Patrick M. Morgan “Applicability of Traditional Deterrence Concepts and Theory to the Cyber Realm” adlı çalışmasında klasik caydırıcılığın ilkelerini ortaya koyarak, Soğuk Savaş boyunca klasik caydırıcılığın nasıl işlediğini incelemiştir. Ardından bu ilkelerin siber uzaya uygulanması noktasında oluşacak problemleri ortaya koyan Morgan, siber uzayda caydırıcılığı sağlayabilmek için gereken olası girişimleri çalışmasında sıralamıştır.
Morgan caydırıcılığın temel isterleri olarak “saldırıyı karşılayacak savunma” ve “misillemeyi sağlayacak saldırı” kapasitesini ve bunu gerçekleştirecek “komuta ve kontrol yapısı”’nı kabul etmektedir. Bu noktada Morgan, Soğuk Savaş boyunca uygulanan savunma ve saldırı yönetimiyle, siber uzayda uygulanagelen yapı arasındaki farka dikkat çekmektedir. Soğuk Savaş’ta savunma ve nükleer kapasiteyi de içeren saldırı, merkezi olarak yapılırken; siber uzayda devletlerin sadece saldırı kapasitesi merkezi olarak yönetilmektedir. Savunma kapasitesi ise saldırılan hedefin sahip olduğu lokal savunma mekanizmaları tarafından yapılmaktadır. Soğuk Savaş’ın aksine siber uzayda düşmanın gücü ve verebileceği zararın boyutu bilinmemektedir. Alınacak zararın ne kadardan sonra kabul edilemez olduğu ve ne zaman misillemenin gerekeceği ise savunmanın saldırı kapasitesinin aksine lokal olduğu bu yapıda karar verilmesi zor bir soru haline gelmektedir. Morgan caydırıcılığın işlevsel olabilmesi için siber uzayda savunmanın da merkezileştirilmesinin önemini vurgulamaktadır. Morgan’ın savunmaya verdiği bu önemin bir diğer sebebi ise caydırıcılığı sağlamak için temel ister olarak ortaya koyduğu komuta kontrol yapısına yapılacak siber saldırının, sadece siber kapasiteyi değil devletin tüm saldırı kapasitesini etkileme tehlikesini içermesidir.
İLGİLİ YAZI >> SİBER SAVAŞ VE CAYDIRICILIK: ZORLUKLAR VE TRENDLER ÜZERİNE
Morgan siber uzayda savunmanın ve komuta kontrol yapısının saldırı sonrasında devamlılığını sağlamak adına, yedeklemenin önemli olduğunu vurgulamaktadır. Morgan’ın çalışmasının yayınladığı 2010 yılı itibariyle bu yaklaşım doğru gözükse de 2010 yılında ortaya çıkan ve 2011 yılında etkileri tam olarak anlaşılan STUXNET Saldırısı ile siber saldırı yaparak fiziki hasar verilebileceği gerçeğinin ortaya çıkması, yedekleme yaklaşımını büyük ölçüde işlevsiz bırakmıştır.
İLGİLİ HABER >> STUXNET VE ULUSLARARASI HUKUK: BİR SALDIRININ ANATOMİSİ
Morgan’a göre klasik caydırıcılıkta önemli olup, siber caydırıcılık sağlanmaya çalışılırken problemli olan unsurlar da bulunmaktadır. Bu unsurlardan biri de mesajın saldırgana iletilmesi sürecidir. Soğuk Savaş’ta nükleer caydırıcılık sağlanırken rakibin kim olduğu ve hangi motivasyonla hareket ettiği gayet açıktır. Siber uzayda ise saldırganın kimliğinin tespiti mümkün olmayabilir. Bu durumda kimliksiz saldırgana mesajın iletilmesi sorunu ortaya çıkmaktadır. Saldırganın kimliği kadar bir diğer önemli hususta saldırganın motivasyonudur. Motivasyonu bilinmeyen saldırgana verilmesi gereken doğru mesajın ne olacağını bilmekte zordur.
Morgan’ın altını çizdiği bir diğer önemli zorlukta inandırıcılıktır. Caydırıcılığın başarılı olabilmesi için yapılacak tehdit inandırıcı olmalıdır. Tehdit inandırıcı olduğu kadar rakip devlette, tehditin gerçekleştirileceğine dair inançta olmalıdır. Siber uzayda ise saldırıyı yapan aktörün kimliği ve motivasyonunun tespiti dahi oldukça zorken yapılan tehdidin inandırıcı olması mümkün değildir. Bunun da ötesinde tespit edilen saldırgana verilecek siber karşılığın zarar verme kapasitesi de bilinmezliğini korumaktadır. Verilecek siber karşılığın saldırgana zarar vermeyeceğine dair oluşan inanç, daha büyük saldırılara neden olabilir.
Morgan’ın öne çıkardığı son unsur ise klasik caydırıcılığın aksine siber uzayda yaşanan istikrar sorunudur. Caydırıcılığın istikrarı sistemin güvenli olmasını ve nihayetinde kontrolünü sağlamaktadır. Caydırıcılıkta devletlerin oluşturduğu inandırıcılık istikrarı destekler. İstikrar inandırıcılık kadar rakiplerin saldırma isteğinin fazlalığıyla da ilişkilidir. Bu bağlamda istikrarı korumak rakip devletin saldırma istediği kuvvetlenmeden müdahale edilmesine bağlıdır. Kriz ne kadar büyürse istikrar o kadar tehlikeye girer. Bu bağlamda caydırıcılığın istikrarı ile rakibin rasyonelliği arasında ters orantı vardır. Siber uzayda ise saldırganın savunmaya karşı kapasitesindeki hızlı değişim istikrarı sarsmaktadır. Nükleer caydırıcılıkta savunmanın zorluğu probleminin üzerinden, misilleme tehdidi ile gelinmiştir. Siber uzayın doğası gereği misilleme üzerinden oluşturulan yaklaşım geçerli değildir. Bu bağlamda devletler siber uzayda inandırıcı tehdide sahip değilken istikrarı sağlamak zorlaşmaktadır. Bu duruma karşın silahların kontrolü istikrarı sağlayabilir. Siber uzayda silahsızlanma ise nükleer silahların aksine mümkün gözükmemektedir. Siber uzayda silahsızlanmanın mümkün olmamasının en temel nedeni geliştirilen silahların nihayetinde dijital bilgi olmasıdır. Dijital bilgiyi ise saklamak kolay, kontrol ise zordur. Yapılacak uluslararası işbirliği ise saldırı halinde alınacak hasarın önüne geçebilir ve caydırıcılığın istikrarına katkı yapabilir.
Morgan çalışmasının sonunda siber caydırıcılığın sağlanması için önerilerde bulunmaktadır. Öncelikle siber uzayda savunma merkezileştirilmeli ve saldırıya derhal ve tüm yönleriyle karşılık verilmelidir. Dijital bilginin korunması noktasında yedekleme oldukça önemlidir. Siber uzayda saldırı kapasitesinin tamamen ortaya konması saldırı kapasitesine zarar verme potansiyelini içerse de caydırıcılığı sağlamak için misilleme kapasitesi yeterince gösterilmelidir. Bir diğer önemli hususta savunmanın yapılabilmesi için yeni teknolojilere yapılacak harcamaların arttırılmasıdır. Son husus ise siber uzayda silahların kontrolüne ilişkin uluslararası mutabakatın sağlanmasıdır.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FIRMU DOLDURUNUZ
[wysija_form id=”2″]