17 Oca

16 – 17 Mayıs 1943 tarihinde Barnes Wallis tarafından geliştirilen geri tepmeli bombanın kullanılması suretiyle Almanya’nın hidroelektrik enerji üreten Möhne ve Edersee barajlarına saldırı düzenlenmiş, saldırı sonucunda Möhn ve Ruhr vadilerinde toplam 11 fabrika imha edilmiş 114 kişi ciddi şekilde yaralanmış, 25 yol ve demiryolu köprüsü kullanılamaz hale getirilmiş ve bunun nihayetinde bölgedeki su ve elektrik altyapıları büyük ölçüde kullanılamaz hale gelmiştir. Tarihte Chastise Operasyonu olarak tanımlanan bu saldırı, teknolojik gelişimin sonuçlarının yarattığı tahribatı anlamak için bizlere gerekli dersleri vermesi bakımından önem arz etmektedir.

Bu olaydan tam atmış yedi yıl sonrasında ise İran’ın nükleer çalışmalarını sekteye uğratmak için kullanılan solucan yazılım Stuxnet aracılığı ile  İran’ın Natanz nükleer zenginleştirme tesislerinde yaklaşık  1000  santrifüje yönelik saldırı gerçekleştirilmiş, bu saldırı neticesinde İran nükleer zenginleştirme programları önemli hasar görmüş ve bu olay dünyada ilk kez ‘siber savaş’ teriminin gündeme oturmasına sebep olmuştur. Bununla birlikte her ne kadar 2007 yılında Estonya, 2008 yılında Gürcistan’a yönelik hizmetleri engellemeye yönelik saldırılar yapılmışsa da bu saldırılar da fiziksel bir hasar oluşmadığı gerekçesiyle saldırılar adi suç olarak değerlendirilmiştir.

Günümüzde bilgi teknolojileri ile bilgisayar ağları etkileşimi arasında gerçekleşen bu yasa dışı eylemlerin hukuka aykırılık oluşturduğu haller, unsurları ve amaçları gerek hemen hemen tüm dünya ülkelerinin savunma stratejisi ve ulusal güvenlik uygulamalarında öncelik kazanmaya başlamıştır. Siber saldırıların ekseriyetle gözlemlenen öncül etkisi ve aslında ‘siber’ başlığı altında yapılan hukuki tartışmalar kapsamında ön plana çıkan en önemli unsurların ‘tehdit’ ve ‘risk’ olduğu değerlendirilmektedir.

Sosyal mecraların insanlar arasındaki etkileşimdeki rolü, bu mecralardaki etkileşimin büyük kitleleri etkileme gücü, ülke ekonomilerinin üretim, ticaret, güvenlik, finans, medya ve sanayilerinde ‘dijital’ payın artış hızı ve tüm bunlarla birlikte verinin kendi ekonomisini yaratmış olduğu düşünüldüğünde, bu platformda yapılan bireysel veya örgütlü tüm hukuka aykırı eylemlerin aslında bilgi teknolojileri ve bilgisayar ağları zemininde  ‘bilinmez risk alanı’ olgusuna işaret ettiği ve nihayetinde korku ve endişe egemen bir dünya yarattığı, bu korku ve endişenin ise askeri teknolojilerden bireysel internet kullanımına kadar geniş yelpazede hakim olduğunu inkar etmek gerçekçi olmayacaktır. Bu kapsamda ele alındığında siber riskler ile mücadelede taktiklerin belirsiz hal alması da bu durumun doğal sonucudur zira niteliği, faili, amacı, eylem kabiliyeti ve unsurları belirsiz bir hukuka aykırı eylemin kısa ve orta vadede oluşturulacak taktiksel manevralar ile engellenmesi mümkün değildir. Bu sebeple siber alanda yaşanılan uyuşmazlıkların aslında baskınlaşan bir biçimde tehdit yapılanmasının korku tabanlı süreçleri olarak değerlendirmek konuya bakış açımızın sistematiğinin oluşması için önem arz etmektedir.

Bu kapsamda büyük fotoğraftan ele alındığında siber alandaki unsurların yarattığı sonuçların etkilerinin aslında bir risk alanı oluşturduğunu düşünülebilir. Zira A.B.D’li akademisyen Randall R. Dipert,  siber dünyada sörf yapmayı kirli bir havuzda yüzmeye benzetmekte ve internet yaşamına ilişkin gelişmelerin aslında birçok kişide korku uyandıracak yeni tehlikeleri de beraberinde getirdiğini savunmaktadır.  A.B.D. merkezli Pew Araştırma Merkezi’nin 16 Ocak 2015’te duyurduğu araştırma da aslında bu iddiayı destekler nitelikte. Araştırmaya göre Amerikan toplumunun %91’i tüketici olarak kişisel bilgilerinin nasıl toplanıldığı ve kullanıldığı konusunda kontrolü kaybettiğini düşünürken, yalnızca %2 gibi bir oran sosyal medyayı kişisel bilgi paylaşımı için ‘çok güvenli’ bulmakta, veri etkileşimi ve paylaşımı kapsamında yine yalnızca  %16’lık bir oran ise ‘sabit telefonları’ güvenli olarak algılamaktadır. Bu kapsamda, diğer ülkelerdekine benzer şekilde, siber olayların vatandaşlar için risk tehdidi oluşturduğunu düşünenlerin oranı ise %70’i oluşturmaktadır. Bu araştırmanın, A.B.D’de 2016 yılında gerçekleşen başkanlık seçimlerine Rusya’nın siber müdahalesi olduğu yönünde iddialar öncesi yapıldığını değerlendirdiğimizde güncel oranının çok daha fazla olduğunu düşünmek yanıltıcı olmayacaktır.

O halde siber güvenlik denildiğinde aslında siber alanın yeni bir oyun alanı olduğu gerçeğinden hareketle öncelikle bu alanın dinamiklerini tespit ederek eş zamanlı olarak ‘güvenlik’ olgusunun hukuktaki karşılığının irdelenmesi, bu alanda gerçekleşen çatışmaların toplumsal yaşamda meydana gelen ihlaller ve mili güvenlik tehditleri şeklinde ele alınması gerekmektedir.

I.Siber Alan

Yirminci yüzyılın getirdiği teknolojik gelişim ve dönüşümün tabii bir sonucu olarak tehlikelerin ve eylemlerin evrim gösterdiği sabittir. Güvenlik perspektifinden bakıldığında; 1943 yılında Almanya’da gerçekleşen ve aslında 2. Dünya Savaşı’nda askeri teknolojilerdeki gelişimlerin hangi sonuçlar doğurabileceğine ilişkin ilk örnekleri oluşturan Chastise Operasyonu ile Stuxnet saldırısı arasında aslında tek fark kullanılan araç ve usuldür.

Teknolojik gelişimin günümüzde internetsiz bir hayat düşünemeyecek kadar gündelik hayatımızda yer etmiş olması hiç şüphesiz ki, bu alanın bir yandan evrimini hızlandırırken bir yandan da bu alandaki yetenek ve kabiliyetleri arttırmaktadır. Veriye ulaşım, veriyi paylaşım hızı ve yoğunluğu kontrolsüz veri yönetim uygulamaları ve teknolojik gelişim seviyesi ile birlikte ele alındığında aslında dijital ekonominin yeni sermayesi ‘veri’yi de evrimselleştirmektedir. Verinin dünyanın herhangi bir yerinden ulaşılabilirliği ve kullanılabilirliğinde oluşan risk alanı ise bu ekonominin hukuka aykırı amaçlara konu olmasını da kolaylaştırmaktadır. Bu alanın, bir risk alanı olarak tanımlanabilmesinin bir sebebi de sosyal etkisine ilişkindir. Gerçekten de günümüzde özellikle sosyal ağ ve medya platformları düşünüldüğünde veri platformuna dayalı risklerin ne denli açık ve küresel etki yaratabileceği sabittir.

O halde, tüm bunlar değerlendirildiğinde, siber alanın aslında bir kritik altyapı olduğu düşünülebilir. Veri ve bilgisayar ağlarının kesiştiği bu kümede, risk alanı veri ve bilgisayar ağlarının kesiştiği bir Venn şemasına benzetilebilir. Bu şemada kesişen alan bilgi teknolojilerinin gelişmesi ve verinin yoğunluk ve dağılım hızının artmasıyla hiç şüphesiz ki günümüzde veri ve ağların bulunduğu, Venn şemasındaki iki kümenin kesiştiği alan dışında sağ ve solunda kalan alanın güven ve işlevine son derece zarar verir hale gelmiştir.

Aslında günümüzde verinin en çok ve en hızlı el değiştirdiği ve siber alan olarak değerlendirebileceğimiz en önemli platformlar sosyal ağ ve sosyal medya platformlarıdır. A.B.D’li yazarlar Candace Jones ve Elizabeth Hamilton Volpe’nin[1] de ifade ettikleri üzere,  sosyal ağ perspektifinin odaklandığı husus, bir birey veya ağın etrafındaki sosyal ilişkilerinin yapısını, iletişim, veri ve geri bildirim aracılığı ile davranış ve hareketleri şekillendirmeye dayalıdır. Bu gerçeklikten hareketle verinin iştah açan yoğunluğu siber alanın gitgide hayatımıza ne boyutta nüfus ettiğini de göstermektedir.

John Arquilla ve David Ronfeldt ise bir ağın güçlü yönlerini etkileyen dört alan olduğunu, bunların sırasıyla organizasyon  (ne tür bir ağın kullanıldığı ve bu ağ kullanıcılarının birbirleri ile ne boyutta bağlantılı olduğu) , doktrin  (insanların ağı kullanmaya motive eden sebepler ile bu organizasyonun merkezi bir liderlik oluşmadan nasıl işlerlik kazandığı), teknoloji (hangi tür teknolojilerin ne surette kullanıldığı) ve ağ içi insanlar arası güvenden oluştuğunu ileri sürmektedir.[2] Bu değerlendirme ise aslında tamamen bir sosyal mühendislik okuryazarlığı ile siber platformları hukuka aykırı kullanmak isteyen kişilerin bu alanlara müdahale odaklarının ve süreçlerinin anlaşılması bakımından önem arz etmektedir.

İnternet bazlı platformların gündelik hayatımızdaki yerinin daha fazla önem kazanması ile birlikte ise bu alan aslında organize suç örgütleri ile devletlerin daha çok odaklandığı bir yapıya bürünmüştür. Siber alandaki saldırıların herhangi bir yerden herhangi bir hedefe kolaylıkla ve anonim görünüme bürünerek gerçekleştiği ve bu alandaki koruma ve tedbirlerin artık adi bir suç kavramından daha geniş olarak bir ulusal güvenlik konusu haline geldiği değerlendirildiğinde aslında gerek ulusal gerekse de uluslar arası literatürde ‘güvenlik’ kavramının değişen risk alanları da değerlendirilmek suretiyle yeni bir derinlikte ele alınması kaçınılmazdır.

II. Güvenlik

Güvenlik kelimesi Türk Dil Kurumu sözlüğünde ‘Toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet’ olarak tanımlanmakla İngilizce’de security olarak ifade edilmektedir. ‘Security’ kelimesinin etimolojik incelemesinde security kelimesinin Latince securitas kelimesinden geldiği gözlemlenmekle sine cura –sine (İngilizce karşılığı ‘without’ Türkçe karşılığı ‘-siz, -sız’) ve curalcurio (İngilizce karşılığı ‘troubling’, Türkçe karşılığı ‘rahatsız etme, tedirgin etme, sıkıntılı’) köklerinden türediği görülmektedir. Bu kapsamda güvenlik kelimesinin endişe, tedirginlik, rahatsızlık olmama durumu üzerine anlam ifade ettiği söylenebilir.

Dillon’a[3] göre, kelimenin Latince kökü olan cura ise durum ve sorumluluklara ilişkin olmakla, endişeden ve hakeza sorumluluktan ari şekilde, tamamen olumlu (bir kişinin güvenli hissetmesi) veya olumsuz (ihmalkar, kayıtsız) olarak tanımlanamaz. Bunun önemli bir sebebi hiç şüphesiz ki güvenlik kavramının politik kavramlar kapsamında sıklıkla ele alınması, politika ve uygulamalar ile yakın ilintili olmasındandır. Gerçekten de güvenlik, egemen devlet kavramının temelini oluşturmakla, politika olarak nasıl oluştuğu ve nasıl işlediğine ilişkin tasarlanan sonuçlar ile vücut bulmaktadır. Güvenlik algısı birçok bakış açısında bu detayları barındırmazken temel olarak özellikle diğer devletler ile ilişkilerinde devletlerin bireyleri ve kendisini nasıl koruduğu ile, bir başka ifade ile ‘milli güvenlik’ çerçevesi ile ele alınır.

Buzan’a[4] göre, güvenlik meseleleri tek bir noktayı kapsamaktan ziyade genel bir alanın tümünü kapsamakla, bu sebeple de herhangi özel bir konunun genel manasında tanımlama bulmamaktadır. Walt’a[5] göre ise bu alan önceden tehdit ve askeri güç kullanımı ve kontrolüne odaklanmış iken bugün ekonomik, sosyal ve çevresel konulara, politik ve askeri kaygılar ile yayılmış durumdadır. Hatta mevcut durumda bu alan devletlerin kendilerine başvuru sınırları ile değil bireylerin, toplulukların, bölgelerin ve hatta tüm dünyanın sınırlarını kapsar hale gelmiştir.

Tüm bu yaklaşımlar ele alındığında güvenliği anlamak hiç şüphesiz ki tanımlamasını anlamaktan ziyade varoluş döngüsünde güvenliği bir kavram olarak algılamayı gerektirmektedir. Baldwin’e[6] göre güvenliğe bir kavram olarak yaklaşılması ‘Kim için Güvenlik?’, ‘Hangi değerler için güvenlik?’, ‘Ne maliyette?’ ve ‘Hangi zaman diliminde?’ sorularının sorulması ile daha uygun olacaktır.

Bu sorular birbirleri ile ilintili görünse de hiç şüphesiz ki denk değildir. Sorular üzerinde mutlak bir fikir birliğinin sağlanamaması ise olumsuz bir etki sağlamayacak, güvenlik kavramının anlaşılması ve yerleşmesine yardımcı olacaktır.

Bununla birlikte ‘güvenlik’ kavramını ‘türev bir kavram’ olarak değerlendiren, psikolojik ve politik perspektifte, güvenliğin kendisinin hiçbir şey olmadığı gerçeğinden hareketle, tehdit ve risk varlığı halinde yine bu kavramlar ile birlikte ortaya çıktığını ve sıklıkla serbestiyet, mahremiyet, hareket özgürlüğü vb. unsurlar ile dengelenmeyi gerektiren bir kavram olduğunu değerlendiren görüşler de mevcuttur.[7]

Tüm bu yaklaşımlar kapsamında, güvenlik kavramına ilişkin aslında zemini, araçları, aktörleri ve kapsamı itibari ile tek bir tanım üzerinde mutabık kalınamaması kanaatimizce de yerindedir. Gerek Birleşmiş Milletler uygulamaları gerekse de günümüzde kimi ülkelerin güvenlik unsurunu sağlamak üzere oluşturduğu yasal düzenlemeler birlikte değerlendirildiğinde, güvenlik konusunun tehdit ve risk halinde öncelikli koşul olduğunu söylemek uygun olacaktır. Bu koşul hiç şüphesiz ki meşruiyetini uluslar arası hukuk kuralları çerçevesinde bulmakla, sınırlamaları ve belirginlikleri bakımından farklılıklar da barındırmaktadır. Tehdit ve riskin bulunmadığı bir alanda, güvenliği sağlama hakkının da bulunmayacağına ilişkin yapılacak değerlendirme de bu kapsamda doğru olmayacaktır. Zira egemen devletin temel taşı olan güvenlik unsuru tehdit ve riskin bulunmaması halinde dahi devletin sağlamakla yükümlü olduğu asli görevlerindendir. Bu çerçevede güvenliği tanımlarken aslında kapsamının ve varoluş sebebinin değerlendirilmek suretiyle ele alınması, bir başka ifade ile bireyler için ve devlet için ‘ontolojik güvenlik’ kapsamlarının göz önüne alınması uygun olacaktır.

III. Siber Güvenlik

Siber alan ve güvenliğe ilişkin yukarıda belirttiğimiz hususlar çerçevesinde, genel hatları ile siber güvenliği veri ve bilgisayar ağları platformlarında yer alan tehdit ve risklere karşı güvenli olma durumu olarak tanımlayabiliriz. Lakin bu tanımlama, bugün siber alandaki aktörlerin ve hukuka uygun olmayan amaçların doğrudan ve dolaylı olma yapısı da değerlendirildiğinde hiş şüphesiz ki yeterli olmayacaktır. O halde ‘siber güvenlik’ kavramına yaklaşımda ontolojik güvenlik disiplinine başvurulması kanaatimizce yerinde olacaktır.

İngiliz sosyolog Anthony Giddens ontolojik güvenlik kavramını yeni doğan bir bebek ve bakıcısı arasındaki ilişkiye benzetir. Yeni doğanlarda temel güven oluşumu rutin ve alışkanlıklara dayanır. Birey, bu rutin ve alışkanlıklar üzerinden çevresinde olup bitenlere bir anlam vererek kendi kimliğini oluşturur, böylece varoluşsal soruları yanıtlar ve kendisine koruyucu bir çerçeve oluşturur.[8] Bu değerlendirme ışığında siber alandaki temel güven oluşumunu birey ve devlet bazlı olarak iki ayrı çerçevede ele almak daha doğru olacaktır. En basit hali ile birey, ağlar üzerinden veya ağlar aracılığı ile tasarruf ettiği veriye ulaşımda kullandığı parolalar veya şifrelerin özellikle bu ağlar ve platformların sahipleri tarafından güvenle korunduğu inancı ve alışkanlığı ile hareket ederken, devletler gerek kritik alt yapı korumalarında gerekse de kamu hizmetlerinin sağlandığı bu ağlardaki güvenliği Gidden’sın bakıcı benzetmesi rolünde üstlenmek durumundadır.

Bununla birlikte, siber platformlardaki verilerin ve ağların güvenliği aslında bu alanları oluşturanlar tarafından kendi belirginlik alanları içerisinde koruyucu bir çerçeveye sahip görünmesine rağmen,  bu alandaki dinamik tehdit kırılganlığının bir sonucu olarak Booth’un da tanımladığı gibi bir tehdit ve risk varlığı karşısında türev bir güvenlik gereksinimi doğurmaktadır. Bu durum da alışılagelmişin dışında saldırı tiplerini incelemekten ziyade mantık ve sınırlar çerçevesinde türev unsurların ortaya çıkışını ve suçun evrimselleşme sürecini analiz etmeyi gerektirmektedir.

Güvenlik alanında da uygulanan, uluslararası ilişkiler öğretilerinde yer edinmiş mantık davranışları siber güvenlik alanında türev güvenlik analizinin sağlanması bakımından önem arz etmektedir. Sonuç mantığı, uygunluk mantığı, tartışma mantığı ve uygulama mantığı teorileri kapsamında ortaya çıkan hareket tarzları aslında eylem ve karşı eylemlerin oluşum mantıklarını da ortaya koymaktadır. Fakat bugün günümüzde siber güvenlik denildiğinde bu alandaki güvenliğin temas ettiği alanlar ve sınırlar değerlendirilmeksizin, bilgisayar ağı üzerinden yapılan her türlü hukuka aykırı eylem ‘güvenlik’ tanımı ile karşılık bulmaktadır. Oysaki siber güvenlik temelinde birçok ülkenin de kabul ettiği şekli ile bir ‘milli güvenlik’ meselesi olarak uluslar arası devletler hukukunun konusunu oluştururken, bireyler arasında bilgisayar ağları aracılığı ile yapılan hukuka aykırı eylemler ise kanaatimizce ‘siber suç’ unsurunu oluşturmakla ceza hukuku kapsamında değerlendirilmelidir.

Bununla birlikte, siber özünde bir ‘platform’ niteliğinde olmakla, hukuka aykırı eylemin hedef aldığı unsur ve fail bakımından yapılacak değerlendirme kapsamında ve yine öncül veya entegre yapısının olup olmadığının değerlendirilmesi ile de eylemin bir milli güvenlik meselesi mi yoksa adi suç niteliğinde mi olduğu anlaşılabilir. Ceza hukuku disiplininde suç tipleri hareketin şekline, sayısına, süresine, neticeye bağlı olup olmamasına ve sonucun zarar veya tehlike olup olmamasına bağlı olarak sınıflandırılmış olmasına rağmen siber alanda hukuka aykırılık gösteren eylemleri suç veya milli güvenliğe karşı saldırı olarak tanımlamak için bu sınıflandırma yeterli olmayacaktır. Zira Walth ve Booth’un yukarıda alıntıladığımız, güvenlik yaklaşımları aslında siber güvenliğin temini için mantıksal ve sınırsal analizin de gerekliliğine işaret etmektedir. Güvenlik sınırlarının tehdit ve risk alanları ile paralellik gösterecek şekilde belirlenmesinden hareketle bu alanın coğrafi sınırsızlıkta suç ve saldırı platformuna dönüşmesi günümüzde ülkeler arasında işbirliğini de zaruri hale getirmiştir. O halde siber güvenlik analizinde uluslar arası ilişkilerin de önemli bir yere sahip olduğu sabittir. Bununla birlikte, siber alanın platform niteliği göz önüne alındığında bireysel ve kamusal yaklaşımda da risk ve tehdit alanlarının benzer şekilde platform dengesinde ele alınması uygun olacaktır. Unutulmaması gereken gerçeklik, veri akışının ve kritik ağların yoğun olduğu platformların öncelikli tehdit-risk alanında olduğudur.

Tüm bu yönleri ile ele alındığında, siber güvenliğin tek başına yasa yapma ve teknolojik kabiliyetlerin geliştirilmesi ile sağlanamayacağı aşikardır. Siber alandaki güvenliğin sağlanması her şeyden önce analiz, değerlendirme ve uygulamaların etkileşimi ve işbirliği ile mümkündür.  Derece, içerik ve yoğunluk olarak çok bilinmeyenli bir denkleme benzetebileceğimiz bu alandaki tehdit ve risk, kimi zaman eyleme dönüşmemiş,  yalnızca var oluşu ile dahi ulusal güvenliğe ciddi zararlar verebilecek yapıda ve nitelikte ortaya çıkarken kimi zaman meşru kuvvet kullanımının bir unsuru olarak değerlendirilebilir. Bu sebeple siber güvenlik denildiğinde konuyu öncelikle günümüzde anayurt güvenliği çerçevesinden teorisel yaklaşım ile ele alarak siber gücün kapsamının, bu alandaki araç, amaç, durum ve sonuçlarının bütünleşik yapıda değerlendirilmesine imkan verecek yasal alt yapı oluşturmaya yönelik analizler ile birlikte ele alınması gerekmektedir.

[1] Organizational identification: Extending our understanding of social identities through social networks

[2]  http://www.rand.org/pubs/monograph_reports/MR1382.html

[3] Dillon, M. (1996) Politics of Security:Towards a Political Philosophy of Continental Thought (Londra: Routledge)

[4] Buzan, B.(1991) People, States and Fear: An Agenda for International Security Studies in the post-Cold War Era, İkinci Baskı (Londra: Longman)

[5] Walt, S.M. (1991) ‘The Renaissance of Security Studies’ International Studies Quarterly 35(2) 211-39

[6] Baldwin, D.A. (1997) ‘The concept of security’, Review of International Studies 23(1) 5-26

[7] Bakınız: Booth, K. (1997) ‘Security and self: reflections of a fallen realist,’  Krause, K. ve Williams, M.C.’nin Critical Security Studies: Concepts and Cases (Londra:UCL Press)

[8] Rumelili, B.(2013) Uluslararası İlişkilerde Kimlik ve Ontolojik Güvenlik, Bilim ve Sanat Vakfı Bülteni Sayı 83

Share on LinkedInShare on FacebookTweet about this on TwitterShare on Google+Email this to someone