Etiket arşivi: yazar

Makale & Analiz

Jospeh Nye’dan sibere dair nükleer dersler

Yorum yapın

İnsanlığın karada başlayan güç mücadelesi zamanla denizle tanışmış, 20. yüzyılda ortaya çıkan hava, uzay ve siberle savaşın sahası bir hayli genişlemiştir. Buna ek olarak teknolojik gelişmeler de çatışma dinamiklerini temelinden değiştirmiştir. Erken modern Avrupa’daki Barut Devrimi, 19. yüzyıldaki Sanayi Devrimi, 1950lerdeki Nükleer Devrim ve 21. yüzyılda hepimizin yaşamakta olduğu Bilgi Devrimi bu dönüşümün temel noktalarını oluşturmakta.

Geleceği öngörmek zordur ve hemen her dönemde insanlar yeni gelişmeleri yorumlayabilmek için geçmişteki olayları incelemiş ve benzerlikler kurmaya çalışmışlardır. Joseph Nye da 2011’de kaleme aldığı Nuclear Lessons for Cyber Security?başlıklı makalesinde benzer bir metodu kullanarak “Nükleer silahlanma döneminnden siber güvenliğe dair birtakım dersler çıkarabilir miyiz?” sorusuna yanıt aramaktadır. İlk olarak kendi perspektifinden siber uzayın genel bir görüntüsünü ortaya koyan Nye, devamında nükleer dönemden siber güvenliğe dair alınabilecek genel dersleri başlıklara ayırarak açıklamakta; son bölümde ise uluslararası iş birliğine dair alınabilecek dersleri tarihsel örneklerle ortaya koymakta ve önerilerde bulunmaktadır.

Siber uzayın fiziksel ve sanal olmak üzere iki katmandan oluştuğunu vurgulayarak siber alan tasvirine başlayan Nye, devletlerin -egemenlik haklarından kaynaklanan- fiziksel katmandaki güçlerinin altını çizmekte ve siber savaşı “kansız savaş” olarak tanımlayan kavramsallaştırmalara eleştiri getirmektedir. Bunları dar tanımlar olarak görerek siber savaşı ‘siber alanda icra edilen ve büyük kinetik şiddete eşdeğer yahut ona yol açabilecek etkiye sahip düşmanca eylemler’ olarak tanımlamıştır.

İlgili haber: Nükleer dünyadan siber uzaya iktidarın yeni boyutu

Devletlerin fiziksel katmandaki güçlerinin altını çizmesine rağmen, devlet elinde yoğunlaşmış gücün artık diğer aktörlere doğru dağılmaya başladığını “Gücün Yayılması” kavramıyla ifade eden Nye, siber uzayın bunun en güzel örneklerinden biri olduğunu söylemektedir. Ona göre kara, hava ya da denizin aksine siber sahayı bir devletin tek başına domine etmesi mümkün değildir. Zira hem bu sahaya girmek diğerlerine göre çok daha masrafsızdır (Deniz Görev Gücü oluşturmakla operasyonel bir siber ekip oluşturmak arasında ciddi bir maliyet farkı vardır) hem de paradoksal bir şekilde siber sahada güçlenmek zafiyeti de beraberinde getirmektedir. Bunun en tipik örneği çok güçlü siber saldırı araçlarına sahip olmasına rağmen ağ ortamına bağımlılığı sebebiyle saldırıya en açık ülkesi olan ABD’dir.

Günümüzde siberde saldırının savunmaya baskın geldiğini belirten Nye, ulusal güvenliğe tehdit oluşturan 4 temel siber tehdit olduğunu iddia etmektedir: Devletlerle ilişkilendirilebilecek Siber Savaş & Ekonomik Espiyonaj ve devlet-dışı aktörlerle ilişkilendirilebilecek Siber Suç & Siber Terörizm. Devlet kadar bütçe yöneten şirketlerin olduğunu günümüzde ekonomik espiyonajı sadece devletlerle ilişkilendirmeyi doğru bulmasam da bu yazı Nye’ın makalesini incelemeyi amaçladığından konuyu başka bir yazıda ele almak üzere kapatalım.

Makalede siber alanın ve muhtemel tehditlerin açıklanmasından sonra nükleer-siber karşılaştırmaları yapılarak alınabilecek dersler belirtilmiştir. Yazara göre nükleer ve siber arasındaki en temel ayrım ortaya çıkış ve kontrolleriyle ilgilidir. Askeri amaçlarla ortaya çıkan ve sıkı kontrol altında tutulan nükleer gücün aksine internet sivil amaçlarla geliştirilmiş ve kontrolü sivillerde kalmıştır, dolayısıyla güvenlik arka plandadır. Bu sebeple devlet-dışı aktörlerin nükleer silahlara erişimi neredeyse imkansızken; siber alana rahatlıkla girip eylem yapabilmeleri mümkündür. Nye’ın nükleer-siber karşılaştırmalarına devam ederek çıkardığı diğer dersler şunlardır:

Teknolojideki sürekli değişimler ilk dönem strateji çalışmalarını karmaşıklaştıracaktır

Nükleer dönemin ilk yıllarında nükleer kaynakların kıt ve etki alanının sınırlı olduğu düşünüldüğünden strateji düşünürleri buna göre stratejiler geliştirmişlerdi. Sayısal üstünlüğün mutlaka stratejik üstünlük anlamına gelmeyeceği, karşılık verebilecek kadar cephaneliğe sahip olmanın yeterli olacağı şeklindeki minimum caydırıcılık stratejisi benimsenmişti. Bu yaklaşım, limitleri ortadan kaldıran hidrojen bombasının keşfiyle ciddi bir meydan okumaya maruz kaldı ve strateji düşünürleri yeni yaklaşımlar geliştirmek amacıyla çalışmalarına başladılar.

ARPANET 1969 yılında kurulmuş olsa da World Wide Web’in ortaya çıkışı 1990’lara denk gelmektedir. Yani şu an güvenliğini tartıştığımız alanın yalnızca 20-30 yıllık bir mazisi var ve sürekli yeni gelişmeler yaşanmakta. Nükleer ve siber arasındaki gelişim çizgilerini benzeştiren Nye, böylesi teknolojik değişimlerin olduğu bir alanda geliştirilecek siber stratejilerin çok yönlü ve gelişmelere devamlı adapte olabilecek bir yapıda olması gerektiğini söylemektedir. Strateji olarak saldırganın iş yükünü savunana kıyasla fazlasıyla arttırmayı önermekte ve tıpkı nükleer dönemde olduğu gibi bugünün çözümlerinin yarın geçerli olmayabileceğinin bilinmesinin önemli olduğunu belirtmektedir.

Yeni teknolojiye dair stratejiler yeterli empirik içerikten yoksun kalacaktır

Hiroşima’dan sonra bir daha nükleer saldırı gerçekleşmediğinden geliştirilen stratejik yaklaşımlar soyut düzeyde kalmış ve bunları gerçek hayat tecrübesiyle test etmek mümkün olmamıştır. Aksine siber cephede her gün binlerce saldırı gerçekleşmekte ve bu sayede strateji önerilerini test edebilecek empirik veritabanı oluşturulabilmektedir. Bu noktadaki sıkıntı ise bugüne kadar gerçek anlamda siber savaş diyebileceğimiz bir durumun yaşanmamasıdır. Başta ABD olmak üzere devletlerin düzenlediği harp oyunları ve simülasyonlar olsa da bunlar savaşın sis perdesini kaldırmaya yetmemekte ve siber savaşın doğurabileceği beklenmeyen sonuçları gösterememektedir.

Yeni teknolojiler sivil-asker iş birliğine yeni meseleler ekleyecektir

Nükleer dönemin ilk yıllarında ABD’deki siyasi liderler bu yıkıcı teknolojinin sivil kontrolünde kalması için Atom Enerjisi Ajansı’nı kurarken, operasyonel kontrolü ise Stratejik Kuvvetler Komutanlığı’na vermişlerdir. Bu kurumların yaklaşım farkları sebebiyle zaman zaman problemler de yaşanmıştır. Zira sivil yöneticiler nükleer silahları politikayı destekleyici araçlar olarak görürken askerler düşmanı yok edecek silahlar olarak görmüşlerdir. Nye, ABD’deki Siber Komutanlık henüz çok yeni olmasına rağmen burada da benzer sıkıntıların yaşanma ihtimalini vurgulamıştır. Nükleer ve siber arasındaki tepki süresinin farklılığı da önemli bir faktördür. Nükleer saldırıda tespit ve yanıt süresi onlarca dakikayı bulabilirken siber uzayda bu süre 300 milisaniyeye kadar inmiştir. Nye, karar ve tepki sürecinin bu kadar kısaldığı bir alanda yetkinin en alt kademeye kadar delege edilmesi olasılığının ve sivil-asker yetki dağılımının yeniden düşünülmesi gerektiğini vurgulamıştır.

Sivil kullanım efektif ulusal güvenlik stratejilerini zorlaştıracaktır

Nükleer devrim tamamen askeri amaçlarla ortaya çıksa da zamanla ticari kullanıma açılmış ve denetim amacıyla kurulan kurumlar bu ticarileşmenin getirdiği ortamda görevini yapamaz hale gelmişlerdir. Ticari rekabet, sıkı denetim mekanizmasını gevşemeye zorlamıştır. Nükleerin aksine siber alanda özel sektörün çok önemli gücü bulunmaktadır. Pek çok altyapı özel sektöre aittir ve hükümetler kullanıcı durumundadır. Bu mülkiyet ilişkisi sebebiyle siber güvenliği özel sektörün sağlaması beklenmektedir; fakat yoğun rekabet ortamında şirketler buna yeterince kaynak ayıramamakta, yaşadıkları siber saldırıları da kurumsal imajlarını korumak amacıyla saklamaktadırlar. Tüm bunları değerlendiren Nye, devletlerin etkili bir ulusal siber güvenlik stratejisi oluşturmalarının zor olduğunu belirtmektedir.

Öğrenme süreci bir iş birliği olmaksızın tarafların aynı düşünceye gelmelerine sebep olabilir

Sibere dair bu genel derslerden sonra Nye’ın uluslararası iş birliğine dair çıkardığı ilk ders paralel öğrenme sürecinin önemidir. Nükleer dönemin ilk zamanlarında devletler herhangi bir iş birliğine ve kontrol mekanizması oluşturmaya yanaşmamışlardır. Buna rağmen Sovyetler Birliği ve ABD’nin birbirinden ayrı yaşadığı öğrenme süreçleri onları adım adım iş birliğine götürmüştür. Yaklaşık 20 yıl boyunca yaşanan yanlış alarmlar sonucu oluşan tehlikeyi gören, kısıtlama getirilmezse nükleerin çok büyük tehditler yaratacağını anlayan 2 süper güç bu öğrenme sürecinin sonunda iş birliği yapmayı kabul etmiştir. Siber alan doğası gereği -belli bir seviyede de olsa- iş birliği ve kontrol mekanizmasına ihtiyaç duymaktadır. Internet Engineering Task Force (IETF) ve ICANN gibi kurumlar bu görevi görse de henüz devletlerarası bir iş birliği mekanizması oluşturulabilmiş değildir. Nye nükleerde olduğu gibi siberde de devletlerin kendi başlarına yaşayacakları öğrenme deneyimlerinin onları iş birliğine yöneltebileceğini söylemektedir.

Silah kontrollerini üçüncü taraflarla ilgili pozitif-toplamlı oyunlarla başlatmak gerekir

Nye’ın uluslararası iş birliğine dair çıkardığı ikinci ders ise silah kontrolü gerektiren anlaşmalara adım adım gidilmesi gerektiğidir. ABD ve Sovyetler’in silah kontrolüne dair anlaşmaya varmaları için 30 yıl beklemek gerekmiştir. Bu yolda öncelikle çevreci bir anlaşma gibi gözüken ‘atmosferde nükleer denemeyi yasaklamak’ ve nükleer silahların üçüncü tarafların elini geçişini engellemek gibi iki devletin de çıkarına olan anlaşmalar imzalanmıştır. Bu süreçten ders çıkaran Nye, siber alanda da direkt devletlere yönelik kısıtlama getirme çabasını gerçekçi bulmamakta ve ilk aşamada siber terörizm gibi tüm devletlerin çıkarına olacak alanlarda anlaşma zemini aranması gerektiğini vurgulamaktadır.

Sonuç

Özetle Nye bu makalesinde yeni yeni gelişmekte olan siber alanı anlamlandırabilmek için bizzat tanıklık ettiği nükleer dönemle benzerlikler bulmaya çalışmıştır. Siber güvenlik stratejileri geliştirmeye çalışanlara nükleer dönemde yaşanan zorlukları hatırlatarak önerilerde bulunmuş, sivil-asker iş birliğinin önemine dikkat çekmiş, iki dönem arasındaki yapısal farklılıkları vurgulamış ve devletleri iş birliğine ikna etmek için izlenmesi gereken bir yol haritası sunmuştur. Şahsen siber ve nükleer arasında yapısal farklılıklar bulunduğunu ve makalede yapılan bazı benzetmelerin zorlama olduğunu düşünüyorum; fakat yazıyı çok uzatmamak adına eleştirileri başka bir yazıda ele almak daha doğru olacaktır. Eleştirilerimi korumakla birlikte hem sahip olduğu akademik birikim hem de devlet tecrübesi sebebiyle Nye’ın söylediklerinin önemli olduğunu düşünüyor, makaleyi okumanızı öneriyorum.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Türkiye

Teknofest’in en güzel yanı: Geri dönüşü

Yorum yapın

Evet, başlığı yanlış okumadınız. Teknofest 2019’un en güzel yanı, oradan ayrılmamız ve eve dönüş yolculuğumuz oldu. Neden mi?

Festival alanından ayrılırken kızımın aklının orada kaldığını yüzünden okuyabiliyordum. “Bir dahaki ne zaman olur, baba?” sorusunun arka planındaki merakı da anlayabiliyordum.

Festival organizasyonunun tişörtü aldığım için mutlu olan ve dahası eve gelince hemen paketini açıp onu giyen kızımın gözlerindeki heyecan, beni de heyecanlandırmıştı. Üstüne döktüğü küçük bir kırıntı, o içerisinde farklı manalar içeren tişörtü kirletti diye de sinirlendi.

Unutmadan ekleyeyim, kızım kendi okuluna da çok kızgın!

Teknofest alanında çeşitli okuldan öğrenciler hazırladığı projeleri gezdik. Bir öğrencinin yaptığı projenin amacı çok ilginç ve yararlıydı: Bir kamera ile okul etrafındaki insanların yüzlerinin tanınması ve eğer çeşitli suçlardan ceza almış insanlar okul etrafından geziniyorsa bunu yönetime ve polise haber vermek. Dahası bu kamerayı, hareketli bir robot üzerine koymayı planlıyordu genç öğrenci. Yüz okumaya ilişkin tartışmalardan biraz uzak gibi duruyordu ama projesini övmeme engel olmadı.

Ayrıca festival alanında tünellerin içindeki ışıklandırmaların sensör aracılığıyla açılıp kapanması, topraksız tarım gibi bir-iki proje çalışması daha aklımızda kalanlardan.

NEDEN BİZİM PROJEMİZ YOK?

Kızım ise Teknofest’e okul olarak proje sunmadıklarından dolayı dertlendi. Bir proje geliştirip gelecek sene festival alanında olmayı şimdiden kafasına koymuş durumda. Hatta bir proje üzerinde çoktan düşünmeye başladı bile.

İşte bu yüzden Teknofest’in geri dönüşü çok güzeldi. Kızımda yarattığı heyecan, hafızasında bıraktığı izler nedeniyle Teknofest çok güzel bir etkinlikti.

Sanırım, Teknofest’in düzenleyicilerinden Türkiye Teknoloji Takımı Vakfı (T3 Vakfı) Mütevelli Heyeti Başkanı Selçuk Bayraktar’ın hedeflerinden biri de bu olmalı.

SAVAŞ UÇAKLARI, İHA’LAR ve HELİKOPTERLER

Teknofest’in en göze çarpan tarafı savaş oyuncaklarıydı. Atatürk Havalimanına yaklaştığımızda sanki gök parçalanıyormuş gibi bir ses geldiğinde bunun SOLOTÜRK ekibi olduğunu anlamamız uzun sürmedi. Havada bir kuş gibi süzülüp insanları hayrette bıraktılar. Alçaktan uçarken katılımcıların yüreklerinin ağızlarına geldiği ve ne kadar heyecanlandıkları dışardan görülebiliyordu. SOLOTÜRK ekibinin gösterisinin ardından Bayraktar’ın geliştirdiği taarruz İHA’sını da görme fırsatımız oldu.

Bunların dışnda festival alanında A400 M uçağı, C160 askeri nakil uçağı, Türk Kara Kuvvetlerinin CH-47 ve Sikorsky helikopterleriyle F4 2020 savaş uçağı, KT1 ve T38 eğitim uçaklarının yanı sıra Sahil Güvenlik CN-235 MSA uçağı ile jandarma ve polis helikopterlerini de vardı.

İnsanların zırhlı araçlara gösterdiği ilgi ise görmeye değerdi. İçeriye girmek için dakikalarca sıra beklemeyi göze almışlardı. Direksiyon koltuğuna geçen ise “dünya fatihi” gibi poz veriyordu.

Rüzgar Tünelindeki kuyruğun ise sonunu göremedim. Git gide uzayan bir insan kalabalığı vardı.

2 MİLYONA YAKIN ZİYARETÇİ

İnsan kalabalığı demişken, festivale son gün gitme fırsatımız oldu. Sabah erkenden kalkıp yola çıkmanın yararını, eve dönüş yolunda gördüm. Beylikdüzü civarında oturan biri olarak, Atatürk Havalimanına gidişin her yönden kilitlenmesi ve trafik sıkışıklığının Küçükçekmece civarına kadar uzaması yoğun ilginin göstergesiydi. Bayraktar’ın açıklamasına göre festivali 1 milyon 700 bin civarında kişi ziyaret etti.

Festival alanındaki organizasyon da başarılıydı. Hangi bölümde neler olduğu net bir şekilde anlaşılıyordu. Festival alanına doğru ilerlerken belli başlı yerlerdeki görevlilerin yönlendirmesi çok yararlı oldu. Festival alanında yiyecek ve su alım yerlerinin olması da festivalin ince ayrıntılarına kadar düşünüldüğünü gösteriyordu.

T3 Vakfı Mütevelli Heyeti Başkanı Bayraktar, gelecek seneki festivalin nerede ve ne zaman olacağına dair bir bilgi vermedi. Ama kızımla birlikte yüzlerce gencin o festivali iple çektiğine inancım tam.

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

Bilim Kurguyla gerçek arasında: Siber Savaş

Yorum yapın

“Sonunda ordumuzu bugün karşılaştığımız ve yarınlarda da devam edecek olan yeni bir tür savaş için hazırlamış bulunuyoruz” G.W. Bush-9 Aralık 2008

Siber ve gerçek dünya her geçen gün birbirine karışıyor ve bu yeni durum yavaş yavaş hayatın tüm alanlarında kendini gösteriyor. Aldığımız ürünlerden gittiğimiz mekanlara, izlediğimiz filmlerden attığımız yorumlara kadar her şey veriye dönüşüyor ve bunların doğru şekilde anlamlandırılması, insanların zihinlerinin şekillendirilmesinin ve yönlendirilmesinin yolunu açıyor. Böylesi büyük fırsatlar barındıran siber alanın, bilhassa devletler arasında mücadele sahasına dönüşmesi de şaşırtıcı bir sonuç olmayacaktır.

Siber alanda görülen ciddi olaylar akademide de “siber savaş” diye bir kavramın varlığı üzerine tartışmaları beraberinde getirdi. Richard Clarke gibi isimler siber savaşın var olduğunu ve şu anda yaşanmakta olduğunu savunurken; Thomas Rid gibi akademisyenler ise siber savaş diye bir şeyin olmadığını ve gelecekte de olmayacağını iddia etmişlerdir. Şahsen siber savaşın varlığını savunan taraftayım ve bu yazıda da bu iddiamı temellendirmeye çalışacağım.

Savaş Kavramının Belirsizliği

Sanılanın aksine, sosyal bilimlerdeki pek çok kavram gibi, savaş kavramı da üzerinde anlaşılmış, kesin sınırları çizilmiş bir kavram değildir. Meşhur Correlates of War projesi savaşı “her yıl 1000’den fazla ölüme sebep olan tüm silahlı çatışmalar” olarak tanımlarken; siyasiler kansere, sigaraya karşı savaştan bahsediyor. Aynı şeyden bahsedilmediği çok açık. Bu sebeple siber savaştan bahsetmeden önce savaş kavramını ortaya koymak ve üzerine düşünmek gerekiyor.

Yüzyıllar boyunca değişen faktörlere bağlı olarak (politik düzen, teknolojik ilerlemeler, aktörler vs.) farklı savaş tanımları yapılmıştır. Hukukçu Grotius, savaşı “uyuşmazlıklarını zorlama yollarına başvurarak çözmeye çalışanların karşılıklı durumu” şeklinde tanımlamış ve savaş ilanının yapılmasının bir zorunluluk olduğunu iddia etmiştir. Ünlü askeri düşünür Clausewitz ise savaşı “politikanın başka araçlarla devamı” ve “düşmanı iradeyi kabule zorlamak için bir kuvvet kullanma eylemi” olarak tanımlamıştır.

Tüm bu tanımlar önemli olsa da 21. yüzyıl savaşlarının değişmeye başladığını düşünüyorum. Devlet dışı aktörlerin etkisi artıyor, gücün özelleştirilmesi yaygınlaşıyor (Blackwater/Akademi, Wagner vs.), psikoloji ve ekonomi silahlaştırılırken her bir birey bu savaşın hedefi haline geliyor, sivil/asker ayrımı ortadan kalkıyor. Rus Genelkurmay Başkanı Gerasimov’un muhtemel bir savaşta düşmanın ekonomik gücünü ve askeri olmayan tesislerini de meşru hedef göreceklerini açıklaması bu düşünceyi destekliyor. Bu, tarihte eşi benzeri görülmemiş yoğunluk ve genişlikte bir topyekûn savaş hali olabilir. Tam da bu sebeple yeni bir kavramsallaştırmaya ihtiyaç var; yoksa siber savaşı tanımlarken zorluklar yaşamak kaçınılmaz. Parçalı ve spesifik değil, daha bütüncül ve kapsayıcı bir yaklaşıma sahip olmalıyız.

Kulağa ilginç ve radikal gelse de kendi perspektifimden, savaş ve politikayı ayırmanın doğru olmadığını düşünüyorum. Bunların her ikisinin de “çatışma” kavramının alt başlıkları olarak, aynı amaca farklı araçları kullanarak ulaşma yolları olduğunu iddia ediyorum. Böyle bir perspektiften her bir birey, gerek fiziksel gerek mental anlamda, bir savaş alanı ve etki edilmesi gereken bir hedef haline geliyor. Dolayısıyla saldırgan tarafın kendi iradesini kabul ettirmek amacıyla insanların günlük rutinlerine yaptığı (ölümcül olsun ya da olmasın) her türlü müdahaleyi genel/sürekli savaş halinin bir parçası olarak kabul edebiliriz. Ancak böyle bütünlüklü bir yaklaşımla yaşadığımız küresel sıkıntıyı, 21. yüzyılın savaşlarını ve siber gibi ortaya çıkan yeni alanlarını anlayabilir, anlamlandırabiliriz.

Siber Savaş Tartışmaları

Sık sık atıf yapılan ‘Siber Savaş’ kitabının yazarları Clarke ve Knake’e göre siber savaş: “Bir devletin başka bir devletin bilgisayar sistemlerine veya ağlarına hasar vermek ya da kesinti yaratmak üzere gerçekleştirilen sızma faaliyetleridir”. Bu yaklaşım devletleri küresel düzenin tek aktörü olarak gören eski anlayışa göre kurgulanmış bir tanımlama. Benim alternatif tanımlama önerime göre ise “Hiyerarşik yapılı organizasyonlar tarafından (ulus devletler, devlet güdümlü gruplar, terör örgütleri, organize halk hareketleri gibi) siber alan üzerinde zararlı yazılımlar ve bilgi operasyonları vasıtasıyla rakibin zihnini şekillendirmek ve iradesini kırmaya yönelik gerçekleştirilen ofansif ve defansif hareketler” siber savaş olarak adlandırılabilir.

John Hopkins Üniversitesi’nden Thomas Rid ise tartışma yaratan makalesinde olaya farklı bir açıdan yaklaşmaktadır. Rid’e göre bugüne kadar gerçekleştirilen tüm siber saldırılar sabotaj, espiyonaj ve devlet/hükümet devirme (subversion) işlemlerinin yalnızca daha sofistike halleridir. Rid, Clausewitz’den aldığı referansla bir aksiyonun savaş eylemi sayılması için 3 kriteri karşılaması gerektiğini söylemektedir:

  1. Şiddet içermelidir (En azından potansiyel olarak)
  2. Araçsal olmalıdır (Savaş tek başına amaç değildir, karşı tarafa istenileni yaptırmak amaçlı kullanılan bir araçtır)
  3. Politik bir amaca hizmet etmelidir (Savaş politikanın başka araçlarla devamıdır söylemine atıfla)

Tüm bunlara ek olarak Rid, politik amacın açıkça deklare edilmese de bir tarafa atfedilebilir olması gerektiğini, yani kimin sorumlu olduğunun net olması gerektiğini iddia etmektedir. Buradan hareketle de Rusya’nın Estonya ve Gürcistan’a yönelik siber harekatlarının ya da Stuxnet saldırısının bu üç kriteri de sağlamadığından dolayı siber savaş eylemi olarak adlandırılamayacağını iddia etmekte ve gelecekte de siber savaş diye bir şeyin olmayacağını savunmaktadır.

Savaşın Doğası, Karakteri ve Siber

Rid’in argümanının en zayıf iki noktası tüm savaş yaklaşımını yalnızca Clausewitzian bir perspektife oturtması ve konvansiyonel savaş dinamiklerini siber savaşa direkt olarak uygulama çabasında olmasıdır. 1900’lerin sonuna kadar savaşın, doğası ve karakteri gereği, şiddet ve ölümle arasındaki bağ üzerine çok düşünülmemiştir; fakat John Stone’un da “Cyber War Will Take Place” başlıklı makalesinde vurguladığı gibi 21. yüzyılda savaş, şiddet ve ölüm bağlantısı üzerine düşünmemiz zaruri hale gelmiştir.

  1. yüzyılda ortaya çıkıp gelişen hava ve uzay sahasının aksine siber alan, savaşın hem doğasında hem de karakterinde değişiklik yaratma potansiyeline sahiptir. Siber savaşı diğerlerinden ayırt eden en önemli özelliği “kansız” karakteridir. Başarıyla tamamlanmış bir siber saldırı, sonucunda birilerinin ölümüne yahut yaralanmasına sebebiyet vermek zorunda değildir. Savaşın en temel amacının düşmanın kararlılığını ve savaşma azmini kırmak olduğu düşünüldüğünde, yapılan siber saldırı bu amaca ulaşıyorsa onu ‘savaş eylemi’ olarak tanımlamaktan bizi ne alıkoyabilir? Eğer tek bir zararlı yazılım 984 uranyum zenginleştirme santrifüjüne zarar verip zenginleştirme verimini yaklaşık %30 düşürüyorsa ve bunun arkasında ABD-İsrail istihbaratının olduğuna dair kanıt sayılabilecek seviyede ciddi iddialar varsa, bunu basitçe sabotaj olarak tanımlamak mümkün müdür? “Görünürde” yakıp yıkmadan da düşmanı ulusal politikamızla uyumlu bir çizgiye zorlayabiliyorsak, sırf birileri ölmedi diye bunu ‘savaş’ kavramsal çatısının dışına çıkarmaya çalışmak savaşın doğasının ve karakterinin değişebilme potansiyelini reddetmek değil midir? Bir kavramı sorgulanamaz ve değiştirilemez kabul etmenin bilimde yeri olmadığı düşünüldüğünde, gerçek düşünce insanlarının şiddet ve ölümcüllüğün savaşa içkin olup olmadığını yeniden düşünüp tartışmalarının ihtiyaçtan öte zorunluluk olduğunu düşünüyorum.

Yukarda belirttiğim gibi işin bir de felsefi yönü var. Askeri düşünür Clausewitz genel düşüncesini düşmanı ezip yenilgiyi kabullendirmek üzerine inşa etmiştir. Dolayısıyla bu yaklaşımla siber savaş kavramının anlamsız gelmesi mümkündür. Buna karşılık Çinli askeri düşünür Sun Tzu başyapıtı Savaş Sanatı’nda en büyük maharetin savaşı, dövüşmeden kazanmak olduğundan bahsetmiştir. Kitaptan örnek vermek gerekirse Tzu, düşman altyapısının gereksiz şekilde yıkımından kaçınılmasını önerir; ki siber saldırılar konvansiyonel silahların aksine altyapıları bir daha kullanılamaz hale getirmez, yalnızca belirli bir süre çalışamaz hale getirir. Yine Tzu, savaşıp yenmekten çok savaşmadan düşman iradesini kırmanın en mükemmel hedef olacağını söylüyor. Bu da yine siberin en güçlü özelliklerinden biri olarak öne çıkıyor. Siber savaşın ‘bu anlamda’ bir sonuç getirmediğini düşünenlerin Putin yönetiminin Avrupa ve ABD’de yaptığı siber saldırıların ne gibi sonuçlar getirdiğine bakmaları zannımca yeterli olacaktır. En azından 2016 Amerikan Başkanlık Seçimleri ve Brexit Referandumu bu anlamda güzel vakalar olarak önümüzde durmakta.

Sonuç

Sonuç olarak kavramsal varlığı tartışılsa da siber savaşın var olduğunu ve etkilerini ciddi şekilde hissedemiyor olsak da yaşanmakta olduğunu iddia ediyorum. Bana göre oluşan kafa karışıklığının temel sebebi siber alanın savaşa daha önce karşılaşmadığımız yeni dinamikler kazandırması. Hava ya da uzayın aksine siberi diğer savaş alanlarıyla birebir kıyaslayarak anlamlandırmamız pek mümkün değil; zira kendine has dinamikleri sebebiyle yeni bir bakış açısı şart. Kaldı ki kabul edilsin edilmesin, Türkiye’nin de dahil olduğu pek çok ülke yıllar önce siber komutanlıklarını kurdu ve siber alanı yeni savaş olanı olarak tanımladılar. NATO da 2016 yılında siberi savaşın beşinci sahası (Kara, Deniz, Hava, Uzay, Siber) olarak tanımladı ve böylece güçlü siber saldırılara karşı konvansiyonel saldırı yapılabilmesinin yolu açıldı.

Kenneth Geers’ın da “Sun Tzu and Cyber War” başlıklı makalesinde vurguladığı gibi konvansiyonel askeri gücü zayıf olan devletler siber alana yatırım yaparak bu açıklarını kapatmaya çalışıyorlar ve bunda kısmen başarılı da oluyorlar. Sonuçta güçlü bir siber operasyon için teknik gereklilikleri yerine getirmek, tank ve silaha sahip olmaktan çok daha kolay. Dolayısıyla zamanla devletlerin bu alana daha çok yatırım yapacağı ve savaş eylemi sayılabilecek siber saldırıların da artacağını öngörebiliriz. Halihazırda Stuxnet saldırısı bile tek başına savaş eylemi sayılabilecek bir saldırı. Üstelik Rid’in 3’lü çerçevesini kullansak dahi bunu savaş eylemi saymak mümkün. Onun incelemesi de bir başka yazının konusu olsun.

Düşünce ve eleştirilerinizi yorum bölümünden ileterek bu tartışmaya dair görüşlerinizi paylaşabilirsiniz.

Zihninizden sorular eksik olmasın, keyifli okumalar!

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Konuk Yazar, Makale & Analiz

Siber güvenlikte hangi alan için hangi sertifika alınmalı?

Yorum yapın

İş hayatında, icra ettiğimiz mesleğin türüne göre bizim yetkinliğimizi gösteren çeşitli belgeler vardır. Bu bazen diploma, bazen zanaatkarlık belgesi, bazen sertifika olabiliyor. Her meslekte az çok bu durum bulunmakta. Peki IT alanında bizim yetkinliğimizi gösterebilmemiz için ne gerekiyor?

Eğer üniversite mezunuysanız (ya da meslek lisesi), mezun olduğunuz bölüme ilişkin diploma ilk iş arama sırasında gösterebildiğimiz tek şey oluyor eğer ekstra bir çaba sarf edip proje vs. gösteremiyorsak. Bu durumda da bizi diğer adaylardan ayıran şey üniversitenin adı oluyor. Yıllar geçti, üniversiteden mezun oldunuz ve 3-5 senelik deneyime sahipsiniz artık. Bu saatten sonra açıkçası üniversitenin adıyla ilgilenen kişi sayısı azalıyor. Daha çok nerede çalıştınız, neler yaptınız vs gibi sorular gündeme geliyor. Açıkçası olması gereken bu, müstakbel yöneticiniz aynı okuldan mezun birine kol kanat germe ihtiyacı duymadığı sürece… Hemşehriliği karıştırmıyorum bile.

127.0.0.1’e ping atmış insanın alabileceği sertifikalar

Şimdi daha da özele inersek, siber güvenlik alanında çalışıyorsunuz ya da çalışmak istiyorsunuz, bu alanda bölüm sayısı da az ya da hiç yok. Diploma gösteremezsiniz. Bilgisayar Mühendisliği diploması güvenlik bildiğinizi kanıtlamaz. Güvenlikçiler de genelde alaylı olur zaten (ben Elektronik Haberleşme Mühendisliği mezunuyum mesela) Bu durumda ne yapacaksınız? İşte tam bu noktada sertifika konusu devreye giriyor. Hepsi için söylemiyorum fakat bazı kuruluşlardan aldığınız sertifikalar, sizin o konuda belli seviyede bilgiye sahip olduğunuzu gösteriyor. Sertifikanın türüne göre de teorik ya da pratik (hands-on experience) tecrübeye sahip olduğunuz kanıtlanabilir.

Peki neden bazı kuruluşlarca verilen sertifikalar dedim? Bunun en temel sebebi şu: bazı sertifikaların sınav soruları ‘dump’ şeklinde piyasada bulunmakta ve yeterli İngilizceye sahip birisi, hayatında en fazla komut satırını açıp 127.0.0.1’e ping atmış olsa bile bu soru havuzunu ezberleyip, ilgili sertifikayı alabilir. Hatta bu ping’e cevap alamamışsa dahi sertifikayı alabilir 🙂

Bununla beraber, sertifikayı veren kuruluş eğer size deneyim soruyor ve bunu kanıtlamanızı bekliyorsa, bu da yine ilgili sertifikayı mûteber yapar. Bu yüzden ISC2 ve ISACA’nın sertifikaları sektör tarafından kabul görüyor. Çünkü ortalama 5 sene deneyim isteniyor bu sertifikaları almanız için. Yani sınavı geçmeniz yetmiyor.

Peki hangi sertifika?

Bu sorunun cevabı biraz yoğunlaştığınız alana bağlı olarak değişebiliyor. Ben bunları birkaç parçaya bölmek istiyorum. Böylece hangi alanda ilerliyorsanız, o tarafta kabul gören sertifikalara yönelmek daha doğru olacaktır.

Network Security : İçinde network kelimesi geçiyorsa CCNA ile başlayıp, CCIE Security’ye kadar giden süreç sizi bekliyor. Genel olarak üretici sertifikalarına bağlı kalınmamasını tavsiye etsem de, Cisco’nun sertifikaları (özellikle CCNA) kapsadıkları konular açısından sizin gerçekten de belli seviyede bilgi sahibi olmanızı bekliyor. Tabi ki dump ezberleyip, girmezseniz J Bunun dışında yine üreticilere özel sertifikalar alınabilir

Ofensif Security : Özellikle mavi, kırmızı takım gibi ekiplerde çalışacaksanız buralarda size göre sertifikalar bulunuyor. SANS (GPEN, GWAPT vb) ve Offensive Security (OSCP, OSCE vb) sertifikaları sektörde en çok kabul gören sertifikalar. Bunun yanında EC Council’ın CEH sertifikası da yaygın olarak tercih edilse de, bir kesim tarafından ‘ayağa düşmüş’ olarak da görülmekte. Tercih sizin J

Denetim : Eğer güvenliğin denetim ya da risk yönetimi alanındaysanız ISACA’nın CISA sertifikası, diğer tarafta da ISO 27001 Lead Auditor sertifikaları en çok kabul gören sertifikalar. Risk yönetimi tarafında da yine ISACA’nın CRISC sertifikası kabul görüyor.

Genel Sertifikasyon : Bence (sektörce de) en çok kabul gören sertifika belki de ISC2 tarafından verilen CISSP. Bu sertifika, sizin güvenlik alanındaki pek çok domain hakkında bilgi sahibi olmanızı bekliyor. Bunun yanında yukarıda belirttiğim deneyim şartı da sertifikayı almayı zorlaştırırken, değerini arttırıyor. ISACA tarafından verilen CISM sertifikası da bu şekilde değerlendirilebilir. Fakat genel kanaat yine CISSP tarafında. Benim şahsi güvenlik anlayışımla da, yani 360 derece güvenlikle birebir örtüşüyor.

Peki sertifikaya inanmayan arkadaşlar ne yapacak?

Yerçekimine, dünyanın şekline, elektriğin çarpmasına vs inanıyorsanız, bazı sertifikaların gücüne de inanacaksınız. Türkiye’nin en iyi üniversitesinden mezun oldunuz diyelim. Hangisi olsun, Boğaziçi, ODTÜ??? Güzel, peki yurt dışına gitseniz bunları kim tanıyor? Türkiye’nin en büyük ulusal şirketlerinde çalıştınız diyelim, emin olun onlar da tanınmıyor. E sizin referanslarınızı da kimse aramaz CV’ye bakıp, kusura bakmayın. Orada sertifikalar sizin uluslar arası alandaki denkliğinizi sağlayan tek şey oluyor.

Nasıl hazırlanmalıyım?

Güzel soru. Eğer Ofensif Security tarafındaysanız, kesinlikle hands-on tecrübe yapın. DVWA gibi uygulamaları indirin, sızmaya çalışın. Kali muadili pentest OS’ler ve içerisindeki toolları öğrenin. Bol bol araştırın ama bol bol da pratik yapın, oumak yetmez.

Diğer alanlarda ise sizi başarıya ulaştıracak şey yine okuma ve deneyim. Son aldığım sertifika ISC2’nin cloud sertifikası olan CCSP. Açıkçası çok çok az çalıştım diyebilirim. Deneyimlerinizle doğru cevapları sınav anında bulabiliyorsunuz. Bunun dışında resmi yayınları ya da Sybex gibi yayınevlerinden çıkan yayınları okuyabilirsiniz. Bu arada CISSP hazırlık materyalleri sorulduğunda tek kalemde geçilen Shon Harris’e de Allah’tan rahmet diliyorum.

%100 güvenlik yoktur ve en zayıf halka insandır klişeleriyle bitireyim 🙂

Sertifikasyon ya da siber güvenlikle ilgili aklınıza ne gelirse benimle iletişime geçebilirsiniz. Elimden geldiğince yardımcı olmaya çalışırım. (Twitter: @ofaltundal)

Siber Bülten abone listesine kaydolmak için formu doldurunuz

Makale & Analiz

‘KVKK’nın 12. Maddesi geç ama çok önemli bir adım’

Yorum yapın

Siber Bülten’de bugüne kadar Türkiye’deki siber güvenlik konusunda öne çıkan isimlerle yaptığımız röportajları okuyucularımıza sunduk. Bugün yayınladığımız röportajı diğerlerinden ayıran özelliği bir Siber Bülten yazarının -Selin Çetin- başka bir yazarımız olan Burak Sadıç ile bu röportajı yapmış olması. İki yazarımızın siber sigorta, yapay zeka ve KVKK konularına değindiği röportajı ilginize sunuyoruz:

Çetin: Kişisel bir soru ile başlayalım, günlük hayatta kullandığınız teknolojik ürünlerin riskleri karşısında kullanıcı olarak sizin çözümleriniz neler oluyor?

Sadıç: Bir siber risk uzmanı olarak, teknolojiyi olabildiğince az kullanmaya çalışıyorum 🙂 Şakayı bir kenara bırakacak olursam, kullanıcı olarak benim kişisel tercihlerim:

– Her uygulama ve sistem için farklı ve karmaşık bir parola kullanmak,

– Yukarıda belirtilen tüm şifreleri saklamak için güvenli bir parola yönetimi uygulaması kullanmak,

– Mümkün olduğunda, ikili kimlik doğrulama kullanmak,

– Mevcut coğrafi konumu paylaşmayı mümkün olduğunca sınırlamak,

– E-posta veya mesajlar veya sosyal medya yoluyla gönderilen eklentileri açmamak veya bağlantılara tıklama konusunda paranoyak olmak. Eğer bu eklentileri ya da bağlantıları gerçekten merak ediyorsam da, onları “güvenli” bir ortamda açmaya çalışırım.

Çetin: Peki, bugünlerde şirketler hangi siber güvenlik tehditleri ile karşılaşıyor? Geçmişle karşılaştırdığında, özellikle yapay zekanın (YZ) gelişimiyle birlikte sigorta şirketlerinin sunduğu risk yönetimi çözümlerindeki değişimler neler oldu?

Sadıç: Siber güvenliği bir kitap olarak düşünürsek, şimdi ilk bölümün sonunda veya son bölümün başındayız. Internet’in yaygınlaşması ve bağlı cihazlarla (Nesnelerin Internet’i) birlikte şirketler veya bireyler için siber güvenlik tehditleri her bakımdan yalnızca bizim hayal gücümüzle sınırlanıyor. Ancak özet olarak, işin durması ve veri ihlali, şirketlerin bugünlerde karşı karşıya kaldıkları en büyük tehditler. Bence YZ gelişmelerinin siber sigorta üzerindeki potansiyel etkileri hakkında yorum yapmak için henüz erken.

Çetin: YZ kullanımının sigorta sektöründeki olumlu ve olumsuz etkileri nelerdir?

Sadıç: YZ tüm endüstrileri değiştirecek ve sigorta sektörü de bir istisna değil. Aşağıdakine benzer bir senaryo düşünün:

Bir trafik kazasına karıştığınızda, bağlantılı arabanız polise, hastaneye ve sigorta şirketine aynı anda bilgi veriyor. Polis ve sağlık uzmanları size ve diğer potansiyel mağdurlara yardım ederken, sigortacınız da aracınıza verilen zararın seviyesini belirliyor. İhtiyaç olması durumunda çekici otomatik olarak aranıyor ve ayrıca hasar seviyesi ve olası onarım maliyetleri önceden hesaplanıyor. Böylece, birkaç dakika içinde her şey robotik süreç otomasyonu ve YZ ile düzenleniyor.

Çetin: Siber saldırıları tespit etmek için geliştirilen YZ uygulamaları yayılmaya başladı. Bu uygulamaların geleceğini nasıl değerlendiriyorsunuz?

Sadıç: YZ, siber savunmada geleceğin zorunlu bir parçası. Mevcut altyapıların karmaşıklığı, son otomasyon teknolojilerinin yardımıyla bile, insanın durumu kavrayışını gerçekten zorlaştırıyor. Ancak, madalyonun bir de öteki yüzü var. Saldırganlar da YZ’yi saldırılarını daha da karmaşık hale getirmek için kullanacaklar. Dolayısıyla, gelecekte siber ortamda hem insan hem de YZ mücadelesi olacak.

TÜRKİYE YARIŞTA GERİ KALDI

Çetin: Türkiye siber güvenlik tehditleriyle karşı karşıya, YZ çözümlerinin daha iyi kullanılması için ne gibi adımlar atılmalı?

Sadıç: Türkiye yarışta geri kaldı, ancak hem özel sektör hem de kamudaki oyuncular siber silah yarışının hızına ayak uydurabilmek için cesur adımlar atıyor. Bence, YZ’nin daha etkili kullanılmasında ilk adım, YZ’nin gerçekte ne olduğunu anlamak ve buna göre davranmak.

Çetin: Yasal anlamda, Türkiye’deki düzenlemeler çerçevesinde, siber güvenlik alanındaki gelişmeler karşısında yapılanların yeterli olduğunu düşünüyor musunuz?

Sadıç: KVKK ve özellikle 12. madde ve bilhassa veri ihlali bildirimi fıkrası siber güvenlik için geç ama çok önemli bir adım. BDDK’nın yeni taslağı ve çeşitli endüstri düzenlemeleri ve rehberler de umut verici gelişmeler. Ben bir hukuk uzmanı değilim, ancak ilgili makamlar, çerçeveyi sürekli artan bir hızda geliştirmeye ve zenginleştirmeye devam ettiği sürece, mevcut çerçeve siber güvenlik alanındaki sürekli değişen gerçeklikle başa çıkma konusunda umut verici görünüyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz