NATO, geçtiğimiz 12 yıllık dönemde siber güç kapasitesinde önemli gelişmeler gösterdi. Özellikle 1999, siber dünyadaki riskleri anlayabilmek adına çok kritik bir yıldı. Bilindiği üzere NATO güçleri, 1990’lar boyunca devam eden ve Yugoslavya devletinin sonunu getiren çatışmalara çeşitli müdahalelerde bulunmuştu. 1999’da Sırp liderl Miloseviç’in sonunu getiren Kosova hava saldırıları da pek çok eleştiriyi beraberinde getirmişti. NATO’nun bu müdahalesine tepki verenler arasında hackerlar da bulunuyordu. Bu dönemde NATO bilgi sistemlerine yapılan saldırılar ve küçük çaplı sızmalar, ittifakın siber uzaydaki gücünü sorgulamasına ve acil önlemler almasına sebep oldu. Bunu takip eden dönemde 2002 Prag Zirvesi’yle ciddi adımlar atılması kararlaştırıldı. Mesela siber olaylara müdahale edebilecek, önleyecek, tespit edecek ve saldırılara ilk karşılığı verecek bir merkez oluşturulması kararlaştırıldı.
İkinci kritik dönemse ise 2007 Estonya saldırıları oldu. Siber güvenlik çalışmalarının kısa tarihinde önemli bir yeri olan bu saldırılar, NATO’nun da konunun teknik ve siyasi boyutlarını yeniden düşünmesine, alınabilecek önlemleri artırmasına vesile oldu. Önemli bir adım olarak 2008 yılında Estonya’nın başkenti Tallinn’de NATO Müşterek Siber Savunma Mükemmeliyet Merkezi (NATO CCD-COE) kuruldu. Bu dönemde kurulan bir diğer merkez ise Siber Savunma Yönetim Otoritesi (Cyber Defense Management Authority) oldu. CDMA, siber savunma koordinasyonu, kapasitelerin denetimi ve risk yönetimi konularında görevlendirildi. CCD-COE ise operasyonel değil, doktriner sorumlulukları üstlendi. Bu sayede kurulan mükemmeliyet merkezi ile siber güvenlik bilimi ve eğitimi, NATO sistemleri arasında uyum ve hukuki sorunlar gibi konularda çalışmalar yaparak NATO’nun siber uzaydaki operasyonel gücünün desteklenmesi hedeflendi.
Bugün geldiğimiz aşamada 2011 yılında kabul edilen NATO Siber Savunma Politikası ve Eylem Planı, NATO’nun temel siber güvenlik stratejisini detaylandıran en önemli iki belge niteliğinde. Bu belgelerden özetle NATO’nun siber savunma stratejisinin temelinde şu unsurlar bulunuyor:
- NATO’nun nihai hedeflerinden olan kolektif savunma ve kriz yönetimi, siber savunma kabiliyetleri geliştirilmeden gerçekleştirilemez. Özellikle teknolojinin ve bilgisayarların hayatımızın her alanına dahil olduğu günümüzde ortaya çıkacak tehditler, yine siber uzaydan ve bilgi teknolojilerinden faydalanacaktır. NATO da bu tehdidin boyutlarının farkında olarak siber güvenliği, ittifakın devamı için olmazsa olmaz bir unsur olarak kabul etmektedir.
- NATO’ya veya müttefiklerine ait kritik siber varlıklar korunmalı, dirençliliği artırılmalı ve gerektiğinde savunması yapılmalıdır. Mevcut kritik verilerin siber tehditlere karşı korunması ve savunulması ittifak için çok önemli olduğu kadar, ortaya çıkaran hasarın kısa süre içerisinde giderilmesi de NATO’nun önemli öncelikleri arasında bulunmaktadır.
- NATO ağları tek bir merkezden korunabilmelidir. Ağları pek çok farklı merkezden yönetmektense, tek bir noktada buluşturmak stratejinin eleştiriye açık yönlerinden birini oluşturuyor. Çünkü merkezdeki ağda meydana gelebilecek bir sızma tüm sistemi tehdit eder boyutlara ulaşabilir.
- NATO’nun temel hedeflerine ulaşmada kritik öneme sahip ulusal ağların korunması için gerekli asgari şartlar tanımlanmalıdır. NATO içerisinde yük paylaşımı hep konuşulan konulardan birisi olduğundan, siber güvenlik alanında da yansımaları var. NATO’yu oluşturan müttefik devletlerin kendi ulusal ağlarını, öncelikle kendilerinin koruması gerekiyor. NATO’nun üzerine düşen ise ilk aşamada asgari standartları belirlemek.
- Müttefik devletlere, ulusal kritik altyapılarındaki zafiyetlerin azaltılabilmesinde gerekli asgari bir siber savunma kapasitesi elde edebilmeleri için destek verilmelidir. Bu sayede kritik altyapıların korunmasına öncelik verilerek can ve mal kaybını en aza indirmek, ayrıca müttefik devletler arasında tecrübe paylaşımına imkan sağlamak isteniyor.
- Ortak devletlerle, uluslararası örgütlerle, özel sektörle ve akademiyle işbirliği sağlanmalıdır. Siber uzayda ulusal ve uluslararası işbirliğinin önemi tekrar vurgulanmış durumda. Uluslararası örgütler, belli standartların oluşturulabilmesi açısından çok hayati bir işleve haiz. Özel sektör, saldırılardan en çok zarar gören ve siber istihbarat anlamında en çok hedef alınan şirketleri içinde barındırıyor. Akademi ise siber güvenliğin bilimsel boyutunu açıklama işini üstleniyor. NATO’nun bu üç alanda oynayacağı rol ile, tüm tarafların kazançlı çıkacağı bir ilişkiler zinciri oluşturmak isteniyor.
Sonuç olarak, elbette siber strateji kapsamında yapılanların bu noktada kalmaması ve daha ileriye taşınması lazım. İttifak olmanın gereği olarak müttefik devletler arasında işbirliğini daha sıkı bir seviyeye doğru ilerletmek, gelecek adına öncelikli konulardan olmalı. Geniş katılımlı siber güvenlik tatbikatları son bir kaç senedir NATO bünyesinde uygulanıyor. Bu sayede tecrübe paylaşımı, birbirini daha yakından tanıma, sistemler ile çalışma yöntemleri arasında uyum sağlama gibi önemli kazanımlar elde ediliyor. Benzeri çalışmaların sayısının ve kalitesinin artırılması gerekiyor.