Şehir Üniversite’sinde açılan Siber Güvenlik Yüksek Lisans programında bu dönem Stratejik Siber Güvenlik dersi vermeye başladım. Türkiye’de –bildiğim kadarıyla- ikinci kez açılan bu derste tamamı teknik eğitim görmüş 40’a yakın öğrenciyle birlikte siber güvenliğin strateji, savunma, uluslararası ilişkiler ve uluslararası hukuk gibi teknik olmayan, ya da daha doğru ifadeyle sosyal, alanlarla kesişimine ve etkileşimine ilişkin karşılıklı bir öğrenme süreci oluşturmaya çalışacağız.
İlk dersimizde daha sonraki dersleri anlatırken sık sık atıf yapacağımız temel kavram ve referanslar üzerinde bir tartışma yürüttük. Dersin adından başlayarak öncelikle strateji, taktik ve operasyon arasındaki farkları ortaya koyduk.
Stratejistler genel planlamada ‘neyi, nasıl, neden yapıyoruz?’ gibi temel sorulara kısıtlı kaynaklarını dikkate alarak cevaplar üretir; taktiksel seviyede bu genel hedeflere nasıl ulaşılacağına dair projeler geliştirilir ve nasıl ilerleneceğinin stratejiye uygun olarak çıkarılır. Son olarak operasyonel seviyede bu projelerin adım adım geliştirilmesi sağlanır.
Dersin akşam 18:30’da başlamasına ve sınıfın çoğunluğunun profesyonel hayatta yer almasına rağmen derste sıcak tartışmaların yaşandığını memnuniyetle gözlemledim. Bu tartışmaların en yoğunlarından biri siber alanın sınırlarıyla ilgiliydi. Aslında bu çok da şaşılacak bir durum değil, çünkü literatürde bu konuyla ilgili ciddi tartışmalar var. Siber saldırı nedir? Hangi saldırılar siber saldırı kapsamına girer sorularının net cevapları bulunmuyor. Sosyal bilimlerde tanım tartışmalarının bazı durumlarda on yıllar aldığını ve dersimizin ana konusunun bu olmadığını göz önüne alırsak sadece bu tartışmaların varlığından haberdar olmamız yeterlidir diye düşünüyorum. Mesela literatürde dijital olarak uzaktan kontrol edilen bir insansız hava aracının fiziksel ortamda düzenlediği bir saldırının siber saldırı sınıfına koyulması gerektiğine dair iddiaları burada not etmekte fayda bulunuyor. Bu noktada saldıran ve kurbanın bulunduğu ortamlara göre saldırı sınıflandırması yapıldığını hatırda tutalım. Savaş uçakları bir köyü vurduğunda bu bir ‘hava saldırısı’ olarak adlandırılmaktadır.
Dersin isminden devam ederek ‘güvenlik’ kavramı üzerinde durmamız gerektiğini düşünmüştüm. Thomas Hobbes’dan başlayabilecek bir anlatıma gerek görmeden, güvenlik ve savunma arasındaki farkın 11 Eylül saldırılarından sonra nasıl belirginleştiği üzerinde durarak; bu farkın ABD’de bu ayrımın nasıl Savunma Bakanlığı ve Anayurt Güvenliği Bakanlığı’nda farklı kurumsallaşma tecrübelerine yol açtığına dikkat çektik.
Siber güvenlik demişken bu kavramın bilgi güvenliği ile kesiştiği ve ayrıştığı alanların da üstünden geçmek gerekir diye düşünüyorum. Dersin önemli tartışmalarından biri de bu konuda yaşandı. Tabi ki siber alanın sınırları hala tartışılmaktayken, siber güvenlik ve bilgi güvenliği arasında kesin bir ayrım yapılması zor olsa da, bu ikisi arasında daha net bir ayrım çizmek mümkün. Derste ‘Peki bu ayrım gerçekten önemli mi?’ sorusu bizi başka bir mecraya taşıdı. Bu ayrımlar, devletlerin ve kurumların siber alan gibi yeni bir mücadele alanında doğabilecek sorunları ele alması için sorumlu yapıların oluşturulması bu yapıların gerekli uzmanlık ile donatılması ve daha da önemlisi hukuki açıdan suçların sınıflandırılması bakımından önemli olarak değerlendirilmelidir. Örneğin Adalet Bakanlığı’nın Uluslararası Hukuk Genel Müdürlüğü altında ‘siber savaş hukukuna’ ilişkin yeni bir birim kurulup kurulmaması temelde bu sorunun cevabıyla ilgilidir.
Bu bağlamda siber operasyonlar ile ‘information warfare’ olarak adlandırılan yanlış bilgiye dayalı algı operasyonlarının farkı daha önemli bir tartışma konusu olarak karşımıza çıkmaktadır. Siber operasyonlar dijital aygıtlara bağımlılığın arttığı geçtiğimiz birkaç on yılda gündeme gelmeye başlamışken, enformasyon operasyonlarının geçmişi oldukça eskidir. Modern zamana ait en güncel örneklerden biri D-Day olarak bilinen ve 2. Dünya Savaşının galibini belirleyen Normandiya çıkarmasının, Enigma’yı çözen müttefiklerin Hitler Ordusu’nu çıkarmanın Normandiya’ya değil de Pas de Calais’e yapılacağı yönünde yanlış istihbarat sızdırmasıdır. Bu noktada enformasyon operasyonlarında yanlış dahi olsa yeni bir bilginin ‘enjekte edilmesi’ iletişim kanallarının herhangi bir yolla kesilmesinden farklıdır. İlginç bir örnek olarak Balkan Savaşı’nda Osmanlı askerlerinin Bulgarların telgraf tellerini keserek iletişimlerine engel olması bir enformasyon operasyonu değil, elektronik harp operasyonudur.
Güvenliğin temas ettiği diğer bir konu olarak kollektif güvenlik ve NATO da muhakkak böyle bir derste bahsedilmesi gereken konular olduğunu düşünüyorum. Özellikle stratejik konsept ve Washington Antlaşmasının 4. ve 5. maddeleri stratejik siber güvenlik konusunda anlatılması gereken konular olarak ön plana çıkıyor.
Kritik altyapıların güvenliği meselesinde ise iki önemli soru gündeme geldi. Bunlardan ilki hangi sistem ve yapıların kritik altyapı olarak sınıflandırılacağı sorununda tarihsel, kültürel ve jeopolitik unsurların nasıl devreye girdiğiydi. Bu konuyla ilgili bir arkadaşımızın verdiği ‘Süleyman Şah’ operasyonunu derste kazandığım en önemli girdilerden biri olarak ifade etmeliyim. Şüphesiz CIP alanındaki bir çok soru bulunmasına rağmen stratejik siber güvenlik açısından kritik altyapı güvenliğinin öne çıkan bir boyutu, ulusal güvenliği etkileyen ve özel sektör tarafından işletilen bu sistemlerle ilgili olarak hangi seviyede devletin müdahale edebileceği konusudur.
Yukarıda bahsedilen temel kavram ve referansların yanı sıra geçtiğimiz derste ve dönem boyunca üzerinde durulacak diğer konular arasında siber savaş ve hibrid savaş kavramları, caydırıcılık, silahlanma yarışı, isnat problemi, asimetrik savaş ve siber silahlar da bulunuyor.
Siber dünyada caydırıcılığın nükleer caydırıcılıktan farkları ve caydırıcılık araçlarınınbu yeni muharebe alanında değişimini, Libicki’nin bu konuda yazdığı kitabı ana referans kabul edip ilerleyeceğiz. Thomas Rid’in siber savaş ve siber silah kavramlarının içinin nasıl doldurulduğu ile ilgili yaklaşımlarını inceleyip, derste yorumlamaya çalışacağız. Asimetrik bir unsur olarak siber silahların konvansiyonel anlamda güçlü ülkeleri hedef almasının uluslararası güç dengesinde ne gibi değişikliklere neden olabileceği üzerinde spekülasyon yapacağız.