Bilgisayarların yaygınlaşması ile birlikte artan siber suçlar ve siber saldırı endişeleri, devletlerarası ilişkilerde yerini ‘siber savaş’ söylentilerine bıraktı.
Siber güvenlik ile ilgilenenlerin gayet iyi bileceği üzere dünyanın farklı ülkelerinde devletler ve ordular siber güvenlik üzerine yeni kurumlar oluşturuyor, doktrinler hazırlıyor, bu alanda yeni kabiliyetler kazanmaya çalışıyor ve hatta siber dünyada diğer ülkelere saldırılar düzenliyor. Hatta bazıları daha ileri giderek kendilerine rakip gördükleri ülkeleri baskı altına almaya çalışıyorlar.
Bazı akademisyenler, devlet adamları ve uzmanlar siber savaşın kaçınılmaz bir son olduğunu ve devletlerin bu sona kendilerini hazırlamaları gerektiğinden bahsediyor. Ancak, bu konudaki tartışma göründüğü kadar homojen değil, kimilerine göre siber savaş bir efsaneden başka bir şey değil ve hiçbir zaman gerçekleşmeyecek. Özellikle akademik çevrelerde King’s College London Savaş Çalışmaları Departmanı’ndan Profesör Thomas Rid’in ‘Cyber War Will Not Take Place’ (Siber Savaş Gerçekleşmeyecek) adlı makalesi bu konuda ciddi tartışmalara sebep oldu.
Kolay Erişim
MİLYARCA DOLARLIK YATIRIM
Peki gerçekte durum ne? Devletler ve ordular siber dünyaya milyarlarca dolarlık yatırımı ne için yapıyor? Bu konu ile ilgilenenlerin aşina olduğu Stuxnet, Moonlight Maze gibi saldırılar gerçek anlamda bir siber savaş kavramının varlığını mı ortaya koyuyor? Yazının önümüzdeki kısımlarında bu soruya cevap arayacağım. Siber savaşın gerçek olup olmadığını anlamak için atılacak adımlardan ilki konuştuğumuz kavramın ne ifade ettiğinin farkında olmak. Dolayısıyla öncelikle siber savaş kavramının ne anlama geldiğini, özellikle ‘savaş’ denilen olgunun tam olarak ne olduğunu Calusewitz’in tanımlarından yararlanarak ortaya koymaya çalışacağım. Sonrasında ise Thomas Rid’in ve onu eleştirenlerin argümanlarını masaya yatıracağım. Son olarak ise sınıf arkadaşım Yanis Triqui’nin yazdığı bir yazıdan aldığım ilhamla siber savaşı değerlendirirken normal savaş kalıplarının dışına çıkarak yeni bir anlayış açısı kullanmanın siber dünyadaki mücadeleyi daha net anlamamıza yardım edeceği görüşünü ortaya koyacağım.
Siber savaşın ne olduğunu tanımlamadan önce savaş kavramının ne olduğuna açıklık getirmek bize bu konuda yardımcı olacaktır. Thomas Rid makalesinde Calusewitz’in savaş tanımını kullanıyor. Clausewitz’e göre bir hareketin ‘savaş’ olarak değerlendirilebilmesi için üç adet ana elemente ihtiyaç vardır. Birincisi savaş şiddet unsuru içermelidir, zira savaşın amacı şiddet kullanarak bir tarafın öbür tarafa dilediğine yaptırması durumudur. Dolayısıyla şiddet içermeyen durumlar savaş olarak sayılamaz.
İkincisi, savaş bir amaç değil araçtır(enstrüman). Bu nedenle, savaş keyfi olarak iki tarafın birbirine şiddet uygulamasından ziyade tarafların kendi amaçlarına ulaşabilmek için kullandıkları bir araç görevi görmelidir.
Son olarak ise savaş sadece herhangi bir amaca değil, siyasi bir amaca hizmet etmelidir. Yani savaşın sonunda kazanan tarafın siyasi olarak kazançlı durumda olması gerekir.[1]
SİBER SALDIRILAR ÜÇE AYRILIYOR
Thomas Rid’e göre şimdiye kadar gerçekleşen siber saldırılardan hiç biri savaşın bu üç şartını (şiddet, daha büyük bir amaç için enstrüman olmak görevi ve siyasi amaç) karşılamamaktadır ve gelecekte de karşılaması olası gözükmemektedir. Rid, bugüne kadar gerçekleşen en bilindik siber saldırıları değerlendiriyor ve neden bunların siber savaş olarak tanımlanmaması gerektiğini açıklıyor. Ben bu yazıda hepsinin üzerinden tek tek geçmeyeceğim ancak şunu belirtmek gerekir ki Thomas Rid’in her örnek olay için verdiği sebepler oldukça ikna edici gözüküyor. Genel olarak değerlendirildiğinde bugüne kadar yaşanmış olan Sibirya boru hattı patlaması, Stuxnet, Estonya’nın internet altyapısına yapılan saldırılar gibi olayların hiçbirisi yukarıda tanımlanan ve Clausewitz’e dayanan savaş kavramı ile bağdaşmıyor.
Bunun yerine, Thomas Rid gerçekleşen bu siber saldırıları sabotaj, espiyonaj, ve yıkım (subversion) olarak üçe ayırıyor. Bunlardan ilki, yani sabotaj düşman ekonomik ve askeri altyapıları yıpratmak için yapılan saldırılar anlamına geliyor ve Thomas Rid’e göre Stuxnet saldırısı bu türün en belirgin örneklerinden birisi olarak öne çıkıyor.[2]
İkinci olarak espiyonaj ise düşman bilgisayar sistemlerinden bilgi çalmak amacı ile yapılan saldırıları kapsıyor. Moonlight Maze ve Titan Rain gibi olaylar bu kategoriye örnek olarak gösterilebilir. Son olarak yıkım (subversion) ise hedef otoritenin toplum gözündeki saygınlığına zarar vermek amaçlı yapılan saldırılar anlamına geliyor. Estonya’nın hükumet ve banka altyapılarına Rus hackerlar tarafından 2007’de gerçekleştirilen saldırılar ise bu tip olaylar için iyi bir örnek olarak gösterilebilir.[3]
Ancak herkes aynı fikirde değil. Bazı akademisyenler Thomas Rid’in siber savaş ve özellikle ‘savaş’ konseptlerini değerlendiriş şeklini hatalı buluyor. Örneğin, bir başka King’s College London akademisyeni olan John Stone özellikle Thomas Rid’in Calusewitz üzerine kurulu savaş tanımının yanlış olduğunu ve Rid’in Clausewitz’i yanlış anladığını öne sürüyor[4]. Stone’a göre Thomas Rid güç, şiddet ve ölüm gibi kavramları birbirlerinin yerine kullanarak neyin savaş olarak tanımlanabileceği konusunda önemli bir yanılgıya düşüyor ve savaşı çok spesifik olarak tanımlıyor. Genel olarak bu konu Rid’in en çok eleştiri aldığı noktalardan birisi. Yirmi birinci yüzyılda oldukça dar bir savaş tanımı kullanması ve bu dar tanımı siber dünya gibi soyut ve henüz tam anlamıyla uluslararası ilişkiler disiplini içerisinde kendi yerini tam olarak bulamamış bir alana uygulamaya kalkması onun argümanını zayıflatan bir unsur olarak ön plana çıkıyor.
Öte yandan Rid’in neden böyle bir yönteme başvurduğu da kendi içerisinde anlaşılabilir bir durum. Eğer bir olayı tanımlamak istiyorsanız önce o olayı anlatırken kullandığınız kelimeleri tanımlamak oldukça mantıklı bir seçenek, Thomas Rid bu bağlamda konuyu akademik bir düzleme oturtmaya çalışmak ile yanlış bir şey yapmıyor. Ancak var olan tartışma ortaya koyuyor ki bu konu klasik anlamdaki uluslararası ilişkiler ve savaş literatürüne adapte etmesi kolay bir konu değil. Bu yüzden var olan kalıpların dışına çıkıp eldeki duruma farklı bir bakış açısı getirmek gerekiyor.
Dolayısıyla ‘siber savaş’ kavramını klasik anlamda Clausewitz’in savaş tanımı üzerinden tartışmak yerine bugün bu kavram devletler için ne ifade ediyor, devletler siber savaşı devlet yönetişimi (statecraft) içerisinde ve fiziki savaş anlarında nasıl kullanıyor gibi sorulara cevap aramak daha faydalı olacaktır. Sınıf arkadaşım Yanis Triqui bu konu üzerine bir dönem ödevi yazarak daha derli toplu bir çalışma ortaya koydu. Yanis makalesinde siber savaşı genel olarak savaş kavramından ayrı değerlendirmekten ziyade devletlerin siber aktiviteleri kullanarak gerek askeri gerekse siyasi stratejilerinde nasıl kendilerine avantaj sağladığından bahsediyor.[5]
DEVLETLER, SİBER GÜÇLERİNİ KENDİ STRATEJİLERİNE GÖRE KULLANIYOR
Bana kalırsa bu doğru bir yaklaşım. Günümüzde devletler siber savaşı kendi içerisinde bağımsız bir alan gibi görmekten ziyade ellerindeki siber güç kapasitesini kendi stratejilerine uygun olarak kullanmaya çalışıyorlar. Örneğin ABD ve İsrail Stuxnet saldırısını gerçekleştirdiğinde amaçları İran’a karşı bir siber savaşa girişmekten ziyade İran’ın nükleer enerji (ve muhtemelen silah) geliştirme programını aksatma hedefi güdüyorlardı ve bu girişimlerinde başarılı oldukları pekâlâ söylenebilir. Benzer olarak bugün silahlı kuvvetler bünyesinde kurulan ‘siber ordu’ birimleri kendi başına bir savaş aracı olmaktan ziyade ordunun bilgi toplama, eldeki bilgiyi koruma, düşman tesislerine zarar verme gibi orduların daha geniş amaçlarına hizmet etme görevi görüyorlar.
Bu konuda verilebilecek en somut örneklerden birisi Rusya. Sovyetler Birliği’nin Soğuk Savaş’ı kaybetmesinin ardından gerek siyasi gerekse askeri anlamda Batı ve Amerika’ya karşı kaybettiği rekabet gücünü yavaş yavaş geri kazanırken siber gücü bu konuda önemli bir rol oynuyor. Bu konu çeşitli defa medyada dile getirilmesine karşılık geçtiğimiz günlerde yayınlanan bir Wall Street Journal makalesi bu konuya bir kez daha dikkat çekerek Rusların siber alandaki başarılarının altı çiziliyor[6]. Rusya siber yeteneklerini yalnızca askeri ve istihbarat alanlarında kullanmakla kalmıyor, aynı zamanda internet üzerinde bir ‘troll’ ordusu kurarak uluslararası haber platformlarında Rusya ile ilgili yayınlanan makalelere ülkeleri ve devletleri hakkında olumlu yorumlar yaptırarak kendilerine göre bir ‘bilgi savaşı’ (Information Warfare’ yürütüyorlar. Bu bağlamda siber savaşı 19. Yüzyıldaki muharebe anlayışının dışında değerlendirilip bir devlet yönetişimi (statecraft) unsuru olarak görmek devletlere ve karar yapıcılara sunduğu geniş olanakların farkına daha iyi bir şekilde varmamıza olanak sağlıyor.
SİBER SAVAŞ BİR ENSTRÜMAN
Sonuç olarak, siber dünya sadece biz sıradan kullanıcılar için değil, devlet için de yeni ve henüz keşif aşamasında olan bir diyar. Devletlerin burada neleri hali hazırda yapabildikleri ya da neler yapabileceklerini kestirmek güç. Ancak sosyal bilimlerde siber savaş kavramının gerçek anlamda bir savaş düşüncesi kalıbından dışarı çıkarak devlet yönetişiminde karar alıcılara sunulan bir araç olarak değerlendirmek bize devletlerin siber dünyadaki rolünü anlamamızda önemli bir katkıda bulunacaktır.
______________________________________________________________________________________________________
[1] Thomas Rid, Cyber War Will Not Take Place, sf. 7-8
[2] Thomas Rid, sf. 16-19
[3] Thomas Rid
[4] John Stone, 2013. Cyber War Will Take Place. Journal of Strategic Studies.
[5] Yanis Triqui, 2016. Is there such a thing as cyberwar? Does the debate matter?
[6] Nathan Hodge ve Julian E. Barnes, 2017. The New Cold War Pits A US General Against His Longtime Russian Nemesis. The Wall Street Journal. Link: https://www.wsj.com/articles/the-new-cold-war-pits-a-u-s-general-against-his-longtime-russian-nemesis-1497623852