Özgür Üniversite Türkiye ve Ortadoğu Forumu Vakfı
Geçen yıl, düşmanlık besleyen bazı hükümetler ve kötü niyetli başka aktörler tarafından Internet’te yapılan bir dizi kesinti ve fidye saldırısından sonra küresel istikrar için büyük bir tehdit olduğuna dair alarm durumu artmış oldu. Ne yazık ki, birçok hükümet, saldırının en iyi savunma olduğu varsayımına dayanarak, daha yeni siber silahlar geliştirerek karşılık veriyor.
Dünyamız tehlikeli bir siber armegedon savaşına mı sürükleniyor? Umalım öyle değildir. İlk önce karşı karşıya olduğumuz tehdidin ne olduğunu ele alalım ve bu konuda ne yapılabileceği üzerine odaklanalım.
Ülkeler birbirleri ardından siber saldırı yeteneklerini güçlendirme seçeneğini artırma yoluna gitmeye başladılar ve birçok ülke siber saldırı kapasitesini güçlendirme yoluna zaten girmişti. Bu durum aslında tehlikeli bir tırmanış. Doğrusu, küresel istikrar açısından büyük tehlike arz eden benzer pek az eğilim var.
Neredeyse bütün toplumlar dünyanın en önemli altyapı sistemi olan Internet ağı ve benzeri altyapı projelerinin dayandığı sisteme büyük oranda bağımlı hale gelmişlerdir. Şimdiye kadar Internet ağı üzerinde yapılan işlerin/işlemlerin aslında eksik tanımlaması yapıldığı anlaşılıyor. Bu gidişle yakında “her bir işlem zaten Internet” üzerinden yapılmış olacak.
Çağımız; Dördüncü Sanayi Devrim Çağı değil. Dijital Çağın başlangıcı ve Endüstriyel Çağın sona ermesi. Dolayısıyla da bu çağ; Dijital Çağ oluyor. Dijital Çağ beraberinden yeni güvenlik açıkları meydana getirdiğinden dolayı bilgisayar korsanları, siber suç failleri ve kötü niyetli diğer aktörler bu küresel ağ sistemini zaten rutin olarak sömürüyorlar. Ancak, daha da endişe verici durum; ulusal hükümetlerin bu ağ sistemi üzerinden birbirlerine savaş operasyonu yürütme eğiliminde olmaları.
Ülkeler arasında yaşanan her bir çatışmanın bir siber boyutunun olduğu aşamaya gelmiş bulunuyoruz. ABD ve İsrail 2010 yılında İran’ın nükleer tesislerine Stuxnet saldırısı düzenlediklerinden sonra dönüşü olmayan bir aşamaya gelmiş olduk. Şimdilerde konunun nereye varacağını söylemek için henüz çok erken. Gizliden gizliye devam eden siber çatışmaların nereden başladığı ve nereden sona ereceğini söylemek mümkün değil.
Nükleer silahların etkili olduğu artık eskide kalan dünyada çok az eğitimli uzmanın hâkim olduğu teknolojiye dayanan yüksek maliyetli cihazlar ve karmaşık işlemler süreci bu yeni teknolojiden çok farklıydı. Siber silahlar genellikle gelişmekte olan veya satın alabilecek gücü olan ülkelerde var. Ve işin en kaygı verici diğer bir yanı; siber silahların kullanımı kolay olarak biliniyor olması. Sonuç itibariyle, zayıf ve kırılgan devletler bile birer siber güç devleti haline gelebilirler.
İşin daha da kötüsü; siber savaş teknolojilerinin hızla artış eğiliminde olmaları. Hassas nükleer teknoloji ve bu teknolojiye uygun materyale erişimi kontrol altına almak üzere kapsamlı güvenlik önlemleri mevcut olsa da, yine de, kötü niyetli yazılım kodlarının yaygınlaştırılması önünde hiçbir engel bulunmuyor.
Karşı karşıya olduğumuz tehdidin boyutunu anlamak üzere geçen Mayıs ayında, British National Health Service’ini neredeyse tamamen kapatma aşamasına getiren “WannaCry” virüsüne bakmak yeterli olur. Virüs kullanıcıları, ABD Ulusal Güvenlik Ajansının Microsoft Windows İşletim sisteminde bulduğu güvenlik açığında yararlandılar, ancak, Microsoft Şirketine rapor vermediler. Bu bilgi NASA’dan çalındıktan ve sızdırıldıktan sonra, Kuzey Kore fidye yazılımını hemen kullanmaya başladı. Bu durumun da şaşırtıcı olmaması gerekir. Kuzey Kore, son yıllarda, başta Sony Pictures Şirketi olmak üzere, başka birçok finansal kuruma siber saldırı düzenlemeye başladı.
Ve elbette, istisna olan sadece Kuzey Kore değil. Rusya, Çin ve İsrail yönetimleri de dünya çapında bir sistem kurmakla meşgul oldukları siber silahlar geliştiriyorlar. Büyümekte olan başka bir tehdit; başka siber güçlerden gelen saldırıları önlemek amacıyla caydırıcı bir etki yaratmak isteyen diğer ülkelerin de kendilerine ait saldırgan siber yeteneklerini geliştirmeye başlamış olmaları. Siber güvenlik konusu zaten karmaşık ve masraflı bir yatırım olarak görülürken, siber suç işlemek failine ucuz bir iş ve cezbedici geliyor.
Yaşanan sorun, caydırıcılık etkisi yaratmak nükleer dünyada faydalı olabilirken, siber dünyada caydırıcılık etkisi pek faydalı olamıyor. Bazı aktörler (rogue actors) – Kuzey Kore sadece bir örnek – siber karşı saldırılar için gelişmiş ülkelerden çok daha savunmasız durumdalar. Diğer yandan ciddi yaptırımlara maruz kalmaksızın tekrar tekrar saldırı düzenleyebilirler.
Siber saldırıların genellikle belirsiz kaynağı, siber dünyada rasyonel bir caydırıcılık teorisinin uygulamaya konulmasını daha da zorlaştırıyor. Sorumlunun kim olduğunun belirlenmesi için uzun zaman harcanırken, yanılma risk oranı daima yüksek. İsrail’in siber operasyon yürüttüğüne dair açık kanıt olması açısında bazı şüphelerim var; ancak, İsrail’in siber operasyon yürüttüğüne dair ileride kesin kanıt olmayacağı anlamına gelmez.
Sofistike araçlara sahip bazı aktörler, siber alanın karanlık âleminde, habersiz bir şekilde üçüncü bir tarafın arkasına saklanabildiğinden, daha sonra arkasına saklandığı tarafa saldırı düzenlendiği zaman kendileri de saldırıya maruz kalabilirler. Körfez ülkeleri arasında devam eden çatışmalarda, başka ülkelerde faaliyet gösteren hackerlar, sözleşmeli olarak çalıştırmak suretiyle düşman olarak belirlenen ülkelere karşı operasyon yürütmek için kullanılabilir ve ortalama olarak en az bir hükümet bu türden siber saldırılara maruz kalabilir. Özünde fail tarafı belirlemenin önüne geçmek amacıyla kullanılan bu yöntem, bu gidişle olağan bir norm haline gelebilir.
Küçük ya da büyük olsun, jeopolitik rekabete dayalı kırılma yaşanan bir dünyada bu türden belirsizlikler ve savaş tehdidi siber alanda sürekli sallantıda olma hali taraflar için felaketle sonuçlanabilir. Nükleer silahlar genellikle açık, katı ve karmaşık komuta ve kontrol sistemlerine bağlı olarak çalışırlar. Ancak, karanlık web alanında siber saldırgan ve savaşçı lejyonları/birimleri kim kontrol edebilir?
Dijital çağın daha ilk başlarında olduğumuz göz önünde alındığında, gelecekte neler yaşanabileceği konusunda şimdiden kim tahminde bulunabilir? Hükümetler, Dr. Strangelove’nun Kıyamet Günü Makinesi filminde kısa bir fragman tarzında olsa da, istenmeden meydana gelen sayısız sonuçlara açık bir dünyada, yol gösterici özelliğine sahip, bağımsız karşı saldırı sistemlerini geliştirmeye başlayacaklar.
En belirgin konu, siber silahların doğrudan savaşlarda kullanılacak temel silah haline gelecek olması. Birleşmiş Milletler Şartı bütün üye ülkelere kendilerini savunma hakkını veriyor; devinimsel (kinetic) ve sayısallaştırılmış (digitized) bir dünyada yorumlanmaya açık bir hak. BM Şartı, aynı zamanda, özellikle çatışma bölgelerinde savaşan taraf olmayanlara ve sivil altyapı tesislerine ilişkin uluslararası hukuk sorunlarına da değiniyor.
Ancak, tümüyle savaşın eşiğine gelmeyen sayısız çatışma konusuna ne demeli? Siber saldırı alanlarında devlet davranışını düzenleyen evrensel kural ve norm oluşturma çabaları, şu ana kadar, başarısız kaldı. Bazı ülkelerin tam eylem özgürlüklerini koruma istekleri gayet açık.
Oysa bu durum açık bir tehlike oluşturuyor. NASA sızıntılarından anlaşıldığına göre yıkım yaratıcı siber silahlara erişimin önünde herhangi bir engelin olmadığı görülüyor. Nükleer çağda geçerli norm hükümlerin siber çağda da geçerli olacağını beklemek için rasyonel hiç bir neden bulunmuyor.
Ne yazık ki, savaşın yaşanmadığı durumlarda da siber silahların geliştirilmesi ve kullanılmasını sınırlayan bağlayıcı uluslararası bir sözleşmenin yakın gelecekte olma ihtimali de görünmüyor. Bu arada, siber silahların yayılma tehlikesini dikkate almamız ve hükümetlere saldırı yeteneklerinden daha ziyade savunma yeteneklerini geliştirmeleri yönünde çağrı yapmalıyız. Siber alanda silahlanma yarışının kazananı olmaz.
Kaynak: https://www.project-syndicate.org/commentary/offensive-cyber-weapons-arms-race-by-carl-bildt-2017-11
Çeviren : Nizamettin Karabenk
