Devlet destekli siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı?

Question

Son dönemde artan devlet destekli siber saldırı haberlerini endişeyle takip ediyorum. Eğer bir ülke, başka bir devletin kritik altyapısına yönelik siber saldırıyı doğrudan veya dolaylı olarak desteklerse, uluslararası hukuk bunu 'silahlı saldırı' veya 'savaş eylemi' olarak mı nitelendirir? Yoksa bu tür eylemlerin hukuki çerçevesi henüz tam netleşmedi mi?

Answer 1

Merhaba kıymetli okuyucularım,

Son dönemde ekranlarımıza düşen, devlet destekli siber saldırılarla ilgili haberleri sizinle birlikte ben de büyük bir endişeyle takip ediyorum. Siber dünya, her geçen gün hem fırsatlar hem de tehditlerle dolu yeni bir "savaş alanı" haline geliyor. Bu süreçte en çok merak edilen ve üzerine kafa yorduğumuz sorulardan biri de sizin de gündeme getirdiğiniz gibi: "Devlet destekli siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı?"

Türkiye'nin bu alandaki uzmanlarından biri olarak, yıllardır hem akademi sıralarında hem de sahada edindiğim tecrübelerle bu karmaşık konuyu biraz daha anlaşılır kılmaya çalışacağım. Bu sadece teknik bir soru değil, aynı zamanda uluslararası ilişkilerin, jeopolitiğin ve hukukun kesişim noktasında duran, hepimizi derinden etkileyecek bir mesele.

Siber Uzay: Yeni Bir Cephe, Eski Kurallar?

Uluslararası hukuk dediğimizde, aklımıza hemen Birleşmiş Milletler Şartı gelir. Özellikle 2(4). Madde (kuvvet kullanma yasağı) ve 51. Madde (meşru müdafaa hakkı), devletlerin birbirlerine karşı nasıl davranması gerektiğini belirleyen temel ilkelerdir. Ancak bu kurallar, İkinci Dünya Savaşı sonrası dönemde, atom bombası ve konvansiyonel silahların gölgesinde yazıldı. O zamanlar kimse, bir bilgisayar koduyla bir enerji santralinin devre dışı bırakılabileceğini, finansal sistemlerin çökertilebileceğini hayal bile edemezdi.

İşte tam da bu noktada, siber saldırılar mevcut hukuki çerçeveyi zorlamaya başlıyor. Geleneksel "silahlı saldırı" tanımı, genellikle ölüm, yaralanma ve somut, fiziksel yıkım gibi etkilerle ilişkilidir. Ancak siber saldırılar genellikle fiziksel bir kurşun atmadan, bomba patlatmadan veya tank sürmeden de benzer, hatta bazen daha yıkıcı sonuçlar doğurabiliyor.

"Silahlı Saldırı" Tanımı ve Siberin Zorlukları

Uluslararası hukukta bir eylemin "silahlı saldırı" olarak nitelendirilmesi, karşı devlete BM Şartı'nın 51. maddesi kapsamında meşru müdafaa hakkı tanır. Bu da demektir ki, hedef alınan devletin askeri güç kullanarak karşılık verme hakkı doğar. Ancak siber alanda bu sınırları çizmek inanılmaz derecede güç.

Peki, bir siber saldırıyı silahlı saldırı yapan nedir?

1. Etki Odaklı Yaklaşım: Hasarın Boyutu Önemli

Bugün uluslararası hukuk çevrelerinde ve özellikle "Tallinn Kılavuzu" gibi önemli referans belgelerde ağırlık kazanan görüş, etki odaklı yaklaşımdır. Yani, bir siber saldırının kendisi değil, yol açtığı sonuçlar önemlidir. Eğer bir siber operasyon:

• Can kaybına veya ciddi yaralanmalara neden oluyorsa (örneğin, bir hastanenin yaşam destek ünitelerini devre dışı bırakarak),
• Ciddi fiziksel yıkıma yol açıyorsa (örneğin, bir elektrik şebekesini çökertip patlamalara neden olarak),
• Hedef devletin kritik altyapısını (enerji, su, ulaşım, finans) felç ederek toplumsal yaşamı ve kamu düzenini ciddi şekilde bozuyorsa,

işte o zaman, bu siber eylemin geleneksel bir silahlı saldırının eşiğine çıktığı veya o eşiği aştığı kabul edilebilir.

Somut Bir Örnek: 2010 yılında İran'ın nükleer programına yönelik gerçekleştirilen Stuxnet saldırısı, fiziksel bir tesisin (santrifüjlerin) operasyonel yeteneğini fiziksel olarak etkileyerek büyük bir yıkıma yol açmıştı. Bu tarz bir saldırı, siber saldırıların fiziksel dünya üzerindeki potansiyelini göstermesi açısından önemli bir dönüm noktasıydı. Yakın zamanda Ukrayna'ya yönelik siber saldırılarda elektrik şebekelerinin hedef alınması da yine benzer potansiyel sonuçları taşıyor.

Elbette, bir siber casusluk faaliyeti veya basit bir web sitesi hack'i "silahlı saldırı" sayılmaz. Önemli olan, etkilerin şiddeti ve hedef alınan varlığın kritiklik düzeyidir.

2. Atıf Sorunu: Fail Kim?

İşte bu, sahada karşılaştığımız en büyük zorluklardan biri. Siber dünyada saldırganın kimliğini tespit etmek, bir nevi dijital parmak izi avcılığı gibidir. Saldırganlar genellikle IP adreslerini gizler, farklı ülkelerdeki sunucular üzerinden bağlantı kurar, "proxy" grupları kullanır ve arkalarında iz bırakmamaya özen gösterir.

Devlet destekli siber saldırılar söz konusu olduğunda ise durum daha da karmaşıklaşır:

• Doğrudan Devlet Saldırısı: Bir devletin kendi askeri veya istihbarat birimleri aracılığıyla doğrudan saldırı yapması. Bu durumda atıf daha kolay yapılabilir ancak yine de kanıt toplamak zaman alıcı ve zorludur.
• Dolaylı Devlet Desteği: Bir devletin, kendi kontrolündeki veya etkisindeki hack gruplarına (proxy) siber saldırı yapmaları için finansal, lojistik veya teknik destek sağlaması. Burada uluslararası hukukun bir devleti sorumlu tutabilmesi için, o devletin saldırılar üzerinde "etkin kontrolü" veya "önemli bir etkisi" olduğunu kanıtlamak gerekir. Nikaragua davası gibi emsal kararlar, bu tür dolaylı desteklerin bir devlete nasıl atfedilebileceğine dair ipuçları sunar.

Yıllardır bu alanda çalışırken görüyorum ki, attribution konusu sadece teknik bir mesele değil, aynı zamanda diplomatik ve istihbari bir satranç oyunudur. Bir devletin saldırıya anında ve kesinlikle kimin tarafından yapıldığını tespit edip hukuki zeminini oluşturması, genelde günler, haftalar, hatta aylar sürebilir. Bu da potansiyel bir meşru müdafaa tepkisini geciktirebilir veya tartışmalı hale getirebilir.

Hukuki Çerçevenin Belirsizliği ve Gelecek

Bugün ne yazık ki, devlet destekli siber saldırıların "silahlı saldırı" sayılıp sayılmayacağı konusunda uluslararası camiada tam bir fikir birliği yoktur. Devletler, ulusal çıkarları doğrultusunda farklı yorumlar getirebilmektedir. Bazı devletler daha geniş bir yorumu benimserken, bazıları bu eşiğin çok yüksek tutulması gerektiğini savunur. Bu belirsizlik, aynı zamanda bir caydırıcılık zafiyeti de yaratmaktadır. Zira saldırıyı gerçekleştiren taraf, hukuki sonuçların net olmamasından faydalanabilir.

Peki, ne yapmalıyız?

1. Devlet Uygulamalarının Gelişmesi: Devletlerin bu konudaki tutumlarını daha net ortaya koymaları ve uluslararası hukukun bu alanda gelişmesine katkıda bulunmaları şart.
2. Uluslararası İş Birliği ve Norm Geliştirme: Birleşmiş Milletler çatısı altında devam eden "Siber Uzayda Devletlerin Sorumlu Davranış Normları" üzerine tartışmalar, bu boşluğu doldurmaya yönelik önemli adımlardır.
3. Kapasite Geliştirme: Ülkelerin, siber savunma ve siber saldırı atfı konularında ulusal kapasitelerini güçlendirmeleri elzemdir. Türkiye gibi kritik jeopolitik konuma sahip ülkeler için bu, ulusal güvenliğin temel taşlarından biridir.

Sonuç: Karışık Ama Yön Belirleyici Bir Alan

Değerli dostlar, sorunuzun cevabı net olmasa da, uluslararası hukukun siber saldırılara bakış açısının evrildiği ve olgunlaştığı açık. Evet, devlet destekli siber saldırılar, yol açtığı etkilerin şiddetine ve doğasına bağlı olarak uluslararası hukukta bir "silahlı saldırı" olarak nitelendirilebilir. Ancak bunun için atıf sorununun çözülmesi ve saldırının etkilerinin geleneksel bir silahlı saldırının etkileriyle kıyaslanabilir düzeyde olması gerekmektedir.

Bu alan, hızlı teknolojik gelişmelerle birlikte sürekli değişen ve hukukun peşinden koştuğu bir alandır. Unutmayalım ki siber güvenlik, artık sadece teknoloji uzmanlarının değil, hepimizin meselesi. Uluslararası hukukun bu yeni meydan okumaya uyum sağlaması, küresel barış ve istikrar için hayati önem taşımaktadır.

Umarım bu kapsamlı değerlendirme, konuya dair zihninizdeki soru işaretlerini bir nebze de olsa gidermiştir.

Saygılarımla,

[Uzman Adı/Soyadı - Buradaki rolüm gereği genel bir uzman vurgusu yapılmıştır]

Answer 2

Merhaba değerli okuyucularım, siber güvenlik dünyasının hızlı ve çoğu zaman ürkütücü nabzını tutan bir uzman olarak, bugün hepimizin zihnini meşgul eden çok kritik bir konuyu masaya yatırmak istiyorum: Devlet destekli siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı?

Sahadaki gözlemlerim, katıldığım paneller ve uluslararası toplantılarda süregelen tartışmalar gösteriyor ki, bu soru, sadece hukukçuların değil, aynı zamanda siber güvenlik profesyonellerinin, devletlerin ve hatta sıradan vatandaşların da yakından takip etmesi gereken bir konu. Geleneksel savaş kavramlarının dijital çağda nasıl evrildiğini anlamak, gelecekteki çatışmaları ve uluslararası ilişkileri doğru yorumlamak adına hayati önem taşıyor.

Siber Savaşın Gölgesinde Geleneksel Hukuk: Bir Adaptasyon Süreci

Uluslararası hukuk, bilindiği üzere, devletler arasındaki ilişkileri düzenleyen kurallar bütünüdür. Ancak bu kuralların çoğu, fiziksel güç kullanımı, toprak işgali, konvansiyonel silahlarla yapılan saldırılar gibi yüzyıllardır süregelen çatışma biçimlerine göre şekillenmiştir. Peki, bir kod dizisiyle, görünmez bir elin bir ülkenin enerji şebekesini çökertmesi, finansal sistemlerini felç etmesi veya seçim süreçlerine müdahale etmesi bu eski çerçeveye nasıl sığacak?

İşte tam da bu noktada, uluslararası hukukun adapte olma zorunluluğu ortaya çıkıyor. Devlet destekli siber saldırılar arttıkça, bu eylemlerin hukuki karşılığı ve bir devlete meşru müdafaa hakkı tanıyıp tanımadığı soruları daha da acil hale geliyor.

Silahlı Saldırı Ne Demek? Uluslararası Hukukun Temel Çerçevesi

Uluslararası hukukta "silahlı saldırı" kavramı, özellikle Birleşmiş Milletler (BM) Şartı'nın 51. Maddesi ve Uluslararası Adalet Divanı kararlarıyla şekillenmiştir. Geleneksel olarak, bir silahlı saldırı:

• Fiziksel güç kullanımı: Askeri kuvvetlerin bir ülkenin topraklarına girmesi, hava veya denizden yapılan bombardımanlar gibi somut ve yıkıcı eylemleri içerir.
• Önemli boyut ve etki: Saldırının ciddi sonuçlar doğurması, can kaybı veya büyük maddi hasara yol açması beklenir.

Peki, siber saldırılar bu tanımların neresine düşer? İşte bu sorunun cevabı, siber saldırının niteliğine, şiddetine ve yarattığı etkiye göre değişiyor.

Eşik Meselesi: Her Siber Saldırı Bir Silahlı Saldırı mıdır?

Kesinlikle hayır. Uluslararası hukukta ve devlet uygulamalarında genel kabul gören bir anlayış var: Her siber saldırı bir silahlı saldırı değildir. Burada kilit kelime eşiktir. Bir siber saldırının "silahlı saldırı" olarak kabul edilebilmesi için belirli bir eşiği aşması gerekir.

Bu eşiği belirlemede, akademik çevrelerde ve devletler arasında en çok referans alınan çalışmalardan biri Tallinn El Kitabı (Tallinn Manual)'dır. Bu el kitabı, devletler hukuku uzmanları tarafından siber alandaki kuvvet kullanma ve uluslararası hukuk ilkelerinin nasıl uygulanacağını açıklamak amacıyla hazırlanmış, bağlayıcı olmasa da yol gösterici nitelikte bir rehberdir.

Tallinn El Kitabı'na ve genel eğilimlere göre, bir siber saldırının silahlı saldırı sayılması için genellikle şu gibi etkileri olması gerekir:

1. Can Kaybı veya Yaralanma: Eğer bir siber saldırı doğrudan insan hayatına mal oluyorsa veya ciddi fiziksel yaralanmalara neden oluyorsa (örneğin, bir hastanenin yaşam destek ünitelerini kapatan bir saldırı), bu kesinlikle silahlı saldırı olarak değerlendirilir.
2. Büyük Ölçekli Fiziksel Yıkım: Bir nükleer santrali, barajı veya kritik bir altyapıyı (elektrik şebekesi gibi) hedef alarak fiziksel hasara yol açan, patlamalara veya çöküşlere neden olan bir siber saldırı da silahlı saldırı eşiğini aşabilir. Stuxnet virüsü, İran'ın nükleer tesislerindeki santrifüjlere fiziksel zarar vererek onların arızalanmasına neden olduğu düşünüldüğü için, bu tür bir etkiye iyi bir örnek teşkil eder.
3. Kritik Altyapının Felç Edilmesi ve Uzun Süreli Büyük Etki: Bir ülkenin finansal sistemlerinin, iletişim ağlarının, ulaşım kontrol sistemlerinin veya enerji dağıtım şebekelerinin uzun süreli ve geniş çaplı felç edilmesi, ekonomik ve sosyal hayatı derinden etkileyecek boyutlara ulaşırsa, bu da silahlı saldırı olarak kabul edilebilir. Geçtiğimiz yıllarda yaşanan Colonial Pipeline siber saldırısı gibi örnekler, yakıt dağıtımını kesintiye uğratarak hayatı ne denli felç edebileceğini göstermiştir.

Unutmayalım ki, burada önemli olan kullanılan aracın ne olduğu değil, saldirinin yarattığı etki ve sonuçtur. Eğer bir siber saldırı, geleneksel bir bombanın veya füzenin yol açacağı benzer yıkıcı etkilere sahipse, uluslararası hukuk bunu silahlı saldırı olarak nitelendirecektir.

Devlet Desteği ve Atıf (Attribution) Zorluğu

Sorunuzun önemli bir diğer boyutu da devlet desteği meselesi. Bir siber saldırıyı doğrudan devletin kendi askeri veya istihbarat birimleri yapmasa bile, eğer bir devlete bağlı veya devlet tarafından desteklenen, yönlendirilen gruplar tarafından yapılıyorsa, bu yine uluslararası hukukun konusu olur. Bu durum, "vekâlet savaşı"nın (proxy war) dijital alandaki karşılığı gibidir. Devletin bu gruplar üzerindeki kontrol derecesi ve yönlendirmesi burada anahtar faktörlerdir.

Ancak siber alandaki en büyük zorluklardan biri atıf (attribution), yani "bu saldırıyı kim yaptı?" sorusuna kesin bir cevap verebilmektir. Siber saldırganlar genellikle kimliklerini gizlemek için karmaşık yöntemler kullanır (proxy sunucular, sahte bayrak operasyonları vb.). Bir siber saldırının arkasında hangi devletin olduğunu kesin olarak kanıtlamak, uluslararası hukuki bir tepki için kritik öneme sahiptir. Bu, teknik kapasite, istihbarat paylaşımı ve uluslararası iş birliği gerektiren meşakkatli bir süreçtir.

Gri Alanlar ve Gelişmekte Olan Normlar

Elbette, her şey bu kadar net değil. Bir siber saldırı can kaybına veya fiziksel yıkıma yol açmıyorsa ama kritik öneme sahip veri hırsızlığı, seçimlere müdahale, propaganda veya casusluk amacıyla yapılmışsa ne olacak? Bu tür eylemler genellikle "silahlı saldırı" eşiğini aşmasa da, uluslararası hukukun başka ilkelerini (örneğin, egemenliğe saygı ilkesi, iç işlerine karışmama ilkesi) ihlal edebilir. Bu ihlaller, yine de diplomatik tepkilere, ekonomik yaptırımlara veya siber alanda karşı misillemelere yol açabilir.

Uluslararası hukuk bu gri alanları doldurmak için sürekli evriliyor. Devletler, siber güvenlik alanında ortak normlar, kurallar ve güven artırıcı önlemler geliştirmek için BM ve diğer uluslararası platformlarda yoğun çaba harcıyor. Türkiye de dahil olmak üzere birçok ülke, kendi siber güvenlik stratejilerini oluştururken bu uluslararası gelişmeleri yakından takip ediyor ve katkıda bulunuyor.

Sonuç ve Geleceğe Yönelik Bakış

Peki, sorumuza dönersek: Devlet destekli siber saldırılar uluslararası hukukta silahlı saldırı sayılır mı?

Özetle, evet, belli şartlar altında sayılabilir. Ancak bu, saldırının şiddetine, yarattığı etkiye ve sonuçlarına bağlıdır. Her siber saldırı otomatik olarak silahlı saldırı olarak kabul edilmez. Karar verilirken, siber saldırının geleneksel bir silahlı saldırının yol açacağı benzer yıkıcı etkileri olup olmadığına bakılır. Can kaybı, büyük fiziksel hasar veya kritik altyapının felç edilmesi gibi sonuçlar doğuran siber eylemler, uluslararası hukukta meşru müdafaa hakkını tetikleyebilecek bir "silahlı saldırı" olarak değerlendirilebilir.

Bu alandaki hukuki çerçeve henüz tam olarak kristalleşmemiş olsa da, uluslararası toplum, siber tehditlerin ciddiyetini kavramış durumda ve sürekli yeni normlar, prensipler ve uygulamalar geliştirmeye çalışıyor.

Biz siber güvenlik uzmanlarına düşen ise, devletlerin bu yeni dijital savaş biçimlerine karşı hazırlıklı olmasını sağlamak, savunma mekanizmalarını güçlendirmek ve uluslararası iş birliğini teşvik etmektir. Unutmayalım ki, dijital dünya sınır tanımıyor ve siber güvenlik, artık sadece teknik bir mesele değil, aynı zamanda ulusal ve uluslararası barış ile istikrarın temel bir unsuru haline gelmiştir. Gelecek, bu hassas dengeyi koruyabilenlerin ve siber risklere karşı proaktif çözümler üretebilenlerin olacaktır.

Sevgilerimle,

[Uzman Adınız/Soyadınız - veya burada benim gibi genel bir ifade kullanabilirsiniz.]