stratejik siber güvenlik ders notları

Asimetrik savaş ve siber silahlar

Siber silahlar bugün konvansiyonel anlamda yeterince güçlü olmayan yapıların elinde kendilerinden daha güçlü yapılara karşı meydan okumak için başvurulan asimetrik savaş unsurları olarak karşımıza çıkmaktadır.

Asimetrik savaş, eşit ve benzer olmayan iki taraf arasında gerçekleşir. Bu eşitsizlik askeri güç noktasında olabileceği gibi yapıları (devlet/örgüt) statüleri arasında da olmaktadır. Asimetrik savaşta taraflar birçok açıdan farklılık gösterirler. Asimetrik savaşın yeniden dünya gündemine gelmesine başlıca rolü oynayan 11 Eylül saldırıları asimetrik savaş ile ilgili bize açıklayıcı bir örnek sunar.

Simetrik savaşın aksine taraflardan sadece birinin devlet olması asimetrik savaşın karakteristik özelliklerinden biridir. Örnekte ABD karşısında kendisi gibi bir devleti değil, El Kaide adlı terör örgütünü bulmuştur. Bu asimetrinin ilk önemli etkilerinden biri, devletin (ABD) –kâğıt üstünde de olsa- atacağı adımların uluslararası hukuka uygun olma zorunluluğu bulunmasına rağmen, savaşın diğer tarafı için herhangi bir hukuk kuralının bağlayıcılığının olmamasıdır.

Asimetrinin kendini gösterdiği ikinci nokta çatışma taraflarının başvurduğu saldırı stratejileri ve silahlardır. Teröristler sivillerin hayatını tehlikeye atmaktan kaçınmazlar. 11 Eylül’ün de gösterdiği gibi sivil unsurlar (yolcu uçağı) yine sivil hedefler (Ticaret Merkezi) için kullanılabilmektedir. Buna karşın devletlerin masum sivillere herhangi bir zarar vermesi söz konusu olamaz. Çeşitli silahların yasaklanmasının yanı sıra, sivil unsurların bir saldırının parçası haline gelmesi kesinlikle tartışmaya dahi açık değildir. Özellikle İkinci Dünya Savaşında, savaş uçaklarının kullanıma girmesiyle savaşların cephe dışına sarkması ve sivillerin de muhtemel hedefler arasına girmesi her ne kadar savaş hukukuyla düzenlenmeye çalışılsa da, bu hukukun sadece devletler üzerinde bağlayıcılığının olduğunun altını bir kez daha çizmek gerekir.

Bugün bir terör örgütünün konvansiyonel silahlanmaya girişerek, tank ve savaş uçağı sahibi olması gibi bir durum mevcut değildir. Buna karşılık olarak çeşitli bombalı saldırılarda kullanılan intihar bombacıları terör örgütlerinin en kritik silah gücünü oluşturmaktadır. Asimetri tarafların birbirine karşı kullandığı ‘silahlarda’ kendisini bir kez daha göstermektedir. Fransa’da yaşanan ve IŞİD’in üstlendiği terör saldırılarına Paris hükümetinin verdiği yanıt IŞİD’e karşı oluşan koalisyona katılıp, Suriye’ye savaş uçaklarını göndererek IŞİD mevzilerini bombalamak olmuştur.  Bu noktada terör örgütlerinin yeni bir aktör olarak uluslararası politikaya dahil olduğunu not etmemiz gerekmektedir. Bazı devletler –vekalet savaşları- olarak adlandırılan çekişmelerde rakip/düşman devletlere karşı bazı terör örgütlerine destek vermekten kaçınmamaktadırlar. Afganistan ve geçmişte İngiltere’de olduğu gibi devletlerin terör örgütlerini muhatap aldığı asimetrik müzakereler de olmuştur.

Asimetrik savaşta tarafların güçlülük ve zayıflık tanımları da değişmektedir. Siber güvenlik ekseninde baktığımızda; insanların ve kurumların iş yapış biçimlerini kolaylaştıran dijital teknolojiler karşı taraf açısından birer güvenlik açığı olarak değerlendirilebilmektedir. Dolayısıyla savunan taraf açısından bir zayıflık olarak görülmektedir. Saldırgana baktığımızda ise, terör örgütlerinde veya Anonymous gibi gruplarda olduğu gibi gevşek organizasyonel yapı manevra özgürlüğünü artırıp saldırgana, savunanın öngöremeyeceği hamleler yapma kabiliyeti kazandırmaktadır.

Asimetrik savaşın taraflarının her ikisinin de devlet olduğu durumlardan bahsetmek de mümkündür. Bu tür asimetrilerde taraflar aynı statüyü paylaşsalar da, birbirlerine karşı kullanılan strateji ve silahların yanı sıra güçlülük ve zayıflık tanımları ciddi anlamda farklılık göstermektedir.

Konvansiyonel silahlar bağlamında ABD ve İran karşılaştırılmasının kesin galibi ABD olacaktır. Asker sayısı, savunma ve saldırı teknolojileri, dünyanın dört bir yanına yayılmış askeri üsleri ile bu ikili arasında çıkabilecek herhangi bir geleneksel savaşın galibini tahmin etmek güç değildir. Fakat savaşların cephe gerisine sarktığı İkinci Dünya Savaş’ından bu yana, özellikle dijital altyapıların stratejik birer unsur (asset) olarak öne çıktığı çağımızda, güç sadece askeri güç olarak görülmemektedir.

Güç asimetrisinin olduğu bu gibi durumlarda konvansiyonel olarak geride kalan tarafın asimetrik yollara başvurması kaçınılmazdır. Bu yollara başvurularak, konvansiyonel olarak güçlü tarafın yumuşak karnına (bu durumda Amerikan finans sektörü olabilir) siber saldırılar beklenilmelidir. İran’ın ABD’nin büyük bankalarını hedef alan 2013 yılındaki saldırılardan sonra bazı ABD’li uzmanların ‘camdan bir kulen varsa karşı tarafa taş atmayacaksın’ yorumlarıyla Stuxnet’e atıf yaptığını unutmamak gerek.

Asimetrik savaş unsuru olarak yükselen siber silahların sınıflandırılması birçok açıdan önemlidir. Bir silahın tehdit potansiyeli karşı taraf tarafından nasıl algılandığı ile doğrudan ilgilidir. Bir banka soygununda banka çalışanlarının gerçek olarak algıladığı bir oyuncak silah saldırgan elinde gerçek silah etkisi göstermektedir.

Bir silahın tehdit potansiyeli onun kullanımı ile doğrudan ilgili değildir. Banka soyguncusunun elindeki oyuncak tabanca kullanılmadan tehdit algısı oluşturabilmişse bu silah ateşlenmeden etkili olmuş demektir. Silahın etki gücü ile ilgili üçüncü bir nokta ise, silah sahibinin tehdit etme ya da zarar verme niyetidir. Bu da büyük ölçüde algı ile ilgilidir. Annenizin meyve soyarken elinde gördüğünüz bıçağı sizin için bir tehdit oluşturmazken, aynı nesneyi bir caninin elinde gördüğünüzde bu bıçak bir tehdit unsuru oluşturur. Devletler açısından bir müttefikin gelişmiş bir siber silah elde ettiğini öğrenmeniz ile bir rakip/düşman devletin aynı kabiliyete sahip olduğunu öğrendiğinizdeki tehdit seviyesi asla aynı olmayacaktır.

Thomas Rid siber silahları ikiye ayırmaktadır. Generic but low potential tools adını verdiği, gerçek silahlara benzeyen, hedef ayırmaksızın kullanılabilen, elde etmesi kolay olan siber araçlar ilk bölüme girmektedir. Bu araçlarla yapılan saldırılar sonucunda hedefin ‘vurulduğu’ gizlenemez şekilde görülür. Bu duruma bir örnek olarak bankaların web sitelerine yönelik DDoS saldırılarını verebiliriz.

İkinci tip siber silahları ise Specific and high potential weaponary oluşturur. Adından da anlaşılacağı gibi bunlar silah tanımına biraz daha yakındırlar. Fakat anti-radyasyon füzeleri gibi tek kullanımlık olurlar. Sadece hedefleri için özel olarak üretilmişlerdir. Bir kere kullandıktan sonra deşifre olacağı için aynı silahın gelişmiş bir hali size karşı kullanılabilir. Uzun AR-GE yatırımları ve gelişmiş insan gücüne ihtiyaç duyulur. Hedefe özel olduğu için uzun istihbarat çalışmaları sonucunda tasarlanır. Rid bu tür silahlara örnek olarak Stuxnet’i vermiştir.

Yukarıda sayılan nedenler aslında ‘siber silahların maliyetinin konvansiyonel silahlara göre daha düşük olduğu’ tezini ciddi anlamda sarsmaktadır.

Hiçbir haberi kaçırmayın!

E-Bültenimiz ile gelişmelerden haberdar olun!

İstenmeyen posta göndermiyoruz! Daha fazla bilgi için gizlilik politikamızı okuyun.

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

Başa dön tuşu