Yazarımız Hacı Mehmet BOYRAZ, Kadir Has Üniversitesi Uluslararası İlişkiler Bölümü Öğretim Üyesi Doç. Dr. Salih BIÇAKÇI ile NATO’nun siber güvenlik politikası üzerine önemli bir röportaj gerçekleştirdi…
1. İlk soru olarak, siber kavramıyla başlamak istiyorum. Bu kavram ne ifade etmektedir?
Siber, aklınıza gelen bütün dijital dataların ağ ortamında var olduğu ve sunulduğu bir uzaydır. Yaşadığımız fiziksel alanın dışında ama onunla bağlantılı yeni bir alan…
Hikâyenin başlangıcı şu şekilde; 1957 ve 1959 yıllarında SSCB Sputnik I ve II’yi aya gönderdiği zaman, ABD tüm dünya başına yıkılmış hissetti, çünkü aya füze göndermek SSCB’nin füze teknolojisindeki ileri konumunu gösterdiği gibi, ilerleyen zamanlarda SSCB’nin ABD’yi nükleer başlıklı füze ile vurabileceği anlamına gelmişti o dönemde. ABD böylesi bir duruma gerçekten çok hazırlıksız yakalandı, ancak hızlı bir toparlanma gösterdi. Sonrasında kendi insanlarının bilgilerini ve gizliliklerini bozmadan bir ağ sistemine ihtiyacı olduğunu anladı ve kısa zaman sonra ARPANET’i oluşturdu; devamında üç-dört yeni ağ da oluşturdu. “Siber uzay” kavramı ilk defa 1983 yılında William Gibson tarafından “Burning Chrome” isimli hikâyesinde ortaya atılmıştır.
Kısaca günümüzde siber kavramı, “var olan dijital dataların oluşturduğu yeni bir alan/ boyut” olarak tasvir edilmektedir. Ancak burada önemli bir hususun altının çizilmesi gerekmektedir: siber uzayda oluşan şeylerin dikkatimizi çekebilmesi için kinetik/fiziksel dünya ile iletişim içinde olması gerekmektedir. Yani röportajın başında bahsettiğim gibi, siberin fiziksel bir boyutu vardır, zira fiziksel boyutu kaldırırsanız, siber kavramının içini ciddi anlamda boşaltmış olursunuz.
2. Siber güvenlik konsepti NATO için nasıl ortaya çıktı?
Öncelikle kavramsal olarak iki NATO’dan bahsedebiliriz: Soğuk Savaş dönemindeki NATO ve Soğuk Savaş sonrası NATO. Soğuk Savaş döneminde siber güvenlik NATO’nun gündemindeydi, ama tabii ki çok keskin sınırları olan güvenlik konsepti vardı, hatta NATO üyesi olmayan ülkelere siber donanımın ve yazılımın gönderilmesi yasaktı o dönemde. Ancak Soğuk Savaş sonrasında NATO bir anda anlamsızlaştı; çünkü var olan tehdit (SSCB) yıkıldı. Böylece “desecuritization” dönemi başladı. Bu süreçte çok farklı tehditler ortaya çıktı: enerji güvenliği, gıda güvenliği, vb.
Devam eden süreçte NATO’nun Kosova Savaşı sürecinde önemli bir tehditle karşılaştı. Kendi sunucularına Sırbistan’dan, Rusya’dan ve diğer birçok noktadan yapılan saldırılar sonucunda NATO’nun sunucuları uzun süre hizmet veremedi.
Devam edecek olursak, NATO’nun sunucularına yapılan saldırılar bir süre sonra askeri sırlarının da çalınmasına sebep olunca süreç bu sefer farklı noktaya girdi. Ancak 2007’de Estonya’ya yapılan siber saldırı ile NATO işin ciddiyetini iyice anladı. Eğer Estonya’ya yapılan siber saldırılar olmasaydı NATO farkındalık noktasında zayıf kalacaktı.
Kısaca NATO için siber güvenlik yeni bir konu olmasa da, asıl farkındalık Estonya’ya düzenlenen siber saldırılar ile daha görünür hale geldi.
3. NATO’nun Siber Savunma Mükemmeliyet Merkezi’ni Estonya’da kurmasının sebebi nedir?
Bildiğiniz üzere Soğuk Savaş sonrasında Estonya, diğer birçok eski Sovyet uydusu gibi Rusya’nın etkisinden çıkmaya çalışıyordu. Bu zamanda diliminde 2007 yılında Meçhul Asker Anıtı’nın Tallinn şehrinin merkezinden askeri mezarlığa taşınma kararı ciddi bir kriz sebebiyet verdi; çünkü anıtın taşındığı günden itibaren Dağıtık Servis Saldırısı olarak adlandırılan bir saldırı tipi ile dünyanın birçok bölgesinden Estonya’ya siber saldırı başladı. Aslında bu tür saldırılar normal karşılanabilir fakat Estonya’nın dünyada interneti en etkin kullanan ülkelerinde başında olması problemin ehemmiyetini iyice arttırdı. Öyle ki, dünyada ilk kez internet üzerinden yerel seçimleri gerçekleştiren ülke Estonya’dır… Ayrıca, Estonya internet kullanımını anayasal bir hak olarak telakki eden ilk ülkedir. Böylesi bir ülkeye bu tip bir siber saldırının yapılması ülkedeki bütün sistemi alt üst etti ve saldırı sona erene kadar hiçbir şey yapılamadı. Buradaki önemli husus saldırılar sadece düşman olarak bilinen Rusya’dan değil dünyanın yaklaşık 100 farklı noktasından yapıldı. Yani saldırının Rusya tarafından yapıldığına dair argümanın ispatı biraz zor…
Bunun yanı sıra, saldırılar sırasında Estonya NATO’dan yardım istedi ve NATO bir grup uzmanını yardım için Estonya’ya gönderdi. Takip eden süreçte, Estonya’nın böylesi bir saldırıya maruz kalmasından ötürü Tallinn’de bir Mükemmeliyet Merkezi kurulması kararlaştırıldı.
4. NATO’nun siber güvenlik politikasının bir yük paylaşımı (burden sharing) imkânı yarattığını düşünüyor musunuz?
Öncelikle merkezin Estonya adına önemli bir avantaj sağladığı aşikâr. NATO, Estonya üzerinden siber alanın millileştirilmesi adına çalışan kurumlardan biri haline geldi. Bugün gelinen noktada Estonya’nın siber güvenlik konusunda önemli sorumluluğu var ama bu sorumluluğun en büyük destekçisi NATO’dur. NATO’nun buradaki en önemli görevi Estonya’nın bu çalışmalardaki teknik bilgisinin (know-how) diğer ülkelerle paylaştırılmasıdır. Bu paylaşımın yapılmasının en önemli sebebi üye ülkeler arasındaki farklılıkların azaltılmasıdır. Örneğin, bir yanda ABD gibi siber güvenlik alanında önemli mesafe kat eden bir ülke varken diğer yanda Türkiye gibi siber güvenliğe dair düzenlemelerini çok yakın zamanda gerçekleştiren bir ülke bulunmaktadır. Bu ve diğer örnekler baz alındığında, üye ülkelerin kapasitelerini eşitlemek çok zor. Bu farklılıkların giderilmesine dair Estonya’daki Mükemmeliyet Merkezi bir şeyler yapmaya çalışıyor, ama bilindiği gibi bu tür kurumlar sadece tavsiye verebiliyor.
Kısaca bu konu Estonya adına değil ama NATO adına paylaşılması büyük bir yük.
5. Önceki soruyla ilintili olarak, NATO’nun siber güvenlik politikasının üye ülkeler arasında daha fazla işbirliğine imkân sağladığını düşünüyor musunuz?
Büyük oradan yaratıyor… Üye ülkelerin kapasitelerinin farklı olmasından ötürü NATO, siber güvenliğin bir merkezden yönetilebilmesi için çabalıyor. Mesela Lizbon Zirvesi’nden sonra Tallinn Kılavuzu’nun oluşturulması buna bir örnektir. Bu metinle birlikte üye ülkeler siber alanın nasıl millileştirileceği üzerine konuşmaya başladılar; çünkü uluslararası hukukta siber güvenliğe dair olaylardan hangisinin tehdit hangisinin tehdit dışı olduğu hala belirgin değil. Hal böyle olunca, NATO uluslararası camiada ön plana çıkıyor, ama bu ön plana çıkmanın devam edebilmesi için NATO hala üye ülkeleri arasında sabit bir senkronizasyon oturmaya çalışıyor.
Ancak az önce de bahsettiğim gibi, üye ülkeler arasında siber güvenliğe dair ciddi farklılar var. Bu farklılıklar elimine edilmeden ve teknik bilgi paylaşımı (know-how) arttırılmadan daha fazla işbirliğinin olması da çok zor…
6. Dördüncü soruda bahsettiğiniz gibi üye ülkelerin siber güvenlik alanında kapasiteleri oldukça farklı. Bu durumda NATO’nun ve üye ülkelerin dışarıdan gelecek tehditlere karşı koyabildiğini düşünüyor musunuz?
Şimdi burada yanlış anlaşılan bir husus var: NATO bir vücut ve bu vücudu oluşturan unsurlar var. Yani NATO’yu üyelerinden bağımsız düşünemezsiniz. Zira NATO’nun siber stratejisine baktığınız zaman siber savunmadan bahsetmektedir, saldırıdan değil. Diğer bir ifade ile NATO, saldırgan (offensive) değil, savunmacı (defensive) bir yol izliyor.
Bunun da ötesinde, hâlihazırda bir yerlerde siber saldırı zaten oluyor; yani saldırılar her yerde ve sürekli. Bugün geldiğimiz noktada her ne kadar siber savaşlardan bahsetmesek de 2008’de Gürcistan’da olduğu gibi hibrit (hybrid) savaşlardan bahsedebiliyoruz.
Bu bağlamda, dışarıdan tehditler ve saldırılar hâlihazırda zaten var. Fakat bunlara karşı koyabilmek kolay değil; çünkü tehditlerin ve saldırıların boyutu sürekli değişiyor…
7. Peki, hukuki anlamda siber güvenliği nasıl konumlandırabiliriz?
İlk olarak, şu ana kadar siber saldırıdan ölen birisi yok. Bunu hepimiz biliyoruz. İkinci olarak, uluslararası hukukta siber tehlikelerin tanımlanması ve yorumlanmasına dair büyük bir eksiklik var. NATO, Tallinn Manual ile bir şeyleri düzenlemeye çalıştı, ama siberin karakteristiğini tanımlamada ve tehditleri yorumlamakta hala zorluk çekmektedir. Ayrıca, Tallinn Manual’in herhangi bir yaptırım gücünün bulunmaması ve sadece tavsiye niteliğinde olması da uluslararası hukuktaki boşluğun altını çizmektedir.
Diğer taraftan, üye ülkelerin bir kısmı tanımlama ve yorumlamada daha ileri bir konumda. Mesela, ABD’de ciddi bir siber güvenlik tehdidine karşı Başkan’a sistemin ülkenin internete tüm erişimini kapatma yetkisi verilmiş durumda. Diğer üye ülkelerin farklı metotları var. Yani herkes kendi yağında kavrulmaya çalışıyor. Hal böyle olunca, hem ulusal hukuklarda, hem de uluslararası hukukta ciddi farklılıklar ortaya çıkıyor.
8. NATO ve üye ülkelerin dışında Rusya, İran ve Çin gibi diğer ülkelerin de kendi siber güvenlik politikaları var. Gelecekte NATO ve/ya NATO ülkelerinin bahsi geçen ülkelerle ya da sistem içerisindeki diğer ülkelerle işbirliği yapma olasılığı var mıdır?
Bence hayır, ama bir hususun altının çizilmesi gerekiyor: sistem içerisinde sadece NATO yok; Birleşmiş Milletler ve Avrupa Birliği de siber güvenlikte önemli bir aktör. Şu anda siber güvenlik konusu çok esnek bir noktada ama gelecekte belirli bir dengeye oturacağını zannediyorum. Yavaş yavaş siber uzay uluslararası hukukun bir parçası haline gelecektir. Böyle olunca insanlar da uluslararası hukuka uymak zorunda kalacaktır.
Diğer taraftan hâlihazırda birçok ülkenin siber güvenlik politikasına dair mevcut bilgimiz çok sınırlı. Örneğin, Çin’in bir siber ordusu olduğundan bahsediliyor ama konuyla ilgili çok fazla net bilgi yok. Bunun yanı sıra, siber tehditlerde saldırıya maruz kalan devlet biliyor ki saldırıyı yapanların arkasında bir başka devlet var. Yani birkaç kişinin ya da birtakım organizasyonların gerçekleştirebileceği basit bir iş değil siber saldırılar. Bunun için birilerinin ciddi çalışma yapmış olması gerekmektedir. Ancak bu düzen belirttiğim gibi bir noktaya kadar gidecek ve o noktadan sonra herkes kartını açık oynayacak. Bu noktada Rusya, İran ve Çin’in bu yeni düzene dâhil olacak mı? Muhtemelen, hayır. Yani gelecekte de bloklaşmalar devam edecektir.
9. Son olarak, Türkiye’nin kendi siber güvenlik politikasını ve NATO’nun siber güvenlik politikasındaki konumunu nasıl buluyorsunuz?
Birtakım problemlerin olduğu aşikâr… Öncelikle, kurumlarda kalifiye personel eksikliği var. Bu birçok devlet için geçerli ama Türkiye’de daha belirgin. Bunun en önemli sebebi kurumlardaki kalifiye personellere özel sektörün cazip gelmesidir. Yani devlet kurumlarının bu personellere vermiş olduğu ücret ile özel sektörün vermiş olduğu ücret arasında ciddi farklılık var. Bu durumda esnek bir ödeme planı oluşturulmadığı sürece bu kalifiye personel sürekli özel sektöre gitmeye meyilli olacaktır.
İkinci olarak, kurumlarda devamlılık yok. Burada kast ettiğim birinci sebeple bağlantılı aslında. Kurumlar uzun süre yetiştirdiği kalifiye elemanları bir başka kuruma göndermek zorunda kalabiliyor ya da merkezi sistemden bu kalifiye personellerin atamasını yapılabiliyor. Haliyle, kurumlarda devamlılık olmuyor.
Üçüncü olarak, kurumlar arasında bilgi paylaşımı oldukça zayıf ve bürokrasi çok uzun. Örneğin, siber güvenlikle ilgili bir olay olduğunda Emniyet, Dışişleri ve Savcılık farklı metinler hazırlıyor, farklı şeylere odaklanıyor ve yazışmaları çok uzun sürüyor. Böyle olunca da bürokrasi git gide büyüyor. Peki, bu husus ne zaman görünür oluyor? Devlet için çok hayati/ kritik duruma geldiğinde…
Dördüncü olarak, kurumlardaki eksikliklerin üzerine gidilmiyor. Yani ortada bir siber tehdit var ve bu tehditle alakalı eksiklikler var ama kurumlar bu eksikliklerini gizlemeye çalışıyor. Böyle olunca de sorunlar ve eksiklikler elimine edilemiyor.
Bu eksikliklerin giderilmesi için ortaokullara ve liselere dersler konulması gerek, kamu çalışanlarına bu konunun öneminin anlatılması gerek. Biz hala farkındalık yaratma hususunda zorluk çekiyoruz…
NATO ile işbirliğine gelecek olursak bildiğiniz üzere siber güvenlikte de yetkisi bulunan ve Ankara’da kurulmuş olan Terörle Mücadele Mükemmeliyet Merkezimiz var. Ancak bu merkezin faaliyetleri ve etkinliği zayıflamış, hatta durmuş durumda; çünkü merkezde uzmanlaşan insanlar bir müddet sonra farklı bir kuruma atanıyor ve tecrübe aktarımında ciddi sorunlar yaşanıyor. Yani merkezin işlevselliği çok zayıf ve bu durumdan ötürü NATO’ya kurumsal olarak çok fazla şey katmıyor.
Son olarak, her devlet gibi bizim de siber güvenlikte açıklarımız var ve bu açıklıklar bazı devletler tarafından biliniyor. Mesela, yakın zamandaki elektrik kesintisinde İran’ın parmağı olduğu tartışıldı. Sadece Van’ın elektriğin kesilmemesi ise kamuoyunda daha fazla kuşku uyandırdı. Böyle bir durum varsa bile gerçek olan devletin konuyu uzmanlara yeterince açmayacağıdır; çünkü Türkiye’de genel kanaat bunları açıklamanın bir zayıflık olduğu düşünülüyor. Ancak bilinmezlik üzerinden güvenlik inşa etmek siber güvenlikle birlikte sona ermiştir; şeffaflık üzerinden tesis edilmiş bir güvenlik oluşturulmadığı sürece sorunların çözümü mümkün gözükmemektedir.
Bu röportaj, Skype aracılığıyla gerçekleştirilmiştir.
Röportaj: Hacı Mehmet BOYRAZ
Tarih: 11.05.2015
