2007 yılında Estonya’yı hedef alan siber saldırıların sorumluluğunu Nashi adlı Kremlin yanlısı bir gruba bağlı hackerler üstlenmişti. Sony Pictures’ın bazı gizli verilerinin sızmasına sebep olan 2014 saldırısının arkasında ise Kuzey Kore destekli bir grubun varlığı iddia edilmişti. Bu ve benzeri siber saldırıların ardından yaptığımız tartışmalarında bu eylemlerin uluslararası hukukun hangi kurallarını ihlal ettiği üzerinde durmuştuk. Ancak bunun ötesinde tartışmamız gereken diğer bir husus ise hangi şartlar altında hacker gruplarının saldırılarından devletlerin sorumlu tutulabileceğidir. Çünkü saldırı bir devlete isnat edilemediği takdirde saldırının kaynaklandığı ülkeye yönelik karşı tedbirler (counter-measures) alınamayacağı gibi meşru müdafaa (self-defence) hakkı da doğmayacaktır.
Devletin organları ya da kamu gücünü kullanarak hareket eden kişi veya birimler tarafından gerçekleşen eylemler, uluslararası hukuka göre o devletin fiili olarak kabul edilmektedir. Bunun yanı sıra devlet dışı bir aktör, eylemi bir devletin talimatı, emri ya da kontrolü altında gerçekleştirmiş ise fiilin sorumluluğu doğrudan o devlete ait olacaktır. Yani kısaca eylemi gerçekleştiren aktör ile söz konusu devlet arasında nitelikli bir bağlantı aranmaktadır. Örnek olarak, Özgür Suriye Ordusu (ÖSO) Afrin’de hukuka aykırı fiiller işlerse, bunlardan dolayı Ankara’nın sorumluluğu değerlendirilirken, TSK’nın ÖSO unsurları üzerinde ne ölçüde bir kontrolünün olduğu sorusunun cevaplanması gerekecektir.
Konu siber saldırılara geldiğinde ise yukarıda sayılan isnat edilebilirlik kurallarının uygulanması sorunlu hale gelecektir. İlk problem, siber saldırıyı gerçekleştiren aktörün yani hacker grubunun tespitindeki zorluklardır. Siber dünya, saldırıyı gerçekleştiren gruba kimliğini gizleme noktasında büyük olanaklar sunsa da başarılı iz sürme (trace back) sonucunda bu grupların tespiti mümkün olmaktadır. Ancak asıl sorun, tespit edilen aktör ile eylemin arkasında olduğu düşünülen devlet arasındaki bağlantıyı yakalayabilmektir. Bu noktada devletin saldırıya ilişkin talimatlarını veya hacker grubu üzerindeki etkili kontrolünü ispat edecek deliller aranacaktır.
Siber savaştaki tespit zorlukları, isnat edilebilirlik şartlarının daha esnek uygulanması önerilerini gündeme getirmiştir. Bu önerilerden bir tanesi, saldırının kaynaklandığı ülke tespit edildiğinde, o devletin bu saldırının arkasında olduğu kabul edilecek ve aksini ispat etmesi istenecektir. Kuzey Koreli hackerların Sony saldırısını Tayland’da bir otelden gerçekleştirdiği dikkate alındığında saldırının kaynağını oluşturan ülkeyi tespit etmek yeterli olmayacak ve hatta yanıltıcı sonuçlara yol açabilecektir.
Diğer bir öneri, devletlerin kendi toprakları ya da siber altyapısı kullanılarak gerçekleşen bir saldırıyı engellemek için gerekli özeni göstermesi gerektiği (due diligence) tezine dayanmaktadır. Buna göre hacker grubunun gerçekleştirdiği saldırıdan önceden haberdar olan ve bildiği halde gerekli tedbirleri almayan devlet, bu saldırıdan dolayı doğrudan sorumlu tutulacaktır. Diğer bir ifadeyle devlet, tedbir almadığı için sorumlu tutulmanın ötesinde saldırıyı bizzat kendi gerçekleştirmiş kabul edilecektir.
Hukuken tartışmalı olmakla birlikte bu öneriye dayanak oluşturabilecek örnekleri kinetik savaşta bulabiliriz. 11 Eylül sonrası El-Kaide’ye karşı başlatılan savaşta hükümette olan Taliban rejimi de hedef alınmıştı. BM Güvenlik Konseyi de aldığı kararlarla Afgan devletine karşı kuvvet kullanımını onaylamıştı. Benzer şekilde 2006’da Hizbullah tarafından saldırıya uğrayan İsrail, sadece bu grubu değil Lübnan devletini de doğrudan hedef almıştı. Dikkat ederseniz bu saldırılar, Batılı devletlerin Suriye’de IŞİD’e karşı operasyon gerçekleştirmesinin ötesinde bir durumdur.
Esad yönetimi, IŞİD’in eylemlerinden doğrudan sorumlu tutulmamış ve bu yüzden bir saldırıya maruz kalmamıştır. Yalnızca, Şam’ın rızası olmadan Suriye topraklarına müdahale edildiği için Suriye’nin egemenlik hakkı ihlal edilmiştir. Buna gerekçe olarak ise Suriye ordusunun IŞİD ile mücadelede isteksiz olduğu veya aciz kaldığı (unwilling or unable doctrine) gösterilmiştir. Ancak, El-Kaide ve Hizbullah’ın saldırılarını engelleyebileceği halde gerekli tedbirleri almadıkları ve örgütlere korunaklı alanlar oluşturduğu gerekçesiyle Afgan ve Lübnan devletleri, kendi unsurlarının gerçekleştirmediği saldırılardan dolayı doğrudan sorumlu tutulmuştur.
Bu yaklaşım ışığında en baştaki örneğe dönersek, Moskova’nın Estonya’ya saldıran hacker grubuna talimat verdiği ya da grup üzerinde etkili bir kontrole sahip olduğu ispatlanamasa dahi saldırının Moskova’ya isnat edilebilmesi mümkündür. Ancak bunun için Rusya’nın bu saldırıyı bildiği ve engellemeye gücü yeteceği halde hareketsiz kaldığının ispatlanması gerekecektir.
Sonuç olarak, uluslararası teamül hukukunda kabul edilen isnat şartları siber saldırılar için uygulandığında, hackerler tarafından gerçekleştirilen saldırıların bir devlete isnat edilebilmesi pek mümkün gözükmemektedir. Diğer yandan getirilen öneriler henüz ne uluslararası sözleşmelerde ne de teamül hukukunda yer bulmuştur. Ancak, El-Kaide ve Hizbullah örneğinde olduğu gibi devletlerin siber saldırılara karşı alacağı tedbirler zaman içerisinde bu teamülün değişmesi sonucunu doğurabilecektir.
Siber Bülten abone listesine kaydolmak için formu doldurunuz