Estonya’nın başkenti Tallinn’de bulunan Müşterek Siber Savunma Mükemmeliyet Merkezi (CCDCOE) askeri sistemler için 5G altyapısının nasıl güvenli hale getirileceğine dair bir araştırma projesine başladığını açıkladı.
NATO’ya akredite 25 mükemmeliyet merkezinden biri olan CCDCOE’nin başını çektiği proje ABD Savunma Bakanlığı ve Estonya Dışişleri Bakanlığı tarafından finanse edilecek. Proje ekibinde CCDCOE’ye üye olan ülkelere bağlı araştırmacılar görev alacak.
Türkiye de CCDCOE’ye üye olan 29 ülke arasında yer alıyor.
Avrupa’da ticari amaçlarla kullanılan 5G ağlarını inceleyerek NATO’ya barış ve savaş zamanında bu ağların en güvenli şekilde işletilmesi için öneriler sunmayı amaçlayan proje bir yıl boyunca sürecek. Projeye ocak ayında start verilecek.
NATO TEHDİTLERİN FARKINDA OLMALI!
Avrupa’da 2025 yılına kadar 5G sistemine geçişin tamamlanması bekleniyor. CCDCOE Direktörü Jaak Tarien projeyle ilgili yaptığı açıklamada en geç bu tarihe kadar müttefiklerin ve ortakların 5G ile ilgili siber tehditlerin farkına varması ve gerekli tedbirleri alması gerektiğini vurguladı. Tarien “Araştırma, NATO ve üyelerine risk değerlendirmelerini bir üst seviyeye taşımaları için gereken bilgileri ve çerçeveyi sunacak.” ifadelerini kullandı.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
Albay Jaak Tarien, Estonya merkezli NATO Müşterek Siber Savunma Mükemmeliyet Merkezi’nin (CCDCOE) direktörlüğüne getirildi. 6 yıl boyunca Estonya Hava Kuvvetleri Komutanlığını yapan Albay Tarien, 1 Eylül 2018 tarihi itibariyle yeni görevine başlayacak.
Merkezin şu anki direktörü Merle Maigre ise eylül ayı itibariyle Estonyalı siber güvenlik şirketi CybExer’de görev alacak. Ağustos 2012-Haziran 2018 tarihleri arasında Estonya Hava Kuvvetleri Komutanlığı görevinde bulunan Tarien, ABD Hava Kuvvetleri Akademisi mezunu. Yüksek lisansını ise USAF Air Üniversitesi’ne bağlı Hava Komutanlığı ve Karargah Akademisi’nde tamamlamış bir isim.
Yakın zamanda ayrıca ABD Ulusal Savunma Üniversitesi’nde Ulusal Kaynaklar Stratejisi’nde yüksek lisansını tamamlayan Tarien, ayrıca NATO’nun Müttefik Yüksek Komutanlığı’nda (ACT) Kurmay Subaylığı, Bölgesel Hava Sahası Gözetleme Koordinasyon Merkezi’nde başkan yardımcılığı ve Litvanya’daki BALTNET Bölgesel Hava Sahası Koordinasyon Merkezi’nde Estonya Ekibi Komutanlığı görevlerinde bulundu.
NATO Siber Savunma İşbirliği Mükemmellik Merkezi; araştırma, eğitim ve çalışmalara odaklanmış NATO onaylı bir siber savunma merkezi. Estonya merkezli uluslararası askeri kuruluş, 21 milletin oluşturduğu ve teknoloji, strateji, operasyon ve hukuk alanlarındaki uzmanlarla siber savunmaya geniş kapsamlı bakış sunan bir topluluk.
CCDCOE aynı zamanda siber operasyonlara uluslararası hukukun nasıl uygulanabileceğine dair en kapsamlı rehber niteliğinde olan Tallinn Manual 2.0’a da ev sahipliği yapıyor. Tallinn Kitapçığı, siber suçlar alanında çalışan hukuk danışmanlarının başucu kaynağı olarak kabul ediliyor.
Merkez ayrıca her yıl küresel siber savunma topluluğunun kilit konumundaki uzmanlarını ve karar vericilerinin bir araya geldiği uluslararası siber çatışma konferansına ev sahipliği yapıyor.
Merkezin sponsorluğunu Avusturya, Belçika, Çek Cumhuriyeti, Estonya, Finlandiya, Fransa, Almanya, Yunanistan, Macaristan, İtalya, Letonya, Litvanya, Hollanda, Polonya, Slovakya, İspanya, İsveç, Türkiye, İngiltere ve ABD, Avustralya, Bulgaristan, Danimarka, Japonya, Norveç, Romanya’dan oluşan NATO üyesi ülkeler yapıyor.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
3141675 06/28/2017 IT systems in several countries have undergone a global ransomware attack. Vladimir Trefilov/Sputnik via AP
27 Haziran’da başta Ukrayna olmak üzere Avrupa, ABD ve Rusya’yı vuran NotPetya yazılımı, mevcut uluslararası hukuk normlarının siber dünyaya uygulanabilirliği sorununu tekrar gündeme taşıdı.
Siber güvenlik uzmanları, başlangıçta saldırıyı WannaCry benzeri bir fidye yazılımı olarak değerlendirse de aslında NotPetya’nın belirli sistemlere yönelerek ekonomik zarara yol açmayı ve kaos ortamı oluşturmayı amaçladığı sonucuna vardı. Hatta NATO akreditasyonuna sahip Müşterek Siber Savunma Merkezi (CCD COE), zararlı yazılımın arkasındaki devletin kendi siber saldırı kapasitesini test etmek veya gücünü göstermek amacıyla böyle bir bir saldırı gerçekleştirdiğini iddia etti.
NATO Genel Sekreteri Jens Stoltenberg saldırının ertesi günü yaptığı açıklamada; ‘silahlı saldırı’ ile kıyaslanabilecek sonuçlar doğuran siber operasyonların NATO Antlaşması’nın 5. maddesini etkin hale getirebileceği ve siber saldırılara askeri yöntemlerle karşılık verilebileceğini duyurdu. Microsoft ise barış zamanında sivillere yönelik gerçekleşen devlet destekli siber saldırıları engellemek adına çalışmalar yapılması gerektiğini belirtti. Ayrıca bu kapsamda devletleri uluslararası insancıl hukuku düzenleyen 1949 Cenevre Sözleşmeleri benzeri bir ‘Dijital Cenevre Sözleşmesi’ yapmaya davet ettiği çağrısını yeniledi. Bu açıklamalarla beraber NotPetya’nın etkileri dikkate alındığında, saldırının uluslararası hukuku ilgilendiren yönlerinin de tartışılması gerektiğine inanıyoruz.
İsnat Edilebilirlik
NotPetya kötü amaçlı yazılımının esas olarak Ukrayna’yı hedef aldığı ancak daha sonra diğer ülkelere yayıldığı tahmin ediliyor. Bu noktada ilk sorulması gereken, saldırının kimin tarafında gerçekleştirildiği. Uluslararası hukukta haksız bir eylemin bir devlete isnat edilebilirliği, eylemin bir devlet organı veya bir devletin “talimatı, yönlendirmesi veya kontrolü” ile hareket eden devlet-dışı bir aktör tarafından gerçekleştirildiği hallerde mümkündür. Kesin bir şekilde isnat edilebilirlik mümkün olmasa da CCD COE uzmanları saldırının bir devlet organı veya devlet destekli bir aktör tarafından gerçekleştirildiğini düşünüyor. Bu iddialarını destekleyen en önemli olgu, yazılımın maliyetinin bir devletle bağlantılı olmayan hackerlarca karşılanamayacak kadar fazla olması. Ayrıca uzmanlar basitçe hazırlanmış bu fidye toplama yöntemiyle NotPetya’nın maliyetinin dahi çıkarılamayacağını öngörüyor. Ukrayna Güvenlik Servisi ise ellerinde deliller olduğunu belirterek saldırının arkasında Rusya’nın olduğunu iddia ediyor. Ancak saldırıdan etkilenen şirketler arasında Rus devletinin en büyük hissedar olduğu Rosneft’in bulunduğunu da not etmek gerekiyor.
Operasyonun Hukuki Niteliği
Saldırının bir devlete isnat edilebildiğini varsayarsak cevabını arayacağımız ikinci soru NotPetya’nın uluslararası hukukun hangi ilkelerini ihlal ettiği olacaktır. Temel olarak 3 kuraldan bahsedebiliriz; müdahale etmeme ilkesi, egemenlik hakkı ve kuvvet kullanmama ilkesi.
Müdahale etmeme (non-intervention) kuralı, BM Sözleşmesi’nde açık bir şekilde yer almasa da uluslararası teamül olarak kabul görmüş ve birçok davada bu kurala atıfta bulunulmuştur. Esas olan bir devletin diğer ülkenin iç işlerine cebir içeren bir eylemle müdahalede bulunmamasıdır. Örnek olarak, Rusya’nın ABD seçimlerine müdahalesini bu kapsamda değerlendirmiştik. NotPetya’nın ise bazı devlet kurumlarına zarar verdiği biliniyorsa da eylemin bir devletin iç işlerine veya hükümetin yürüttüğü bir kampanyaya müdahale ettiği söylenemeyecektir.
Egemenlik hakkı (sovereignty) ise bir devlete kendi toprakları üzerinde münhasıran kontrol yetkisi tanımaktadır. Tallinn Siber Savaş Kılavuzu, bir ülkenin siber altyapısının da o devletin egemenliği kapsamında değerlendirileceğini açıkça ifade etmektedir. Siber araçlar kullanılarak bir ülkedeki kamusal ya da özel siber altyapıya yapılan saldırılar o ülkenin egemenlik hakkını ihlal etmektedir. Ancak bu saldırıların basit yaralanmaya veya donanımsal bir parçanın tamirini gerektirecek fiziksel bir zarara sebebiyet verecek düzeyde olması gerekmektedir. Sistemin işleyişi için gerekli dataların yok olmasına yol açan siber saldırılar da bu hakkı ihlal etmektedir . NotPetya’nın verdiği fiziki zararın boyutu tam olarak bilinmemektedir. Ancak Tallinn Kılavuzu’nu hazırlayan ekibin lideri Micheal Schmitt, NotPetya’nın sistemleri geçici olarak servis dışı bırakmanın ötesinde altyapıya zarar verdiği ve erişimi engellendiğini ifade ederek, bu durumun egemenlik hakkını ihlal ettiğini belirtmiştir.
Kuvvet kullanmama ilkesi (prohibition on the use of force), bir devletin BM Güvenlik Konseyi kararı olmadan veya meşru müdafaa hakkı doğmadan başka bir devlete karşı kuvvet kullanımını yasaklamaktadır. Ancak bu ilkenin ihlal edilmiş sayılabilmesi için siber saldırı, ölçüsü ve etkisi açısından kalıcı veya büyük çaplı bir fiziksel zarara ya da ölüm veya yaralanmaya sebebiyet vermesi gerekmektedir. Uzmanlar siber operasyonunun ciddi bir ekonomik istikrarsızlığa yol açtığı durumları da kuvvet kullanımı olarak kabul etmektedir. Eldeki bilgilerle NotPetya’nın etkisinin bu seviyeye ulaşmadığı ve kuvvet kullanma yasağının delinmediğini söyleyebiliriz.
Uluslararası İnsancıl Hukuk (International Humanitarian Law)
Tartışılması gereken bir diğer husus, uluslararası insancıl hukukun (uluslararası silahlı çatışmalar hukuku) hangi koşullarda siber operasyonlara uygulanabileceğidir. İnsancıl hukukun uygulanabilmesi için öncelikli olarak devlet ya da devlet dışı aktörlerin silahlı çatışma içerisine girmesi gerekmektedir. NotPetya’nın Rusya’nın kontrolündeki bir grup hackerca gerçekleştirdiğini varsayarsak ve Rusya ile Ukrayna’nın Kırım ve Ukrayna’nın doğusunda silahlı çatışma içerisinde olduğunu dikkate alırsak, insancıl hukukun uygulama alanı bulduğundan söz edebiliriz. Bu durumda siber operasyonları da insancıl hukuk normları kapsamında değerlendirmemiz gerekecektir.
Ancak eğer siber saldırı silahlı çatışma içerisinde olunmayan yani Rusya’nın dışında bir devlet tarafından gerçekleştirildiyse insancıl hukukun uygulanabilmesi için siber eylemin ‘saldırı’ seviyesinde olması şartı aranacaktır. Bu ise eylemin ölüm, yaralanma veya ciddi düzeyde fiziksel zarara yol açabileceği durumlarda mümkündür. Fakat NotPetya’nın bu seviyeye ulaşmadığını düşünüyoruz.
İnsancıl hukukun en temel ilkesi, silahlı çatışmalar sırasında gerçekleştirilen saldırılarda sivil ve askeri hedeflerin ayırt edilmesi gerektiğidir. Ancak bu ilke, yukarıda belirttiğimiz ‘saldırı’ seviyesindeki eylemler için geçerli olacaktır. NotPetya bu seviyede olmadığı için ‘ayırt etme ilkesi’ uygulanamayacaktır. İlkeyi anlamak adına NotPetya’nın bu seviyede bir ‘saldırı’ olduğunu varsayarsak, ilk olarak bu yazılımın sivilleri mi yoksa askeri unsurları mı hedef aldığını sormamız gerekecektir. NotPetya’nın özel şirketleri, Kiev Havaalanını, elektrik santrallerini ve sağlık ağını hedef aldığı göz önünde bulundurulduğunda, bunların askeri avantaj sağlayan unsurlardan çok sivil objeler olduğu kanaatine varılabilir. Bu varsayımla, NotPetya uluslararası insancıl hukuku ihlal etmiş sayılacaktır ve savaş suçu olarak değerlendirilecektir.
Sonuç olarak, siber eylemlerin sayısı ve etkileri arttıkça saldırıların uluslararası hukuk boyutuna ilişkin tartışmalar genişleyerek devam edecektir. Yukarıda yaptığımız tartışmalarda da görebileceğiniz üzere kinetik savaşa uygulanan hukuku siber dünyaya uyarlarken bazı belirsizlikler ortaya çıkmaktadır. Hem isnat edilebilirlik koşulları hem de saldırıların niteliğini belirlemede bazı sorunlar görülmektedir. Ancak NATO CCD COE araştırmacısı Tomáš Minárik’in ifade ettiği gibi Microsoft’un önerdiği şekilde ‘yapılması hem hukuken karmaşık olacak hem de gerçekçi olmayacaktır. Siber hukuka ilişkin basit bildirilerde dahi devletler arasında bir mutabakat sağlanamazken, böylesine yenilikçi bir sözleşme beklemek şuan için pek gerçekçi değil. Ancak unutmamak gerekir ki uluslararası hukukun diğer bir kaynağı, uluslararası teamüller yani devletlerin uygulamalarıdır (state practice and opinio juris). Siber eylemlere karşı devletlerin refleksleri ve hukuki değerlendirmeleri zaman içinde siber savaş hukukunu belirleyen en temel unsur olacaktır.
“Cyber is not a new security challenge any more, it is here to stay and it is transforming most facets of our everyday life. It is ubiquitous and all-encompassing.” –Sven Sakkov, 2015
1971 Tartu doğumlu Sven Sakkov, Ağustos ayında Estonya merkezli, NATO akreditasyonuna sahip Siber Savunma Mükemmeliyet Merkezi (CCD COE) direktörlüğü görevini Albay Artur Suzik’ten devralmasıyla isminden bahsettirmeye başladı. Fakat onu ayrıcalıklı kılan yalnızca başarılı kariyeri ve eğitim geçmişi değil, Sakkov aynı zamanda Merkez’in başına getirilen ilk sivil yönetici. Üst düzey bir bürokrat olan Sakkov’un 1995 yılında Estonya Cumhurbaşkanı’nın ulusal güvenlik ve savunma danışmanı olarak başlayan kariyerinde, Estonya’nın Washington büyükelçiliğinde savunma danışmanlığı görevini yürütmesi ve 2008 yılından bu yana da Savunma Bakanlığı bünyesinde savunma politikalarından sorumlu müsteşar olarak görev alması hemen göze çarpıyor. Son görevine atanana kadar NATO ve Avrupa Birliği ile kurulan ilişkiler, uluslararası işbirlikleri ve ulusal savunma politikalarını planlamaktan sorumlu olan Sakkov ile birlikte merkez için yeni, sivil inisiyatifli ve savunma odaklı bir dönem başlayacağı hissediliyor. Estonya gibi Sovyet işgalinde uzun yıllar geçirmiş bir ülkenin Batı kurumları ile kurduğu ilişkilerde kilit rol sahibi olmak bir yandan Sakkov’un Estonya için önemini gösterirken aynı zamanda Avrupa ve Amerikalılar için Merkez’in yeni patronunun yabancı bir isim olmadığı değerlendirmesine yol açıyor.
Yeni direktörün sivil kariyerinin yanı sıra eğitimi de dikkat çeken bir başka konu. Tartu Üniversitesi’nde Tarih, Amerikan St. Lawrence Üniversitesi’nde Siyaset Bilimi lisansını takiben Cambridge Üniversitesi’nde Uluslararası İlişkiler alanında yüksek lisansını tamamlayan Sakkov, Londra Kraliyet ve NATO Savunma Kolejlerinde de lisansüstü çalışmalar yürütmüş. Estonya tarafından kendisine layık görülen üstün hizmet madalyaları ve Polonya Ordusu’ndan kazandığı altın madalya ile başarılı bir kariyere sahip olduğunu kanıtlayan Sakkov, tüm bunlara ek olarak Baltık ülkelerinin dış politikaları ve güvenliği üzerine yoğunlaşan Diplomaatia dergisinde hem yazar hem de denetim kurulu üyesi. Dergideki yazılarında Rusya’nın Avrupa Birliği güvenliğine büyük bir tehdit teşkil ettiğine, NATO’nun olduğu kadar ABD’nin de özellikle Baltık bölgesinde bu tehdide karşı etkisini artırması gerektiğine ve Ukrayna krizi sonrası şekillenen dönemde NATO’nun Rusya ile ilgili tüm ilişkilerini yeniden gözden geçirmesi zorunluluğuna değindiği yazılarında milliyetçi bir üslup kullanmaktan çekinmeyen yeni direktör, en az bir önceki direktör Albay Suzik kadar Kremlin’i rahatsız edeceğinin sinyallerini veriyor.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]
Siber savunma ve siber saldırı konularının NATO’nun 5.nci maddesi olarak karşımıza çıkan kolektif savunma prensibi kapsamına girdiğini vurgulayan, kendi uzmanlık alanları da ulusal savunma, diplomasi ve işbirliği olarak öne çıkan Sakkov’un yönetiminde geliştirilecek politikaların, asker yöneticilerin inisiyatifinde geliştirilmiş politikalardan daha farklı ve daha sivil odaklı olacağını düşünüyorum. Kanımca, Sakkov bürokrat olmasının ayrıcalığını, eski direktörün adıyla anılan, mevcut siber simülasyonlar arasında en geniş çaplı olma özelliği taşıyan Locked Shields tatbikatlarının uluslararası diplomasi ve uluslararası hukuk ile uyumluğuna daha fazla önem vererek gösterecek. Merkezin Albay Suzik döneminden farklı olarak, endüstriyle daha yakın bağlar kurması, siber savunma kabiliyetlerini artırmak ve adından daha fazla bahsettirmek adına daha fazla eğitim, çalışma grubu ve egzersiz planlaması da muhtemel.
