Stuxnet ve Uluslararası Hukuk: Bir siber saldırının anatomisi

stuxnet

 

Stuxnet ortaya çıktığından beri, siber güvenliğin bütün boyutlarıyla ilgilenen herkesi bir heyecan sardı. Siber güvenlik bugüne kadar sadece marjinal gibi görünen bazıuzmanlar tarafından tartışılırken, Stuxnet kadar büyük ölçekli ve profesyonel bir siber saldırının devletler düzeyinde gerçekleştirilmesi, meseleyle uzaktan yakından ilgilenen herkesi bu konuya daha da gömülmeye itti. Stuxnet, siber savaşın ve siber silahların, bir dönem tartışılan uzay savaşlarıgibi sadece kağıt üzerinde kalmayacağınıgösterdi. Ayrıca meselenin içinde devlet dahli olma ihtimali de, bu konuda bir uluslararasıdüzenleme gerekliliğini bir kez daha gözler önüne serdi.

Kısaca hatırlamak gerekirse, Stuxnet, Haziran 2010’da farkedilen ve İran’ın Natanz nükleer geliştirme tesisine saldırmak için geliştirilmişolan bir siber silahın adıdır. Bu saldırı, resmi olarak hiçbir devlet tarafından üstlenmemişolsa da, saldırıçok büyük ihtimalle bir ABD-İsrail ortak yapımıdır. Zira her iki ülkeden de bu konuda herhangi bir yalanlama gelmemiştir. Ayrıca David Sanger de 2011 yılında yazdığımakalesinde ve daha sonra çıkan Confront and Conceal kitabında, Stuxnet’in Obama’nın emriyle NSA’in Maryland’deki merkezinde geliştirildiğini ve İsrail’de kurulan bir model nükleer tesiste denendiğini iddia etmektedir. Sanger’in iddialarıoldukça inandırıcıolsa da, bu konuda herhangi bir resmi açıklama yapılmamışolması, iddialarıempirik açıdan sorgulanabilir kılmaktadır.

Bir siber saldırı, hedef sistemdeki sistem açıklarınıkullanarak içeri sızar. Stuxnet’te ise, “zero-day”yani sıfırıncıgün açıklarıadıverilen, sistem açığıpiyasalarında değeri kimi zaman yüz binlerce dolarıbulabilen sistem açıklarından bolca kullanılmıştır. Diğer bir deyişle Stuxnet’in tasarlanması, milyon dolarlık bir bütçeye mal olmuştur. Bu da, Stuxnet’in amatör birey veya gruplarca değil de ancak bir ulus devlet bütçesi ve teknik birikimi ile tasarlanmışolduğu konusunda ikna edici bir veri sunmaktadır. Bu konuda, Stuxnet’in geliştirilmesinde ana rolüolduğu iddia edilen devlet olan ABD’nin suskunluğunun çeşitli sebepleri bulunmaktadır. Öncelikle böyle bir saldırıyıüstlenmek, beraberinde başka bir devletin egemenlik haklarınıihlal anlamına gelmektedir. Sözkonusu hedef ülke, İran gibi uluslararasıhukukla sıkıntılıbir devlet bile olsa, sonuçdeğişmeyecek ve ABD bu saldırıdan dolayıhaksız konumda gibi görünecektir. İkincisi (ve siber güvenlik çalışan siyaset bilimciler açısından çok daha heyecan verici olan ise) uluslararasıilişkilerin en temel kavramlarından biri olan caydırıcılık açısından ABD suskunluğunun belli bir anlama geliyor olmasıdır. Caydırıcılık, siber caydırıcılık ve ABD suskunluğu konusuna yine bu yazıda değinilecektir.

Stuxnet, Natanz’daki uranyum zenginleştirme tesisine saldırırken, bunu, akıllara durgunluk verecek derecede ustalık ve kurnazlık içeren süreçlerle yapmıştır. Öncelikle belirtmek gerekir ki, bu nükleer tesis, diğer tüm SCADA sistemleri gibi global internet ağından güvenlik gerekçeleriyle koparılmışşekilde işlemektedir. Yani bu sisteme bir virüs bulaştırabilmek için USB sürücüveya harici hard disk gibi bir aparatın sisteme bir şekilde dahil edilmesi gerekmektedir. Stuxnet’in de bunu, bu nükleer tesise hizmet veren üçüncüşahıslar, yani taşeron firmalar ile gerçekleştirdiği düşünülmektedir.

Stuxnet, aktif olduğu süre boyunca, nükleer tesiste içinde uranyum zenginleştirilen santrifüjlerin dönüşhızlarınıetkileyerek kullanım ömürlerini azaltmak suretiyle zenginleştirme sürecine zarar vermeyi hedeflemiştir. Bunu yapmaya başlamadan önce, SCADA ekranlarında, daha önceden almışolduğu 21 saniyelik ekran görüntüsünüdefalarca döndürerek kontrol mühendislerini yanıltmayıbaşarmıştır. Arka planda, santrifüjlerin dönüşhızlarınıartırıp azaltarak ömürlerini azaltmıştır. Kırılan veya parçalanan santrifüjlerin yerine yenilerinin takılmasıgerekmektedir. Bu şekilde, nükleer zenginleştirme süreci tamamen sekteye uğramasa da, İran uranyum zenginleştirme planlarında en azından 2 yıllık bir üretim aksamasıolduğu düşünülmektedir. Stuxnet’in neden bu şekilde bir eylem planıizlediği konusunda çeşitli tahminler bulunmaktadır. Stuxnet, bir anda tüm sistemi parçalayacak, tüm santrifüjleri kıracak şekilde değil de, uzun vadede gizli şekilde bu parçaların kullanım ömürlerini azaltacak şekilde dizayn edilmiştir. İran ise ömrübiten santrifüjleri, yenileriyle değiştmesine imkan verecek sayıda santrifüjüüretip yedekte beklettiğinden, nükleer geliştirmede ciddi bir zarar görülmemiştir. Yine de Stuxnet, tüm bunlara rağmen, kamuya açıklanan ilk siber silah olarak tarihe geçmiştir.

Bugüne kadar konuyla ilgili sessizliğini koruyan İran’ın geçtiğimiz günlerde Stuxnet’i uluslararasımahkemeye taşıyacağıyönünde bir haber basına yansıdı. Bu yazıda da Stuxnet gibi bir siber saldırının UluslararasıAdalet Divanı’na taşınmasısürecinde neler yaşanabileceği konusunda bir değerlendirme yapılmışve tüm bu hukukîsürecin siber güvenlik açısından önemi tartışılmıştır.

Stuxnet, teoride, uluslararasıhukukun en temel metinlerinden biri olan BirleşmişMilletler Sözleşmesi’ni de (The Charter of the United Nations) ihlal etmiştir. Bu sözleşmede, 1.2.4’te açıkça şu şekilde belirtilmektedir: “Tüm üyeler, uluslararası ilişkilerinde gerek herhangi bir başka devletin toprak bütünlüğüne ya da siyasal bağımsızlığına karşı, gerek BirleşmişMilletler’in Amaçları ile bağdaşmayacak herhangi bir biçimde kuvvet kullanma tehdidine ya da kuvvet kullanılmasına başvurmaktan kaçınırlar.”Stuxnet’te de açıkça bir başka devletin egemenlik haklarınıihlal sözkonusudur.

Bilindiği üzere, bir devletin başka bir devletin egemenlik haklarına ve bütünlüğüne saygıduymasıuluslararasıhukukun en temel kaidelerinden birini oluşturmaktadır. Başka bir devletin topraklarınıolduğu kadar, sanayi ve teknik altyapısına saygıduymak, o devletin egemenliğini ilgilendiren bir konudur ve ihlali durumunda uluslararasıhukukun ve uluslararasıtoplumun yaptırımlarıyla karşıkarşıya kalınmaktadır. Normal şartlar altında, her devlet, gayrihukuki olarak verdiği tüm zararlarıkarşılamak zorundadır. Bu konuda uluslararasıhukuk normlarıgayet nettir. Teamül olarak bu şekilde tüm devletlerce kabul edilen bu norm, artık uluslararasıhukuk davalarının kararlarıneticeleriyle de, hukuk mevzuatına girmiştir. 1928’de Milletler Cemiyeti’nin mahkemesi olan Daimi UluslararasıAdalet Divanı(Permanent Court of International Justice) tarafından görülen ve Chorzow FabrikasıDavasıolarak da bilinen Germany v. Poland PCIJ davasında mahkemenin tazminat verilmesi konusunda verdiği karar, bu konuda gelecek tüm davalar için uluslararasıhukuğun temellerinden birini oluşturmuştur. Mahkemeye göre: “Herhangi bir taahhüdün ihlalinin beraberinde tazminat ödeme yükümlülüğügetirmesi, hem uluslararasıhukukun hem de genel olarak hukuk anlayışının temel ilkelerinden biridir.”

İlk bakışta Stuxnet’in de aynışekilde, Natanz nükleer tesisine verdiği zarardan dolayıABD’nin tazminat ödemesi gerektiği düşünülebilir. Zira ortada açık bir egemenlik ihlali ve bir devletin sanayisine verilmişciddi bir ekonomik ve teknik zarar bulunmaktadır. Yalnız bu noktada, siber güvenlikle ilgili çok ciddi bir duvara çarpılmaktadır. Siber güvenliğin temel problemlerinden biri de, hayata geçirilmişbir siber saldırının gerçekten kim tarafından gerçekleştirildiğinin tespitinin kimi zaman imkansız olmasıdır. “Attribution”yani isnat problemi olarak anılan bu sorun, bir siber saldırısırasında kullanılan IP’lerin bambaşka proxy’ler kullanılarak gerçekleştirilmesinden veya saldırıyıgerçekleştiren grubun arkasında ulus devlet desteği olmasının tespit edilmesinin çok zor olmasından kaynaklanmaktadır. Stuxnet konusunda da şimdiye kadar resmîbir açıklama yapılmamıştır ve tahminler hukukîolarak spekülasyon mesabesindedir. Sözkonusu bu isnat problemi, yani saldırının kime atfedileceğinin tam olarak kestirilememesi, Stuxnet için olduğu kadar diğer tüm siber saldırıların da hukukîolarak problem teşkil etmesinin nedenlerinden biridir. Öyle ki, örneğin Rusya’dan kaynaklandığıdüşünülen bir saldırı, bambaşka bir ülkedeki amatör bir grup tarafından gerçekleştirilmişolabilmektedir ve bu zincirin tam takip edilerek nihaîolarak kimin saldırıdan sorumlu tutulacağı, çözümüzor bir engeldir.

Bahsedilen bu isnat sorunu, uluslararasıhukuk açısından da ilginçbir durum ortaya çıkarmaktadır. Zira UluslararasıHukuk Komisyonu’nun (ILC) 2001 yılında kabul ettiği “Devletlerin UluslararasıHukuka Aykırıİşlemlerinin Sorumluluğu Hakkında Hükümler”(ARSIWA [Articles on Responsibility of States for Internationally Wrongful Acts]) taslağı, devletlerin hangi eylemlerinin hangi durumlarda uluslararasıhukuka aykırıolarak nitelendirilebileceğini açıklığa kavuşturmaya çalışmıştır. Devletlerin kimi eylemleri “uluslararasıhukuka aykırı”(internationally wrongful) olarak nitelenerek yargılanabilir. Fakat yine ARSIWA’nın 2. maddesine göre, sözkonusu eylemin açıkça “sözkonusu devlete isnat edilebilmesi”gerekmektedir. Yani diğer bir deyişle, hukuksuz eylem işlediği iddia edilen devletin bu eylemi gerçekten işlediğine dair açıkça ikna edici deliller bulunmalıdır. Fakat Stuxnet bağlamında, bu şekilde bir isnadiyet problemi bulunmaktadır. Geleneksel silahlarda bir silahıdizayn eden ve saldırıda kullanan devlet kolaylıkla bulunabilirken, Stuxnet gibi bir siber silahta durum bu kadar kolay değildir. Bu türden siber saldırılar, kodlar yoluyla yapıldığından, salt kod incelenerek saldırıarkasında herhangi bir ülke dahli bulunmasımümkün olmayacaktır. Dolayısıyla mahkemenin davayıdelil yetersizliğinden dolayıincelemeye almamasısözkonusu olacaktır. Bu durumda da siber güvenlikteki isnadiyet problemi açıkça hukuku altetmişolacak ve siber saldırılar için yeni bir hukuki yaklaşım ihdas edilmesi gerekecektir.

Aslında, bu şekilde Stuxnet’i ABD’nin işlediğine dair bir yeterli kanıt elde edilemese bile, bir devletin bir saldırıyıüstlendiğini “beyan etmesi”de saldırının devlete isnat edilebilmesi için yeterli olacaktır. Aynıtaslak hukuk belgesinin, yani ARSIWA’nın 11. maddesinde anlatılan “ikrar yoluyla isnat”(attribution by ackowledgement) devreye sokulabilir. Zira ARSIWA’nın 11. maddesi şöyledir: “Daha önceki maddeler altında bir devlete isnat edilemeyen eylemler, yine de, devletin bu eylemin kendi eylemi olduğunu beyan etmesi ve üzerine almasıdurumunda, uluslarararasıhukuka göre bu devletin eylemi olarak sayılacaktır.”Diğer bir deyişle, beyan, isnadiyet için bir temel oluşturmaktadır. Beyanın isnadiyet açısından yeterli kabul edilmesi, uluslararasıhukukta ARSIWA taslağıoluşturulmadan önce de önemli bir normdur. Örneğin 1956’da görülen ve Deniz Feneri Tahkimi olarak bilinen France v. Greece davasında, Girit’in Yunanistan devletinin topraklarına katıldığıbeyanı, Girit’in yaptığıeylemin Yunanistan devletine isnat edilmesi için yeterli bir dayanak olarak görülmüştür. Görüldüğüüzere açık beyanlara ek olarak bu şekilde bir dolaylıbeyan dahi isnadiyet içinde değerlendirilebilmektedir.

Fakat Stuxnet bağlamında, ABD’li devlet yetkililerinin beyanatlarıgerçekten güçlübir dayanak teşkil edecek kadar sağlam değildir. Sanger’ın kitabındaki iddialarının ya da basında çıkan diğer iddiaların mahkemece delil olarak kabul edilebilmesi oldukça zordur. Bu beyan eksikliği, isnadiyet için yeterli görünmemektedir.

Tüm bunlara rağmen, mahkeme davayıgörmeyi kabul edebilir. Bu durumda, ABD’nin mahkemede kendini savunup savunmayacağıkonusu çok önemlidir. Eğer savunmayıseçerse ve Stuxnet’i resmîolarak kendisinin yaptığınıkabul ederse, bu durumda ABD tazminat ödeme ve prestij kaybıgibi riskleri göze almak durumunda kalacaktır. Eğer kendini savunmayıseçmezse de, bu durumda siber caydırıcılık açısından son derece önemli bir fırsatıkaçırmışolacaktır. Zira siber caydırıcılık, geleneksel caydırıcılıktan farklıdır. Normal şartlarda herhangi bir silahıüreten ve elinde bulunduran bir devlet, salt bu durumdan bile, diğer devletleri kendisine karşıgüçkullanmaktan vazgeçirir ve caydırıcılıktan yararlanmışolur. Ancak siber silahlar kodlardan oluştuğundan, karşıdevlete gözdağıvermekte kullanılmalarıneredeyse imkansızdır ve devletlerin ikincil güçgösterilerine ihtiyacıvardır. Stuxnet gibi, bir mühendislik harikasısiber silahın ABD tarafından uluslararasıarenada sahiplenilmemesi, son derece stratejik bir siber caydırıcılık hamlesinin elden kaçırılmasıanlamına gelecektir. Yalnız bu noktada şöyle bir eleştiri haksız sayılmaz: Stuxnet ortaya çıktığından beri, bu siber silahın kendisine atfedilmesi neticesinde ABD zaten siber caydırıcılıktan fazlasıyla yararlanmıştır. Sadece resmi bir açıklama ile üstlenmemişolması, caydırıcılıktan feragat etmesi anlamına gelmez. Böyle bir bakışaçısıda şimdilik son derece haklıgörünmektedir. Gerçekten de ABD’nin resmîolarak suskun kalması, kendisine siber güvenlik konusunda geldiği aşama hakkında son derece önemli bir prestij kazandırmıştır.

Yine de, uluslararasıhukuk açısından olayıincelemeye devam edilmesi gerekirse, ABD’nin kendisini savunurken kullanmayıseçeceği argüman, bu saldırıyıkendini ve bölgedeki müttefiki İsrail’i koruma adına gerçekleştirdiği olabilecektir. İran’ın uranyum zenginleştirmesinin, muhtemel bir nükleer silah amacıyla kullanılmasınıönceden önleme girişimi olarak kendini savunmaya gidebilir. Bu durum, uluslararasıhukuka aykırıişlemler hakkında yukarıda bahsedilen taslakta ele alınmıştır. Bir devlet, kendisine ya da temel çıkarlarından birine bir zarar geleceği iddiasıyla zorunlu olduğu hallerde uluslararasıhukuka aykırıbir eylem işlediğini iddia ederek kendini savunma yoluna gidebilir. Yukarıda bahsedilen ARSIWA’nın 25. maddesi, “zaruret”hallerini hükme bağlamıştır. Bu maddeye göre, “zaruret”(necessity) iddiasıiçin “devletin, kendi temel çıkarlarına büyük ve mutlak bir tehlikenin önlenmesi için bu hukuka aykırıeylemi işlediğini”açıkça gösterebilmesi gerekmektedir. Bu zaruret konusu, hukuka aykırıkimi eylemlerin işlenebilmesinin önünüaçmaktadır. ABD’nin de olasıStuxnet davasında kendini savunmasıdurumunda, bu maddeyi dayanak olarak kullanmak istemesi muhtemeldir. ABD, İran’ın Natanz’da geliştirdiği uranyumun, kendinin ve bölgedeki müttefiki İsrail’in güvenliğini tehlikeye atabileceğini, bunun da 25. maddede belirtilen “büyük ve mutlak bir tehlike”(“a grave and imminent peril”) teşkil ettiğini iddia edebilir. Fakat buradaki sorun, Natanz’da geliştirilen uranyumun herhangi bir nükleer silahta kullanıldığına dair bir kanıt yoktur. Ayrıca İran, UluslararasıAtom Enerjisi Ajansı’nın aktif bir üyesidir ve dolayısıyla bu ajansın güvenlik tedbirleri gereğince, Natanz’da geliştirilen uranyumun askeri silah geliştirmede kullanılmayacağınıtaahhüt etmiştir.  Bu durumda ABD’nin olasıbir Stuxnet davasında kendini savunurken, işlediği iddia edilen eylemi güvenliğini korumak için “zaruret”altında yaptığışeklinde bir iddia da mesnetsiz bulunarak mahkeme nezdinde haksız bulunabilir.

Olası Stuxnet davasının siber güvenlik ve uluslararasıhukuk açısından başka bir önemi daha bulunmaktadır. 2009 ve 2012 yıllarıarasında, NATO’nun girişimiyle uluslararasıhukuk uzmanlarına yazdırılan ve savaşhukuku ile uluslararasıinsani hukukun siber savaşa uygulanabilirliğini irdeleyen Tallinn Kitapçığı’nın mevcut uluslararasımahkemelerce dikkate alınıp alınmayacağı, muhtemel bir Stuxnet davasında görülebilecektir. Tallinn Kitapçığı, henüz sadece uzman görüşlerini içeren bir kitap hükmündedir. Herhangi bir ülke ya da ülkeler tarafından resmîolarak kabul edilmişveya tartışılmışdeğildir. Yine de, bu türden uzman görüşleri uluslararasıhukuk için önemlidir. UluslararasıAdalet DivanıTüzüğü’nün (Statute of the International Court of Justice) 38(1) maddesinde sayılan uluslararasıhukuğun kaynaklarıarasında, anlaşmalar ve teamüller ile birlikte uzman hukukçuların görüşleri de bulunmaktadır. Bu maddeye göre “çeşitli milletlerin en üstün hukukçularının hukukîkararlarıve öğretileri de 59. maddeye tabi olmak üzere”uluslararasıdavalarda mahkemenin karar vermesine yardımcıolmak için dayanak teşkil edebilir. Tallinn Kitapçığıda bu açıdan uluslararasıhukuk açısından değerli bir metindir. Bu kitapçığın sayısız hükmü, siber saldırıların tıpkıgeleneksel saldırılar gibi egemenlik ihlali teşkil ettiğini ve tazminat gerektirdiğini karara bağlamıştır. Bununla birlikte kitapçık, siber saldırılarıda detaylıolarak ele almış, başa gelmesi muhtemel senaryolarıhesaba katarak, bu durumlarda hangi hukuk mevzuatının işletilebileceğini açıklamıştır. Yalnız Stuxnet davasında veya herhangi bir davada, Tallinn Kitapçığı’nın hükümlerinin kullanılıp kullanılmayacağınıveya uzman görüşüolarak nitelendirilip nitelendirilmeyeceğini zaman gösterecektir.

Stuxnet dava süreciyle ilgili bir çok belirsizlik bulunmaktadır. İran gerçekten bu siber saldırıyımahkemeye taşıyacak mı; mahkeme bu davayıkabul edecek mi; eğer dava görülecek olursa, ABD kendini savunma yoluna gidecek mi; eğer savunmayıseçerse hangi argümanlar ile hareket edecek; dava sonunda mahkeme nasıl bir karar verecek, Tallinn Kitapçığı’ndaki hükümleri dikkate alacak mı, bunların hepsi cevaplarıbelli olmayan sorular. Sonuçnasıl olursa olsun, dava süreci hangi yönde şekillenirse şekillensin, kesin olan bir şey vardır. O da Stuxnet’in uluslararasıbir mahkemece değerlendirilmesinin siber güvenlik ve siber alanın düzenlenmesi konusunda uluslararasıdüzeyde ciddi adımlar atılmasının önünüaçacağıgerçeğidir. Siber güvenliği ulusal düzeyde farkedilmişolmasına rağmen, uluslararasıarenada hala hukukîdüzenlemelere ve normlara ihtiyaçduyulmaktadır. UluslararasıAdalet Divanıveya ilişkili tahkim komisyonlarından birinde Stuxnet’in dava edilmesi, bu konuda, bir çok açıdan son derece önemli ve heyecan vericidir.

Bu yazı ilk olarak Bilim ve Gelecek dergisi, 125. sayıda yayınlanmıştır.

 

2 Comments

  1. önemli değil says:

    Yazı gayet güzel ve bilgilendirici ancak mümkünse daha sonraki yazılarınızda “boşluk” tuşunu daha aktif kullanmaya çalışın böylelikle yazılarınızı okuyan insanlar okurken zorlanmayacak ve anlatılmak isteneni daha net bir şekilde anlayacaktir.
    Saygılarımla…

  2. Pingback: Hiçbir Yapı Güvenli Değil “Stuxnet” | Kod Dünyası Topluluğu

Leave a Reply

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*

This site uses Akismet to reduce spam. Learn how your comment data is processed.