Bir devlet, kendi topraklarından yapılan siber saldırılardan nasıl sorumlu tutulur?

Question

Malum, son zamanlarda siber saldırılar ve dezenformasyon operasyonları çok arttı. Bir devlet, direkt kendi yapmasa bile, kendi topraklarından kaynaklanan siber operasyonlara göz yumarsa veya engellemezse, uluslararası hukukta bir sorumluluğu doğar mı? Bu tür eylemlerde 'devlete atfetme' kriterleri ve kanıtlama süreçleri çok çetrefilli sanırım, merak ediyorum.

Answer 1

Merhaba değerli okuyucularım,

Bugün siber dünyanın en çetrefilli, en güncel ve belki de en stratejik sorularından birine eğileceğiz: "Bir devlet, kendi topraklarından yapılan siber saldırılardan nasıl sorumlu tutulur?" Türkiye'nin önde gelen bir siber güvenlik uzmanı olarak, bu konunun sadece teknik bir detay değil, aynı zamanda uluslararası ilişkileri, devletlerarası güveni ve küresel istikrarı derinden etkileyen bir mesele olduğunu biliyorum. Son zamanlarda artan siber saldırılar ve dezenformasyon operasyonları, bu soruyu her zamankinden daha acil ve önemli kılıyor.

Siber Saldırılar ve Devlet Sorumluluğu: Neden Bu Kadar Karmaşık?

Siber alanın doğası gereği, sorumluluk atfetme meselesi geleneksel çatışmalardan veya suçlardan çok daha karmaşıktır. Bir bomba patladığında, faili bulmak fiziksel delillerle nispeten daha kolayken, siber uzayda durum tam tersidir. Saldırganlar kimliklerini gizleyebilir, farklı ülkelerden ve IP adreslerinden sıçrayabilir, hatta kasıtlı olarak başka bir ülkenin altyapısını kullanarak "yanlış bayrak" operasyonları düzenleyebilirler.

İşte bu belirsizlik ortamı, bir devletin kendi topraklarından kaynaklanan siber saldırılardan sorumlu tutulması meselesini uluslararası hukukun en zorlu alanlarından biri haline getiriyor. Devletin bizzat saldırıyı yapması ile saldırıya göz yumması veya engelleyememesi arasındaki fark, işte bu makalenin odak noktası olacak.

Uluslararası Hukukun Merceğinden: Atıf Meselesi

Uluslararası hukukta bir devletin uluslararası bir haksız fiilden sorumlu tutulabilmesi için, o fiilin devlete atfedilebilmesi gerekir. Bu atıf iki ana şekilde gerçekleşebilir:

1. Doğrudan Atıf (Devlet Eylemi)

En basit senaryo, siber saldırının doğrudan bir devlet organı veya devletin kontrolündeki kişiler tarafından gerçekleştirilmesidir. Yani, bir devletin ordusu, istihbarat birimi veya kamu kurumlarının doğrudan siber saldırı planlaması ve icra etmesi. Bu durumda, saldırı açıkça devlete atfedilebilir ve devlet uluslararası hukuk kapsamında tam sorumluluk taşır.

Ancak, siber saldırılar genellikle bu kadar şeffaf değildir. Çoğu zaman, saldırılar devletle doğrudan bağlantısı olmayan ancak devletin göz yumduğu veya desteklediği gruplar tarafından yapılır. İşte asıl zorluk burada başlıyor.

2. Dolaylı Atıf ve Uluslararası Özen Yükümlülüğü

Bir devletin kendi topraklarından yapılan siber saldırılardan sorumlu tutulmasının en kritik yolu, uluslararası hukukun temel ilkelerinden biri olan uluslararası özen yükümlülüğüdür (due diligence). Bu ilke der ki: Her devlet, kendi topraklarını veya yetki alanı altındaki bölgeleri diğer devletlerin haklarına zarar verecek şekilde kullanılmasına veya kullanılmasına izin verilmemesi için gerekli özeni göstermelidir.

Bu ilke, çevre hukuku gibi alanlarda köklü bir geçmişe sahiptir (örneğin, bir devletin sınır ötesi kirliliği engelleme yükümlülüğü). Siber alana uygulandığında, bir devletin:

• Topraklarını saldırı üssü olarak kullanılmasına izin vermemesi: Yani, kendi ülkesindeki siber suçluların veya hack gruplarının başka bir devlete karşı saldırılar düzenlemesine aktif olarak müdahale etmesi, önlemesi ve cezalandırması gerekir.
• Saldırıları engellemek için makul adımlar atması: Bir devlet, kendi topraklarından kaynaklanan siber saldırılardan haberdar olduğunda veya haberdar olması gerektiğinde, bu saldırıları durdurmak için makul ve mevcut tüm önlemleri almakla yükümlüdür. Bu, yasal düzenlemelerden kolluk kuvvetlerinin harekete geçmesine, hatta uluslararası işbirliğine kadar geniş bir yelpazeyi kapsar.

Eğer bir devlet bu özen yükümlülüğünü yerine getirmez, yani kendi topraklarından yapılan siber saldırılara göz yumarsa, bilerek engel olmazsa veya yeterli önlemleri almazsa, uluslararası hukukta bir sorumluluğu doğabilir. Bu durum, fiilin doğrudan devlete atfedildiği anlamına gelmese de, devletin uluslararası yükümlülüklerini ihlal ettiği anlamına gelir.

Kanıt Yükü ve İspat Zorlukları: Neden "Çetrefilli"?

İşte bu noktada işler gerçekten "çetrefilli" bir hal alıyor. Bir devletin uluslararası özen yükümlülüğünü ihlal ettiğini kanıtlamak, özellikle siber alanda inanılmaz derecede zorlayıcıdır.

• Yüksek Kanıt Eşiği: Uluslararası hukukta bir devleti sorumlu tutmak için genellikle "açık ve ikna edici" kanıtlara ihtiyaç duyulur. Bu, sadece şüphe veya güçlü varsayımların yeterli olmadığı anlamına gelir.
• Teknik Kanıtların Gizliliği: Siber saldırıların arkasındaki bağlantıları ortaya koyan kanıtlar genellikle istihbarat servisleri tarafından toplanan hassas teknik verilerdir. Bu verileri uluslararası bir mahkemede veya kamuoyunda paylaşmak, istihbarat kaynaklarını, yöntemlerini ve hatta ulusal güvenlik sırlarını ifşa etmek anlamına gelebilir. Bu nedenle, devletler genellikle elindeki kanıtları açıklamakta çekimser kalırlar.
• Yanlış Bayrak ve Kimlik Gizleme: Saldırganlar, gerçek kökenlerini gizlemek için ustaca teknikler kullanabilirler. Bu, saldırının gerçek kaynağını bulmayı ve bir devlete atfetmeyi neredeyse imkansız hale getirebilir.
• Niyetin Kanıtlanması: Bir devletin bir saldırıya "göz yumduğunu" veya "kasten engel olmadığını" kanıtlamak için, o devletin niyeti veya ihmalinin derecesi hakkında da kanıtlara ihtiyaç duyulur. Bu, siber uzayın anonim doğasında neredeyse imkansız bir görevdir.

Bu zorluklar nedeniyle, bugüne kadar çok az sayıda siber saldırı uluslararası bir mahkemede veya bağlayıcı bir uluslararası tahkim sürecinde bir devlete resmen atfedilmiş ve bir sorumluluk kararı verilmiştir. Daha çok, devletler arasındaki "karşılıklı suçlamalar" veya "siyasi atıflar" şeklinde kalmaktadır.

Örnekler ve Vakalar: Teoriden Pratiğe

Gerçek dünyada, bu durumun pek çok örneğini görüyoruz:

• 2007 Estonya Siber Saldırıları: Estonya'daki devlet kurumlarına ve bankalara yönelik geniş çaplı siber saldırılar, Rusya'dan kaynaklandığı iddia edilmiş ancak Rus hükümetine doğrudan atfedilememiştir. Bu olay, siber uzayda devlet sorumluluğu tartışmalarının ilk önemli dönüm noktalarından biri olmuştur.
• WannaCry ve NotPetya Saldırıları: Her ikisi de küresel çapta büyük yıkıma yol açan bu saldırılar, bazı devletlere (özellikle NotPetya için Rusya'ya, WannaCry için Kuzey Kore'ye) atfedilmiş, ancak bu atıflar daha çok istihbarat değerlendirmelerine dayanmış ve uluslararası bir hukuk davasına dönüşmemiştir. Burada da, siber suçluların devletle doğrudan bağlantısı veya devletin "göz yumması" tartışmaları hep gündeme gelmiştir.
• APT Grupları (Advanced Persistent Threats): Bu gelişmiş ve kalıcı tehdit grupları, genellikle devletler tarafından desteklendiği veya onlar adına çalıştığı düşünülen siber aktörlerdir. Örneğin, "Fancy Bear" veya "APT28" gibi gruplar Rusya'ya, "Unit 61398" gibi gruplar Çin'e atfedilir. Devletler bu tür grupların varlığını reddetse de, istihbarat camiası arasındaki mutabakat, sorumluluk tartışmalarını alevlendirmektedir.

Bu örnekler, bir devletin doğrudan parmağının olmadığını iddia etse bile, kendi topraklarından yürütülen bu tür operasyonlara göz yumma veya bunları engellememe yükümlülüğünün ne kadar ciddi olduğunu gösteriyor.

Peki, Devletler Ne Yapmalı? Pratik Yaklaşımlar

Siber uzayda devlet sorumluluğu kavramı gelişmeye devam ederken, devletlerin bu karmaşık sorunla başa çıkmak için atabileceği pratik adımlar var:

1. Güçlü Ulusal Siber Güvenlik Stratejileri Geliştirmek: Kendi altyapılarını korumak, siber tehditleri tespit etmek ve bunlara müdahale etmek için kapsamlı ulusal stratejiler oluşturmak esastır. Türkiye olarak biz de bu alanda önemli adımlar atıyoruz.
2. Uluslararası İşbirliğini Güçlendirmek: Siber saldırılar sınır tanımadığı için uluslararası işbirliği hayati önem taşır. Bilgi paylaşımı, ortak tatbikatlar ve kapasite geliştirme programları, bu alandaki kolektif direnci artırabilir.
3. Yasal Çerçeveleri Güncellemek: Siber suçlarla mücadele etmek ve siber saldırganları yargılamak için etkili ulusal yasalar ve uluslararası anlaşmalar (örneğin, Budapeşte Siber Suç Sözleşmesi gibi) önemlidir.
4. "Özen Yükümlülüğünü" Ciddeye Almak: Her devlet, kendi topraklarından diğer devletlere yönelik siber saldırıları engellemek için makul çabayı gösterdiğini kanıtlayabilmelidir. Bu, siber saldırıları araştırmak, failleri kovuşturmak ve uluslararası işbirliği taleplerine yanıt vermek anlamına gelir.
5. Şeffaflık ve Güven İnşası: Siber saldırıların siyasi gerilimleri artırma potansiyeli göz önüne alındığında, devletlerin şeffaflık yoluyla güven inşa etme çabaları da büyük önem taşır. Saldırılara yönelik ortak bir anlayış geliştirmek, yanlış anlamaları azaltabilir.

Sonuç

Bir devletin kendi topraklarından yapılan siber saldırılardan sorumlu tutulması, uluslararası hukukun hala şekillenmekte olan, dinamik bir alanıdır. Doğrudan devlet eylemi açık bir sorumluluk doğururken, asıl zorluk devletin "göz yumması" veya "engellememesi" durumunda ortaya çıkan dolaylı atıf ve özen yükümlülüğüdür. Kanıtların toplanmasındaki ve sunulmasındaki zorluklar, bu alandaki hukuki süreçleri inanılmaz derecede karmaşık hale getirse de, devletlerin siber uzaydaki sorumlulukları göz ardı edilemez.

Önümüzdeki dönemde, siber tehditlerin artmasıyla birlikte, uluslararası toplumun bu konuya daha somut çözümler getirmesi ve siber uzayda daha sağlam bir normatif çerçeve oluşturması beklenmektedir. Bu, hepimizin geleceği için kritik bir adımdır. Siber güvenlik artık bir lüks değil, ulusal ve küresel güvenliğin ayrılmaz bir parçasıdır.

Saygılarımla,

[Uzman Adı – Varsayımsal olarak siz]
Türkiye'nin Önde Gelen Siber Güvenlik Uzmanı