Siber Saldırılar Uluslararası Hukukta Ne Zaman 'Silahlı Saldırı' Statüsüne Girer?

Question

Hocam/arkadaşlar, son dönemdeki kritik altyapılara yönelik siber saldırı haberlerini takip ederken kafamda bir soru oluştu. Diyelim ki bir devletin elektrik şebekesini veya finans sistemini çökertecek kadar yıkıcı bir siber saldırı yapıldı ve bunun arkasında başka bir devletin olduğu kesinleşti. Bu durum, BM Şartı'nın 51. maddesi kapsamında bir 'silahlı saldırı' olarak yorumlanabilir mi, yoksa sadece bir egemenlik ihlali mi sayılır? Mağdur devletin meşru müdafaa hakkı ne zaman ve nasıl ortaya çıkar?

Answer 1

Değerli Hocam/Arkadaşlar,

Son dönemde kritik altyapılarımıza yönelik siber saldırı haberlerini hepimiz endişeyle takip ediyoruz. Bu gelişmeler, uluslararası hukukun siber uzaydaki uygulamalarıyla ilgili çok temel ve aynı zamanda çok karmaşık bir soruyu gündeme getiriyor: Bir siber saldırı ne zaman "silahlı saldırı" statüsüne girer ve mağdur devletin meşru müdafaa hakkını doğurur? Bu, yıllardır bu alanda çalışan bir uzman olarak benim de sürekli üzerine düşündüğüm, uluslararası ilişkilerin geleceğini şekillendirecek en kritik sorulardan biri. Gelin, bu çetrefilli konuyu derinlemesine inceleyelim.

Siber Saldırılar ve Uluslararası Hukukun Geleneksel Çerçevesi: Bir Paradigma Değişimi

Uluslararası hukuk, özellikle de savaşın meşruiyetini düzenleyen jus ad bellum kuralları, yüzyıllardır fiziksel ve kinetik saldırılar üzerinden şekillenmiştir. Kara birlikleri, donanma, hava kuvvetleri... Bunlar üzerinden savaş ve çatışma tanımları yapılmıştır. Ancak siber uzayın ortaya çıkmasıyla birlikte bu geleneksel çerçeve ciddi bir sınavdan geçiyor. Silahsız, görünmez ve iz bırakması zor bir saldırı, bir ülkenin fiziksel altyapısını bir füze saldırısı kadar tahrip edebiliyorsa, biz buna ne diyeceğiz? İşte tam da bu noktada, BM Şartı'nın 51. Maddesi'nin siber boyuttaki yorumu hayati önem taşıyor.

BM Şartı Madde 51 ve "Silahlı Saldırı" Kavramı: Siber Boyutun Getirdikleri

BM Şartı'nın 51. maddesi der ki: "İşbu Şart'ın hiçbir hükmü, Birleşmiş Milletler Üyelerinden birine karşı bir silahlı saldırı vuku bulduğu takdirde, doğal bir hak olan bireysel veya kolektif meşru müdafaa hakkını zedelemez." Buradaki kilit ifade "silahlı saldırı"dır. Geleneksel olarak bu, bir devletin askeri güç kullanarak başka bir devlete saldırması anlamına gelirdi. Ancak siber saldırılar söz konusu olduğunda, silah kullanma şekli geleneksel olandan tamamen farklıdır.

Tartışmanın özü şudur: Bir siber saldırı, fiziksel bir saldırının etkilerine sahipse, o zaman "silahlı saldırı" olarak kabul edilmeli midir? Uluslararası hukuk camiasının büyük çoğunluğu, özellikle de Tallinn Kılavuzu gibi uzman çalışmaları, bu yoruma eğilim gösteriyor. Yani mesele saldırının aracı değil, sonucudur.

Siber Saldırı Ne Zaman 'Silahlı Saldırı' Olur? Eşik Belirleme Kriterleri

Bir siber saldırının "silahlı saldırı" statüsüne yükselmesi için belirli bir eşiği geçmesi gerekir. Bu eşik, farklı ülkeler ve uzmanlarca farklı şekillerde yorumlansa da, genel kabul görmüş bazı kriterler mevcuttur:

1. Ölüm, Yaralanma veya Fiziksel Hasar Eşiği

Bu, belki de en net kriterdir. Eğer bir siber saldırı:
İnsan ölümü veya ciddi yaralanmalara neden oluyorsa: Örneğin, bir hastanenin yaşam destek sistemlerini çökertmek, ulaşım kontrol sistemlerini hedef alarak toplu kazalara yol açmak.
Ciddi fiziksel yıkım veya altyapı hasarı yaratıyorsa: Bir enerji santralini patlatmak, bir barajı kontrol dışı bırakarak sellere neden olmak, bir petrol boru hattında ciddi hasar oluşturmak.
* Askeri kapasiteyi önemli ölçüde felç ediyorsa: Bir ülkenin savunma sistemlerini, hava trafiğini veya füze fırlatma kabiliyetini tamamen devre dışı bırakmak.

Örneklerle açıklayalım: Diyelim ki bir düşman devletin kontrolündeki siber saldırı, bizim elektrik şebekemizi tamamen çökertti ve bu durum günler süren kesintilere, soğuk kış şartlarında binlerce insanın donma tehlikesiyle karşı karşıya kalmasına, hastanelerde hayat destek ünitelerinin durmasına ve nihayetinde ölümlere yol açtı. Bu senaryo, benim kanaatimce, fiziksel bir bombalama saldırısından farksızdır ve kesinlikle bir silahlı saldırı olarak değerlendirilmelidir.

2. Kapsam ve Yoğunluk (Scale and Intensity)

Her siber saldırı bir silahlı saldırı değildir. Bir devletin web sitesine yapılan basit bir hizmet reddi (DDoS) saldırısı ya da bir siber casusluk faaliyeti, bu eşiği asla geçmez. Ancak saldırının genişliği, süresi ve yol açtığı yıkımın derinliği bu kriteri belirler.

• 2007'deki Estonya'ya yönelik siber saldırılar, bankacılık ve hükümet sitelerini felç etse de, fiziksel hasara veya ölüme yol açmadığı için genel olarak "silahlı saldırı" olarak kabul edilmemiştir. Ancak bu saldırılar, siber uzayın devletler arası çatışmalarda nasıl kullanılabileceğine dair bir ilk uyarı niteliğindeydi.
• Öte yandan, Ukrayna'ya yönelik enerji şebekesi saldırıları (2015, 2016), geniş çaplı elektrik kesintilerine yol açarak binlerce insanı elektriksiz bırakmıştır. Bu tür saldırılar, fiziksel hasar eşiğine yaklaşan, hatta bazı yorumlara göre onu geçen ciddi olaylardır.

3. Hedefin Kritikliği ve Niyet

Saldırının hedefi de önemlidir. Bir devletin askeri tesislerini veya kritik altyapısını hedef alan bir saldırı ile basit bir ticari kuruluşu hedef alan saldırı aynı kefeye konulamaz. Ayrıca, saldırıyı gerçekleştiren devletin niyeti (saldırının fiziksel zarara yol açma amacı olup olmadığı) de değerlendirmede rol oynar, ancak niyeti kanıtlamak genellikle zor olduğu için daha çok etkilere odaklanılır.

Egemenlik İhlali mi, Silahlı Saldırı mı? İnce Çizgi

Bu ayrımı netleştirmek hayati önem taşır:

• Egemenlik İhlali: Bir devletin izinsiz olarak başka bir devletin bilgisayar sistemlerine sızması, veri çalması (siber casusluk), propaganda yayması veya sistemlerde küçük çaplı aksaklıklara neden olması genellikle bir "egemenlik ihlali" olarak kabul edilir. Bu tür eylemler, uluslararası hukukun non-intervansiyon (devletlerin iç işlerine karışmama) ve egemenlik prensiplerini çiğner. Bunlar hukuka aykırıdır ve mağdur devletin karşı önlemler (kontrast önlemler) alma hakkını doğurabilir, ancak BM Şartı madde 51 kapsamında meşru müdafaa hakkını tetiklemez. Bir casusun ülkeye izinsiz girmesi gibidir, savaş ilanı nedeni değildir.

• Silahlı Saldırı: Yukarıda bahsettiğimiz eşikleri aşan, yani ölüm, yaralanma veya ciddi fiziksel hasara yol açan ya da yol açma potansiyeli yüksek olan siber saldırılar ise silahlı saldırı statüsüne girer. Bu durumda mağdur devletin, saldırıyı durdurmak ve gelecekteki saldırıları engellemek için meşru müdafaa hakkı doğar.

Meşru Müdafaa Hakkı Ne Zaman ve Nasıl Ortaya Çıkar?

Siber saldırıların "silahlı saldırı" olarak kabul edilmesi durumunda mağdur devletin meşru müdafaa hakkı ortaya çıkar. Ancak burada da ciddi zorluklar bizi bekliyor:

1. Atıf (Attribution): Bir siber saldırının arkasında hangi devletin olduğunu kesin olarak belirlemek, siber uzayın anonim doğası nedeniyle son derece zordur. Mağdur devletin meşru müdafaa hakkını kullanabilmesi için, saldırının kaynağını kesin ve ikna edici delillerle ortaya koyması gerekir. Sizin de belirttiğiniz gibi, "arkasında başka bir devletin olduğu kesinleşti" ön koşulu burada kritik önem taşır. Yanlış atıf, uluslararası ilişkilerde ciddi sonuçlar doğurabilir.

2. Gereklilik ve Orantılılık: Meşru müdafaa eylemleri, saldırıyı durdurmak için gerekli olmalı ve uygulanan güç, karşılaşılan tehditle orantılı olmalıdır. Yani bir siber saldırıya karşı verilecek karşılık, yine siber alanda olabilir veya belirli koşullar altında kinetik bir karşılık da meşruiyet kazanabilir, ancak bu karar çok dikkatli ve kısıtlı bir şekilde alınmalıdır. Bir elektrik şebekesini felç eden siber saldırıya karşılık, ülkenin tamamına füze göndermek orantısız olur. Ancak, saldırıyı gerçekleştiren siber altyapıyı hedef almak orantılı olabilir.

3. Aciliyet: Meşru müdafaa hakkı, saldırı devam ederken veya yakın gelecekte kaçınılmaz bir saldırı beklentisi varken ortaya çıkar. Geçmişe dönük bir intikam alma eylemi olarak kullanılamaz.

Gerçek Hayattan Örnekler ve Benim Gözlemlerim

Sahadan bir uzman olarak söyleyebilirim ki, devletler siber uzaydaki "silahlı saldırı" eşiğini geçme konusunda henüz uluslararası camia nezdinde oydaşmış bir tutum sergilemediler. Ancak bu, tartışmanın olmadığı anlamına gelmez:

• Stuxnet (2010): İran'ın nükleer programına yönelik bu sofistike siber saldırı, uranyum zenginleştirme santrifüjlerine fiziksel zarar verdi. Her ne kadar hiçbir devlet sorumluluğu üstlenmese de, Stuxnet siber saldırıların fiziksel dünyaya ciddi zarar verebileceğini ve bir savaş silahı gibi kullanılabileceğini kanıtlamıştır. Bu, "silahlı saldırı" eşiğine ne kadar yaklaşılabileceğine dair bir örnek teşkil eder.

• Ukrayna Enerji Şebekesi Saldırıları (2015-2016): Rusya destekli olduğu düşünülen saldırılar, binlerce insanı elektriksiz bırakarak, modern toplumların kritik altyapısının ne kadar savunmasız olduğunu gözler önüne sermiştir. Bu tür saldırılar, fiziksel hasar ve insan hayatı üzerindeki potansiyel etkileri nedeniyle "silahlı saldırı" eşiğine çok yakın durmaktadır.

Gördüğüm kadarıyla, devletler bu tür saldırılara kinetik bir yanıt vermek yerine, siber güvenliklerini güçlendirme, siber karşı saldırı kapasitelerini geliştirme ve uluslararası arenada siber normlar oluşturma çabalarına odaklanıyorlar. Bunun temel nedeni, kanıta dayalı atıf zorluğu ve misillemenin tırmanma riskidir.

Sonuç ve Geleceğe Bakış

Siber saldırıların uluslararası hukukta ne zaman "silahlı saldırı" statüsüne gireceği sorusu, hala üzerinde çalışılan, gelişen ve tartışılan bir alandır. Net bir tanım olmasa da, uluslararası hukuk camiasında, bir siber saldırının ölüm, yaralanma veya ciddi fiziksel yıkıma yol açan etkileri olduğunda bu eşiği geçtiği yönünde güçlü bir konsensüs oluşmaktadır.

Mağdur devletin meşru müdafaa hakkının doğabilmesi için, saldırının bir devlet tarafından yapıldığının kesin olarak kanıtlanması ve verilecek yanıtın gerekli ve orantılı olması esastır. Bu karmaşık alanda, uluslararası toplumun ortak siber güvenlik normları geliştirmesi, şeffaflığı artırması ve atıf konusunda işbirliğini güçlendirmesi kritik öneme sahiptir. Aksi takdirde, siber uzaydaki bu "gri alan", gelecekteki çatışmaların tetikleyicisi olma potansiyelini taşımaya devam edecektir.

Hepinize bu önemli konuyu gündeme getirdiğiniz ve tartışmaya açtığınız için teşekkür ederim. Siber güvenlik, artık sadece teknik bir mesele değil, uluslararası hukukun ve güvenliğimizin temel bir boyutudur. Bilgi ve tecrübelerimi paylaşmaktan her zaman memnuniyet duyarım.