Makale & Analiz

Uluslararası hukuk açısından Türkiye siber saldırılara karşı ne yapabilir?

14 Aralık’tan itibaren Türkiye’ye yönelik  siber faaliyetlerin yoğunluğu giderek arttı.  Saldırılar 24 Aralık’ta farklı bir şekle bürünerek kamu ve özel bankaları hedef aldı. Her ne kadar Anonymous grubu eylemleri üstlense de, Rusya’nın bu faaliyetlerin arkasında olduğuna dair ciddi şüpheler var.

Rus uçağının düşürülmesinin ardından güç kullanımı ve meşru müdafaaya ilişkin uluslararası hukuk kuralları pek çok uzman tarafından masaya yatırıldı. Söz konusu kuralların siber savaş bağlamında da incelemesi gerektiği kanaatindeyiz. Bu yazıda birkaç haftadır yaşanan siber saldırıların uluslararası hukuk açısından hangi normları ihlal ettiği ve bunlara karşı yaptırımların neler olabileceği incelenecektir.

Anonymous saldırılarının Rusya’ya isnat edilip edilemeyeceği ayrı bir uluslararası hukuk tartışması olduğundan başka bir yazıda ele alınacaktır. Kısaca, saldırılar, Rusya’nın talimatı, yönlendirmesi veya kontrolü altında gerçekleşmiş ve buna dair somut deliller var ise Rusya’ya isnat edilebilecektir. Ancak bu durumun varlığı halinde aşağıdaki ihlal tartışmaları anlam kazanacaktır.

İLGİLİ YAZI >> SİZCE RUS HACKERLAR ŞİMDİ NE YAPIYORDUR?

İhlal edilen uluslararası hukuk normları

Siber savaş kavramı, siber faaliyetlerin son 10 yılda artmasıyla gündemimizi işgal etmeye başladı. Ancak henüz, özel olarak siber savaşı düzenleyen uluslararası hukuk normları geliştirilemedi. Bu sebeple, mevcut kinetik savaş (siber olmayan) hukuku kurallarını siber konsept içerisinde yorumlamamız gerekmektedir.

Buna dair en kapsamlı çalışma, NATO’nun siber savunma merkezinde hazırlanan ‘Tallinn Siber Savaş Kılavuzu’dur. Kılavuza göre, siber eylemler, seviye ve etkilerine göre 3 grupta incelenebilecektir.

Siber müdahale

Müdahale etmeme (non-intervention) kuralı, BM Sözleşmesi’nde açık bir şekilde yer almasa da uluslararası teamül olarak kabul görmüş ve bir çok davada bu kurala atıfta bulunulmuştur. Esas olan bir devletin diğer ülkenin iç işlerine müdahalede bulunmamasıdır.

İLGİLİ YAZI >> ANONYMOUS MASKESİ ARDINDAN KİM VAR?

Örneğin, bir ülkedeki isyancılara başka bir devlet tarafından para yardımı yapılması bu prensibi ihlal etmektedir (Nikaragua Davası-ABD’nin Nikaragua’daki milislere yardım etmesi üzerine Uluslararası Adalet Divanında açılan dava). Benzer şekilde, hacker gruplarına yapılan maddi yardımlar da bu kuralı ihlal edecektir. Bunun yanında, herhangi bir ülkede seçimlere ilişkin sonuçların tutulduğu elektronik sisteme yapılan siber saldırı, seçim sonuçlarını manipüle ediyor ise bu kural ihlal edilmiş olacaktır. Bu tür müdahalelerde saldıran ülkenin sorumluluğu en alt düzeydedir.

Siber güç kullanımı

BM Sözleşmesi’nin 2. maddesi, devletlerin diğer devletlere yönelik güç kullanımını yasaklamıştır. Ancak bu maddenin ihlal edilmiş sayılabilmesi için eylem, ölçüsü ve etkileri açısından belli bir seviyede olmalıdır.

Kinetik savaşlar (siber olmayan savaşlar) açısından, bir devletin başka bir ülkedeki isyancılara maddi yardımdan öte, silah göndermesi ve onları eğitmesi güç kullanımı olarak nitelendirilebilecektir. Bunun gibi, siber operasyonlar için gerekli casus yazılımlar ve kullanım talimatları, eylemi gerçekleştiren gruplara verildiği hallerde ‘siber güç kullanımı’ gerçekleşmiş olacaktır.

Bu güç kullanımının, bir ülkenin iç işlerine müdahalenin ötesinde bir zarara sebebiyet vermesi gerekmektedir. Bu zararın, bir sistemin ya da aletin kullanılmaz hale getirilmesi kadar büyük seviyede olması aranmayacaktır.

Anonymous’un DDoS saldırılarının normalin çok üzerinde bir yoğunlukta gerçekleşiyor olması, akıllara Rusya’nın temin ettiği teknik imkânlar mı kullanılıyor sorusunu getiriyor. Eğer böyle bir durum varsa, internet ve bankacılık işlemlerini kısmen kullanılamaz hale getiren bu operasyonların 2. maddeyi ihlal ettiğini söyleyebiliriz.

İLGİLİ YAZI >> RUSLARIN BİZE GÖR DEDİĞİ

Siber müdahale ve güç kullanımının varlığı halinde, saldırıya uğrayan devlet, saldırıları engellemek adına karşı tedbirlere (countermeasure) başvurma hakkı elde edecektir. Bunlar, orantılı olmak kaydıyla, karşı siber operasyonlar olabileceği gibi ekonomik ve politik önlemler de olabilir. Yani ölüm, yaralanma veya ciddi maddi hasara sebep olacak etkide olmamalıdır.

Buna ek olarak, BM Güvenlik Konseyi güç kullanan ülkeye karşı farklı yaptırımlar uygulayabilecektir. Rusya’nın bu teklifi veto edecek olması, Türkiye açısından bu önlemi imkansız kılacaktır.

Siber saldırı

Aklımıza gelen en önemli soru ise, siber saldırılar hangi düzeye ulaştığında Türkiye’nin Rusya’ya yönelik silahlı saldırı gerçekleştirebileceğidir.

BM Sözleşmesi’nin 51. maddesi, devletlerin güç kullanma yasağına meşru müdafaa kapsamında bir istisna getirmiştir. Buna göre, silahlı saldırıya (armed attack) maruz kalmış bir ülke, BM Güvenlik Konseyi devreye girene kadar kendini savunma hakkına sahiptir. ‘Silahlı’ tabiri geniş anlamda yorumlanmakta, siber saldırıları da kapsamaktadır.

Bir eylemin ‘siber saldırı’ olarak nitelendirilebilmesi için yukarıda bahsettiğimiz ‘güç kullanımı’ kavramını aşacak seviye ve etkide olması gerekiyor. Yani saldırılar, ölüm, yaralanma veya ciddi maddi hasara sebebiyet veriyor ise, 51. madde kapsamında meşru müdafaa hakkı doğacaktır.

Çok belirli bir ölçü söz konusu olmadığı için güç kullanımının hangi durumlarda ‘siber saldırı’ olarak nitelendirilebileceği örneklerle açıklamamız gerekmektedir.

Bir siber operasyon sonucunda şehrin su arıtma tesisleri işlemez hale getirildiğinde, ölüm ve yaralanmalar söz konusu olabilir. Daha somut bir örnek verecek olursak, 2008 yılında Bakü-Tiflis-Ceyhan boru hattında meydana gelen patlamanın Rusya’nın siber saldırıları sonucu olduğu iddia edilmekteydi ve bu saldırı insan ölümüne sebebiyet verebilirdi. Bu tür saldırıların ‘siber saldırı’ seviyesini aştığı ve meşru müdafaaya hakkını doğurduğu Tallinn uzmanlarınca kabul edilmiştir.

‘Ciddi maddi hasar’ tanımının ne olduğu ise tartışmalıdır. Örneğin Gürcistan’da siber saldırılar sonucunda, ülkedeki iki internet sağlayıcısından biri hizmet vermeyi birkaç günlüğüne durdurmuştu. Aynı şekilde Gürcistan’ın internet altyapısına yönelik saldırılardan dolayı, bankalar online işlemlerine 10 gün süreyle ara vermek zorunda kaldı.

Uluslararası hukukçular bu operasyonların ‘siber saldırı’ olarak değerlendirilip değerlendirilemeyeceği anlamak adına, Gürcistan’ın internete bağımlılığını, bir kaç günlük kesintilerin ne kadar büyük ekonomik zarar verdiğini inceledi ve eylemleri ‘silahlı saldırı’ olarak tanımlamadı.

Türkiye’deki bankalara yönelik 24 Aralık’ta gerçekleşen saldırılar hiç şüphesiz Gürcistan’daki seviyenin altındadır. Bu sebeple, Türkiye bu operasyonları güç kullanımı olarak değerlendirip karşı yaptırımlar uygulayabilir, ancak 51. madde kapsamında meşru müdafaa yöntemlerine başvuramaz.

İran’a karşı gerçekleştirilen Stuxnet saldırısında ise, casus yazılımlar ile İran’ın nükleer faaliyetlerine ilişkin bilgiler elde edilmiştir. Ancak bundan da öte, yazılım, nükleer santraldeki santrifüjleri haddinden hızlı çalıştırarak maddi zarara sebebiyet vermiştir. Tallinn’de bulunan uzmanların çoğunluğu bu zararın ciddi boyuta ulaşmadığı ve ‘silahlı saldırı’ olarak değerlendirilemeyeceği sonucuna varmıştır.

Bu anlamda günümüze kadar gerçekleşen devletler arası siber operasyonların hiçbiri ‘siber saldırı’ boyutuna ulaşmamış ve ülkelere 51. madde kapsamında meşru müdafaa hakkı sağlamamıştır. Ancak bu saldırılar, eğer saldıran devletlere isnat edilebilir ise, BM Sözleşmesi kapsamında güç kullanma yasağını ihlal edecektir. Böylece, karşı yaptırımlara başvurma hakkı elde edilecek ve saldıran devletin sorumluluğuna gidilecektir.

Sonuç olarak, iki haftadır süren siber saldırılar Rusya’ya isnat edilebilir ise, müdahale etmeme ve güç kullanmama kurallarının ihlal edildiğini söyleyebiliriz. Bu durumu BM Güvenlik Konseyi’ne götürme hakkı olan Türkiye, karşı tedbirlere de başvurabilecektir. Ancak ‘siber saldırı’ boyutuna varmayan bu eylemler, 51. maddede ifade edilen meşru müdafaa hakkını doğurmayacaktır. Bu noktada, uluslararası hukuk çerçevesinde, Türkiye’nin karşı tedbirleri ‘silahlı saldırı’ boyutuna varmamalıdır.

HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ

[wysija_form id=”2″]

Hiç bir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

This site uses Akismet to reduce spam. Learn how your comment data is processed.

Başa dön tuşu
%d blogcu bunu beğendi: