27 Haziran’da başta Ukrayna olmak üzere Avrupa, ABD ve Rusya’yı vuran NotPetya yazılımı, mevcut uluslararası hukuk normlarının siber dünyaya uygulanabilirliği sorununu tekrar gündeme taşıdı.
Siber güvenlik uzmanları, başlangıçta saldırıyı WannaCry benzeri bir fidye yazılımı olarak değerlendirse de aslında NotPetya’nın belirli sistemlere yönelerek ekonomik zarara yol açmayı ve kaos ortamı oluşturmayı amaçladığı sonucuna vardı. Hatta NATO akreditasyonuna sahip Müşterek Siber Savunma Merkezi (CCD COE), zararlı yazılımın arkasındaki devletin kendi siber saldırı kapasitesini test etmek veya gücünü göstermek amacıyla böyle bir bir saldırı gerçekleştirdiğini iddia etti.
NATO Genel Sekreteri Jens Stoltenberg saldırının ertesi günü yaptığı açıklamada; ‘silahlı saldırı’ ile kıyaslanabilecek sonuçlar doğuran siber operasyonların NATO Antlaşması’nın 5. maddesini etkin hale getirebileceği ve siber saldırılara askeri yöntemlerle karşılık verilebileceğini duyurdu. Microsoft ise barış zamanında sivillere yönelik gerçekleşen devlet destekli siber saldırıları engellemek adına çalışmalar yapılması gerektiğini belirtti. Ayrıca bu kapsamda devletleri uluslararası insancıl hukuku düzenleyen 1949 Cenevre Sözleşmeleri benzeri bir ‘Dijital Cenevre Sözleşmesi’ yapmaya davet ettiği çağrısını yeniledi. Bu açıklamalarla beraber NotPetya’nın etkileri dikkate alındığında, saldırının uluslararası hukuku ilgilendiren yönlerinin de tartışılması gerektiğine inanıyoruz.
İsnat Edilebilirlik
NotPetya kötü amaçlı yazılımının esas olarak Ukrayna’yı hedef aldığı ancak daha sonra diğer ülkelere yayıldığı tahmin ediliyor. Bu noktada ilk sorulması gereken, saldırının kimin tarafında gerçekleştirildiği. Uluslararası hukukta haksız bir eylemin bir devlete isnat edilebilirliği, eylemin bir devlet organı veya bir devletin “talimatı, yönlendirmesi veya kontrolü” ile hareket eden devlet-dışı bir aktör tarafından gerçekleştirildiği hallerde mümkündür. Kesin bir şekilde isnat edilebilirlik mümkün olmasa da CCD COE uzmanları saldırının bir devlet organı veya devlet destekli bir aktör tarafından gerçekleştirildiğini düşünüyor. Bu iddialarını destekleyen en önemli olgu, yazılımın maliyetinin bir devletle bağlantılı olmayan hackerlarca karşılanamayacak kadar fazla olması. Ayrıca uzmanlar basitçe hazırlanmış bu fidye toplama yöntemiyle NotPetya’nın maliyetinin dahi çıkarılamayacağını öngörüyor. Ukrayna Güvenlik Servisi ise ellerinde deliller olduğunu belirterek saldırının arkasında Rusya’nın olduğunu iddia ediyor. Ancak saldırıdan etkilenen şirketler arasında Rus devletinin en büyük hissedar olduğu Rosneft’in bulunduğunu da not etmek gerekiyor.
Operasyonun Hukuki Niteliği
Saldırının bir devlete isnat edilebildiğini varsayarsak cevabını arayacağımız ikinci soru NotPetya’nın uluslararası hukukun hangi ilkelerini ihlal ettiği olacaktır. Temel olarak 3 kuraldan bahsedebiliriz; müdahale etmeme ilkesi, egemenlik hakkı ve kuvvet kullanmama ilkesi.
Müdahale etmeme (non-intervention) kuralı, BM Sözleşmesi’nde açık bir şekilde yer almasa da uluslararası teamül olarak kabul görmüş ve birçok davada bu kurala atıfta bulunulmuştur. Esas olan bir devletin diğer ülkenin iç işlerine cebir içeren bir eylemle müdahalede bulunmamasıdır. Örnek olarak, Rusya’nın ABD seçimlerine müdahalesini bu kapsamda değerlendirmiştik. NotPetya’nın ise bazı devlet kurumlarına zarar verdiği biliniyorsa da eylemin bir devletin iç işlerine veya hükümetin yürüttüğü bir kampanyaya müdahale ettiği söylenemeyecektir.
Egemenlik hakkı (sovereignty) ise bir devlete kendi toprakları üzerinde münhasıran kontrol yetkisi tanımaktadır. Tallinn Siber Savaş Kılavuzu, bir ülkenin siber altyapısının da o devletin egemenliği kapsamında değerlendirileceğini açıkça ifade etmektedir. Siber araçlar kullanılarak bir ülkedeki kamusal ya da özel siber altyapıya yapılan saldırılar o ülkenin egemenlik hakkını ihlal etmektedir. Ancak bu saldırıların basit yaralanmaya veya donanımsal bir parçanın tamirini gerektirecek fiziksel bir zarara sebebiyet verecek düzeyde olması gerekmektedir. Sistemin işleyişi için gerekli dataların yok olmasına yol açan siber saldırılar da bu hakkı ihlal etmektedir . NotPetya’nın verdiği fiziki zararın boyutu tam olarak bilinmemektedir. Ancak Tallinn Kılavuzu’nu hazırlayan ekibin lideri Micheal Schmitt, NotPetya’nın sistemleri geçici olarak servis dışı bırakmanın ötesinde altyapıya zarar verdiği ve erişimi engellendiğini ifade ederek, bu durumun egemenlik hakkını ihlal ettiğini belirtmiştir.
Kuvvet kullanmama ilkesi (prohibition on the use of force), bir devletin BM Güvenlik Konseyi kararı olmadan veya meşru müdafaa hakkı doğmadan başka bir devlete karşı kuvvet kullanımını yasaklamaktadır. Ancak bu ilkenin ihlal edilmiş sayılabilmesi için siber saldırı, ölçüsü ve etkisi açısından kalıcı veya büyük çaplı bir fiziksel zarara ya da ölüm veya yaralanmaya sebebiyet vermesi gerekmektedir. Uzmanlar siber operasyonunun ciddi bir ekonomik istikrarsızlığa yol açtığı durumları da kuvvet kullanımı olarak kabul etmektedir. Eldeki bilgilerle NotPetya’nın etkisinin bu seviyeye ulaşmadığı ve kuvvet kullanma yasağının delinmediğini söyleyebiliriz.
Uluslararası İnsancıl Hukuk (International Humanitarian Law)
Tartışılması gereken bir diğer husus, uluslararası insancıl hukukun (uluslararası silahlı çatışmalar hukuku) hangi koşullarda siber operasyonlara uygulanabileceğidir. İnsancıl hukukun uygulanabilmesi için öncelikli olarak devlet ya da devlet dışı aktörlerin silahlı çatışma içerisine girmesi gerekmektedir. NotPetya’nın Rusya’nın kontrolündeki bir grup hackerca gerçekleştirdiğini varsayarsak ve Rusya ile Ukrayna’nın Kırım ve Ukrayna’nın doğusunda silahlı çatışma içerisinde olduğunu dikkate alırsak, insancıl hukukun uygulama alanı bulduğundan söz edebiliriz. Bu durumda siber operasyonları da insancıl hukuk normları kapsamında değerlendirmemiz gerekecektir.
Ancak eğer siber saldırı silahlı çatışma içerisinde olunmayan yani Rusya’nın dışında bir devlet tarafından gerçekleştirildiyse insancıl hukukun uygulanabilmesi için siber eylemin ‘saldırı’ seviyesinde olması şartı aranacaktır. Bu ise eylemin ölüm, yaralanma veya ciddi düzeyde fiziksel zarara yol açabileceği durumlarda mümkündür. Fakat NotPetya’nın bu seviyeye ulaşmadığını düşünüyoruz.
İnsancıl hukukun en temel ilkesi, silahlı çatışmalar sırasında gerçekleştirilen saldırılarda sivil ve askeri hedeflerin ayırt edilmesi gerektiğidir. Ancak bu ilke, yukarıda belirttiğimiz ‘saldırı’ seviyesindeki eylemler için geçerli olacaktır. NotPetya bu seviyede olmadığı için ‘ayırt etme ilkesi’ uygulanamayacaktır. İlkeyi anlamak adına NotPetya’nın bu seviyede bir ‘saldırı’ olduğunu varsayarsak, ilk olarak bu yazılımın sivilleri mi yoksa askeri unsurları mı hedef aldığını sormamız gerekecektir. NotPetya’nın özel şirketleri, Kiev Havaalanını, elektrik santrallerini ve sağlık ağını hedef aldığı göz önünde bulundurulduğunda, bunların askeri avantaj sağlayan unsurlardan çok sivil objeler olduğu kanaatine varılabilir. Bu varsayımla, NotPetya uluslararası insancıl hukuku ihlal etmiş sayılacaktır ve savaş suçu olarak değerlendirilecektir.
Sonuç olarak, siber eylemlerin sayısı ve etkileri arttıkça saldırıların uluslararası hukuk boyutuna ilişkin tartışmalar genişleyerek devam edecektir. Yukarıda yaptığımız tartışmalarda da görebileceğiniz üzere kinetik savaşa uygulanan hukuku siber dünyaya uyarlarken bazı belirsizlikler ortaya çıkmaktadır. Hem isnat edilebilirlik koşulları hem de saldırıların niteliğini belirlemede bazı sorunlar görülmektedir. Ancak NATO CCD COE araştırmacısı Tomáš Minárik’in ifade ettiği gibi Microsoft’un önerdiği şekilde ‘yapılması hem hukuken karmaşık olacak hem de gerçekçi olmayacaktır. Siber hukuka ilişkin basit bildirilerde dahi devletler arasında bir mutabakat sağlanamazken, böylesine yenilikçi bir sözleşme beklemek şuan için pek gerçekçi değil. Ancak unutmamak gerekir ki uluslararası hukukun diğer bir kaynağı, uluslararası teamüller yani devletlerin uygulamalarıdır (state practice and opinio juris). Siber eylemlere karşı devletlerin refleksleri ve hukuki değerlendirmeleri zaman içinde siber savaş hukukunu belirleyen en temel unsur olacaktır.