Özel hacker gruplarının devlet adına siber saldırılarında uluslararası hukuk sorumluluğu nasıl belirlenir?

Question

Geçenlerde bir haberde okudum, özel siber grupların aslında bazı devletlerden destek aldığı iddia ediliyordu. Böyle bir durumda, uluslararası hukukta o devlete sorumluluk yüklemek için kanıt eşiği nedir ve hangi mekanizmalar devreye girer? Düz mantıkla devletin yaptırım alması gerekir gibi geliyor ama ispat zor herhalde?

Answer 1

Siber Gölgenin Peşinde: Devlet Adına Saldıran Özel Hacker Gruplarının Uluslararası Hukuk Sorumluluğu Nasıl Belirlenir?

Merhaba değerli okuyucularım,

Bugün, sizlerden gelen ve son zamanlarda hepimizin zihnini meşgul eden son derece kritik bir konuya, devlet adına faaliyet gösteren özel hacker gruplarının siber saldırılarında uluslararası hukuk sorumluluğunun nasıl belirleneceğine, derinlemesine bir bakış atacağız. Gündemdeki haberlerde özel siber grupların bazı devletlerden destek aldığı iddialarını okuduğunuzu biliyorum. Düz mantıkla baktığımızda, böyle bir durumda o devlete yaptırım uygulanması gerektiği hissi ağır bassa da, işin iç yüzü maalesef o kadar basit değil. Uzun yıllardır bu alanda çalışan bir uzman olarak, bu karmaşık düğümü çözmek için bilmeniz gerekenleri sizlerle paylaşmak istiyorum.

Siber Savaşın Yeni Cephesi: Gri Bölge Aktörleri

Geleneksel savaş alanlarının ötesine geçen siber uzay, artık devletler arası güç mücadelesinin en keskin ve en sessiz cephesi haline geldi. Ancak bu cephede savaşanlar her zaman üniformalı askerler olmuyor. Devletlerin doğrudan müdahaleden kaçınmak, "makul inkar edilebilirlik" (plausible deniability) ilkesini korumak ve potansiyel misillemelerden sakınmak amacıyla kullandığı özel hacker grupları, bu gri bölgenin en tehlikeli aktörleri. İşte burada asıl soru devreye giriyor: Bir siber saldırı gerçekleştiğinde ve arkasında özel bir grubun olduğu görüldüğünde, bu saldırıyı gerçekleştiren devleti nasıl sorumlu tutacağız? Uluslararası hukuk, bu "gölge savaşçıların" eylemleri karşısında ne kadar etkili olabilir?

Uluslararası Hukukun Temel Taşları: Devlet Sorumluluğu

Uluslararası hukukta devlet sorumluluğu, devletlerin uluslararası hukuka aykırı eylemleri nedeniyle hesap verme yükümlülüğünü ifade eder. Bu konuda en temel metinlerden biri, Uluslararası Hukuk Komisyonu'nun hazırladığı ve geleneksel uluslararası hukuku büyük ölçüde yansıtan "Devletlerin Uluslararası Hukuka Aykırı Eylemlerinden Dolayı Sorumluluğuna İlişkin Taslak Maddeler"dir (Articles on Responsibility of States for Internationally Wrongful Acts - ARSIWA).

Bu taslak maddeler, bir eylemin devlete atfedilebilmesi için çeşitli senaryolar sunar. Ancak özel hacker grupları söz konusu olduğunda, genellikle en çok üzerinde durduğumuz madde Madde 8 oluyor:

• Madde 4: Bir devlet organının (örneğin ordu, istihbarat) doğrudan yaptığı eylemler devlete atfedilir. Bu, en basit ve en net durumdur.
• Madde 5: Devletin, olağan durumda kendi yetkilerini kullanması gereken özel kişi veya kuruluşlara belli yetkiler devretmesi durumunda, bu kişi veya kuruluşların eylemleri devlete atfedilebilir. Ancak bu, hacker grupları için genellikle geçerli değildir çünkü siber saldırı yapmak "kamusal yetki" değildir.
• Madde 8: En can alıcı nokta burası. Bu maddeye göre, bir kişinin veya kişi grubunun bir devletin talimatı, yönlendirmesi veya kontrolü altında hareket etmesi halinde, bu kişinin veya grubun eylemleri devlete atfedilebilir. İşte özel hacker grupları için sorumluluk kapısı bu maddeden geçiyor.

"Yönlendirme veya Kontrol" Testi: Kanıt Eşiği Nerede Başlar?

Madde 8'deki "talimat, yönlendirme veya kontrol" ifadesi, aslında uluslararası hukukta bir mihenk taşıdır. Özellikle Uluslararası Adalet Divanı'nın (UAD) Nikaragua Davası'ndaki kararı ve Uluslararası Ceza Mahkemesi'nin eski Yugoslavya için kurulan (ICTY) Tadiç Davası'ndaki görüşleri, bu kontrol eşiğinin ne kadar yüksek olduğunu bize gösterir.

Nikaragua Davası'nda UAD, ABD'nin Nikaragua'daki Kontra gerillalarına verdiği destekle ilgili olarak, sadece genel destek, finansman veya eğitim sağlamanın, Kontra'ların her eylemini ABD'ye atfetmek için yeterli olmadığını belirtmiştir. ABD'nin belirli bir eylem üzerinde etkin kontrol sahibi olması gerektiğini vurgulamıştır.

Tadiç Davası'nda ise ICTY, Bosnalı Sırp güçlerinin Sırbistan tarafından genel kontrol edildiğini, yani belirli her eylem üzerinde doğrudan talimat olmasa bile, operasyonların genel çerçevesinin Sırbistan tarafından belirlendiğini kabul etmiştir. Ancak siber saldırılar için bu "genel kontrol" eşiği bile genellikle oldukça zordur.

Özel hacker gruplarının siber saldırılarında bir devlete sorumluluk yüklemek için kanıt eşiği gerçekten de yüksektir. Sadece saldırının faydasının bir devlete dokunması ya da saldırganların o devlete yakın olması yeterli değildir. Uluslararası hukuk, belirli bir siber saldırı eyleminin, o devletin etkin kontrolü veya talimatı altında gerçekleştiğini gösteren somut ve ikna edici deliller ister.

Peki, bu "somut ve ikna edici deliller" neler olabilir?

• Mali Destek: Saldırgan grubun devletten düzenli veya proje bazlı finansal destek aldığına dair kanıtlar (banka kayıtları, ödeme transferleri).
• Teknik ve Lojistik Destek: Saldırganlara özel yazılımlar, donanımlar, istihbarat bilgileri, sunucu altyapısı veya güvenli iletişim kanalları sağlandığına dair kanıtlar.
• Görevlendirme ve Hedef Belirleme: Devlet kurumlarının, belirli hedeflere yönelik belirli siber saldırı görevleri verdiğine dair içeriden elde edilmiş belgeler, yazışmalar veya tanıklıklar.
• İstihbarat Paylaşımı: Saldırı öncesinde hedefler hakkında kritik istihbaratın devlet kurumları tarafından sağlandığına dair kanıtlar.
• Operasyonel Koordinasyon: Saldırının zamanlamasının, kapsamının veya yöntemlerinin devlet kurumlarıyla koordine edildiğine dair bulgular.
• Kamuya Açık Doğrulama veya Savunma: Saldırı sonrası devlet yetkililerinin, grubu sahiplenir veya savunur nitelikteki açık beyanları (bu çok nadir ve aptalca bir hareket olsa da).

Gördüğünüz gibi, bu tür kanıtları toplamak ve bunları uluslararası bir mahkeme önünde sunulabilecek düzeyde ispatlamak inanılmaz derecede zordur. İstihbarat servisleri sıklıkla devlet destekli grupları "ilişkilendirse" de, bu siyasi bir açıklama olup, hukuki bir yargı kararı için gereken delil seviyesini genellikle karşılamaz.

Hesap Verebilirlik Mekanizmaları ve Türkiye'nin Rolü

Peki, diyelim ki güçlü kanıtlar toplandı. Hangi mekanizmalar devreye girer?

1. Diplomatik ve Siyasi Baskı: En sık kullanılan yöntemlerden biri, uluslararası toplumun, özellikle Batılı devletlerin, saldırıyı gerçekleştiren devlete yönelik kınama, yaptırım ve diplomatik baskı uygulamasıdır. Örneğin, Rusya'nın NotPetya saldırısı veya İran'ın kritik altyapılara yönelik iddia edilen saldırıları sonrası birçok ülke benzer adımlar atmıştır. Türkiye olarak biz de bu tür durumlarda uluslararası platformlarda duruşumuzu net bir şekilde ortaya koymalıyız.
2. Uluslararası Adalet Divanı (UAD): İki devlet arasında doğrudan bir anlaşmazlık olduğunda UAD'ye başvurulabilir. Ancak UAD'nin yargı yetkisi, ilgili devletlerin bunu kabul etmesine bağlıdır. Siber saldırılar için bu mekanizmanın kullanılması şu ana kadar gerçekleşmemiştir ve muhtemelen de zor olacaktır.
3. Karşı Önlemler (Countermeasures): Eğer bir devlet başka bir devletin kendisine karşı uluslararası hukuku ihlal ettiğini kanıtlarsa, o devlete karşı orantılı ve uluslararası hukuka aykırı olmayan karşı önlemler (örneğin, ticari yaptırımlar) alma hakkına sahip olabilir. Ancak bu, saldırının gerçekten uluslararası hukuka aykırı bir eylem olduğunu kanıtlamayı gerektirir.
4. Birleşmiş Milletler Güvenlik Konseyi: Eğer siber saldırı "uluslararası barış ve güvenliğe yönelik bir tehdit" olarak değerlendirilirse, Güvenlik Konseyi yaptırım uygulama veya hatta güç kullanımı yetkisi verebilir. Ancak siber saldırıların silahlı saldırı eşiğine ulaşması oldukça nadirdir.

Gerçek Hayat Örnekleri ve Zorluklar

Bugüne kadar, özel hacker gruplarının bir devlete atfedilen siber saldırılarında uluslararası bir mahkeme tarafından verilen tek bir hüküm bulunmamaktadır. Ancak, istihbarat camiası ve bazı devletler tarafından yapılan kamuoyu açıklamaları ve raporlar aracılığıyla birçok attribüsyon (ilişkilendirme) örneği mevcuttur:

• APT28 (Fancy Bear) ve APT29 (Cozy Bear): Bu gruplar, genellikle Rus devlet istihbarat servisleriyle ilişkilendirilir ve ABD seçimlerine müdahale, Alman parlamentosuna sızma gibi birçok yüksek profilli saldırıdan sorumlu tutulurlar. Bu tür atıflar genellikle teknik kanıtlara (malware imzaları, altyapı kullanımı, saldırı yöntemleri) dayanır.
• Lazarus Grubu: Kuzey Kore ile ilişkilendirilen bu grup, Sony Pictures Entertainment'a yapılan saldırı, WannaCry fidye yazılımı ve banka soygunları gibi çeşitli eylemlerden sorumlu tutulmuştur. Yine, atıflar genellikle istihbarat topluluğunun bulgularına dayanır.

Bu örneklerde, devletler siyasi olarak sorumlu devleti işaret etse de, uluslararası hukukun gerektirdiği "etkin kontrol" seviyesini ispatlamak ve hukuki bir sorumluluk yüklemek bambaşka bir zorluktur.

Geleceğe Bakış ve Türkiye İçin Öneriler

Siber uzaydaki bu gri alan, uluslararası hukukun en büyük sınamalarından biridir. Bu karmaşık sorunla başa çıkabilmek için Türkiye olarak bizim de hem ulusal hem de uluslararası düzeyde proaktif adımlar atmamız gerekiyor:

• Uluslararası Norm ve Standart Gelişimine Katkı: Uluslararası siber hukuk normlarının geliştirilmesi süreçlerinde aktif rol oynamalıyız. Tallinn El Kitabı gibi inisiyatiflere katkıda bulunarak, siber uzayda devletler arası davranış kurallarının belirlenmesine yardımcı olmalıyız.
• Siber Güvenlik Kapasitesinin Artırılması: Ulusal siber güvenlik ve siber adli tıp (forensics) kapasitemizi sürekli geliştirmeliyiz. Saldırıların kaynağını ve niteliğini hızlı ve güvenilir bir şekilde belirleyebilmek, uluslararası arenada delil sunma gücümüzü artıracaktır.
• Uluslararası İş Birliği: Benzer tehditlerle karşı karşıya olan dost ve müttefik ülkelerle istihbarat paylaşımı ve teknik iş birliğini güçlendirmeliyiz. Ortak soruşturmalar ve bilgi alışverişi, "etkin kontrol" kanıtlarını bir araya getirme potansiyelini artırır.
• Diplomatik Çeviklik: Siber saldırıların ardından uluslararası hukuki ve diplomatik süreçleri hızlı ve etkin bir şekilde yönetebilmek için uzman ekipler oluşturmalıyız.

Sonuç

Değerli okuyucularım, özel hacker gruplarının devlet adına yaptığı siber saldırılarda uluslararası hukuk sorumluluğunu belirlemek, 'düz mantık'la değil, uluslararası hukukun ince nüansları ve yüksek kanıt eşikleriyle mümkün olan, son derece karmaşık bir süreçtir. "İspat zor herhalde?" sorunuzda çok haklısınız; bu ispat yükü, siber dünyanın doğasından kaynaklanan anonimlik ve iz bırakmama çabaları nedeniyle katbekat artmaktadır.

Ancak bu zorluklar, uluslararası hukukun siber alanda tamamen etkisiz olduğu anlamına gelmez. Aksine, devletlerin bu gri alan aktörlerini kullanma eğilimi arttıkça, uluslararası toplumun, hukuku bu yeni gerçeklere uyarlamak ve devletleri sorumlu tutmak için daha yenilikçi ve kararlı mekanizmalar geliştirmesi elzem hale gelmektedir. Türkiye olarak bu süreçte hem güçlü bir duruş sergilemeli hem de uluslararası hukukun gelişimine aktif katkıda bulunmalıyız. Siber güvenlik sadece teknik bir konu değil, aynı zamanda diplomatik, hukuki ve stratejik bir meydan okumadır. Bu meydan okumayı ancak birlikte ve bilinçli adımlar atarak aşabiliriz.

Sevgi ve saygılarımla,

[Uzman Adı/Unvanı - Yazarın kendisi olarak]