Güvenlikleştirilen siber uzayın askeri stratejilerin bir parçası haline gelmesi ise hiç şüphesiz devletlerarası ilişkileri de etkilemektedir. 1999 yılında yaşanan Kosova Krizi’nde NATO sunucularına yapılan siber saldırılardan bu yana siber uzay, saldırı kapasitesinin geliştirilmesi gereken ve savunmasının her geçen gün önem kazandığı bir alana dönüşmüştür. 2007 yılında Estonya’ya gerçekleşen saldırı ve arkasından 2008’de Gürcistan’a yapılan siber saldırılar ve 2009-2010 yılında İran’a gerçekleştirilen STUXNET saldırıları bunu açık bir şekilde göstermektedir.
Anahtar Kelimeler: Güvenlikleştirme, Siber Uzay, STUXNET, Siber Saldırı
As a Security Issue: Cyberspace
Formation of networks such as internet and mobile communication systems via globalization process impacted on international relations like in every scientific discipline in last twenty years. Cyber-Space, which is in scope of our work, has been approved as fifth security field with territory, marine-space and aero-space with regards to states is undoubtedly the result of aforementioned changes in communication technology. In other words, Cyber-space is a security field in which territorial borders lost their importance, multinational companies and individuals are approved as actors and also hard to be controlled, have taken effect in international relations from the beginning of 2000s. Securitization process links cyberspace to military strategies, consequently affects international relations. Cyberspace has transformed important area for better defence and offense after the attacks of NATO servers in 1999. Cyber- attacks on Estonia in 2007, cyber-attacks on Georgia in 2008 and STUXNET cyber-attacks on Iran prove this situation clearly.
Key Words: Securitization, Cyber Space, STUXNET, Cyber Attack
Giriş
Siber uzayın kullanımında 2000’li yıllarla beraber yaşanan büyük artış devletlerin, devlet dışı grupların ve bireylerin bu yeni alanda yeni seçeneklere sahip olmasının önünü açmıştır. Bu seçenekler sayesinde devletler öncelikle siber uzayı bir güvenlik problemi olarak görmüştür. Devletler ortaya çıkan bu yeni durum karşısında öncelikle söylem bazından ve söylemin başarılı olması ile orantılı olarak eylem bazından siber uzayı güvenlikleştirmeye başlamıştır. Çalışmanın birinci bölümünde öncelikle siber uzayın yaygınlaşması ele alınacaktır. Yaygınlaşmaya bağlı olarak 2000’li yıllarda siber uzaya bağımlılığı oldukça yüksek olan ağlanmış devletlerin siber uzayı güvenlik problemi olarak ele almasıyla birlikte yayınladıkları güvenlik ve strateji belgeleri bu aşamada ortaya konulacaktır. Ağlanmış devletlerin yayınladıkları stratejilerin tarihsel olarak uyuşmasına dikkat çekilecek çalışma da bu harekete geçişin altındaki gerçek nedenler çalışmanın ikinci bölümünde ele alınacaktır. Bu bağlamda siber uzaya bakışta paradigma değişimlere yol açan dört büyük siber saldırı olarak tarafımızca değerlendirilen 1999 Kosova Krizi Saldırısı, 2007 Estonya Saldırısı, 2008 Gürcistan Saldırısı ve 2010 STUXNET Saldırısı teknik yönünden ziyade siber uzayda devletlerin güvenliğe bakış açılarına getirdiği değişim açısından ele alınacaktır.
Yeni Bir Güvenlik Alanı Olarak Siber Uzay ve Güvenlikleştirme
Soğuk Savaş sonrasında Dünya’da kapitalizm ve bu ideolojinin en büyük temsilcisi olan ABD’nin tek güç haline gelmesine paralel olarak gelişen teknolojinin de etkisiyle internet kullanımı tarihte hiçbir iletişim aracında görülmediği hızda1 artmıştır.2 Öncelikle The Defense Advanced Research Project Agency (DARPA) tarafından ABD Savunma Bakanlığı içerisinde iletişimi sağlamak amacıyla icat edilen internet daha sonra 1969 yılında Amerikan üniversitelerinin kullanımına açılmıştır. Üniversitelerin kullanımına açılmasının ardından hızla dünyaya yayılan internet yapılış amacı gereği güvenlik kaygısı
taşımamasından ötürü açıkları da beraberinde getirmiştir.3
Son yirmi yıl içinde hiçbir iletişim aracının yayılmadığı hızda yayılan internet ve mobil iletişim gibi ağ tabanlı araçların oluşturduğu siber uzay, beşinci boyutu4 temsil etmektedir.5 Devletlerin koyduğu sınırların olmadığı bu alanda, siber uzayın sağladığı kendine has avantajlardan dolayı bireyler, ulus aidiyetleri dâhilinde ve/veya bunun çok daha ötesinde küresel ölçekte iletişim kurabilmekte, örgütlenebilmekte, tepkilerini gösterebilmektedir. Buna paralel olarak belli bir amaç doğrultusunda bireyden devlete uzanan farklı aktörler siber saldırılarda bulunabilmektedir. Siber uzayın çoğu noktada kontrolden uzak bu yapısı, devletlerin ve bu bağlamda lider/karar vericilerin siber uzayı varlıklarına hem iç hem de dış kaynaklı tehdit olarak görmesine neden olmakta ve bu alan hızla güvenlikleştirilmektedir.
Güvenlikleştirme yaklaşımına göre güvenlikleştirme askeri konuları içerse de sadece askeri konularla sınırlı kalmamakta ve daha geniş bir tehdit spektrumuna yayılmaktadır. Herhangi bir konunun topluma ulusal güvenlik meselesi olarak kabul ettirilebilmesi yani güvenlikleştirilmesi için konunun politik liderler tarafından söylem yoluyla tehdit olarak algılandığının lanse edilmesi ve bu bağlamda tehdidin varlığı ve kapsamının inşa edilmesi gerekmektedir. Ancak aktörler bu şekilde güvenlikleştirilen tehdide karşı rutin süreçler dışındatoplumun kabul edeceği önlemler alabilir.6 Güvenlikleştirme söylem üzerinden geliştirilmektedir ve kamuoyunda bu söylemin oluşturduğu algı ölçüsünde başarılı olmaktadır. Güvenlikleştirme sonucunda güvenlikleştirilen alan üzerinde özgürlük-güvenlik dengesinde güvenlik kısmı baskın gelmekte ve devletin kontrolü hızla artmaktadır. Siber uzayın kullanımının hızla yayılması ve buna paralel olarak etkisini arttırması karşısında ABD, Rusya Federasyonu (RF), Japonya ve Avrupa Birliği (AB) gibi önde gelen aktörlerin karar vericileri/liderleri tarafından siber güvenliğin sağlanması kritik öneme sahip, en öncelikli ya da acil konulardan biri olarak lanse edilmiştir.7 Bu süreçte RF, 2000 yılında Rusya Federasyonu’nun Bilgi Güvenliği Doktrinini8
ve bunu desteklemek için 2011 yılında iki farklı belge olarak askeri ve siyasi yaklaşımını9,
• ABD, 2011 yılında Siber Uzay için Uluslararası Stratejisi’ni10 ve 2015 yılında Savunma Bakanlığı Siber Stratejisi’ni11,
• Japonya, 2010 yılında Ulusun Korunması İçin Bilgi Güvenliği Stratejisi’ni12,
• Birleşik Krallık, 2009 yılında Birleşik Krallık Siber Güvenlik Stratejisi’ni13 ve 2011 yılında Birleşik Krallığı dijital dünyada korumak ve desteklemek alt başlığıyla yeni Birleşik Krallık Siber Güvenlik Stratejisi’ni14,
• Almanya, 2011 yılında Almanya için Siber Güvenlik Stratejisi’ni15,
• Fransa, 2011 yılında Fransa’nın Bilgi Sistemleri Güvenliği ve Savunma Stratejisi’ni16,
• ÇHC, 2015 yılında Çin’in Askeri Stratejisi içerisinde siber stratejisini17,
• Hindistan, 2013 yılında ulusal Siber Güvenlik Politikası’nı18,
• Türkiye ise 2013 yılında ulusal Güvenlik Stratejisi ve 2013-2014 Eylem Planı’nı19 ve 2016 yılında 2016-2019 ulusal Siber Güvenlik Stratejisi’ni20 yayımlamıştır.
Devletlerin siber güvenlik stratejilerini oluşturmalarına paralel olarak siber uzayın kontrolüne ilişkin oluşturdukları yapı ve kurumlarda güvenlikleştirmenin gerektirdiği şekilde savunma bakanlıkları, istihbarat örgütleri ve güvenliğe ilişkin devlete bağlı diğer kurumlar içinde oluşturulmuştur.21 Yukarıda ele alınan devletler çalışmanın yapıldığı 2016 yılına kadar siber güvenliğe dair yeni strateji ve eylem planları yayınlamış olsalar da 2010-2012 yılları arasında ağlanmış devletlerin ağırlıklı çoğunluğunun ilk kez yada yenilenmiş stratejiler yayınlaması çalışmamızda ele alınan paradigma değişiminin göstergesidir.
Siber Uzay Güvenliğinde Paradigma Değişimine Giden Süreç
2000’li yılların başında özellikle bilgi üretimi yapan devletlerin ağlanmışlığı hızla artmıştır. Siber uzayda da yaşanan dört büyük olay olan Kosova Krizi Saldırı, Estonya Saldırı, Gürcistan Saldırısı ve İran’a yapılan STUXNET saldırısı ise devletlerin siber uzayı savunulması ve saldırı kapasitesinin geliştirilmesi gereken bir alan olarak görmesine neden olmuştur.
1998 yılında Yugoslavya Federal Cumhuriyeti22 içerisinde başlayan iç savaş sürecinde NATO’nun, Slobadan Miloseviç önderliğindeki Sırp kuvvetlerinin saldırılarına karşı Kosova’yı korumak için 1999 yılında yaptığı operasyon devam ederken, NATO ve NATO’yu oluşturan müttefik kuvvetler ilk defa Sırbistan-Karadağ menşeli siber saldırılara hedef olmuştur. Yapılan bu saldırı ilk ideolojik temelli siber karşı saldırı olarak adlandırılabilir. Saldırının menşei doğrudan Sırbistan-Karadağ yönetimi olmasa da ülke içerisindeki aşırı Sırp milliyetçisi gruplar tarafından yapıldığı daha sonraki süreçte NATO tarafından açıklanmıştır.23
Kosova Krizi’nde yapılan siber saldırılar karşısında NATO’nun tutumu, siber uzayın geleceğine ilişkin oldukça önemli yaklaşımların oluşturulmasını sağlamıştır. Web sitelerinin ve kurum içi iletişiminin siber saldırılar sonucunda büyük ölçüde işlevsiz hale gelmesine rağmen NATO, söz konusu ülkenin internet çıkışlarını bombalamamıştır. Bu süreçte NATO, Sırbistan Karadağ’ı bir siber laboratuvar olarak görmüş ve propaganda/karşı propagandasını internet ve diğer medya kanalları üzerinden yapmaya çalışmıştır. Dorothy Denning, bu süreçte NATO’nun siber uzayı kullanarak Sırbistan-Karadağ yönetimine karşı yürüttüğü propagandanın başarısız olduğunu belirtmiştir. Buna rağmen Sırbistan Karadağ yönetimin NATO’ya karşı yürüttüğü propagandaya karşılık NATO’nun yaptığı karşı propagandanın başarılı olduğu tespitinde de bulunmuştur. Bu süreci Denning internetteki ilk savaş olarak isimlendirmiştir.24
2007 yılında Estonya’ya yapılan saldırılar ise siber uzayda örgütlü hareket eden ve bir ideoloji etrafında birleşmiş grupların, bir devlet ülkesine siber uzaydan verdikleri en büyük zarar olduğu için önemli bir kırılma noktasıdır. Estonya’ya yapılan siber saldırının ardında 1999 yılında NATO’ya yapılan saldırılara benzer şekilde ideolojik nedenler bulunmaktadır. Zira Estonya’ya yapılan saldırının görünür nedeni SSCB’nin 2. Dünya Savaşı kayıplarını anmak için günümüz Estonya’sının başkenti olan Tallinn’deki bronz asker anıtının yerinin değiştirilmesi olsa da gerçek neden Rus milliyetçiliğidir.
Genel olarak bakıldığında yaklaşık bir ay boyunca Estonya’da insanların hayatı siber saldırıdan etkilense de hiçbir kritik altyapı ya da ağ merkezli yönetim sistemi fiziki hasar görmemiştir. Estonya’da yapılan saldırının oluşturduğu zarar, devlete ait sistemlerin kullanılamaması ve finans sisteminin devre dışı kalmasından kaynaklanan faaliyet zararıdır. Şüphesiz saldırının siber saldırılar içerisinde kırılma noktası oluşturmasının farklı sebepleri bulunmaktadır. Her şeyden önce Estonya’ya yapılan siber saldırı, teknik olarak yeni bir yöntem ortaya koymamasına rağmen, kararlı ve yoğun yapılan saldırıların en basit yöntemle dahi olsa ağlanmış devletlere/toplumlara verebileceği zararı ortaya çıkarmıştır. Bu anlamda saldırının doğurduğu etkinin altında yatan asıl neden, saldırının yapıldığı Estonya devletinin ve toplumunun siber uzaydaki varlığı ile ekonomik açıdan oldukça gelişmiş devletlerin siber uzaydaki ağlanmış yapılarının taşıdığı benzerliktir. Finans, iletişim, ulaşım vb. kritik altyapıların kullanımındaki bu benzerlik daha önce yaşanan siber saldırılardan farklı olarak NATO müttefiklerinin ilgisini çekmiştir. Estonya hükümetinin talebiyle bu ülkeye NATO desteği sağlanmış ve ilerleyen süreçte Tallinn’de NATO Siber Savunma Mükemmeliyet Merkezi (CCD COE – Cooperative Cyber Defense Centre of Excellence)25 kurulmuştur. Bu merkezin, alandaki uzman akademisyenlerin katkısıyla çıkardığı “The Tallinn Manual on the International Law Applicable to Cyber Warfare“ adlı eser uluslararası hukukta siber savaşın yerini ve NATO müttefiklerinin uygulayabileceği yaklaşımları ortaya koymaktadır. Merkezin yaptığı diğer yayınlar26 da incelendiğinde Estonya saldırısının kırılma noktası oluşturmasının nedeni daha açık bir şekilde görülmektedir. Asıl neden Estonya’ya verilen zararda değil, ilerde aynı teknik kullanılarak diğer gelişmiş devletlere verilebilecek muhtemel zararı ortaya çıkmış olmasındadır.
8.8.2008 savaşı olarak da bilinen RF - Gürcistan Savaşı öncesinde ve sonrasında yaşanan gelişmeler, bölgesel olarak doğurduğu sonuçlardan daha fazlasına siber uzayda neden olmuştur. Çünkü Güney Osetya üzerindeki anlaşmazlık sonrasında 8 Ağustos’ta konvansiyonel anlamda savaş başlasa da bu anlaşmazlıkla ilgili olarak ilk çatışmalar siber uzayda, konvansiyonel olan çatışmadan önce başlamıştır.
Gürcistan menşeli web sayfalarına düzenlenen saldırıları inceleyen uzmanlar, yapılan saldırıların oldukça eğitimli ve merkezi kontrollü gruplar tarafından gerçekleştirildiğini iddia etmişlerdir. Bu süreçte yalnızca Gürcistan siteleri değil Gürcistan yanlısı yayın yapan RF menşeli sitelerde saldırıya uğramıştır.27 Gürcistan Hükümeti her ne kadar saldırıların arkasında RF’nin olduğunun iddia etse de RF bu iddiaları reddetmiştir. RF yetkilileri saldırıyı devletin yapmadığını iddia etmekle beraber, ülke içerisindeki aşırı milliyetçi yerel gruplardan gelebileceği varsayımını reddetmemiştir. Washington’daki
RF Elçiliği Sözcüsü, Gürcistan’a yapılan saldırıların RF içindeki yapılardan gelip gelmediği sorusu üzerine “bir konuda aynı fikirde olmayan insanlar var ve onlar fikirlerini ifade etmeye çalışıyorlar“ açıklamasında bulunmuştur.28 Açıklamanın uluslararası siber suç örgütü Russian Business Network’ün saldırıyı üstlenmesi hatta RF içerisinde saldırının temelini oluşturan DDoS ataklarına destek vermek isteyenlere teknik yardım sunmasından sonra gelmesi RF sözcüsünü meşrulaştırmaktadır.29 Gürcistan ise bu süreçte, Polonya’dan ve bir sene önce siber saldırıya uğrayan Estonya’dan yardım almıştır.30
Sonuç olarak, Estonya’ya yapılan saldırı ile kıyaslandığında Gürcistan’a yapılan siber saldırıdan (ülkenin çok daha düşük oranda ağlanmış olması nedeniyle) toplum daha az etkilenmiştir. Gürcistan’a yapılan siber saldırının kırılma noktası oluşturmasının en önemli sebebi ise konvansiyonel savaşla içiçe geçmiş olmasıdır. Çünkü ilk defa siber saldırıya paralel olarak fiziki saldırı gerçekleşmiştir. Bu bağlamda Gürcistan saldırısında siber uzay ilk defa askeri stratejinin parçası haline gelmiştir.31
STUXNET’in yapısı, yayılması ve sonuçları incelendiğinde, kendisinden önce gelen tüm kırılma noktalarından ayrıldığı görülmektedir. İlk defa bir devletin bir başka devlet ülkesine siber saldırı düzenlediğini kanıtlayacak argümanlar kamuoyuna Sanger ve Snowden’ın katkılarıyla sızmıştır. ABD’nin saldırıyı açık bir şekilde reddetmemesi, İran’da oluşan zararın uluslararası hukuk itibariyle tazminini gündeme getirmektedir.32
STUXNET’in asıl yarattığı kırılma ise kendisinden önce sadece olasılık olarak görülen durumları gerçeği dönüştürmesidir. Zira STUXNET’e kadar siber uzayda sadece bilgisayarlara ve diğer ağa bağlanan araçlara yazılımsal zarar vermek söz konusuyken, STUXNET ile ilk defa siber uzay üzerinden fiziki hasar verilmiştir. Endüstriyel kontrol sistemlerinin ele geçirilmesi ile sağlanan bu fiziki hasar, gelecekteki siber savaşlarda yaşanabilecek daha yıkıcı ihtimalleri ortaya çıkarmıştır. Bu nedenle sadece saldırıdan zarar gören İran değil, siber güvenliğini sağlamaya çalışan her devlet hızla bu alanı güvenlikleştiren ve sonucunda siber uzay üzerinde kontrolünü arttıran adımlar atmıştır. Bu adımları atan devletler arasında saldırının faili olduğu iddia edilen ABD de bulunmaktadır. Çünkü siber uzayda en çok ağlanan toplumlar ve dolayısıyla devletler, saldırıya en açık olanlardır.
Sonuç
Siber uzay devletlerin güvenlikleri açısından her geçen gün daha büyük bir risk haline gelmektedir. Bu risk ise simetrik ve tek boyutlu olmaktan öte asimetrik ve çok boyutludur. Bir yandan sınırları belli olan ve uluslararası hukuk normları tarafından büyük ölçüde kontrol altına alınmış sistemde konvansiyonel güvenlik anlayışının yerini sınırları belirsiz anonimliğin hakim olduğu, saldırmanın savunmaktan çok daha basit ve maliyetinin düşük olduğu yeni bir güvenlik alanı ortaya çıkmaktadır. Bu durum çalışmada da daha önce belirtildiği gibi siber uzay üzerinde ağlanmış varlıkları fazla olan devletleri saldırıya çok daha fazla açık hale getirmektedir. Bu saldırıyı yapma kapasitesi geliştiren ama ağlanmayan devletler için ise siber saldırılar herhangi bir anlam ifade etmemektedir. Öte yanda siber uzayın varlığı aynı zamanda aktör bazında yeni meydan okumaları da içerisinde barındırmaktadır. Ağlanmışlığın gelişmiş ülkelerde oldukça yüksek, gelişmekte olanlarda ise hızla yükseldiği günümüzde siber uzay ulus-devlet içinde ve/veya ulus-devletten bağımsız yeni aktörler oluşmasını sağlamaktadır. Siber uzay üzerinden bireyler ulusal kimliklerinden bağımsız olarak dünya çapında örgütlenebilmektedir. Ortaya çıkan bu örgütlenmeler ulus-devletlere farklı konularda tepkilerini dile getirebilmek için hacktivizm yapabilmektedir. Edward Snowden, Julian Assange gibi bireyler fiziki yollarla elde ettikleri bilgileri siber uzay üzerinden kamuoyuna açıklayarak ulus-devletlere olan bağlılığın sorgulanmasına yol açabilmektedir. Bu durum yaklaşık 150 yıldır sistemde her geçen gün güç kazanan merkezi devletler arasında yatay olarak el değiştiren gücün siber uzay sayesinde hem yatay hem de devletten bireye uzanan spektrumda alt unsurlara dikey olarak dağılmasına neden olmaktadır.