Pandemide sanal dünyaya ilgimiz arttı. Yaşam dijitalleşince siber suçlular da akıntıyı takip etti. Fidye amaçlı siber saldırılar, seçimlere müdahaleler, kurumsal casusluk, elektrik şebekesine yönelik tehditler ve daha pek çok siber suçta patlama yaşandı. Öyle ki, siber suçlular, COVID-19 hastanelerine bile fidye amaçlı saldırı düzenlediler.
Dünya genelinde prestije sahip kamu yönetimi enstitüsü Harvard Kennedy School’un eski dekanı Prof. Joseph S. Nye, bu durumu, “Siber anarşi” olarak nitelendiriyor. Prof. Nye, Foreign Affairs dergisi için kaleme aldığı ve bölümler aktardığımız makalesinde durumun, “ekonomiler ve jeopolitika” üzerinde iç karartıcı sonuçları olduğunu ve bunun değişmesi için büyük güçlerin harekete geçmesi gerektiğini savunuyor.
Söz konusu yazıdan önemli bölümleri aktarıyoruz:
“Siber âlemin temel nitelikleri, onun üzerinde kural ve kaideler oluşturulmasının imkânsız olduğu izlenimini veriyor. Siber âleme saldırıların engellenmesi için belli kural ve kaidelerin konulması gerektiğini savunanların, bunları ihlal etmekte başı çekmesi kuşkuları artırıyor.
Siber kural ve kaideleri desteklediklerini beyan eden devletler, aynı zamanda rakiplerine karşı geniş çaplı siber operasyonlar yürütüyor. Örneğin Rusya, Birleşmiş Milletler Genel Kurulu’nda, Aralık 2015’te onaylanan 11 maddelik bağlayıcı olmayan uluslararası siber normların hazırlanmasına katkı vermiş ve onaylamıştı. Ama daha bir ay geçmeden Ukrayna’nın elektrik şebekesine bir siber saldırı gerçekleştirdiler ve 225 bin kişiyi saatlerce elektriksiz bıraktılar. Rusya ayrıca 2016’da ABD başkanlık seçimlerine müdahale etmek için çabalarını yoğunlaştırmıştı. Kuşkucular açısından bunlar, siber âlemde kaideler oluşturmanın boş bir hayal olduğunu kanıtlıyor.
İhlaller cezasız kalmamalı
Ancak kuşkucular, normların nasıl işe yaradığını ve zamanla ne kadar güçlendiğini anlamıyorlar. İhlaller, cezasız kalması halinde kural ve kaideleri zayıflatır ancak onları anlamsız hale getirmez. Normlar, diğer devletleri sorumlu tutabileceğiniz davranışlar hakkında beklentiler yaratırlar. Aynı zamanda resmî eylemleri meşru hale getirirler ve ihlallere yanıt vermeye karar verildiğinde devletlere yanlarına müttefik çekmeye yardımcı olurlar.
Ayrıca kaideler aniden ortaya çıkmaz veya bir gece içinde işe yarar hale gelmez. Tarih, toplumların büyük dönüşümlere neden olan yeni teknolojilere yanıt vermeyi öğrenmesinin ve dünyayı daha güvenli hale getirmek için gerekli kuralları belirlemesinin zaman aldığını göstermiştir. Nitekim Kısmi Nükleer Deneme Yasağı ve Nükleer Silahların Yayılmasının Önlenmesi anlaşmasının imzalanması için ABD’nin Japonya’ya attığı nükleer bombaların üzerinde 20 yıl geçmesi gerekmişti.
Siber teknoloji benzersiz sorunlar çıkarsa da bu teknolojinin kullanımını yönetecek uluslararası normlar, bildik yolda ilerliyor, yıllar içinde yavaşça ve istikrarlı biçimde gelişiyor. Bu tür normlar tutundukça, siber teknolojideki ilerlemelerin uluslararası düzende yaratacağı riskleri azaltmada çok önemli rol oynayacaklar. Özellikle bu kaideler caydırıcı yöntemlerle desteklendiğinde…
Bazı uzmanlar caydırıcılığın siber âlemde işe yaramayacağını ileri sürseler de vardıkları sonuç, kolaya kaçmak oluyor. Siber âlemde caydırıcılık nükleer caydırıcılıktan farklı işliyor. İşe yaraması için diplomasi ile birlikte kullanılması gerekiyor.
Siber saldırılar mide bulandırmanın ötesine geçti
Siber saldırılar giderek daha büyük maliyetlere yol açarken, bunlara karşı savunma stratejileri yetersiz kalıyor.
Siber âlem doğası gereği uluslararasıdır. Dahası, siber güvenlik kamu ve özel sektör zafiyetleri arasındaki sınırları bulanıklaştırıyor. İnternet bir ağlar ağıdır ve büyük bölümü özel sektörün elindedir. Nükleer veya konvansiyonel silahların aksine devletler bunları kontrol edemezler. Dolayısıyla güvenlik yatırımlarını yapma kararı şirketlere kalmıştır. Yine de şirketlerin savunmasının yetersiz kalmasının ulusal güvenliğe dışsal maliyeti devasa olabilir. Rusların, ‘Güneş Fırtınası’ yazılımıyla yaptığı siber saldırıda ABD kamu kuruluşları ve özel sektörün bilgisayarlarına sızdığını hatırlayalım.
Küresel harp alanında bilgisayar ağları, kara, deniz, hava ve uzayın ardından beşinci harp alanı haline geldi. Belli başlı orduların hepsinde siber güvenlik komutanlıkları var. Yeni harp alanının temel özellikleri arasında mesafenin ortadan kalkması, karşılıklı etkileşim hızı (roketlerden daha hızlı) ve sorumluluğu yükleme güçlüğüdür (inkâr edilebiliyor ve yanıt verilmesi gecikiyor). Yine de kuşkucular siber saldırıları büyük bir stratejik sorun yerine daha çok bir mide bulantısı olarak niteliyorlar. Siber alanın casusluk veya diğer gizli operasyonlar için ideal olduğunu, ancak geleneksel savaş alanlarından çok daha az önemli olmaya devam ettiğini savunuyorlar. Neticede bugüne kadar siber saldırı nedeniyle kimse ölmedi.
Ne var ki bu, savunulması zor bir görüş haline geliyor. 2017’deki WannaCry fidye yazılımı saldırısında İngiliz Ulusal Sağlık Hizmeti durma noktasına geldi, binlerce hastanın randevusu iptal edildi. COVID-19 salgını sırasındaki fidye saldırı nedeniyle hastaneler ve aşı üreticilerinin bilgisayarları hedef alındı.
Dahası, uzmanlar bile siber saldırı araçlarının fiziksel bir çatışmayı nasıl tırmandırabileceğini anlamamış görünüyor. Ekonomik açıdan siber saldırıların ölçeği ve maliyeti artıyor. Bazı tahminlere göre, 2017’de Rusya’nın desteklediği Ukrayna’ya yönelik NotPetya saldırısında bankaların, elektrik şirketlerinin, akaryakıt istasyonlarının ve kamu kuruluşlarının bilgisayarları kullanılmaz hale geldi. Tali hasarlarla birlikte saldırının maliyeti 10 milyar doları buldu.
Siber saldırıya hedef olanların yelpazesi de hızla genişliyor. Büyük veri, yapay zekâ, gelişmiş robot teknolojisi ve nesnelerin interneti teknolojileri nedeniyle internete bağlı nesnelerin sayısının 2030’da bir trilyona ulaşması bekleniyor. Dünyada 1980’lerden bu yana siber saldırılar yaşanıyor, ancak saldırı alanı büyük ölçüde genişledi. Şimdi endüstriyel kontrol sistemlerden otomobillere ve kişisel dijital asistanlara kadar her şey saldırıya maruz kalabiliyor.
Siber caydırıcılık nükleer caydırıcılıktan farklı bir şey olmalı
Tehdidin hızla arttığına kuşku yok. Peki, yeni duruma nasıl uyum sağlanacak?
Caydırıcılık yaklaşımın bir parçası olmalı, ancak siber caydırıcılık nükleer caydırıcılıktan farklı bir şey olmalı. Bir nükleer saldırı tek bir olayı ve nükleer caydırıcılık bunun olmasını engellemeyi amaçlıyor. Buna karşılık siber saldırıların sayısı çok fazla ve sürekli oluyor. Söz konusu saldırıları caydırmak, sıradan suçlardaki caydırmaya benziyor. Yetkililer sıradan suçları sadece cezalandırarak değil, kanun ve kuralların eğitici etkisinden yararlanarak, emniyet güçlerini mahallelerde devriye gezdirerek ve toplulukları izleyerek caydırıyor. Suçtan caydırmak için illaki nükleer bomba patlatmak gerekmiyor.
Siber âlemde caydırıcılık için sadece cezalandırma tehdidi yeterli değil. Önce savunma ile caydırmak, saldırganların denemeyi aklından bile geçirmeyecekleri kadar dirençli ve sert sistemler geliştirmek gerekiyor. Ayrıca olası saldırganların kendi çıkarlarına da zarar verecek bağlantılar oluşturulmalı. Ama her ikisi de tek başına kullanıldığında yeterli olmayabilir. Güçlü ve dirençli savunma, devlet dışı aktörler ve ikincil güçteki ülkelere karşı etkili olabilir, ama büyük güçlere karşı etkisiz kalabilir. Siber saldırıların çıkarlara zarar verebileceğini açıkça ortaya koyabilirsiniz, ama bu iki taraf arasında gerçekten ekonomik veya güvenlik açısından karşılıklı bağımlılık varsa etkili olacaktır.
Siber âlem kural-kaide dinler mi?
Siber âlemde uluslararası kurallar konulabilir, ama ‘siber silahın denetlenmesi’ gibi bir antlaşmaya ulaşmak çok zor olacaktır, çünkü denetlenemezler. Aslında böyle bir anlaşmaya varılması için müzakereler 20 yıldan fazla bir süredir devam ediyor.
1998’de Rusya ilk kez elektronik ve enformasyon silahlarının yasaklanmasını BM’ye önerdiğinde, ABD bunun denetlenemez olduğunu ileri sürerek reddetmişti. Neticede bir satır kodlamanın silah olup olmadığı sadece kullanıcının niyetine bağlıydı. Bunun yerine ABD’nin önerisiyle 2004’te 15 kişilik bir uzmanlar kurulu oluşturuldu ve onlardan bir dizi kurallar belirlemeleri istendi. Kurul, normların çerçevesini belirten dört rapor sundu. Bu, daha sonra BM Genel Kurulu’na getirildi. Kurulun çalışması, siber âleme ilişkin bir uluslararası anlaşmanın dijital dünyada barış ve istikrarın sağlanması için elzem olduğu yönündeki görüş birliğini pekiştirdi.
2015 yılında yayınlanan raporda, 11 tane bağlayıcı olmayan kural getirildi. Bunlardan en önemlileri, talep edildiğinde devletlere yardım sağlama yetkisi ve sivil altyapıya saldırmanın yasaklanmasıydı. Rapor önemli bir ilerleme olarak görüldü, ama uluslararası hukuk oluşturulamaması nedeniyle ilerleme daha sonra yavaşladı. 2021’in başlarında, yeni kurul, 2015 normlarını teyit eden bir rapor yayınladı. Çin ve Rusya hâlâ bir anlaşma için baskı yapıyor, ama normların zaman içinde oluşması daha büyük bir olasılık.
Bu arada Hollanda hükümetinin büyük desteğini alan Siber Âlemin İstikrarına İlişkin Küresel Komisyon (GCSC) gibi başka girişimler de siber âleme kurallar getirmek için harekete geçti. GCSC ülkelere, internetin temel altyapılarına ve seçimlere müdahale etmemeleri, tedarik zincirlerini alt üst edecek siber saldırı araçlarına başvurmamaları, siber güvenlik açıkları bulup onarmaları ve bunları diğerlerine saldırmak için saklamamaları yönünde çağrıda bulundu.
Bu tür çabalar karmaşık siber savunma oluşturmaktan çok daha az maliyetlidir ve internetteki kötü amaçlı faaliyetlerin önüne geçmekte daha etkilidirler. Siber âlem için daha birçok norm hayal edilebilir ve önerilebilir. Ancak şimdi önemli olan soru, daha fazla normun gerekli olup olmadığı değil, bunların nasıl uygulanacağı ve devlet davranışını değiştirip değiştirmeyecekleri ve ne zaman değiştirecekleridir.
Devletler neden düzenleme istemeli?
Normlar, devletlerce benimsenip uygulanır hale gelene kadar etkili değildir ve bu zaman alır. Asıl soru devletlerin neden normların davranışlarını kısıtlamasına izin verdiğidir. En az dört ana neden vardır: Koordinasyon, sağduyu, itibar maliyetleri ve kamuoyunun baskısı…
Koordinasyon ihtiyacı, olmadığında ortaya çıkar. Mesela, ‘internetin telefon rehberi’ olan alan adlarının tahsis edilip saklandığı ICANN’a saldırılırsa internet denilen şey ortadan kalkabilir. Bunun olmaması için devletlerin koordinasyona ihtiyacı vardır.
Sağduyu, öngörülemez sistemleri istemsiz sonuçlar üretmesi korkusunun bir sonucudur. Nitekim 1962 Küba Füze Krizi’nde dünya bir nükleer felaketin eşiğine gelince uluslararası anlaşmaların gerekliliği anlaşılmıştı.
Bir ülkenin itibarına ve yumuşak gücüne zarar verilmesiyle ilgili endişeler de gönüllü kısıtlamaya neden olabilir. Tabular zamanla gelişir ve büyük hasar verebilecek bir silah kullanmanın ve hatta sahip olmanın maliyetlerini artırır. Biyolojik silahlarda bu şekilde oluşan tabunun Saddam Hüseyin’e maliyeti yüksek olmuştu.
Siber silahların kullanımına karşı benzer bir tabunun ortaya çıktığını hayal etmek zor. Öncelikle, belirli bir kod satırının bir silah olup olmadığını belirlemek zor. Ama özellikle COVID-19 pandemisinden sonra sağlık sistemleri gibi belirli hedeflere karşı siber silahların kullanılmasının yasaklanmasına ilişkin bir tabu oluşuyor. Bilgisayar korsanları elektrikli araçların kullanımından kaynaklanan ölümlü kazalarda artışa neden olursa, benzer bir şey gelişebilir.
Eninde sonunda kural ve kaideler istenecek
Normların da hayat döngüleri var: Kamuoyu üzerinde büyük bir etkiye sahip olan ‘norm girişimcileri’ fikir ortaya atar, yaygın bir inanca dönüştüğünde ve liderler bunu reddetmek için ağır bir bedel ödeyeceklerini anladıklarında, bazı normlar bir en üst noktaya ulaşır. Siyasi ve ekonomik değişimler bunda etkili olur.
Benzer bir dinamik bugün siber âlem güvenliği için de söz konusudur. Gizlilik ve verilerin konumuyla ilgili çelişen ulusal yasalar nedeniyle kendilerini dezavantajlı bulan şirketler, hükümetleri ortak standartlar ve normlar geliştirmeye zorlayabilir.
Siber sigorta endüstrisi, özellikle şu anda çevrimiçi olan sayısız ev cihazında (termostatlar, buzdolapları, ev alarm sistemleri) gömülü teknolojiyle ilgili olarak standartları ve normları ayrıntılı olarak ortaya koymaları için yetkililere baskı yapabilir.
Gittikçe daha fazla cihaz internete bağlandıkça, yakında siber saldırıların hedefi haline gelecek ve vatandaşların günlük yaşamları üzerindeki etkisi artacak ve yerel ve uluslararası normlara olan talebi artıracaktır.
Kamunun endişesi, yalnızca bilgisayar korsanlığı bir sıkıntıdan öteye geçip hayatlara mal olmaya başlarsa hızlanacaktır.”
Bu yazı ilk kez 6 Ocak 2022’de yayımlanmıştır.