Kritik Altyapıya Yönelik Siber Saldırılar Uluslararası Hukukta Silahlı Saldırı Mı Sayılır?

Question

Arkadaşlar, özellikle son dönemde duyduğumuz gibi, bir devletin başka bir ülkenin kritik altyapısına (mesela enerji şebekeleri veya hastaneler) yönelik siber saldırı düzenlemesi durumunda, bu uluslararası hukukta 'silahlı saldırı' olarak kabul edilir mi? Yoksa sadece daha hafif bir 'uluslararası hukukun ihlali' mi sayılır? Kafam karışıyor çünkü bu ikisi arasındaki ayrım, mağdur devletin hangi haklara sahip olacağını (örneğin meşru müdafaa) doğrudan etkiliyor ve günümüz dünyasında çok önemli bir konu.

Answer 1

Merhaba değerli dostlar, siber güvenlik dünyasının ve uluslararası hukukun kesişimindeki en çetrefilli konulardan birini ele almak üzere buradayız. "Kritik altyapıya yönelik siber saldırılar uluslararası hukukta silahlı saldırı mıdır?" sorusu, özellikle son yıllarda hepimizin kafasını kurcalayan, cevabı kolay olmayan ama bir o kadar da hayati bir soru. Uzun yıllardır bu alanda çalışan bir uzman olarak, bu gri alanı sizinle birlikte aydınlatmaya çalışacağım. Çünkü bu ayrım, mağdur bir devletin meşru müdafaa hakkını kullanıp kullanamayacağını doğrudan belirliyor ve bu da uluslararası ilişkilerde devasa sonuçlar doğurabilir.

Uluslararası Hukukun Temelleri: Geleneksel Silahlı Saldırı Anlayışı

Öncelikle, uluslararası hukukun 'silahlı saldırı' kavramına nasıl yaklaştığına bir bakalım. Birleşmiş Milletler Şartı'nın 2(4). maddesi, devletlerin birbirlerinin toprak bütünlüğüne veya siyasi bağımsızlığına karşı kuvvet kullanmasını yasaklar. Ancak 51. madde, eğer bir devlet "silahlı saldırıya" uğrarsa, bireysel veya kolektif meşru müdafaa hakkını kullanabileceğini belirtir.

Geleneksel olarak, silahlı saldırı dendiğinde aklımıza tanklar, füzeler, askerlerin sınırı geçmesi gibi fiziksel, kinetik kuvvet kullanımı gelirdi. Uluslararası Adalet Divanı'nın (UAD) Nikaragua Davası gibi emsal kararları da bu anlayışı pekiştirmiştir. Ancak siber uzayın ortaya çıkmasıyla birlikte bu tanım yetersiz kalmaya başladı. Bir siber saldırı, fiziksel bir bomba kadar yıkıcı olabilir mi? İşte tüm düğüm burada.

Siber Saldırıları Değerlendirme Eşiği: Etki Önemli mi, Yöntem mi?

Günümüzde uluslararası hukuk camiasında kabul gören yaygın görüş, bir siber saldırının 'silahlı saldırı' olarak kabul edilip edilmeyeceğinin "etki eşiği" (effects threshold) prensibine göre değerlendirilmesidir. Yani, saldırının fiziksel bir silahlı saldırıyla aynı düzeyde veya benzeri bir yıkıma, can kaybına veya ekonomik zarara yol açıp açmadığına bakılır. Saldırının yöntemi (siber araçlar) değil, sonuçları belirleyicidir.

Şöyle düşünün: Bir ülkenin kritik enerji şebekesine yapılan bir siber saldırı, o ülkenin büyük bir bölümünü günlerce elektriksiz bırakıp, hastanelerde ölümlere, ekonomik felakete ve sivil hayatın durmasına neden olursa, bu etki konvansiyonel bir saldırıdan farklı mıdır? Çoğu hukukçu ve devlet, bu durumda bunun bir silahlı saldırı olarak değerlendirilebileceği fikrine meyillidir.

Bu değerlendirme yapılırken, genellikle şu kriterlere bakılır (NATO'nun da referans aldığı Tallinn Kılavuzu gibi kaynaklar ışığında):
Ölçek ve Kapsam: Saldırının ne kadar geniş bir alanı ve kaç kişiyi etkilediği.
Can ve Mal Kaybı: Doğrudan veya dolaylı olarak yaşanan ölüm ve yaralanmalar, fiziksel yıkım.
Ekonomik Etki: Ulusal ekonomiye verilen zarar.
Hayati Hizmetlerin Aksaması: Enerji, su, sağlık, ulaşım gibi temel kamu hizmetlerinin kesintiye uğraması.
Sistem Kontrolünün Kaybı: Saldırının kritik sistemler üzerindeki kontrolü tamamen ele geçirme derecesi.
Saldırganın Niyeti: Saldırının amacı gerçekten yıkım mı, yoksa bilgi hırsızlığı veya geçici kesinti mi? (Bunu kanıtlamak zordur).

Gerçek Dünya Örnekleri ve Zorluklar

Bu teorik çerçevenin gerçek hayattaki yansımaları bize konunun ne kadar karmaşık olduğunu gösteriyor.

Stuxnet (2010): İran'ın nükleer tesislerindeki santrifüjleri hedef alan bu siber silah, fiziksel hasara neden olarak binlerce santrifüjü işlevsiz hale getirdi. Tahminlere göre ABD ve İsrail tarafından geliştirilen bu saldırı, siber saldırıların fiziksel yıkım potansiyelini tüm dünyaya gösterdi. İran bunu bir silahlı saldırı olarak ilan etmediyse de, Stuxnet siber savaş tarihinde bir dönüm noktası olarak kabul edilir ve "etki eşiği" tartışmaları için önemli bir örnektir. Birçok uzman, Stuxnet'in yarattığı etkinin, geleneksel bir silahlı saldırının yaratacağı etkiye benzer olduğunu savunmuştur.

NotPetya (2017): Rusya'ya atfedilen bu siber saldırı, Ukrayna'yı hedef alsa da, küresel çapta milyarlarca dolarlık ekonomik zarara yol açtı. Dünya genelindeki şirketler, limanlar ve lojistik ağları etkilendi. Birçok devlet bu saldırıyı kınadı ve Rusya'ya yaptırımlar uyguladı. Ancak hiçbiri bunu 'silahlı saldırı' olarak nitelendirip meşru müdafaa hakkını kullanma yoluna gitmedi. Neden? Çünkü can kaybı veya doğrudan fiziksel yıkım yoktu ve siber saldırının kasten bu küresel zararı amaçlayıp amaçlamadığı (niyet) tartışmalıydı. Bu, eşik belirlemedeki zorluğu net bir şekilde ortaya koyuyor.

Ukrayna'ya Yönelik Siber Saldırılar (Günümüz): Rusya'nın Ukrayna'ya yönelik saldırıları sadece kinetik kuvvetle sınırlı kalmadı; kritik altyapıya (enerji şebekeleri, telekomünikasyon, devlet siteleri) yönelik sürekli siber operasyonlarla desteklendi. Bu saldırılar genellikle fiziksel saldırılarla eş zamanlı olarak veya kısa süre önce gerçekleşti. Burada önemli olan, tek bir siber saldırının değil, kümülatif etkinin veya fiziksel saldırılarla birlikte ele alındığında genel kuvvet kullanımının silahlı saldırı olarak değerlendirilip değerlendirilemeyeceğidir. Ukrayna'nın müttefikleri, bu siber saldırıları güçlü bir şekilde kınasa da, doğrudan bir "silahlı saldırı" tanımı yapmakta temkinli davrandılar.

Karşılaşılan Temel Zorluklar:

• Atıf (Attribution): Bir siber saldırının arkasında hangi devletin veya devlet destekli aktörün olduğunu kesin olarak kanıtlamak son derece zordur. Bu durum, meşru müdafaa hakkını kullanmayı imkansız hale getirebilir.
• Eşik Belirleme: Bir siber saldırının ne zaman "silahlı saldırı" eşiğini aştığına dair net bir uluslararası uzlaşı yok. Her devletin kendi yorumu farklılık gösterebilir.
• Proporsiyonellik: Eğer bir siber saldırıya karşı meşru müdafaa hakkı kullanılırsa, bu yanıtın da orantılı olması gerekir. Peki, siber bir saldırıya karşı orantılı yanıt nasıl olmalı? Siber mi, kinetik mi? Bu da ayrı bir karmaşa.

Kritik Altyapının Hassasiyeti ve Uluslararası Hukukun Gelişimi

Kritik altyapı, bir devletin işleyişi ve vatandaşlarının güvenliği için hayati öneme sahiptir. Enerji şebekeleri, hastaneler, finans sistemleri, su ve atık arıtma tesisleri gibi hedeflere yönelik siber saldırılar, çok kısa sürede bir toplumun temel ihtiyaçlarını kesintiye uğratabilir, panik yaratabilir ve hatta kitlesel ölümlere yol açabilir. Bu nedenle, bu tür altyapıya yönelik saldırılar, yaratabileceği potansiyel zarar açısından uluslararası hukukun en hassas alanlarından birini oluşturur.

Uluslararası hukuk ve devletler, bu yeni tehdide karşı yavaş ama istikrarlı bir şekilde pozisyonlarını geliştiriyorlar. Örneğin, NATO açıkça belirtmiştir ki, siber saldırılar, 'silahlı saldırı' eşiğini aşması durumunda, ittifakın kolektif savunma maddesi olan 5. Madde'yi tetikleyebilir. Bu, siber uzayın artık savaşın bir cephesi olarak kabul edildiğinin önemli bir göstergesidir.

Sonuç ve Öneriler

Değerli arkadaşlar, "Kritik altyapıya yönelik siber saldırılar uluslararası hukukta silahlı saldırı mıdır?" sorusunun cevabı, maalesef tek kelimelik bir "evet" veya "hayır" değildir. Temel olarak, siber saldırının yarattığı yıkımın ve etkinin, geleneksel bir silahlı saldırının etkisine benzer olup olmadığına bağlıdır. Yani, yöntemden ziyade sonuçlar önemlidir. Eğer bir siber saldırı can kaybına, büyük ölçekli fiziksel yıkıma veya hayati hizmetlerin kalıcı ve yaygın olarak kesintiye uğramasına neden olursa, uluslararası hukukta silahlı saldırı olarak değerlendirilme ihtimali oldukça yüksektir.

Ancak bu değerlendirme, siyasi ve hukuki açıdan birçok zorluğu barındırır. Atıf zorluğu, eşik belirlemedeki belirsizlik ve orantılı yanıtın ne olduğu konusundaki tartışmalar, mağdur devletlerin elini kolunu bağlayabilmektedir.

Peki, bu durumda ne yapmalıyız? Bir uzman olarak size bazı pratik önerilerde bulunmak isterim:
1. Siber Savunmaları Güçlendirmek: En iyi savunma, saldırıya uğramamaktır. Kritik altyapı operatörleri ve devletler, siber güvenlik yatırımlarını artırmalıdır.
2. Yasal Çerçeveleri Geliştirmek: Ulusal düzeyde siber saldırılara yönelik yasal tanımlamalar ve müdahale protokolleri netleştirilmelidir.
3. Uluslararası İş Birliği: Atıf kapasitelerini artırmak ve uluslararası normlar oluşturmak için devletler arasında daha fazla iş birliği şarttır.
4. Caydırıcılık Mekanizmaları: Siber uzayda caydırıcılık, sadece askeri güçle değil, siber karşılık verme kapasitesi, ekonomik yaptırımlar ve uluslararası kınama gibi çeşitli araçlarla sağlanmalıdır.
5. Kriz Yönetimi ve Dayanıklılık: Saldırıya uğradığında dahi kritik hizmetlerin devamlılığını sağlayacak yedekleme ve kurtarma sistemleri kurulmalıdır.

Unutmayalım ki, siber uzay artık modern savaşın ayrılmaz bir parçasıdır. Bu yeni savaş alanının kurallarını belirlemek, hepimizin sorumluluğundadır. Bu karmaşık konuyu anlamak ve çözümler üretmek için hem ulusal hem de uluslararası düzeyde sürekli bir çaba içinde olmalıyız. Gelecek, siber güvenlik kapasitemizle doğrudan orantılı olacaktır.