Güzün Kışa Dönüşü: Siber Savaşlar
Siber savaş Nedir?
Siber ortamda devletler tarafından gerçekleştirilen (süjesi devlet olan), bir başka devletin egemenliğine, toprak bütünlüğüne ya da siyasal sistemine karşı bir kuvvet kullanmayı ya da kuvvet kullanma tehdidinde bulunmasıdır. Bu yeni kavram ile birlikte karşımıza yeni bir savaş sahası çıkmaktadır. Bu savaş sahasının diğer konvansiyonel savaş sahalarından farklı olarak fiziksel bir varlığı yoktur ve düşman yüzlerce ve kilometre öteden herhangi bir kurala tabi olmadan ve kimliğini gizleyerek saldırabilmektedir.
Bu nedenle bu saldırının yol açabileceği etkiler ve sonuçları korkutucu düzeylere varabilmekte etkileri konvansiyonel bir savaştaki kadar yıkıcı olabilmektedir. Bu nedenle ülkeler hem ulusal hem de uluslararası düzlemde çıkması olası bir siber savaşı önlemek ve karşılık verebilmek için yatırımlar yapmaktadır.
Ancak tüm bu yatırımlara rağmen saldırıların siber uzayda yapılması, saldırının kaynağını tespit ve ispat noktasında büyük bir zafiyet içermektedir.
Bu nedenle uluslararası topluluklar hangi fiillerin siber savaş suçlarını oluşturacağı ile ilgili çalışmalar yapmaktadır. Çünkü siber savaş olarak kabul edildiği takdirde uluslararası ve ağır önlemler alınması gerekirken, siber savaş fiili veya tehdidi olarak tanımlanamıyorsa bu fiiller iç hukuk ya da ikili anlaşmalar doğrultusunda yaptırımlara bağlanacak ya da yaptırımsız kalacaktır.
Doktrinde siber savaş kavramı ile ilgili birçok tartışma bulunmakla birlikte uygulamada bir siber savaş vakası görülmemiştir. Devletlerin birbirlerine üstü kapalı icra ettiği saldırılar ise resmi olarak tespit edilemediği için siber saldırı ya da suç olarak değerlendirilmiştir. Bu siber saldırılara karşı ise devletler kendi iç hukuk yolları ile önlem almaktadırlar.
Birleşmiş Milletler Antlaşması
Birleşmiş Milletler, özetle dünya barışının sürdürülmesi için kurulmuş küresel bir kuruluştur. Bir siber fiilin savaş olarak değerlendirilmesi noktasında Birleşmiş Milletler Antlaşması’nın incelenmesi gerekir. Bu anlaşma bir devletin siyasal sistemine ya da toprak bütünlüğüne karşı kuvvet kullanmayı ya da kuvvet kullanma tehdidinde bulunmayı açıkça yasaklamıştır. BM anlaşmasının devletler arasında yapılmış olması ve devletler arası savaşlar konusundaki yaptırımları düzenlemesi nedeniyle öncellikle bir siber savaştan bahsedebilmek için saldırının failinin devlet olması gerektiği sonucunu çıkarmaktayız. Aynı zamana bu fiilin kuvvet kullanma (güç kullanma) yahut kuvvet kullanım tehdidi olarak değerlendirilmesi gerekmektedir.
Bir güç kullanma tehdidinden bahsedilebilmesi için iki veya daha fazla ülke arasında mevcut bir çatışma ya da çatışma ihtimali olması ve taraflardan bir tanesinin karşı tarafı ölümle, yaralanmayla ya da fiziki zararı ile sonuçlanabilecek bir siber tehditte bulunması gerekir. Genellikle bu saldırılar devlet dışı aktörler tarafından yapılmaktadır. Peki bu durumda BM anlaşması hükümleri bu saldırılar için bağlayıcı olmayacak mıdır?
Birleşmiş Milletler Antlaşması 2(4): ‘’Tüm üyeler, uluslararası ilişkilerinde gerek herhangi bir başka devletin toprak bütünlüğüne ya da siyasal bağımsızlığa karşı, gerek Birleşmiş Milletler ’in amaçları ile bağdaşmayacak herhangi bir biçimde kuvvet kullanma tehdidine ya da kuvvet kullanılmasına başvurmaktan kaçınırlar.”
Uluslararası hukukta tek bir güç kullanma kavramı olmadığından ülkeler kendi devlet politikalarına göre bu kavramı yorumlamaktadırlar.
Adalet Divanı, Nükleer Silah Tavsiye görüşünde “regardless of weapon” ifadesini kulanmış ve silahların niteliğinin önemli olmadığını, silahların zaten uluslararası antlaşmalar ve teamül gereğince kullanılmasının hukuka uygun olmadığını belirtmiştir. Günümüzde bir çok devlet tarafından ve akademisyenlerce kuvvet kullanma yasağını aynı zamanda bir jus cogens (buyruk kural- devletleri hiçbir eylemi bu kurallara aykırı olmamalıdır) kuralı olduğu kabul görmüştür.
Bir siber savaşın varlığından bahsedebilmek için;
1) Siber saldırıyı icra edenlerden birinin silahlı çatışma hukukuna göre taraf ehliyetinin bulunması
2) Saldırının fiili bir silahlı çatışmadaki gibi etkiler doğurması
3) Tarafın kimliğinin tespit edilmiş olması, gerekir.
Saldırının boyutu silahlı çatışma boyutlarına varırsa bir siber savaştan bahsedilebilir. Aynı zamanda silahlı çatışma hukukunda tarafın kimliğinin tespit edilmiş olması gerekmektedir. Siber kuvvet kullanımının varlığı halinde, saldırıya uğrayan devlet orantılı olmak şartı işe siber operasyonlara, ekonomik ve politik karşı önlemlere(countermeasures) başvurabilir.
Bu karar ile Adalet Divanı hangi düzeydeki kuvvet kullanımı eylemlerinin “silahlı saldırı” (armed attack) olarak kabul edileceği ile ilgili bir içtihat geliştirmiştir. Bu hakkın kullanılabilmesi için;
1)Gereklilik(neccessity)- yöntemin son çare olması ve diğer tüm barışçı çözüm önlemlerinin denenmiş ve işe yaramamış olması
2)Orantılılık (proportionality)- kullanılacak gücün saldırı ile orantılı olması gerekir.
2009 yılında Estonya’nın Talinn Şehrinde NATO Müşterek Siber Savunma Mükemmeliyet Merkezi kurulmuştur. (CCD-COE). Bu merkez siber savaşta uygulanacak hukuk normlarını derleyerek bir kılavuz yayımlamıştır. Bu kılavuz her ne kadar bağlayıcı bir nitelik taşımasa da bu konuya ilişkin bugüne kadar yapılmış en kapsamlı siber savaş hukuku dokümanıdır. (Siber Saldırı Talinn kılavuzu)
Bu kılavuzun 11. maddesine göre bir siber eylem, “ölçü ve etkileri” bakımından değerlendirilecek, konvansiyonel başka bir fiille karşılaştırılabilecek seviyede ise kuvvet kullanımı olarak değerlendirilecektir.
Ölçü ve etkiyi değerlendirirken bazı unsurlardan bahsedilmiştir. Bunlar:
1-Yakınlık
2-Doğrudanlık
3-Yayılabilirlik
4-Ölçülebilirlik
5- Askeri karakter
6-Devlet Müdahalesi
7-Muhtemel Meşruiyet kriterleridir.
Kılavuzun 13. Maddesinde göre siber eylemin silahlı saldırı olup olmadığına karar verilirken eylemin “ölçü ve etkisi” göz önüne alınacaktır. Bu kriterlere göre siber saldırı, ölüm ya da yaralanmaya sebep olan ya da bir ülkenin kritik altyapılarında ciddi bir zarara yol açan eylemler olarak düşünülebilir.
Kritik altyapılar kavramının küresel düzeyde bir tanımı olmadığı için, kısaca kamu sağlığı, ulusal güvenliği, ulusal ekonomiyi ayakta tutan yapıların bütünü olarak tanımlayabiliriz.
Siber saldırı eşiğinin aşıldığı noktada meşru müdafaa hakkının doğduğunu kabul etsek dahi bu hakkın kime karşı kullanılacağı meselesi yukarıda belirtilen sebeplerle güç olmaktadır. Buna saldırının ispat sorunu da denilebilir. Bu kural Uluslararası Hukuk Komisyonu’nun hazırladığı ‘Uluslararası Haksız Bir Fiilden Ötürü Devletin Uluslararası Sorumluluğu Üzerine Taslak Maddeler ’in ilk maddesinde düzenlenmiştir ve uluslararası teamül hukukunun bir parçasıdır.
Taslak Maddeler ve devlet uygulamaları isnat edilebilirlik ile ilgili 3 temel standart ortaya koymuştur:
1)Saldırıların ‘devlet organı’ tarafından gerçekleştirilmesi: Devletin silahlı kuvvetleri ya da siber güvenlik komutanlıkları, özü gereği devletten bağımsız hareket edemeyen devletin iç mevzuatında düzenlenmemiş organlar.
2)Devlet Temsilcileri: Saldırıyı yapan kişi ya da grubun eylemlerini bir devletin talimatı, kontrolü ve yönlendirmesi altında yapması.
3)Saldırının arkasında bir devlet ya da grup tespit edilemediği, saldırının devlet dışı bir aktör tarafından yapıldığı durumda bu haksız eylem ancak devlet fiili gerçekleştiren sujenin eylemlerine izin veriyor(göz yumuyor) ya da gerekli tedbirleri almıyorsa o devlete isnat edilebilir. Çünkü devletlerin bu saldırıları önlemek amacıyla gerekli tedbirleri alma yükümlülüğü vardır ve bu bir uluslararası hukuk normudur. (due diligence). Bahsi geçen devlet bu yükümlülüğünü ihlal ederse mağdur devletin bu ülkeye karşı meşru müdafaa hakkı doğmaktadır.
Bu durumda doğacak sorumluluğun istisnası ise şudur:
● Egemen devlet saldırıyı gerçekleştiren devlet dışı aktör üzerinde bir otorite sergileyemiyorsa ve saldırıları engelleyebilecek araçlardan yoksunsa saldırı egemen devlete isnat edilemez. Bu tartışma yapılırken unutulmamalıdır ki zarara uğrayan ülkelerin meşru müdafaa hakkından yararlanamaması, kuvvet kullanımını ihtiva etmeyen karşı önlemlere başvurma ve tazminat talep etme hakkını engellemez.
Amerika Birleşik Devletleri bu hakkı 9/11 saldırılarından sonra Afganistan’a müdahalede bulunurken kullanmıştır. Birleşmiş Milletler Konseyi çağrıları yanıtsız kalmış Taliban El-Kaide’ye karşı gerekli önlemleri almamıştır. Bunun üzerine BM Güvenlik Konseyi ABD nin meşru müdafaa hakkının doğduğuna karar vermiştir.
*Bu makale 2019 Yılında Ankara Barosu Hukuk Gündemi Dergisi’nde yayımlanan yazımdan kesitler alınarak aktarılmıştır.
*Yazımın tamamını okumak isterseniz aşağıdaki bağlantıya tıklayıp dergiyi indirebilirsiniz: http://www.ankarabarosu.org.tr/Siteler/1944-2010/Dergiler/HukukGundemiDergisi/2020-1.pdf
Dolaşımda olan çok fazla bilgi olduğunu ve doğru bilgiye ulaşmanın her zaman çok kolay olmadığını biliyoruz. Bu nedenle, DataBulls(Data Bulletins) olarak verilerle ilgili doğru bilinen yanlışları ve doğru bilgileri paylaşmak için veri profesyonellerini bir araya getiren bir bir yayın oluşturduk ve doğru bilgiyi herkes için erişilebilir kılmak için yazıyoruz. Sen de bir veri profesyoneli ya da veri bilimini ilgilendiren her hangi bir alana ilgiliysen seni de aramızda görmeyi çok isteriz.
Yayınımızı incelemeyi ve ilgilenirseniz bize Linkedin, Medium veya databulls.info@gmail.com mail adresimizden ulaşmayı unutmayın!
