Bakanlığı ve Anayurt Güvenliği Bakanlığı’nda farklı kurumsallaşma tecrübelerine yol açtığına dikkat çektik.

Siber güvenlik demişken bu kavramın bilgi güvenliği ile kesiştiği ve ayrıştığı alanların da üstünden geçmek gerekir diye düşünüyorum. Dersin önemli tartışmalarından biri de bu konuda yaşandı. Tabi ki siber alanın sınırları hala tartışılmaktayken, siber güvenlik ve bilgi güvenliği arasında kesin bir ayrım yapılması zor olsa da, bu ikisi arasında daha net bir ayrım çizmek mümkün. Derste ‘Peki bu ayrım gerçekten önemli mi?’ sorusu bizi başka bir mecraya taşıdı. Bu ayrımlar, devletlerin ve kurumların siber alan gibi yeni bir mücadele alanında doğabilecek sorunları ele alması için sorumlu yapıların oluşturulması bu yapıların gerekli uzmanlık ile donatılması ve daha da önemlisi hukuki açıdan suçların sınıflandırılması bakımından önemli olarak değerlendirilmelidir. Örneğin Adalet Bakanlığı’nın Uluslararası Hukuk Genel Müdürlüğü altında ‘siber savaş hukukuna’ ilişkin yeni bir birim kurulup kurulmaması temelde bu sorunun cevabıyla ilgilidir.

Bu bağlamda siber operasyonlar ile ‘information warfare’ olarak adlandırılan yanlış bilgiye dayalı algı operasyonlarının farkı daha önemli bir tartışma konusu olarak karşımıza çıkmaktadır. Siber operasyonlar dijital aygıtlara bağımlılığın arttığı geçtiğimiz birkaç on yılda gündeme gelmeye başlamışken, enformasyon operasyonlarının geçmişi oldukça eskidir. Modern zamana ait en güncel örneklerden biri D-Day olarak bilinen ve 2. Dünya Savaşının galibini belirleyen Normandiya çıkarmasının, Enigma’yı çözen müttefiklerin Hitler Ordusu’nu çıkarmanın Normandiya’ya değil de Pas de Calais’e yapılacağı yönünde yanlış istihbarat sızdırmasıdır. Bu noktada enformasyon operasyonlarında yanlış dahi olsa yeni bir bilginin ‘enjekte edilmesi’ iletişim kanallarının herhangi bir yolla kesilmesinden farklıdır. İlginç bir örnek olarak Balkan Savaşı’nda Osmanlı askerlerinin Bulgarların telgraf tellerini keserek iletişimlerine engel olması bir enformasyon operasyonu değil, elektronik harp operasyonudur.

Güvenliğin temas ettiği diğer bir konu olarak kollektif güvenlik ve NATO da muhakkak böyle bir derste bahsedilmesi gereken konular olduğunu düşünüyorum. Özellikle stratejik konsept ve Washington Antlaşmasının 4. ve 5. maddeleri stratejik siber güvenlik konusunda anlatılması gereken konular olarak ön plana çıkıyor.

Kritik altyapıların güvenliği meselesinde ise iki önemli soru gündeme geldi. Bunlardan ilki hangi sistem ve yapıların kritik altyapı olarak sınıflandırılacağı sorununda tarihsel, kültürel ve jeopolitik unsurların nasıl devreye girdiğiydi. Bu konuyla ilgili bir arkadaşımızın verdiği ‘Süleyman Şah’ operasyonunu derste kazandığım en önemli girdilerden biri olarak ifade etmeliyim. Şüphesiz CIP alanındaki bir çok soru bulunmasına rağmen stratejik siber güvenlik açısından kritik altyapı güvenliğinin öne çıkan bir boyutu, ulusal güvenliği etkileyen ve özel sektör tarafından işletilen bu sistemlerle ilgili olarak hangi seviyede devletin müdahale edebileceği konusudur.

Yukarıda bahsedilen temel kavram ve referansların yanı sıra geçtiğimiz derste ve dönem boyunca üzerinde durulacak diğer konular arasında siber savaş ve hibrid savaş kavramları, caydırıcılık, silahlanma yarışı, isnat problemi, asimetrik savaş ve siber silahlar da bulunuyor.

Siber dünyada caydırıcılığın nükleer caydırıcılıktan farkları ve caydırıcılık araçlarınınbu yeni muharebe alanında değişimini, Libicki’nin bu konuda yazdığı kitabı ana referans kabul edip ilerleyeceğiz. Thomas Rid’in siber savaş ve siber silah kavramlarının içinin nasıl doldurulduğu ile ilgili yaklaşımlarını inceleyip, derste yorumlamaya çalışacağız. Asimetrik bir unsur olarak siber silahların konvansiyonel anlamda güçlü ülkeleri hedef almasının uluslararası güç dengesinde ne gibi değişikliklere neden olabileceği üzerinde spekülasyon yapacağız.