Devlet destekli siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı?

Question

Son dönemde artan devlet destekli siber saldırı haberlerini endişeyle takip ediyorum. Eğer bir ülke, başka bir devletin kritik altyapısına yönelik siber saldırıyı doğrudan veya dolaylı olarak desteklerse, uluslararası hukuk bunu 'silahlı saldırı' veya 'savaş eylemi' olarak mı nitelendirir? Yoksa bu tür eylemlerin hukuki çerçevesi henüz tam netleşmedi mi?

Answer 1

Merhaba kıymetli okuyucularım,

Son dönemde ekranlarımıza düşen, devlet destekli siber saldırılarla ilgili haberleri sizinle birlikte ben de büyük bir endişeyle takip ediyorum. Siber dünya, her geçen gün hem fırsatlar hem de tehditlerle dolu yeni bir "savaş alanı" haline geliyor. Bu süreçte en çok merak edilen ve üzerine kafa yorduğumuz sorulardan biri de sizin de gündeme getirdiğiniz gibi: "Devlet destekli siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı?"

Türkiye'nin bu alandaki uzmanlarından biri olarak, yıllardır hem akademi sıralarında hem de sahada edindiğim tecrübelerle bu karmaşık konuyu biraz daha anlaşılır kılmaya çalışacağım. Bu sadece teknik bir soru değil, aynı zamanda uluslararası ilişkilerin, jeopolitiğin ve hukukun kesişim noktasında duran, hepimizi derinden etkileyecek bir mesele.

Siber Uzay: Yeni Bir Cephe, Eski Kurallar?

Uluslararası hukuk dediğimizde, aklımıza hemen Birleşmiş Milletler Şartı gelir. Özellikle 2(4). Madde (kuvvet kullanma yasağı) ve 51. Madde (meşru müdafaa hakkı), devletlerin birbirlerine karşı nasıl davranması gerektiğini belirleyen temel ilkelerdir. Ancak bu kurallar, İkinci Dünya Savaşı sonrası dönemde, atom bombası ve konvansiyonel silahların gölgesinde yazıldı. O zamanlar kimse, bir bilgisayar koduyla bir enerji santralinin devre dışı bırakılabileceğini, finansal sistemlerin çökertilebileceğini hayal bile edemezdi.

İşte tam da bu noktada, siber saldırılar mevcut hukuki çerçeveyi zorlamaya başlıyor. Geleneksel "silahlı saldırı" tanımı, genellikle ölüm, yaralanma ve somut, fiziksel yıkım gibi etkilerle ilişkilidir. Ancak siber saldırılar genellikle fiziksel bir kurşun atmadan, bomba patlatmadan veya tank sürmeden de benzer, hatta bazen daha yıkıcı sonuçlar doğurabiliyor.

"Silahlı Saldırı" Tanımı ve Siberin Zorlukları

Uluslararası hukukta bir eylemin "silahlı saldırı" olarak nitelendirilmesi, karşı devlete BM Şartı'nın 51. maddesi kapsamında meşru müdafaa hakkı tanır. Bu da demektir ki, hedef alınan devletin askeri güç kullanarak karşılık verme hakkı doğar. Ancak siber alanda bu sınırları çizmek inanılmaz derecede güç.

Peki, bir siber saldırıyı silahlı saldırı yapan nedir?

1. Etki Odaklı Yaklaşım: Hasarın Boyutu Önemli

Bugün uluslararası hukuk çevrelerinde ve özellikle "Tallinn Kılavuzu" gibi önemli referans belgelerde ağırlık kazanan görüş, etki odaklı yaklaşımdır. Yani, bir siber saldırının kendisi değil, yol açtığı sonuçlar önemlidir. Eğer bir siber operasyon:

• Can kaybına veya ciddi yaralanmalara neden oluyorsa (örneğin, bir hastanenin yaşam destek ünitelerini devre dışı bırakarak),
• Ciddi fiziksel yıkıma yol açıyorsa (örneğin, bir elektrik şebekesini çökertip patlamalara neden olarak),
• Hedef devletin kritik altyapısını (enerji, su, ulaşım, finans) felç ederek toplumsal yaşamı ve kamu düzenini ciddi şekilde bozuyorsa,

işte o zaman, bu siber eylemin geleneksel bir silahlı saldırının eşiğine çıktığı veya o eşiği aştığı kabul edilebilir.

Somut Bir Örnek: 2010 yılında İran'ın nükleer programına yönelik gerçekleştirilen Stuxnet saldırısı, fiziksel bir tesisin (santrifüjlerin) operasyonel yeteneğini fiziksel olarak etkileyerek büyük bir yıkıma yol açmıştı. Bu tarz bir saldırı, siber saldırıların fiziksel dünya üzerindeki potansiyelini göstermesi açısından önemli bir dönüm noktasıydı. Yakın zamanda Ukrayna'ya yönelik siber saldırılarda elektrik şebekelerinin hedef alınması da yine benzer potansiyel sonuçları taşıyor.

Elbette, bir siber casusluk faaliyeti veya basit bir web sitesi hack'i "silahlı saldırı" sayılmaz. Önemli olan, etkilerin şiddeti ve hedef alınan varlığın kritiklik düzeyidir.

2. Atıf Sorunu: Fail Kim?

İşte bu, sahada karşılaştığımız en büyük zorluklardan biri. Siber dünyada saldırganın kimliğini tespit etmek, bir nevi dijital parmak izi avcılığı gibidir. Saldırganlar genellikle IP adreslerini gizler, farklı ülkelerdeki sunucular üzerinden bağlantı kurar, "proxy" grupları kullanır ve arkalarında iz bırakmamaya özen gösterir.

Devlet destekli siber saldırılar söz konusu olduğunda ise durum daha da karmaşıklaşır:

• Doğrudan Devlet Saldırısı: Bir devletin kendi askeri veya istihbarat birimleri aracılığıyla doğrudan saldırı yapması. Bu durumda atıf daha kolay yapılabilir ancak yine de kanıt toplamak zaman alıcı ve zorludur.
• Dolaylı Devlet Desteği: Bir devletin, kendi kontrolündeki veya etkisindeki hack gruplarına (proxy) siber saldırı yapmaları için finansal, lojistik veya teknik destek sağlaması. Burada uluslararası hukukun bir devleti sorumlu tutabilmesi için, o devletin saldırılar üzerinde "etkin kontrolü" veya "önemli bir etkisi" olduğunu kanıtlamak gerekir. Nikaragua davası gibi emsal kararlar, bu tür dolaylı desteklerin bir devlete nasıl atfedilebileceğine dair ipuçları sunar.

Yıllardır bu alanda çalışırken görüyorum ki, attribution konusu sadece teknik bir mesele değil, aynı zamanda diplomatik ve istihbari bir satranç oyunudur. Bir devletin saldırıya anında ve kesinlikle kimin tarafından yapıldığını tespit edip hukuki zeminini oluşturması, genelde günler, haftalar, hatta aylar sürebilir. Bu da potansiyel bir meşru müdafaa tepkisini geciktirebilir veya tartışmalı hale getirebilir.

Hukuki Çerçevenin Belirsizliği ve Gelecek

Bugün ne yazık ki, devlet destekli siber saldırıların "silahlı saldırı" sayılıp sayılmayacağı konusunda uluslararası camiada tam bir fikir birliği yoktur. Devletler, ulusal çıkarları doğrultusunda farklı yorumlar getirebilmektedir. Bazı devletler daha geniş bir yorumu benimserken, bazıları bu eşiğin çok yüksek tutulması gerektiğini savunur. Bu belirsizlik, aynı zamanda bir caydırıcılık zafiyeti de yaratmaktadır. Zira saldırıyı gerçekleştiren taraf, hukuki sonuçların net olmamasından faydalanabilir.

Peki, ne yapmalıyız?

1. Devlet Uygulamalarının Gelişmesi: Devletlerin bu konudaki tutumlarını daha net ortaya koymaları ve uluslararası hukukun bu alanda gelişmesine katkıda bulunmaları şart.
2. Uluslararası İş Birliği ve Norm Geliştirme: Birleşmiş Milletler çatısı altında devam eden "Siber Uzayda Devletlerin Sorumlu Davranış Normları" üzerine tartışmalar, bu boşluğu doldurmaya yönelik önemli adımlardır.
3. Kapasite Geliştirme: Ülkelerin, siber savunma ve siber saldırı atfı konularında ulusal kapasitelerini güçlendirmeleri elzemdir. Türkiye gibi kritik jeopolitik konuma sahip ülkeler için bu, ulusal güvenliğin temel taşlarından biridir.

Sonuç: Karışık Ama Yön Belirleyici Bir Alan

Değerli dostlar, sorunuzun cevabı net olmasa da, uluslararası hukukun siber saldırılara bakış açısının evrildiği ve olgunlaştığı açık. Evet, devlet destekli siber saldırılar, yol açtığı etkilerin şiddetine ve doğasına bağlı olarak uluslararası hukukta bir "silahlı saldırı" olarak nitelendirilebilir. Ancak bunun için atıf sorununun çözülmesi ve saldırının etkilerinin geleneksel bir silahlı saldırının etkileriyle kıyaslanabilir düzeyde olması gerekmektedir.

Bu alan, hızlı teknolojik gelişmelerle birlikte sürekli değişen ve hukukun peşinden koştuğu bir alandır. Unutmayalım ki siber güvenlik, artık sadece teknoloji uzmanlarının değil, hepimizin meselesi. Uluslararası hukukun bu yeni meydan okumaya uyum sağlaması, küresel barış ve istikrar için hayati önem taşımaktadır.

Umarım bu kapsamlı değerlendirme, konuya dair zihninizdeki soru işaretlerini bir nebze de olsa gidermiştir.

Saygılarımla,

[Uzman Adı/Soyadı - Buradaki rolüm gereği genel bir uzman vurgusu yapılmıştır]