Embed Size (px)
Citation preview
ULUSLARARASI HUKUKTA KUVVET KULLANMA, SİBER
SALDIRILAR VE STUXNET SALDIRISININ ANALİZİ
Ahmet Doğru1
Özet
Devletler için siber saldırılar gün geçtikçe
güvenlik sorunu üreten bir alan olmaktadır. Askeri
sistemlerin, ekonomik sistemlerin ve devlet
enformasyon sistemlerini devre dışı bırakma ya da
kontrolü ele geçirme yeteneklerine sahip olan siber
saldırılar ulusal ve uluslararası güvenlik
sorunları üretmektedir. Siber saldırıların diğer
geleneksel silahlı saldırılar gibi değerlendirilip
değerlendirilmeyeceği hususu, bilim adamlarının ana
tartışma konularından biri olmuştur. Bu çalışma,
“kuvvet kullanma” hukukuna ilişkin hali hazırdaki
uluslararası hukuk kurallarının siber saldırılara
nasıl uygulanabileceğini incelemektedir. İran’a
1 Gazi Üniversitesi, İ.İ.B.F., Uluslararası İlişkiler Bölümü Doktora Öğrencisi
1
yönelik Stuxnet virüsü siber saldırısı örnek olay
analizi olarak incelenmiştir.
Anahtar Kelimeler: Siber Saldırı, Uluslararası
Hukuk, Kuvvet Kullanma, Stuxnet Virüsü, Meşru
Müdafaa, Silahlı Saldırı
1.Giriş
Bilgi çağı teknolojisinin sunduğu imkanlar
gelişmiş ülkelerde otomasyon bilgi sistemlerinin
kurulmasını ve hizmetlerin daha hızlı ve senkronize
olmasını sağlamıştır. Devletler birçok kamu
sektörünün işleyişini bir birine belirli bilgisayar
kodlarıyla bağlı sistemlere emanet etmiştir.
Bilgisayar teknolojisinin sunduğu imkanların
kullanımı ayrıca bir gelişmişlik göstergesi de
olmuştur2. Gündelik yaşamın da birçok alanında
yokluğu ciddi bir sıkıntı oluşturmaktadır.
Bilgisayar sistemleri sağladıkları büyük
kolaylıkların yanında güvenlik adına devletler için
2 Remus, Titiriga, Cyber-attacks and International Law of armed conflicts; “jus ad bellum” perspective, Journal of International Commercial Law and Technology, Vol. 8, No.3 2013, p.179
2
bir takım riskleri de beraberinde
getirmektedirler.3 Siber saldırılar devletlerin
enformasyon, askeri ve ekonomik güvenliklerini
tehdit etmektedir. Siber saldırılara devletler her
ne kadar önlemler almaya çalışsalar da, saldırının
kaynağının nereden ve nasıl tekrar zarar
verebileceğini öngörebilmeleri güçtür.
Siber saldırılar, ekonomik ve fiziksel
yıkımlara neden olmalarının yanı sıra, dolaylı ya
da doğrudan yaralanmalara ve ölümlere de neden
olmaktadır.4 Sınırları gün geçtikçe genişleyen
teknolojik gelişmelerin hayata sağladıkları
kolaylıklar kadar, güvenlik sıkıntısı üreten bir
yönü de ortaya çıkmıştır. Güvenlik sıkıntısını
aşmak için devletler teknik anlamda önlemlerini
arttırırken, bir taraftan da hukuki düzenlemelerin
gerekli olduğunu düşünmektedirler5.
Devletler kendi içlerinde karşılaştıkları
siber saldırı olaylarının yanı sıra uluslararası
siber saldırılara da maruz kalabilmektedirler.
3 Xiang, Y., Zhou, W. ve Chowdhury, M., A Survey of Active and Passive Defence Mechanisms against DDoS Attacks” 2010, Deakin University, School of Information Technology , 51 (2), s. 1-42.4 Yayla, Mehmet, Uluslararası Hukukta Siber Saldırılara KarşıKuvvet Kullanma, TBB Dergisi, 2013, Sayı. 107, s. 2015 Glennon, Michael, State-Level Cybersecurity, Policy Review,February-March 2012, s.88
3
Siber saldırılara karşı iç hukuk düzenlemesi
yapmaya muktedir olan devletler, uluslararası
alandaki düzenlemelerin siber saldırılar ile ilgili
uluslararası hukukta mutlak karşılığının olmaması
karşısında uluslararası hukuktaki düzenlemelerin
yapılmasını beklemektedirler.
Uluslararası hukuk açısından siber
saldırıların bir silahlı salıdırı gibi
değerlendirilmesi problemi tartışılan bir husustur.
BM sözleşmesi madde 2(4) devletlere kuvvet kullanma
yasağı koymuştur. Devletler meşru müdafaa ya da BM
Güvenlik Konseyi kararı ile kuvvet kullanmaya
başvurabilirler. Ancak bu durumun gerçekleşmesi
saldırının silahlı saldırı olması gerektiği
uluslararası hukuk çerçevesinde belirtilmiştir.
“Siber saldırı durumunda aynı uygulamalar geçerli
olacak mıdır?” sorusunun cevabı tartışmaları
temelini oluşturmaktadır. Karşımızdaki sorun;
geleneksel savaş yöntemlerinin önlenmesine yönelik
geliştirilen uluslararası hukuk kurallarının
dünyanın yeni gelişmesi olan ‘Siber Savaş’ı nasıl
kontrol edeceği hususu olmuştur.6
6 Jolley Jason D., Article 2(4) and Cyber Warfare: How do OldRules Control the Brave New World? International Law Research; Vol.2, No. 1;2013 s.1
4
2. Siber Saldırı Kavramı, Kapsamı ve Hukuki
Niteliği
Siber saldırılara ilişkin bildirilecek
görüşlerin ve yapılacak tartışmaların anlamlı
olabilmesi, “siber saldırı7” kavramının
olabildiğince net bir şekilde ortaya konabilmesiyle
mümkündür. Bu nedenle siber saldırının doğru bir
şekilde tanımlanması oldukça önemlidir. Siber
saldırının tanımına geçmeden evvel, siber
saldırıların gerçekleştiği “siber alan”ı (siber
uzay) belirlemek gerekir.
2.1 Siber Alan (Siber Uzay8)
Siber alanı, tarihsel seyri içerisinde kara
ve denizle başlayan, sonrasında hava ve uzayın da
eklenmesiyle genişleyen saldırı mecralarının
beşincisi olarak nitelemek yanlış olmayacaktır9.
Siber alan dışındaki diğer dört mecrada niteleme,
saldırının yapıldığı/etki ettiği mekana bağlı
olarak yapılmaktadır. Oysa siber alan için bu
şekilde mekânsal bir sınır çizmek mümkün değildir.7 Siber kelimesi, sibernetik kelimesinden türetilmiştir. Sibernetik kelimesi “ hayvanlarda ve makinalarda kontrol ve iletişim” olarak tanımlanmıştır. Sibernetik kelimesinin tdk sözlük anlamı için bkz. http://tdkterim.gov.tr/bts/ (Erişim: 29.12.2013)8 Yayla, Mehmet., Hukuki Bir Terim Olarak “Siber Savaş”, TBB Dergisi, 2012, s.180 9 Yayla, a.g.m., s.183
5
Bu imkansızlık, siber alanın sınırlarının
belirlenmesini ve netleştirilmesini
zorlaştırmıştır. Yine bu nedenle, literatürde siber
alan yerine siber uzay kelimesi tercih edilmiştir10.
Siber alanı, her türlü aracın çalışması ve
yönetilmesi için kullanılan sistemler bütünü olarak
tanımlamak mümkündür. Bu tanımdan da anlaşılacağı
üzere, siber alanın sınırları oldukça geniştir.
Siber alanın maddesel bir varlığı yoktur, son
tahlilde bilgiler bütünüdür.
Siber alanı, bilgisayar teknolojisinin ortaya
çıkmasından evvel eşyanın kendisinden ayırt etmek
mümkün değildi. Bilgisayar teknolojisi ile birlikte
donanım – yazılım ayrımının oluşması ve bilgilerin
dijital ortamda saklanabilmesi, siber alanın,
eşyanın kendisinden ayırt edilebilmesini
sağlamıştır. Bu söylediklerimizi bir örnekle
açıklamak, meselenin anlaşılması adına oldukça
yararlı olacaktır. Örneğin mekanik bir aletin
çalışmasını durdurmak ya da çalışma şeklini
değiştirebilmek, ancak aletin kendisine yapılacak
fiziksel bir müdahaleyle mümkündür. Bilgisayar
teknolojine sahip bir alet içinse – fiziksel bir
müdahale olmaksızın- yalnızca yazılımsal bir10 Yayla, a.g.m., s.180
6
müdahale ile çalışma şeklinde değişiklik yapmak
mümkündür.
Yukarıdaki açıklamaları göz önünde
tuttuğumuzda siber alanı, “internet,
telekominikasyon ağları, bilgisayar sistemleri,
gömülü işlemci ve kontrol sistemleri gibi birbirine
bağlı bilgi teknolojileri altyapılarını kapsayan
bilgi ortamı” olarak tanımlamak mümkündür11.
2.2 Siber Saldırı
En geniş anlamıyla siber saldırıyı, “siber
alanda verilen her türlü zarar” olarak tanımlamak
mümkündür. Siber saldırıları, öznelerine,
nesnelerine ve sonuçlarına göre ayrımlara tabi
tutmak mümkündür.
2.3 Öznelerine Göre Siber Saldırılar
Özneleri bakımından siber saldırıları,
devletler tarafından ve devlet dışındaki diğer
organizasyonlar tarafından gerçekleştirilen siber
saldırılar olarak ikiye ayırmak mümkündür. Siber
saldırının kendine has niteliği, saldırıyı
gerçekleştiren ile saldırı arasında kesin bir
ilişki kurmayı zorlaştırmaktadır12. Siber11Yayla, a.g.m., s.18112 Nguyen, Reese., Navigating Jus Ad Bellum in the Age of Cyber Warfare, California Law Review, 2013, Vo.101:1079,
7
saldırıların failleri hakkında çoğu kez, “kesin bir
bilgi”den ziyade, ancak “ciddi bir şüphe”ye
ulaşılabilmektedir. Bu durum siber saldırıları
diğer saldırı türlerine nazaran çok daha tehlikeli
hale getirmektedir. Gerçekten de, saldırının
kaynağı bilinemediği ölçüde, o saldırıya karşı
önlem almak zorlaşacaktır13.
Siber saldırıda bulunabilmek için gereken
teknik altyapının oluşturulması, diğer saldırı
türleriyle kıyaslandığında, oldukça kolaydır. Bu
durum, çok küçük organizasyonların dahi oldukça
etkili saldırılar yapabilmesine imkan tanımaktadır.
Siber saldırıların bu özelliği, ulusal ve
uluslararası terör örgütlerinin siber saldırılara
yönelmesine sebep olmaktadır.
Siber saldırıların failinin belirlenmesindeki
zorluk, devletlerin de siber saldırılara ilgi
duymasını sağlamıştır. Günümüzde hiçbir devlet,
açıkça bir siber saldırıyı üstlenmemiştir. Öte
yandan, gerçekleşen birçok siber saldırının
devletler tarafından yönetildiği/yönlendirildiğine
dair makul bir şüphe mevcuttur. 2007 yılındas.108913 Olaf Theiler, “Yeni Tehditler:Siber Boyut”, NATO Dergisi OnYıl Sonra Alınan Dersler, http://www.nato.int/docu/review/2011/11-september/Cyber-Threads/TR /index.htm (Erişim: 27.12.2013)
8
Estonya’ya karşı yapılan siber saldırı da bu
şüpheyi haklı kılmaktadır14.
Devletlerin siber saldırının öznesi
olabileceğini kabul etmek, uluslararası hukuk
bakımından oldukça önem taşır. Bu kabulle birlikte,
meşru müdafaa ve kuvvet kullanma hakkı siber
saldırılar bakımından da önemli bir uygulama alanı
bulacaktır.
Bir siber saldırının devlet tarafından
gerçekleştiğini kabul etmek için o saldırının
devletin bir kurumu tarafından yapılmasını şart
koşmak, siber saldırının mahiyetine terstir.
Devletin söz konusu saldırıyı organize yahut teşvik
etmesi, o saldırının öznesi sayılması için yeterli
görülmelidir. Ancak bu noktada, kuvvetli bir
şüpheden öte, saldırı ile devlet arasındaki
bağlantıyı gösterecek somut deliller aranmalıdır15.
2.4 Nesnelerine Göre Siber Saldırılar
14 Yayla, a.g.m., s. 189 15 Siber saldırı ile devlet arasındaki ilişkinin tespiti, söz konusu siber saldırıyı bir siber terör faaliyeti olmaktan çıkarıp siber savaş kapsamında değerlendirilebilecek bir fiilhaline getirebilecektir. Siber saldırı ile devlet arasındaki ilişki yoğunluğunda bir eşik belirlemek, siber saldırılara ilişkin yapılacak hukuki düzenlemeler bakımından önemli bir sorundur.
9
Nesnelerine göre siber saldırıları, devlete
karşı ve devlet dışı kişi ve kurumlara karşı
yapılan saldırılar olmak üzere ikiye ayırmak
mümkündür16. Salt kişilere yahut devlet dışı
kuruluşlara yapılan siber saldırılar, ceza
hukukunun konusu olup çalışmamızın kapsamında
değildir. Çalışmamız kapsamındaki siber saldırılar,
devleti doğrudan yahut (devlet dışı kişi ve
kurumları hedef almasına rağmen ülkesel bir etki
oluşturduğundan ötürü) dolaylı olarak hedef alan
siber saldırılardır17.
Günümüzde, devletin, ülkenin güvenliğini sağlama
görevi kapsamına siber güvenliğin de dahil olduğunu
söylemek yanlış olmayacaktır. Birçok devlet,
çeşitli siber saldırıları suç olarak düzenleyerek
önleyici bir koruma oluşturmaya çalışmaktadır.
Ancak böyle bir korumanın yetersizliği ortadadır.
Devletlerin siber güvenliği sağlamakla yükümlü
birimler oluşturması, günümüz şartları bakımından
kaçınılmazdır18.
2.5 Sonuçlarına Göre Siber Saldırılar
16 Nguyen, Reese., a.g.m., s.108717 Yayla, a.g.m., s.193.18 Nitekim ABD’nde, 2010 yılında Siber Komutanlık kurulmuştur., yasası. içerik?
10
Siber saldırıları sonuçları bakımından can
kaybına yol açanlar, mali kayba yol açanlar, ve
dezavantaj oluşturan siber saldırılar olmak üzere
üç ana başlıkta toplamak mümkündür. Bir siber
saldırı, bu sonuçlardan yalnızca birine sebep
olabileceği gibi, her üçüne de sebep olabilir.
Siber saldırılar, can kaybına çok farklı
şekillerde sebep olabilir. Örneğin, sağlık
hizmetlerinin alınmasını önleyecek yahut tehlikeli
bir araç ya da tesisin (silah, enerji santrali,
fabrika…) yanlış şekilde çalışmasına sebep olacak
siber saldırılar, can kayıplarına sebep
olabilecektir.
Siber saldırıların sebep olacağı mali
kayıplar, çok ciddi meblağlara ulaşabilir. Bir
siber saldırının sebep olduğu mali kaybı tam olarak
hesaplamak da mümkün değildir. Mevcut durumun
saldırı öncesindeki hale geri getirilmesi için
yapılacak masraflar ile müstakbel kazançtaki
düşüşler de siber saldırının sebep olduğu mali
kayıp içerisinde değerlendirilmelidir.
Dezavantaj oluşturan siber saldırılar,
casusluk faaliyetlerinin siber uzaydaki
görünümüdür. Bu siber saldırılarda amaç, doğrudan
11
mal yahut can kaybına sebep olmak değil, önemli
bilgilerin elde edilmesidir. Bu nedenle bu siber
saldırıları diğer siber saldırılardan ayırt etmek
gerekir. Diğer iki saldırı tipi, savaş hukuku
bakımından gerçek manada bir saldırı ise de, bilgi
çalmak amacıyla yapılan siber saldırıları casusluk
faaliyeti içerisinde kabul etmek gerekir.
3. Kuvvet Kullanma Yasağı ve Siber Saldırılar
3.1 Kuvvet Kullanma Yasağı
Kuvvet kullanma yasağını düzenleyen en temel
kural BM antlaşmasıdır. Kuvvet kullanılması
konusundaki temel norm ise, BM Antlaşması madde
2(4)’ te yer verilen kuvvet kullanma yasağıdır19.
Uluslararası ilişkilerde kuvvet kullanımını ve
kuvvet kullanma tehdidinde bulunulması bu maddenin
hükümleri çerçevesinde yasaklanmıştır. Söz konusu
madde şu şekilde ifade edilmiştir. “Tüm üyeler,
milletlerarası münasebetlerinde gerek bir başka
devletin toprak bütünlüğüne veya siyasi
bağımsızlığına karşı, gerekse Birleşmiş Milletlerin
amaçları ile telif edilemeyecek herhangi bir
surette, tehdide veya kuvvet kullanılmasına
19 Taşdemir, Fatma, Uluslararası Terörizme Karşı Devletlerin Kuvvete Başvurma Yetkisi, 1. Baskı, USAK Yayınları, 2006, s.100.
12
başvurmaktan kaçınırlar.”20 Bu madde, sadece
antlaşmaya taraf olan ülkeleri bağlamaktadır. Üye
olmayan devletler ise, madde 2(4)’ün sunduğu kuvvet
kullanma yasağının evrensel bir uluslararası örf ve
adet hukuk kuralı haline gelmiş olmasıdır21.
Böylece, kuvvet kullanma yasağı üye olmayan
devletler için de bağlayıcılık kazanmıştır.22
3.2 Siber Saldırılar ve Uluslararası Hukuk
Sorunsalı
Uluslararası hukuk, siber sızmaları ve
saldırıları mevcut düzenlemeler çerçevesinde
önlemekte yetersiz kalmaktadır23. Bu durumu
açıklayan birkaç sebep belirtilebilir. İlk olarak,
kuvvet kullanmayı yasaklayan geleneksel
uluslararası hukuk kuralları, etki bağlamında çok
ciddi yıkıcı sonuçlara veren siber operasyonları
bile kuvvet kullanımı kapsamında
değerlendirmemektedir.24 ABD gibi ülkeler, mevcut
20 Charter of the United Nations, Chapter 1: Purposes and Principles, http://www.un.org/en/documents/charter/chapter1.shtml (Erişim: 28.12.2013)21 Hüseyin Pazarcı, Uluslararası Hukuk Dersleri 1. Kitap, Turhan Kitabevi, 1994, s.21422 Yayla, a.g.m. s.204 Alıntı: Dinstein Yoram, War, Aggressionand Self-Defence, Grotius Publications Limited, Cambridge, 2001, s.91 23 Glennon, a.g.m., s.8824 Glennon, a.g.m, s.88
13
yasağın sadece silahlı saldırıya indirgendiği,
yabancı yardımların ulaşımının engellenmesi,
ticaret aktivitelerinin yasaklanması, bazı boykot
kararlarının da silahlı saldırıya sebep olabilecek
durumların da kapsama alınması gerektiğini
savunmuşlardır.25 Başkan Obama, 2011 Mayıs ayında,
uluslararası hukukun ABD’nin siber güvenlik
planlamasında rol oynayacaktır, fakat uluslararası
hukuk kuralları ABD’nin gerekli durumlarda kuvvet
kullanmasını sağlamalıdır demiştir26.
İkinci olarak, siber saldırılar üzerine yeni
yasal uluslararası düzenlemelerin mümkün olduğu
şüphelidir.27 Böyle bir düzenleme olsa bile, etkili
sonuçlar üretebileceği de şüphelerden ari
değildir28. Saldırının veya saldırganın kimliğinin
tespiti de oldukça güçtür29. Siber saldırının hangi
ülkeden geldiği, hangi yöntemi kullandığı, kaç
bilgisayar ile saldırının gerçekleştirildiği, bu
bilgisayarların konumlarının tespiti,
kullanıcıların tespiti gibi durumların netlik
25 Glennon, a.g.m, s.8826 Chatam House, Cyber Security and International Law, 2012, s.527 Glennon, a.g.m, s.8828 Glennon, a.g.m s.8929 Tsagourias, Nicholas, Ceyber attacks, self-defence and the problem of attribution, Journal of Conflict & Security Law, 2012, Vol.17, Sayı.2, s.233
14
kazanması zor bir durumdur. 2007 Estonya, 2008
Gürcistan ve Stuxnet olaylarındaki siber
saldırılar, oluşturdukları etki bakımından
geleneksel uluslararası hukuk normu olan “müdahale
yasağı” kuralını ihlal etmektedir.30 Ancak,
devletler bu saldırıları ya devlet dışı aktörlere
yaptırarak gizlemekte ya da teknolojik imkanları
kullanarak saldırının kaynağını bloke
etmektedirler.
Üçüncü olarak, siber saldırılara uluslararası
düzenlemelerle sınır konulması istenen arzu edilen
bir şey olduğu da tartışmalıdır31. Estonya,
Gürcistan ve İran üzerinde bıraktıkları etkiye
baktığımızda, getirilecek kısıtlamaların önemli
olduğunu söyleyebiliriz. Lakin, saldırıyı yapan
devlet için siber saldırı oldukça maliyeti düşük
bir yöntemdir. Siber saldırıların konvansiyonel
silahların maliyeti göz önüne alındığında, maddi
kaynakların tasarrufu adına tercih edilebilirliği
yüksektir. Bir diğer önemli husus ise, siber
saldırılarda devletler için misilleme (retaliation)
olma olasılığı, saldırı kaynağının belirsizliği
nedeniyle düşüktür.
30 Yayla, a.g.m, s.20631 Glennon, a.g.m s.89
15
Uluslararası alanda siber sızmalara ve
saldırılara sınırlamalar koymak, yukarıda ifade
edilen nedenlerden dolayı yakalanması zor bir
hedeftir. Ancak, bazı yazarlar siber sızmaların ve
saldırıların uluslararası hukukta yer edebilmesini
uluslararası alanda belirli süreçlerin geçmesine,
barış zamanı önlemlerin çerçevesinin çizilmesine ve
ad hoc devlet uygulamalarının32 netice verdiği hukuki
düzenlemelere bağlamaktadır.
3.3 Kuvvet Kullanma Yasağı Çerçevesinde Siber
Saldırılar
Uluslararası hukukta, genel olarak kuvvet
kullanma hakkı (jus ad bellum) ile kuvvete
başvurulduğunda uyulması gereken çatışma kuralları
(jus in bello) arasında bir ayrım yapılmaktadır33.
Silahlı çatışma hukuku kurallarının uygulanmasında,
kuvvet kullanma hukuku kurallarından bağımsız
olduğu kabul edilmektedir. Savaş hukukunun genel
kapsamı incelenirken, kuvvet kullanılmasının hukuka
uygun olup olmadığı hususu dikkate alınır. Silahlı
kuvvet kullanılması durumunda seçilen hedef, araç
ve usulün hukuka uygunluğu da birbirinden bağımsız
32 Glennon, a.g.m s.8933 Hasthaway, Oona A., Crootof, R., Levitz, P., Nix, Haley., Nowlan, A., Perdue, William & Speiegel. J. The Law of Cyber Attck, California Law Review, 2012, Cilt. 100:817 s. 841
16
olduğu düşünülmesi gerekmektedir34. Bu bağlamda
siber saldırılar hususunun nasıl ele alınacağı
dikkat çekmektedir. Devletlerin, herhangi bir siber
saldırı durumunda, nasıl karşılık vermesi gerektiği
ve bu hususta kuvvet kullanma hukukunun neler
vadedebileceğinin incelenmesi gerekmektedir.
Birçok yazar mevcut kuvvet kullanma hukuku
çerçevesinde, yeni gelişen siber saldırıların
hukuki durumuna açıklamalar getirmektedir. Ortaya
çıkan sorun, eski kuralların dünyanın yeni
gelişmesi olan ‘Siber Savaş’ı nasıl kontrol edeceği
hususu olmuştur.35 Halihazırda, kuvvet kullanmanın
hukuki düzenlemesi 20.yüzyıl savaş mantığına göre
yapılmıştır. Mevcut düzenleme, siber saldırıların
hukuki durumuna ilişkin muammalar
barındırmaktadır36.
Siber saldırıların imkan ve yetenekleri, BM
Antlaşmasının 51. Maddesinde yer alan 51.
Maddesinde bahsedilen “silahlı saldrı” (armed
attack) kavramı ve aynı zamanda “silahlı kuvvet
kullanma” (armed use of force) kavramınında
34 Yayla, Mehmet, Uluslararsı Hukukta Siber Saldırılara Karşı Kuvvet Kullanma, TBB Dergisi, 2013, Sayı 107, s.20235 Jolley Jason D., Article 2(4) and Cyber Warfare: How do OldRules Control the Brave New World? International Law Research; Vol.2, No. 1;2013 s.136 Jolley, a.g.m, s.1
17
evrimleşmekte olduğunu göstermektedir. Bu çerçevede
“kuvvet” kavramının içeriği de sorgulanmaya
başlanmıştır. “Kuvvet” kavramına hem konvansiyonel
silahların hem de siber silahların kullanımını
kucaklayan bir anlam yüklenilmesi önerilmektedir.37
Teknolojik gelişmeler, savaş araçlarını
değiştirmiştir. Bu değişim neticesinde savaşların
nasıl yürütüleceği ve nasıl hukuki olarak kontrol
alınacağı önemli bir tartışma konusu olmuştur.
Geleneksel savaş araçlarının nitelik ve nicelik
açısından değerlendirmesi somut veriler ortaya
koymaktadır. Ancak siber saldırılarda kullanılan
araçların ne olduğu, etkilerinin ne olacağı,
araçların müdahalelerinin hukuki olarak
anlamlandırılmaları oldukça zordur. Clarke, War
From Cyberspace adlı makalesinde şunları
söylemektedir: Siber saldırılar, siber alandan
fiziksel dünyaya ulaşma potansiyeline sahiptirler.
Saldırılar, büyük çaplı elektrik kesintilerine,
trenlerin raylarından çıkarılmasına, yüksek gerilim
hatlarının patlatılmasına, gaz boru hatlarının
infilak etmesine, hava araçlarının düşürülmesine,
37 Jolley, a.g.m., s.1
18
banka fonlarının hesap değiştirilmesine ve düşman
hattına sızmalara neden olur38.
Uluslararası toplumda, devletlerin siber
saldırılara maruz kalmaları durumunda meşru müdafaa
hakkının uygulanabilirliği tartışma konusu
olmuştur. ABD Dışişleri Bakanlığı Hukuk Danışmanı
Harold Koh, 18 Eylül 2012 tarihinde, ABD Siber
Komutanlığı tarafından düzenlenen bir konferansta
ilk kez konu ile ilgili ABD pozisyonuna yönelik
önemli açıklamalar yapmıştır. Siber saldırının
silahlı saldırı olarak kabul edilebilmesi için
siber harekatın sonuçlandıracağı fiziksel etkinin
önemli olduğu, ölüm, yaralanma, ya da önemli
derecede etki yaratacak tahriple sonuçlanan siber
operasyonların kuvvet kullanımı olarak kabul
edilebileceğini ifade etmiştir39. Geleneksel
uluslararası hukuk kuralları silahlı saldırılar
neticesinde meşru müdafaa kapsamında kuvvet
kullanımına müsaade etmektedir40. Siber saldırının
38 Clarke, Richard, War From Cyberspace, The National Interest, Nov.-Dec. 2010 at 31. s.339 Şentürk, Hakan., Çil, C.Zaim., Sağıroğlu, Şeref., Siber Güvenliğin Taarruzi Boyutu ve Uluslararası Hukuk KurallarınınUygulanabilirliği, 6. Uluslararası Bilgi Güvenliği ve Kriptoloji Konferansı Bildiriler Kitabı, 20-21 Eylül, Ankara,s.47 40 Foltz, Andrew C., Stuxnet, Schmitt Analysis, and the Cyber “Use of Force” Debate, Joint Force Quarterly, issue 67, 4. Quarter 2012 s.42
19
silahlı saldırı olarak değerlendirilip
değerlendirilmeyeceği de yeni bir tartışma alanı
yaratmıştır.
4.Kuvvet Kullanma Yasağının İstisnaları
BM Antlaşması’nda kuvvet kullanımına ilişkin
hükümlerin yer aldığı madde 2(4)’e göre sadece iki
durumda silahlı kuvvet kullanımına izin
verilmiştir. Siber saldırıların, bu iki istisna
başlıklarındaki uygulamalarına değinilecektir.
4.1 Meşru Müdafaa Hakkı
Meşru Müdafaa hakkı BM sözleşmesinin 51.
maddesinde tanımlanmıştır. Sözleşmede 51. madde
meşru müdafaa hakkını şu şekilde tanımlamaktadır:
“Bu sözleşmenin hiçbir hükmü, BM üyelerinden
birinin silahlı saldırıya (armed attack) hedef
olması halinde, Güvenlik Konseyi uluslararası barış
ve güvenliğin korunması için gerekli önlemleri
alıncaya dek, bu üyenin doğal olan bireysel ya da
ortak meşru savunma hakkına halel getirmez.
Üyelerin bu meşru savunma hakkını kullanırken
aldıkları önlemler hemen Güvenlik Konseyine
bildirilir ve Konseyin işbu Sözleşme gereğince
uluslararası barış ve güvenliğin korunması ya da
yeniden kurulması için gerekli göreceği biçimde her
20
an hareket etme yetki ve görevini hiçbir biçimde
etkilemez.” Devletlerin kendi güvenliklerini koruma
hakları, uluslararası hukukun en temel ilkelerinden
birisidir ve “meşru müdafaa” hakkı ile güvence
altına alınmıştır41. BM sözleşmesinin 51. Maddesinin
hukuki yorumu ile ilgili doktirinsel tartışmalar,
siber saldırı olayları ile zirveye tırmanmıştır.
Öne çıkan tartışma konusu ise, siber saldırıların
silahlı saldırı olarak nitelendirilmesi tartışması
olmuştur.
4.1.1 Siber Saldırılar, Silahlı Saldırı Olarak
Nitelendirilebilir mi?
BM Genel Kurulunun 3314 sayılı ve 1974 tarihli
kararına göre “saldırı”, “Bir devletin diğer
devletin egemenliğine, ülke bütünlüğüne veya siyasi
bağımsızlığına karşı veya işbu tanımda belirtildiği
üzere BM sözleşmesiyle bağdaşmayan diğer herhangi
bir tarzda silahlı kuvvet kullanılmasıdır.” Bu
bağlamda, siber saldırıların niteliği ile ilgili
tartışmanın odak noktası; siber saldırılara uğrayan
bir devletin BM sözleşmesi açısından meşru müdafaa
41 Yayla, a.g.m, s.210
21
hakkı çerçevesinde silahlı güç kullanma hakkının
var olup olmadığı meselesi olmuştur.
Michael N. Schmitt’e göre: “Tüm silahlı
saldırılar bir kuvvet kullanımıdır, fakat tüm
kuvvet kullanımları silahlı saldırı olarak
nitelendirilemez.”42 Bu sebeple, siber “kuvvet”
kullanımına hedef olan bir devlet, misliyle
mukabelede bulunamaz; çünkü maruz kaldığı kuvvet,
silahlı saldırı kadar zarar vermemektedir.
Siber saldırı sonuçları itibari ile büyük
insan hayatı kayıplarına ve geniş yıkımlara neden
olmuş ise meşru müdafaa kapsamında ‘silahlı
saldırı’ gibi değerlendirilir.43 Fakat, siber
saldırılar doğası gereği hedef aldığı devlet içinde
çok çeşitli alanlarda ciddi güvenlik problemlerine
sebep olmaktadır. Saldırı ilk evresinde belki can
kayıplarına sebep olmaz, ancak zarar verdiği kritik
alt yapı dolaylı olarak fiziksel zararları netice
verebilir. Örneğin, devletin banka, sağlık ve
askeri güvenlik sistemini hedef alan bir saldırı,
ilk planda fiziksel zarar vermeyebilir. Fakat,
süreç içerisinde, dolaylı olarak tahribata neden
42 Schmitt, M., N., Cyber Operations in International Law: TheUse of Force, Collective Security, Self defense, and Armed Conflict, Durham Universitiy Law School, 201043 Tsagourias, a.g.m, s.231
22
olabilir. Bir devleti hedef alan siber saldırı, o
devletin “kritik altyapı”44 sistemlerini esir
alabilir ya da yok edebilir45. Bu durumda, “Siber
saldırı silahlı saldırı olarak değerlendirilebilir
mi?” sorusu karşımıza çıkmaktadır. Hangi duruma
silahlı saldırı atfı yapılacağı muammadır ve
kriterini net çizmek oldukça zordur.
Siber saldırıların silahlı saldırı kapsamında
değerlendirilebilmesi ve meşru müdafaa kapsamında
ele alınabilmesi için, saldırının kim tarafından
yapıldığının tespiti çok önemlidir46. Silahlı
saldırının, kim tarafından yapıldığının tespit
edilmesi teknik olarak mümkündür. Dolayısıyla,
uluslararası hukuktan doğan meşru müdafaa hakkını,
madde 2(4)’ün öngördüğü şekilde kullanmasına kanıt
niteliğinde, geçerliliği olan argümanlar sunabilir.
Ancak, bu siber saldırılar için geçerli değildir.
Siber saldırıların, silahlı saldırılarda olduğu
gibi, saldırının failine atfı engelleyen bazı
durumlar vardır. Birincisi; saldırıyı
gerçekleştirenlerin anonim olmalarıdır47. Siber44 Kritik Altyapı: Bankalar, sağlık kuruluşlarının enformasyonsistemleri, eğitim ile ilgili dataların güvenliği, vatandaşlık veri sistemi, nükleer tesisler, askeri amaçlı yazılım sistemleri v.b.45 Tsagourias, a.g.m, s.23146Tsagourias, a.g.m, s.233 47 Tsagourias, a.g.m, s.233
23
saldırının planlayıcıları ve uygulayıcıları kendi
kimliklerini gizleyebilirler. İkincisi; siber
saldırı çok aşamalı ve geniş katılımlı olabilir48.
Saldırıyı gerçekleştiren insanlar farklı farklı
ülkelerde olabilirler. Siber saldırılar çok hızlı
bir şekilde ilerlemektedir. Saldırıya uğrayan
devletin iz sürerek saldırganlar hakkında doğru ve
tutarlı bilgiye sahip olması hemen hemen zordur.
Örneğin, 2007’de Estonya’ya karşı yapılan DDoS
siber saldırısında 85000 bilgisayar 178 farklı
ülkeden kontrol edilerek saldırı gerçekleştirildi49.
Siber saldırıların silahlı saldırı olarak
değerlendirilmesinde, saldırıyı gerçekleştirenin
failini tespit edilmesi ve bunun kanıtı en başta
belli edilmesi gerekmektedir50. Sadece bu şartın
yerine getirilmesi, silahlı saldırı olarak
değerlendirilmesini sağlamaz. Bir takım uzmanlar,
saldırıların sonuçlarına odaklanarak, bazı siber
saldırıların da silahlı saldırılara eş değer
sonuçlarının olabileceğini ve BM antlaşmasının 51.
Maddesi çerçevesinde ele alınabileceğini ileri
sürmektedir51.48 Tsagourias, a.g.m, s.23349 Tsagourias, a.g.m, s.23450 Hasthaway, Oona., v.d., a.g.m., s.84751 Cifci, Hasan, Her Yönüyle Siber Savaş, Tübitak Popüler Bilim Kitapları, 2013, s.98
24
Siber saldırılara karşı kuvvet kullanmanın ön
şartı 51. Madde ışığında “silahlı saldırı” olarak
kabul edilmesidir. Sonuç olarak, bir devlet adına
askeri harekatı meşru kılabilmesi için, saldırının
silahlı saldırı seviyesine ulaşmış olması
zorunludur52. Stratejik ve Uluslararası Araştırmalar
Merkezi Uzmanı J. Lewis, bir siber saldırının
silahlı saldırı olarak kabul edilebilmesi için
sonuçlarına bakılması gerektiği, eğer siber saldırı
sonucunu oluşturan etki, geleneksel saldırı
sonucunu oluşturan etki ile aynı ise, siber
saldırının da diğeriyle aynı kurallara tabi olması
gerektiğini belirtmiştir53. Bilimsel olarak, siber
saldırının ne zaman silahlı saldırı olarak kabul
edilip, meşru müdafaa hakkı doğuracağı ile ilgili
üç yaklaşımdan bahsedilmektedir: “araç bazlı
yaklaşım” (instrument-based approach), “hedef bazlı
yaklaşım” (target-based approach), ve “etki bazlı
yaklaşım” (effects-based approach).54
Araç bazlı yaklaşım, siber saldırıları silahlı
saldırı kategorisinde değerlendirmez. Gerekçe
52 Şentürk, Hakan, v.d., a.g.m, s.4753 Lewis, James A., Thresholds for Cyberwarfare, IEE Security & Privacy, Eylül 2011., http://csis.org/files/publication/101001_ieee_insert.pdf (Erişim: 27 Aralık 2013) s.9 54 Hasthaway, Oona., v.d., a.g.m., s.845
25
olarak, 51. Madde bağlamında bir saldırı ancak
geleneksel silah araçlarıyla yapılırsa silahlı
saldırı hüviyeti kazanır kuralını öne sürer55.
Yukarıda da ifade edildiği gibi, 1974 tarih ve 3314
sayılı “Saldırının Tanımı”56 kararından da
anlaşılacağı üzere, saldırı tanımlaması klasik
silahlar üzerine yapılmıştır.55 Hasthaway, Oona., v.d., a.g.m., s.84556 14 Aralık 1974 tarihli 3314 sayılı kararın 3. Maddesi şu şekildedir: “savaş ilan edilmiş olsun olmasın, aşağıdaki fiillerin herhangi birisi, 2. Madde hükümlerine tabi ve ona uygun şekilde bir saldırı fiili niteliği taşır:a . Bir devletin silahlı kuvvetlerinin diğer bir devleti istila etmesi veya ona hücum etmesi veya ne kadar geçici olursa olsun, böyle bir istila veya kuvvet yoluyla başka bir devletin ülkesinin veya bir bölümünün ilhakı;b . Bir devletin silahlı kuvvetlerinin, başka bir devletin ülkesini bombardıman etmesi veya bir devletin diğer bir devletin ülkesine karşı herhangi bir şekilde silah kullanması;c . Bir devletin liman veya kıyılarının, diğer bir devletin silahlı kuvvetleri tarafından abluka altına alınması; d . Bir devletin silahlı kuvvetleriyle başka bir devletin kara, deniz veya hava kuvvetlerine veya deniz veya hava filolarına saldırması;e . Bir devletin başka bir devletle yapılan bir anlaşmayagöre bulunan silahlı kuvvetlerinin o anlaşmada öngörülenhükümlere aykırı şekilde kullanılması veya bu silahlıkuvvetlerin varlığının bu ülkede anlaşmanın sona ermesindensonra da sürdürülmesi;f . Ülkesini başka bir devletin emrine veren bir devletin,ülkesinin o devlet tarafından üçüncü bir devlete karşısaldırı amacıyla kullanılmasına izin verilmesi;g . Bir devlet tarafından veya bir devlet adına diğer birdevlete karşı yukarıda listesi verilen fiillere varan veya oölçekte olan silahlı kuvvet fiillerini icra eden silahlıçetelerin, grupların, gayri nizami askerlerin veya paralıaskerlerin gönderilmesi veya bu gibi fiillere önemli ölçüdekarışılması (müdahil olunması) Bkz. Taşdemir, Fatma, a.g.e.,s.144
26
“Hedef bazlı yaklaşım”, siber saldırıların
verebileceği muhtemel zaralar üzerinde durur57. Bu
yaklaşımda, silahlı saldırı, kritik öneme sahip bir
bilgisayarın ya da benzer bir sistemin siber
saldırı da hedef alınması olarak da kabul
edilmektedir58. Bu yaklaşım, devlet uygulamalarını
destekleyen bir yaklaşımdır. Devletler, ulusal
altyapı sistemlerine olası saldırılara karşı
koruyucu önlemler almak durumunda kalabilirler. Bu
yaklaşım, meşru müdafaa hakkını kullanma baremini
düşürmektedir59. Ancak, tartışmalı olan konu ise
“kritik altyapı sistemlerinin” ne olduğu ve neye
göre belirlendiğidir.
Etki bazlı yaklaşıma, sonuca dayalı yaklaşım
da denmektedir. Bu yaklaşım, siber saldırının
saldırı sonucu bıraktığı etkinin ağırlığı
ölçüsünde, silahlı saldırı olarak kabul
edilebilirliği önermektedir60. Bu yaklaşımlar
arasında en çok kabul göreni, “etki bazlı yaklaşım
olmuştur”. Bu yaklaşımda problemli olan nokta,
saldırının meydana getirdiği hasarın nasıl
ölçüleceği ve neye göre karar verileceğidir61. Bu57 Hasthaway, Oona., v.d., a.g.m., s.846-4758 Hasthaway, Oona., v.d., a.g.m., s.84759 Yayla, a.g.m., s.21460 Foltz, Andrew C., a.g.m., s.4261 Hasthaway, Oona., v.d., a.g.m., s.847
27
husus ile alakalı bilim adamları bazı çalışmalar
yapmış ve önerilerde bulunmuşlardır. Profesör
Michael Schmitt, bu yaklaşımla ilgili en çok kabul
gören kriterleri açıklayan kişidir. Schmitt, siber
saldırıların etkilerini altı başlıkta
incelemektedir62. (a) Ciddilik (Severity); saldırının
verdiği zararın boyutu ve tipi, bu kısımda önem arz
etmektedir. (b) İvedilik (immediacy); saldırıdan ne
kadar süre zarfında zararın ortaya çıktığı test
edilir. (c) İlliyet ilişkisi (directness); saldırı ile
zarar arasındaki illiyet ilişkisini açıklar. (d)
İstila durumu (invasiveness); saldırının muhatap
ülkenin bölgesine girme derecesini ifade eder. (e)
Ölçülebilirlik (measurability); saldırının neden olduğu
zararın ölçülebilme derecesini söyler. (f)
Meşruiyet beklentisi (presumptive legitimacy); silahlı
saldırı özelliği taşıyan siber saldırılar silahlı
saldırı olarak değerlendirilmesi bir kural değil,
istisna olmasını referans alır.63
Bu yaklaşımlar, halihazırda karşılaşılan örnek
siber saldırı olaylarında doğruluk ve
geçerlilikleri test edilebilmektedir. Bu62 Schmitt, Michael N., Computer Network Attack and the Use ofForce in International Law: Thoughts on a Normative Framwork,June, 1999 www.dtic.mil/cgi-in/GetTRDoc?AD=ADA471993 (Erişim:28.12.2013) s.18-19 63 Hasthaway, Oona., v.d., a.g.m., s.847
28
yaklaşımlar, küçük çaplı siber saldırı olaylarında,
mevzu edilmez. Bu yaklaşımların önerileri, daha çok
uluslararası kaynaklı, ulusal güvenliğe tehdit
durumlarında karşılık bulmaktadır.
4.2 BM Güvenlik Konseyi Kararıyla Kuvvet
Kullanılması
BM sözleşmesi yedinci bölüm “Barışa Karşı
Tehditler, Barışın İhlali ve Saldırganlık
Eylemleri”, 39. Maddesine göre uluslararası barış
ve güvenliği temin için barışa karşı tehdit, barış
ihlali ve saldırganlık eylemi gerçekleştiğine BM
Güvenlik Konseyi karar verir. Madde 39 Güvenlik
Konseyine iki fonksiyon verir: Birincisi; barışa
veya barışı bozmaya yönelik tehditleri veya
saldırganlığı belirlemek; ikinci olarak,
tavsiyelerde bulunmak veya çözüm için hangi
önlemlerin alınacağına karar vermek.64 BM
sözleşmesinin 40. Maddesinde geçici önlemler
düzenlenmiştir. Bu geçici tedbirlerin amacı,
durumunun daha fazla vahim hale gelmesinin önüne
geçmektir65. BM madde 41 ve 42’nin öngördüğü şekilde
zorlayıcı önlemlere başvurabilir. Bu maddeler
çerçevesinde silahlı kuvvet kullanılmasını64 Bozkurt, Enver., Uluslararası Hukukta Kuvvet Kullanımı, Asil Yayın Dağıtım, 3. Baskı 2007, s.2565 Bozkurt, Enver., a.g.e., s.30
29
gerektiren ve gerektirmeyen yaptırımlar şeklinde
iki türden yaptırım öngörülmüştür. 41. Madde
diplomatik, ekonomik, siyasi ilişkilerin ve hava,
deniz, demiryolu ulaşımının, posta, radyo,
televizyon iletişiminin kesilmesi gibi silahlı
kuvvet kullanımını gerektirmeyen önlemleri
kapsamaktadır.66 42. madde ise, gerektiğinde kara,
deniz ve hava kuvvetleri aracılığıyla kuvvet
kullanılmasını öngören zorlayıcı önlemleri
içermektedir.67
Siber saldırılar ve siber savaş durumlarında
Güvenlik Konseyinin yukarıda belirtilen maddeler
doğrultusunda kuvvet kullanma kararı alması siyasi
olarak zor gözükmektedir. Siber saldırıların meşru
müdafaa kapsamında, silahlı saldırı olup olmadığına
kesin bir karar verilemezken Güvenlik Konseyinin
buna karşı hareket etmesi beklenemez. BM tarihinde,
mevzuatın yorumlamaları sonucu, Güvenlik Konseyi
kararlarından bağımsız kuvvet kullanılarak
müdahaleler yapılmıştır. Benzer durum, siber
saldırı ve siber savaş hallerinde gerçekleşir mi
sorusu şuan için bir muamma olduğu söylenebilir.
Estonya, Gürcistan ve İran siber saldırılarına
maruz kaldılar. Bu ülkelerden hiç birisi Güvenlik66 Bozkurt, Enver., a.g.e., s.31-3267 Bozkurt, Enver., a.g.e., s.36-37
30
Konseyi üyesi değildi. Hiçbir Güvenlik Konseyi
üyesi devlet, etkisi itibariyle kayda değer bir
siber saldırıya maruz kalmamıştır. Devlet
uygulamalarında siber alan denetimlerinin
sıklaşması, belirli bir sürecin geçmesi ve siber
araçların etkilerini düzenleme ihtiyacının bir
gereklilik halini alması Güvenlik Konseyini de
harekete geçirebileceği söylenebilir.
5.Stuxnet Virüsü ve Siber Kuvvet Kullanma Analizi
2011 Temmuz ayında, İran hükümeti bilgisayar
sistemlerinde kötü amaçlı yazılım tespit ettiler.
Bu bilgisayar virüsü, İran’a karşı yapılan siber
saldırı sonrası adı sıkça duyulan Stuxnet
virüsüydü. Bu virüs, bir çok faklı bilgisayar
sistemlerinde görülmesine rağmen, virüsün hedefinin
merkezi, Natanz Nükleer Tesisiydi.68 Natanz İran’ın
nükleer zenginleştirme faaliyetleri için kullandığı
en önemli tesisidir. İran’ın nükleer zenginleştirme
programını barışçıl amaçlarla gerçekleştirdiği
iddiası vardır. Ancak uluslararası toplumda bu
faaliyetlerin kitler imha silahları üretme ve
zenginleştirme için kullanıldığı kanısı hakimdir.69
68 Buchan, Russell., Cyber Attacks: Unlawful Uses of Force or Prohibited Interventions?, Journal of Conflict & Security Law, Oxford University Press 2012, Vol. 17, Sayı.2, s.21969 Buchan, Russel., a.g.m., s.219
31
Uranyum zenginleştirilme programının
uygulanması, altyapı bağlamında çok özel şartların
oluşturulmasına bağlıdır. Uranyumun
zenginleştirilmesinde geleneksel bir metot olan
santrifüj kullanılmaktadır. Santrifüj, içerisine
konulan elementi belirlenmiş bir hızda, basınçta ve
sıcaklıkta döndürür ve ayrışmasını sağlar. Sisteme
giriş yapan Stuxnet virüsü, santrifüjlerin dönme
hızının dengesini bozmak üzere tasarlanmış ve
başarılı olmuştur. Virüsün başarılı olmasındaki
sebep ise, sistem içinde çalışırken santrifüjlerin
çalışmasını engelleyen herhangi bir işaretin ana
sistemi uyarmak üzere gönderilememesidir.
İran hükümeti, siber saldırının çok zarar
vermeden önlendiğini söylemiştir. 23 Kasım 2011’de,
İran Atom Enerjisi Örgütü’nün başkanı Ali Akbar
Salehi şöyle konuşmuştur: “Virüsü tam olarak
keşfettik ve sistemimizin dikkatli ve ihtiyatlı
oluşuyla virüsü ekipmanlara zarar vermeden bertaraf
ettik.”70 Bilim ve Uluslararası Güvenlik Enstitüsü,
santrifüjlerin çalışmalarında dalgalanmalara sebep
olan Stuxnet virüsü, santrifüjlerin infilak
etmelerine sebep olabilirdi diyerek, saldırının
70 AlJazeera web sitesinden alıntılandı., http://www.aljazeera.com/news/middleeast/2010/11/201011231936673748.html (Erişim: 29.12.2013)
32
ciddiyetine dikkat çekmiştir.71 Uluslararası Atom
Enerjisi Ajansı uzmanları Stuxnet siber
saldırısının İran’ın nükleer programını 2 yıl
geriye götürdüğünü ifade etmişlerdir. Stuxnet olayı
ile birlikte siber saldırıların, kuvvet kullanma
yasağının ihlal edip etmediği, mağdur olan devlete
meşru müdafaa hakkı tanıyıp tanımadığı BM 51.
Maddesi ile ilgili tartışmaların yeniden
tırmanmasına sebep olmuştur. Çalışmanın bu
kısmında, önceki bölümünde bahsedilen, siber
saldırıları meşru müdafaa kapsamına alınmasına
ilişkin öne sürülen yaklaşımlardan Schmitt ile
özdeşleşen, “etki bazlı yaklaşım” çerçevesinde
Stuxnet olayını inceleyeceğiz.
(a) Ciddilik (severity): Bu kritere göre
Stuxnet saldırısı sonrasında bıraktığı
fiziksel zararlardan dolayı bir kuvvet
kullanımıdır. Çünkü, saldırı İran’ın ulusal
çıkarını ve güvenliğinin temelleri olan
nükleer altyapısını hedeflemiş ve zarara
sebebiyet vermiştir.72
(b) İvedilik (immediacy): Bu kritere göre,
Stuxnet kuvvet kullanımı olarak kabul
71 Buchan, Russell., a.g.m., s.22072 Foltz, Andrew C., a.g.m., s.44 Bilgi için Bkz. Buchan, Russell., a.g.m., s.221
33
edilemez. Şöyle ki; siber saldırının
sisteme yerleşmesi ve fark edilmeden
işlevini yapabilmesi haftalar almıştır.
(c) İlliyet bağı (directness): Saldrının
hedefi ile verdiği zarar arasında sebep-
sonuç ilişkisini görmekteyiz. Virüs sisteme
yerleştikten sonra uranyum zenginleştirme
işlemini sekteye uğratmıştır.
(d) İstila etme durumu (invasiveness):
Stuxnet saldırısı İran’ın en güvenli
koruduğu nükleer altyapı tesisinin siber
alanına sızmayı başarmıştır. Stuxnet,
sadece veri toplama amacı güden bir virüs
olmayıp, uranyum zenginleştirme
aktivitesinin kalbine ulaşmayı başarmıştır.
(e) Ölçülebilirlik (measurability):
Santrifüjlerin zarar görmesi, hatta daha
büyük zarar verme ihtimalinin uzmanlarca
dile getirilmesi, Stuxnet saldırını
tanımlıyor73.
(f) Meşruiyet beklentisi (presumptive
legitimacy): Stuxnet siber saldırısı
meşruiyet kriterine uymamaktadır. Herhangi
bir devletin, barışçıl ya da güvenlik
73 Buchan, Russell., a.g.m., s.220
34
temelli nükleer faaliyetlerini durdurulması
gerektiğini, devletlerin egemenliği
ilkesine rağmen söyleyen genel kabul görmüş
geleneksel uluslararası hukuk kuralı
yoktur. Stuxnet’ten önce İran’ın nükleer
faaliyetleri Birleşmiş Milletler Güvenlik
Konseyinin ilgili çözüm kararı ihlali
altında devam ediyordu74. Bu durumlar
ışığında, saldırının meşruiyet yönü yoktur
denebilir.
Sonuç olarak, İran’a karşı gerçekleştirilen
Stuxnet siber saldırısı, Schmitt’in analiz
kriterleri ışığında bir kuvvet kullanımı olarak
değerlendirilebilir. Saldırı virüsünün istilacı
olması, doğrudan ve ölçülebilir bir zarar vermesi
ve meşruiyetinin sorgulanabilir olması gibi
hususlar kuvvet kullanımı olarak
değerlendirilebilir. Schmitt’in sunduğu analizin
bir bağlayıcılığı yoktur. Siber saldırıların hukuki
boyutunun geleneksel uluslararası hukuk kuralları
bağlamında kayda değer bir karşılığının olmaması,
bu gibi projeksiyonların tartışılmasına da imkan
vermektedir.
74Bkz., UN Security Council Resolutions 1737 (2006), 1747 (2007),1803 (2008), and 1929 (2010.)
35
6.Sonuç Yerine
Siber alan ulusal ve uluslararası düzeyde
güvenlik sorunu üreten bir unsur haline gelmiştir.
Siber alanı fiziki olarak sınırlandırmak
imkansızdır. Dolayısıyla, siber alanın egemenliğini
bir gruba, bir devlete ya da uluslararası
organizasyona atfetmek olanaksızdır. Uygulanması
kolay ve maliyeti düşük olmasından ötürü, siber
saldırılar hem devletler hem de casus gruplar
tarafından tercih edilen bir saldırı yöntemi
olmuştur. Devletler siber saldırıyı gerçekleştiren
grupları bir maske olarak kullanabilmektedir.
Fiziksel olarak saldırının kaynağını bulmak oldukça
zordur. Saldırı çok farklı ülkelerden çok sayıda
bilgisayar tarafından gerçekleşebilir. Bu durumda
kaynağı tespit etmek imkansız gözükmektedir.
Siber ortamı güvenli bir yer haline getirmek,
bilim adamlarınca bir ütopya olarak
değerlendirilmektedir. Ancak, saldırıların
önlenmesi adına uluslararası işbirliğine ihtiyaç
olduğu açıktır. Devlet uygulamaların daha sıkı
kontrol mekanizmaları kurarak, siber alan
faaliyetlerinin kısıtlanması gerektiği hususu dile
36
getirilmektedir. Devlet uygulamaların uluslararası
düzenlemelerin bir ihtiyaç haline gelmesini
sağlayacağı görüşü savunulmuştur.
Siber saldırılar ile ilgili ortak bir dil
oluşturulamamıştır. Hangi tür siber saldırının
silahlı saldırı gibi değerlendireceği ya da
uluslararası hukukta nasıl karşılık bulacağı hususu
henüz netlik kazanmış değildir. Devletlerin bu
düzenlemeleri gerçekten arzuladıkları da
tartışmalıdır. Siber saldırılar çok düşük
maliyetlerle devletlere operasyon yapma imkanı
sağlamaktadır. Bu imkanın kısıtlanmasının istenmesi
gerçekten arzu edilebilir bir şey olduğu da
düşündürücüdür.
Kaynakça
37
1. Foltz, Andrew C., Stuxnet, Schmitt Analysis,
and the Cyber “Use of Force” Debate, Joint
Force Quarterly, issue 67, 4. Quarter 2012
2. AlJazeera
http://www.aljazeera.com/news/middleeast/2010/
11/201011231936673748.html (Erişim:
29.12.2013)
3. Bozkurt, Enver., Uluslararası Hukukta Kuvvet
Kullanımı, Asil Yayın Dağıtım, 3. Baskı 2007
4. Buchan, Russell., Cyber Attacks: Unlawful Uses
of Force or Prohibited Interventions?, Journal
of Conflict & Security Law, Oxford University
Press 2012
5. Charter of the United Nations, Chapter 1:
Purposes and Principles,
http://www.un.org/en/documents/charter/chapter
1.shtml (Erişim: 28.12.2013)
6. Chatam House, Cyber Security and International
Law, 2012
7. Cifci, Hasan, Her Yönüyle Siber Savaş, Tübitak
Popüler Bilim Kitapları, 2013
8. Clarke, Richard, War From Cyberspace, The
National Interest, Nov.-Dec. 2010 at 31.
9. Glennon, Michael, State-Level Cybersecurity,
Policy Review, February-March 2012.
38
10. Hasthaway, Oona A., Crootof, R., Levitz,
P., Nix, Haley., Nowlan, A., Perdue, William &
Speiegel. J. The Law of Cyber Attck,
California Law Review, 2012.
11. Hüseyin Pazarcı, Uluslararası Hukuk
Dersleri 1. Kitap, Turhan Kitabevi, 1994.
12. Jolley Jason D., Article 2(4) and Cyber
Warfare: How do Old Rules Control the Brave
New World? International Law Research; Vol.2,
No. 1;2013.
13. Jolley Jason D., Article 2(4) and Cyber
Warfare: How do Old Rules Control the Brave
New World? International Law Research; Vol.2,
No. 1;2013.
14. Lewis, James A., Thresholds for
Cyberwarfare, IEE Security & Privacy, Eylül
2011
http://csis.org/files/publication/101001_ieee_
insert.pdf (Erişim: 27 Aralık 2013).
15. Nguyen, Reese., Navigating Jus Ad Bellum
in the Age of Cyber Warfare, California Law
Review, 2013, Vo.101:1079
16. Olaf Theiler, “Yeni Tehditler:Siber
Boyut”, NATO Dergisi On Yıl Sonra Alınan Ders-
ler, http://www.nato.int/docu/review/2011/11-
39
september/Cyber-Threads/TR /index.htm (Erişim:
27.12.2013).
17. Remus, Titiriga, Cyber-attacks and
International Law of armed conflicts; “jus ad
bellum” perspective, Journal of International
Commercial Law and Technology, Vol. 8, No.3
2013.
18. Schmitt, M., N., Cyber Operations in
International Law: The Use of Force,
Collective Security, Self defense, and Armed
Conflict, Durham Universitiy Law School, 2010.
19. Schmitt, Michael N., Computer Network
Attack and the Use of Force in International
Law: Thoughts on a Normative Framwork, June,
1999 www.dtic.mil/cgi-in/GetTRDoc?AD=ADA471993
(Erişim: 28.12.2013).
20. Şentürk, Hakan., Çil, C.Zaim., Sağıroğlu,
Şeref., Siber Güvenliğin Taarruzi Boyutu ve
Uluslararası Hukuk Kurallarının
Uygulanabilirliği, 6. Uluslararası Bilgi
Güvenliği ve Kriptoloji Konferansı Bildiriler
Kitabı, 20-21 Eylül, Ankara
21. Taşdemir, Fatma, Uluslararası Terörizme
Karşı Devletlerin Kuvvete Başvurma Yetkisi, 1.
Baskı, USAK Yayınları, 2006.
40
22. Tsagourias, Nicholas, Ceyber attacks,
self-defence and the problem of attribution,
Journal of Conflict & Security Law, 2012,
Vol.17, Sayı.2.
23. Xiang, Y., Zhou, W. ve Chowdhury, M., A
Survey of Active and Passive Defence
Mechanisms against DDoS Attacks” 2010, Deakin
University, School of Information Technology , 51 (2), s.
1-42.
24. Yayla, Mehmet, Uluslararsı Hukukta Siber
Saldırılara Karşı Kuvvet Kullanma, TBB
Dergisi, 2013, Sayı 107.
25. Yayla, Mehmet., Hukuki Bir Terim Olarak
“Siber Savaş”, TBB Dergisi, 2012.
41
