Siber Saldırılar Uluslararası Hukukta Silahlı Saldırı Sayılır mı? Meşru Müdafaa Hakkı Tetiklenir mi?

Question

Son zamanlarda yaşanan siber saldırılar uluslararası hukukun sınırlarını zorluyor. Bir devletin diğerine karşı gerçekleştirdiği şiddetli siber saldırılar, klasik silahlı saldırı tanımına girer mi? Ve bu durumda, saldırıya uğrayan devletin meşru müdafaa hakkı doğar mı, bu konuda emsal kararlar veya doktrin ne diyor merak ediyorum.

Answer 1

Merhaba değerli okuyucularım, siber güvenlik dünyasının bu hızla değişen ve sınırları zorlayan döneminde sizleri en içten dileklerimle selamlıyorum. Günümüzün en yakıcı ve uluslararası hukuku derinden etkileyen sorularından birine, uzman bakış açımla yanıt arayacağız: Siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı? Bu durumda meşru müdafaa hakkı tetiklenir mi?

Bu sorular, sadece teorik tartışmaların ötesinde, devletlerin stratejilerini, uluslararası ilişkileri ve güvenlik anlayışını kökten değiştiren pratik sonuçlar doğuruyor. Gelin, bu karmaşık labirenti birlikte keşfedelim.

Siber Saldırılar: Savaşın Yeni Yüzü ve Hukukun Geri Kalma Hali

Hatırlıyorum da, kariyerimin ilk yıllarında "siber savaş" kavramı daha çok bilim kurgu filmlerinin bir parçası gibi gelirdi bize. Oysa bugün, siber saldırılar sadece altyapıları çökertmekle kalmıyor, aynı zamanda ulusal güvenliği tehdit ediyor, seçimlere müdahale ediyor ve milyarlarca dolarlık ekonomik zararlara yol açıyor. Bu saldırıların fiziksel bir kurşun kadar yıkıcı olabileceği gerçeğiyle yüzleşmek zorundayız.

Peki, burada temel sorun ne? Uluslararası hukuk, özellikle savaş ve silahlı çatışma kavramları, fiziksel güç kullanımı, toprak bütünlüğü ihlali ve askeri operasyonlar gibi geleneksel paradigmalar üzerine inşa edilmiştir. Ancak siber saldırılar, genellikle fiziksel sınırları aşan, faili belirsiz, görünmez ve konvansiyonel silahların etkisinden farklı bir doğaya sahip. İşte bu noktada hukuk, adeta bir çağ atlaması gereken bir meydan okumayla karşı karşıya kalıyor.

Uluslararası Hukukun Klasik Çerçevesi: BM Şartı ve 51. Madde

Konuyu anlamak için önce temelden başlayalım. Uluslararası hukukta devletlerin kuvvet kullanması prensip olarak yasaktır. Birleşmiş Milletler (BM) Şartı'nın 2(4) maddesi, üye devletlerin diğer devletlerin toprak bütünlüğüne veya siyasi bağımsızlığına karşı tehdit veya kuvvet kullanmaktan veya başka bir biçimde BM amaçlarıyla bağdaşmayacak herhangi bir eylemde bulunmaktan kaçınmalarını emreder.

Ancak bu yasağın bir istisnası var: Meşru Müdafaa Hakkı. BM Şartı'nın 51. maddesi der ki: "Birleşmiş Milletler üyelerinden birine silahlı bir saldırı vuku bulduğu takdirde, Güvenlik Konseyi uluslararası barış ve güvenliğin korunması için gerekli önlemleri alıncaya kadar, doğal olan bireysel veya kolektif meşru müdafaa hakkı hiçbir şekilde ihlal edilemez."

Anahtar kelime burada: "Silahlı saldırı." Peki, siber bir saldırı bu "silahlı saldırı" tanımına girer mi? İşte asıl düğüm burada.

Siber Saldırının "Silahlı Saldırı" Eşiği: Etki mi, Niyet mi?

Uluslararası hukukçular ve devletler, bir siber saldırının "silahlı saldırı" sayılması için genellikle iki ana yaklaşımı değerlendiriyor:

1. Etki Temelli Yaklaşım (Effects-Based Approach)

Bu yaklaşım, siber saldırının sonuçlarına ve etkilerinin şiddetine odaklanır. Eğer bir siber saldırının yol açtığı yıkım, can kaybı, mal zararı veya kritik altyapıya verdiği hasar, geleneksel bir silahlı saldırınınkine eşdeğerse, o zaman bu bir silahlı saldırı olarak kabul edilebilir.

• Örnek: Bir ülkenin elektrik şebekesini tamamen çökerten, hastanelerde hayati destek sistemlerini durduran veya hava trafik kontrol sistemlerini felç ederek büyük çaplı kazalara yol açan bir siber saldırı, fiziksel bir bombardımanın etkilerine benzetilebilir. Düşünsenize, bir siber saldırı sonucu bir barajın kapakları açılsa ve yüzlerce kişi boğulsa, bu durum fiziksel bir saldırıdan farksız değil midir?

2. Niyet Temelli Yaklaşım (Intent-Based Approach)

Bu yaklaşım, saldırıyı gerçekleştiren devletin niyetine odaklanır. Ancak bu, siber alanda tespiti en zor unsurlardan biridir. Bir siber saldırının arkasındaki devletin amacı sadece bilgi çalmak mıydı, yoksa kalıcı hasar vermek miydi?

Genel kanı, uluslararası toplumun daha çok etki temelli yaklaşıma meyilli olduğu yönündedir. Zira niyetin kanıtlanması çok daha zordur ve genellikle sonucun ciddiyeti, niyetin de bir göstergesi olabilir.

En Büyük Zorluk: Atıf (Attribution)

Siber saldırıların uluslararası hukukta "silahlı saldırı" olarak kabul edilmesinin önündeki en büyük engellerden biri, saldırının kime ait olduğunun (attribution) kesin olarak belirlenmesidir. Siber alanın anonim doğası, karmaşık saldırı zincirleri ve vekaleten hareket eden grupların kullanımı, bir siber saldırıyı doğrudan bir devlete atfetmeyi neredeyse imkansız hale getirebilir.

Hatırlarsınız, 2014'teki Sony Pictures saldırısı, Kuzey Kore'ye atfedildi, ancak bu konuda bile kesin kanıtlar ve uluslararası mutabakat tam olarak sağlanamadı. Atıf konusundaki belirsizlik, meşru müdafaa hakkının kullanımını da doğal olarak zorlaştırıyor. Bir devlete karşı meşru müdafaa hakkını kullanmak için, o devletin saldırıdan doğrudan sorumlu olduğundan emin olmanız gerekir. Aksi takdirde, yanlış bir hedefi vurmak, uluslararası krizi daha da derinleştirebilir.

Tallinn Kılavuzu ve Devletlerin Pozisyonları

Siber saldırıların uluslararası hukuktaki yerini anlamaya çalışan en önemli dokümanlardan biri, NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) tarafından hazırlanan Tallinn Kılavuzu (Tallinn Manual)'dur. Uluslararası hukuk uzmanlarının ortak çalışması olan bu kılavuz, siber operasyonlara uluslararası hukukun nasıl uygulanabileceğine dair kapsamlı bir rehber sunar. Kılavuz, belirli bir eşiği aşan siber saldırıların "kuvvet kullanımı" veya hatta "silahlı saldırı" sayılabileceğini kabul eder, ancak bu eşiğin oldukça yüksek olduğunu vurgular.

Birçok devlet, örneğin ABD, İngiltere ve NATO üyeleri, siber saldırıların belirli koşullar altında "silahlı saldırı" teşkil edebileceğini açıkça ifade etmiştir. Ancak bugüne kadar hiçbir devlet, sadece siber bir saldırı nedeniyle BM Şartı'nın 51. maddesine dayanarak askeri güç kullanma hakkını resmi olarak ilan etmemiştir. Bu durum, eşiğin ne kadar yüksek olduğunu ve devletlerin bu konuda ne kadar temkinli davrandığını gösteriyor.

Somut Örnekler: Gerçek Hayattan Senaryolar

• 2007 Estonya Siber Saldırıları: Rusya'ya atfedilen bu saldırılar, bankaları, bakanlıkları ve medya kuruluşlarını hedef almış, ülkenin dijital altyapısını ciddi şekilde etkilemişti. Ancak Estonya dahi bu saldırıları "silahlı saldırı" olarak nitelendirip askeri bir karşılık vermedi. Dijital dünyanın ilk büyük siber-krizlerinden biri olarak kayda geçti.
• Stuxnet (2010): İran'ın nükleer tesislerindeki santrifüjleri hedef alan bu gelişmiş kötü amaçlı yazılım, fiziksel hasara yol açtı. Genellikle ABD ve İsrail'e atfedilen bu saldırı, siber saldırıların somut, fiziksel hasar verebileceğinin en net örneklerinden biriydi. Ancak bu da "silahlı saldırı" olarak ilan edilip meşru müdafaa hakkını tetikleyen bir durum yaratmadı.
• NotPetya (2017): Ukrayna'yı hedef alsa da tüm dünyaya yayılan bu saldırı, milyarlarca dolarlık zarara yol açtı. ABD, İngiltere ve diğer ülkeler saldırıdan Rusya'yı sorumlu tuttu. Ancak yine de, bu yıkıcı saldırı dahi uluslararası hukukta "silahlı saldırı" eşiğini aşarak askeri meşru müdafaa hakkını tetiklememiştir.

Bu örnekler bize gösteriyor ki, uluslararası toplum siber saldırılara karşı askeri meşru müdafaa hakkını kullanma konusunda son derece yüksek bir eşik belirliyor.

Meşru Müdafaa Hakkının Siber Alanındaki Şartları

Eğer bir siber saldırı "silahlı saldırı" eşiğini aşarsa, meşru müdafaa hakkının tetiklenmesi için yine de belirli şartların yerine gelmesi gerekir:

1. Gereklilik (Necessity): Saldırıya uğrayan devletin meşru müdafaa hakkını kullanması, saldırıyı durdurmak veya püskürtmek için mutlak suretle gerekli olan tek yol olmalı. Yani başka, daha az zarar verici bir alternatif olmamalı.
2. Orantılılık (Proportionality): Uygulanacak meşru müdafaa önlemleri, uğranılan saldırıyla orantılı olmalı. Bir siber saldırıya karşı verilecek cevap, saldırının şiddetini aşmamalı ve gereksiz yıkıma yol açmamalıdır. Siber alanda bu orantılılığı sağlamak, özellikle de kinetik bir yanıt düşünüldüğünde, oldukça zorlu bir denklem oluşturuyor.
3. Atıf (Attribution): Yukarıda bahsettiğim gibi, saldırının hangi devlete ait olduğunun kesin olarak kanıtlanması hayati öneme sahiptir.

Peki, siber bir saldırıya karşı verilecek meşru müdafaa yanıtı ne olabilir? Bu da kendi içinde bir tartışma konusu.
Siber-Siber Karşılık: Çoğu zaman en uygun yanıt, siber alanda kalmak, yani saldırıya siber araçlarla karşılık vermektir. Bu, hedef alınan sistemleri onarmak, saldırının kaynağını etkisiz hale getirmek veya karşı saldırı düzenlemek olabilir.
Kinetik (Fiziksel) Karşılık: Nadiren de olsa, eğer siber saldırının etkileri geleneksel bir askeri saldırı kadar yıkıcıysa, fiziksel bir karşılık (örneğin, hava saldırısı) olasılığı tartışılmaktadır. Ancak bu, çatışmayı tırmandırma ve büyük bir uluslararası krize yol açma riskini de beraberinde getirir.

Geleceğe Bakış ve Atılması Gereken Adımlar

Siber saldırıların uluslararası hukuktaki konumu, hala bir "gri alan" olmaya devam ediyor. Bu alandaki belirsizlik, istikrarsızlığa ve yanlış hesaplamalara yol açabilir. Bu nedenle:

• Uluslararası Normların Oluşturulması: Devletler arasında siber alanda kabul edilebilir ve edilemez davranışlara ilişkin net kurallar ve normlar oluşturulması acildir. BM ve diğer uluslararası platformlarda bu tür tartışmalar hızlandırılmalıdır.
• Kapasite Geliştirme: Tüm devletlerin siber savunma kapasitelerini güçlendirmesi, saldırıların etkilerini azaltmak ve bunlara karşı daha dirençli olmak için kritik öneme sahiptir.
• Şeffaflık ve Güven İnşası: Devletler, siber güvenlik politikaları ve doktrinleri konusunda daha şeffaf olmalı, bu da karşılıklı güveni artırarak yanlış anlaşılmaları önleyebilir.
• Diplomasi ve Caydırıcılık: Siber alanda tırmanmayı önlemek için diplomasi ve caydırıcılık mekanizmaları etkili bir şekilde kullanılmalıdır.

Sonuç

Siber saldırılar, uluslararası hukukun sınırlarını zorlayan, karmaşık ve çok katmanlı bir meydan okumadır. Bir siber saldırının uluslararası hukukta "silahlı saldırı" sayılıp sayılmayacağı ve meşru müdafaa hakkını tetikleyip tetiklemeyeceği sorusuna verilecek yanıt, saldırının şiddeti, etkileri, atfedilebilirliği ve niyetine bağlı olarak değişmektedir.

Bugüne kadar hiçbir siber saldırı, tek başına ve resmi olarak uluslararası hukukta bir devlete karşı askeri meşru müdafaa hakkını doğuran "silahlı saldırı" olarak kabul edilmemiştir. Ancak bu, gelecekte böyle bir durumun yaşanmayacağı anlamına gelmez. Teknoloji geliştikçe ve siber saldırıların yıkıcı potansiyeli arttıkça, uluslararası hukukun da bu yeni gerçeklere uyum sağlaması kaçınılmaz olacaktır.

Bu nedenle, devletlerin uluslararası işbirliğini artırması, siber güvenlik kapasitelerini geliştirmesi ve bu gri alanlara açıklık getirecek normatif çerçeveler oluşturması, sadece kendi ulusal güvenlikleri için değil, aynı zamanda küresel barış ve istikrar için de hayati öneme sahiptir.

Umarım bu kapsamlı analiz, konuya dair bakış açınızı zenginleştirmiştir. Unutmayın, siber dünya bir "vahşi batı" değildir; hukukun ve etik değerlerin burada da geçerli olması için hepimize büyük görevler düşüyor. Sağlıklı ve güvenli bir dijital gelecek dileğiyle...