Joseph S. Nye, “Nuclear Lessons for Cyber Security” isimli makalesinde 1950’li yıllardan başlayarak ABD ve SSCB’nin nükleer silah sahibi olması sonrası bu silahların defansif ve ofansif kullanımı ile, misilleme ve kontrol altında tutulması gibi alanlarda geliştirdikleri on yıllar alan pratikleri incelemiştir. Bu incelemenin ardından da nükleer alandan alınacak derslerin siber uzayda uygulanıp uygulanamayacağını sorgulamıştır.
Siber uzayın fiziki ve sanal katmanını birbirinden ayıran Nye, diğer yazarların da belirttiği gibi siber uzayın fiziki altyapısını oluşturan parçaların (fiber kablolar, kapalı ağlar, internet altyapısı) klasik egemenlik kurallarına tabi olduğunu belirtmiştir. Bu altyapının üzerinde oluşan sanal yapının ise klasik egemenlik kuralları çerçevesinde kontrol edilmesinin zorluğuna vurgu yapmıştır.
UĞUR ERMİŞ’İN DİĞER YAZILARINA ULAŞMAK İÇİN TIKLAYIN
Nye’ın altını çizdiği bir diğer unsur ise siber uzayın maliyet etkinliğidir. Deniz ve hava güçleri ve bu güçlerin alan hâkimiyetlerinin maliyeti oldukça fazladır. Nye ise siber uzayın maliyet etkinliği sayesinde devlet dışı aktörlerin ve göreli olarak küçük devletlerin önemli roller oynayabileceği bir alan olduğunu belirtmektedir.
Nye, “Cyber Power” isimli çalışmasında deniz ve hava boyutlarıyla benzer karşılaştırmayı yapmasının ardından siber uzay ile kara boyutu arasında üç benzerlik tespit etmektedir. Bu benzerlikler “aktör sayısı”, “alana giriş kolaylığı” ve “gizlenme/kamuflaj imkanları”’dır. Deniz, hava ve uzay boyutlarının aksine kara boyutuna benzer şekilde siber uzayın oluşturduğu beşinci boyutta da büyük güçler mutlak bir hâkimiyet kuramayacaklardır. Çünkü en çok ağlanan devlet, aynı zamanda saldırıya en açık olan devlettir. Bu nedenle büyük güçlerin diğer boyutlarda hâkimiyetlerini destekleyen ağlanmışlıkları, siber uzayda en büyük zaafları haline gelmektedir.
Amir Lupovici’nin vurguladığı siber uzayda saldırının, savunma karşısındaki üstünlüğü tezine Nye da katılmaktadır. Büyük güçlerin siber uzayda savunma ve saldırı yapabilmek için geliştirdikleri tüm kapasitelerine rağmen özellikle internetin güvenlik kaygısı duymadan geliştirilen mimarisi, herhangi bir aktörün bulabileceği göreli olarak basit bir sistem açığıyla çok büyük zararlar verme potansiyelini ortaya çıkarmaktadır.
Siber uzayı farklı kılan bir diğer unsur ise saldırganın ortadan kaldırılması sorunudur. Fiziki dünyada silahsızlandırma, düşmanın yok edilmesi ya da işgal edilmesiyle çözülebilecek olan bu sorun, siber uzayda tespit/isnatta yaşanan problemlerden dolayı kolayca çözülememektedir. Tespit / isnat noktasında genellemeye giden Nye, temelde siber uzay kaynaklı tehditleri beş başlıkta ele almaktadır. Sadece rahatsızlık verici yönünden dolayı hacktivizmi bir kenara koyduktan sonra siber suç ve siber terörü devlet dışı aktörlerle ilişkilendirirken, siber savaş/saldırı ve ekonomik amaçlı siber casusluğu ise devletlerle ilişkilendirmektedir. Nye’ın ekonomik amaçlı siber casusluğu devletlerarası düzeyde gerçekleşmesi muhtemel bir tehdit olarak kabul eden bu genellemesi tarafımızca kabul edilmemektedir. Çok uluslu şirketlerin değerlerinin ve kontrol ettikleri meblağların üçüncü dünya ülkelerinin ekonomileriyle yarıştığı günümüzde, ekonomik amaçlı siber casusluğun devlet dışı aktörler tarafından yoğun olarak kullanılma potansiyeli içerdiği varsayımında bulunulabilir.
Nye, makalesinin ilerleyen bölümlerinde, siber uzay ve nükleer alanı karşılaştırarak bazı temel farklılıklara vurgu yapmaktadır. Bu farklılıklar genel ve soyut olarak dört başlıkta belirtilebilir:
1) Siber saldırı ve nükleer saldırı arasında nitelik farkı bulunmaktadır. Siber saldırı kaynağı belirsiz ve etkisi uzun zaman sonra fark edilebilecek şekilde gerçekleşebilirken, nükleer saldırılar gayet açık, etkisi ve kaynağı belirlenebilecek şekilde olmaktadır.
2) Siber saldırılar çok büyük meblağlara mal olan ekonomik zarara neden olsa da en fazla insanlığı birkaç on yıl geriye götürebilecek kapasiteyi barındırmaktadır. Oysa nükleer silahlar insanlığı tamamen ortadan kaldırabilir.
3) Siber uzay içerisinde askeri yapılar çok az yer tutarken, nükleer alan tamamen askeri kökenlidir.
4) Siber uzay ekonomik nedenlerden ötürü tüm aktörlere açıkken, nükleer alan özellikle nükleer terörizm endişesinden ötürü devlet dışındaki aktörlere kapalıdır.
Yukarıda genel ve soyut olarak verilen tüm bu farklılıklara karşın Nye’a göre siber uzay ile nükleer alan arasında siber uzayın kullanımı noktasında yönlendirici benzerlikler bulunmaktadır. Bu benzerlikler dört başlıkta ele alınabilir:
1) “Devam eden teknolojik değişimin stratejideki ilk teşebbüsleri zorlaştırması beklenmektedir,
2) Yeni bir teknoloji üzerine strateji kurmak yeterli deneysel tecrübeden yoksun kılacaktır,
3) Yeni teknolojiler sivil-askeri ayrımına yeni konular ilave edecektir,
4) Siviller tarafından kullanım, ulusal güvenlik stratejisinin işlevselliğini zorlaştıracaktır.”
Bu benzerliklerden ilki olan devam eden teknolojik değişimin stratejideki ilk teşebbüsleri zorlaştırması beklentisine göre nükleer silahların ilk kez kullanılmasından sonra ortaya konan stratejiler, 1950’li yıllarda hidrojen bombasının ve kıtalararası balistik füzelerin icat edilmesiyle işlevsiz hale gelmiştir. Bu noktadan sonra, “sonu olan caydırıcılık yaklaşımı”’nın yerini, “varoluşsal caydırıcılık” almıştır. Yaşanan bu değişim Lupovici’nin de ortaya koyduğu üç ilkeden biri olan tehdidin gerçekliğini ön plana çıkarmıştır. Küba Füze Krizi’nde ABD’nin rakamsal üstünlüğüne rağmen birkaç SSCB bombası iki devletin birbirini karşılıklı olarak tamamen imha etme korkusunu ortaya çıkarmış ve varoluşsal caydırıcılık savaşı önlemiştir.
Günümüzde siber uzayda yaşananlara da aynı analoji uygulanabilir. Nükleer silahlanmada hidrojen bombasının yarattığı kırılma, siber uzayın kullanımının son 20 senede yaşadığı artışa ve bu artışın ortaya çıkardığı problemlere benzetilebilir. Bu süre içinde yaşanan artış ve önümüzdeki süreçte bu artışın devam etmesi, siber uzayda verilecek zararların devletler açısından varoluşsal etkileri olmasına yol açacaktır. Bu nedenle geliştirilecek stratejiler teknolojide yaşanacak değişimlere uyumlu olmalıdır.
Nye’ın ikinci olarak belirttiği yeni bir teknoloji üzerine strateji kurmanın yeterli deneysel tecrübeden yoksun kılacağı benzerliğine uygun bir biçimde; 9 Ağustos 1945’te Nagazaki’ye atılan nükleer bombadan sonra dünyada hiçbir güç nükleer bombayı savaşta kullanmamıştır. Elde edilen kısıtlı veriye karşın, stratejistler yeterli deneysel tecrübeden yoksun halde varsayımsal senaryolar üzerinden kaynaklarını boşa kullanmışlardır. Siber uzayda ise saldırganlar, son on yılda yapılan belli başlı saldırılardan gelen veriler neticesinde daha fazla bilgiye sahip olmuşlardır. Bu noktada siber yıkıma ilişkin elde edilen veriler, alanı nükleer deneyimden ayırmaktadır. Bu ayrıma ve eldeki tüm verilere karşın henüz bir siber savaş yaşanmamıştır. Estonya ve Gürcistan’da yaşanan DDOS saldırısı ya da İran’a STUXNET’le yapılan endüstriyel sabotaj sadece gelecekte yaşanabileceklere dair ipuçları vermektedir. Tüm bu ipuçlarına karşın yaşanacak bir siber savaşta hesap edilemeyen zararların neler olacağı ya da Lupovici’nin de vurguladığı ölçülülük ve suçlunun ayrımının savaş hukuku çerçevesinde nasıl yapılacağı bilinmemektedir.
Bu benzerliklerden üçüncüsü olan yeni teknolojik buluşların sivil – askeri ayrımına yeni konular ilave etmesine göre, söz konusu bu teknolojilerin ortaya çıkmasının ardından kullanımı ve kontrolü, devletin farklı mekanizmaları tarafından farklı şekilde algılanmaktadır. Örneğin ABD’de nükleer çağın başlangıcında siyasi karar vericiler nükleer teknolojinin kullanımını ve kontrolünü, Atom Enerjisi Komitesi’ni kurarak sivillere bırakmışlardır. Nükleer silahların kontrolü orduya verilse de oluşturulmaya çalışılan stratejilerle hükümet kontrolü altında tutulmaya çalışılmıştır. Bu bağlamda nükleer çağda yaşanan problemlerin benzeri, siber uzayda da yaşanmaktadır. Siber uzayda yapılacak askeri operasyonlar üzerindeki sivil (hükümet) kontrolünün nasıl sağlanacağı belirsizdir. Belirsizliğin en büyük nedeni ise siber uzayın doğasıdır. Nükleer çağda karar alma süresi kimi durumlarda dakikalara inerken, siber uzayda bu süre saniyelere inmiş durumdadır. Gerçekleşen saldırı karşısında savunmanın nasıl yapılacağı, angajman kuralları çerçevesinde karşılık verilecekse bu karşılığın mahiyeti ya da aktif siber savunmanın hangi sınırdan sonra misilleme veya saldırı şeklini alacağı soruları ve bu sorulara kısıtlı sürede asker ya da sivil hangi kurumun cevap vereceği önem kazanmaktadır.
Nye’ın son olarak ortaya koyduğu varsayıma göre siviller tarafından kullanım, ulusal güvenlik stratejisinin işlevselliğini zorlaştıracaktır. Örneğin Nükleer teknoloji her ne kadar askeri amaçlarla kullanım için keşfedilse de kısa sürede sivil alanda da kullanılabileceği fark edilmiştir. Nükleer santrallerde üretilecek enerjinin göreli olarak ucuz olması nedeniyle dünyayı değiştirebileceğine dair inanç, karar alıcılar tarafından da desteklenmiştir. ABD Başkanı Dwight Eisenhower’ın da desteklediği “Barış İçin Atom” gibi programlar, nükleer enerjinin dünyaya yayılmasını teşvik etmiştir. Her ne kadar ABD Atom Enerjisi Komisyonu nükleer teknolojinin yayılması üzerinde kontrol iddiasıyla kurulsa da alanın ticarileşmesi bu kurumu başarısız kılmıştır. Hindistan nihayetinde nükleer enerji üretecek santrallerde kullanılması amacıyla verilen materyaller ve destek sayesinde 1974’te kendi nükleer silahını geliştirmiştir. Fransa benzer desteği Pakistan’a vermiştir. Almanya ise uranyum zenginleştirme teknolojisini Brezilya’ya vermiştir. Tüm bu süreç boyunca nükleer enerjinin barışçıl amaçlarla kullanılmasını sağlamak gayesiyle kurulan kurumlar ise ticari çıkarı olan devlet ve şirketlerin baskısı altında kalmıştır. Siber uzayda ise sivil sektörün payı nükleer alanla karşılaştırılamayacak kadar fazladır. Liberal ekonomilere sahip devletlerin ekseri çoğunluğunda kritik altyapılar özel sektör tarafından işletilmektedir. Siber uzayda devletin doğrudan kontrolü altında olan kısım ise oldukça kısıtlıdır. Bu koşullar altında ulusal siber güvenliği sağlamak zorlaşmaktadır. Özel sektör ise çoğu noktada kendi güvenliğini kendi sağlayacağı söylemi altında düzenleyici regülasyonlara karşı çıkmaktadır. Devletin ortaya koyacağı zorlayıcı regülasyonlar ise özel sektörün hakim olduğu alanda piyasa koşullarını bozma riski taşımaktadır. Devlet-özel sektör işbirliğinin ise ne kadar başarılı olacağı belirsizdir. Orta çıkan bu durum, siber uzayın güvenliğini ve devletlerin ulusal siber güvenliklerini, nükleer alanla karşılaştırılmayacak kadar tehlikeye sokmaktadır.
HAFTALIK SİBER BÜLTEN RAPORUNA ABONE OLMAK İÇİN FORMU DOLDURUNUZ
[wysija_form id=”2″]