Bu yazı, Joseph S. Nye, J.‘ın “Foreign Affairs” için kaleme aldığı “The End of Cyber-Anarchy? How to Build a New Digital Order” makalesinden çevrilmiştir. Yazının aslını aşağıdaki bağlantıdan bulabilirsiniz.
The End of Cyber-Anarchy? How to Build a New Digital Order
Fidye yazılım saldırıları, seçimlere müdahale, kurumsal casusluk, elektrik şebekesine yönelik tehditler: mevcut haber başlıklarına dayanarak, siber uzayın anarşisine bir düzen getirme umudu çok az gibi görünüyor. Sonu gelmeyen kötü hikâyeler, sadece siber uzayın kendisi için değil, aynı zamanda ekonomiler, jeopolitik, demokratik toplumlar ile savaş ve barışın temeline dair korkunç sonuçları olan, gün geçtikçe daha tehlikeli hale gelen, yönetilmeyen bir çevrimiçi dünyanın resmini çiziyor.
Bu üzücü gerçeklik göz önüne alındığında, siber uzayın kurallarını oluşturmanın mümkün olduğuna dair herhangi bir öneri, şüphecilikle karşılanma eğilimindedir: siber uzayın temel özellikleri, herhangi bir normun uygulanmasını imkânsız hale getiriyor. Siber normlara desteklerini ilan eden devletler, aynı zamanda rakiplerine karşı büyük ölçekli siber operasyonlar yürütüyor. Örneğin, Aralık 2015’te BM Genel Kurulu ilk kez, gönüllü ve bağlayıcılığı olmayan uluslararası 11 siber normu onayladı. Rusya bu normların oluşturulmasına yardımcı olup, daha sonra yayınlarına imza atmıştı. Aynı ay, Ukrayna’nın elektrik şebekesine karşı bir siber saldırı gerçekleştirdi ve yaklaşık 225.000 kişiyi birkaç saat elektriksiz bıraktı ve ayrıca 2016 ABD başkanlık seçimlerine müdahale etme çabalarını artırdı. Şüpheciler için bu durum, siber uzayda sorumlu devlet davranışı için normlar oluşturmanın boş bir hayalden fazlası olmadığını gösterdi.
Yine de bu şüphecilik, normların nasıl çalıştığı ve zamanla nasıl güçlendirildiği hakkındaki yanlış bir algıyı ortaya koymaktadır. İhlaller, ele alınmadığı sürece normları zayıflatabilir, ancak onları alakasız hale getirmezler. Normlar, diğer devletleri sorumlu tutmayı mümkün kılan davranışlar hakkında beklentiler yaratır. Normlar ayrıca resmi eylemlerin meşrulaştırılmasına yardımcı olur ve devletlerin bir ihlale yanıt vermeye karar verdiklerinde müttefikleri yanına almalarına yardımcı olur.
Ve normlar birden ortaya çıkmaz veya bir gecede işe yaramaya başlamaz. Tarih, toplumların yıkıcı teknolojik değişikliklere nasıl tepki verildiğini öğrenmenin ve dünyayı yeni tehlikelerden daha güvenli hale getiren kurallar koymanın belirli bir zaman aldığını göstermektedir. ABD’nin Japonya’ya nükleer bomba atması sonrasında, ülkelerin Sınırlı Test Yasağı Antlaşması ve Nükleer Silahların Yayılmasını Önleme Anlaşması üzerinde anlaşmaya varmaları yirmi yıl sürdü.
Siber teknoloji, beraberinde benzersiz zorlukları getirmiş olsa da, görünen o ki bunu yönetmek için hazırlanan uluslararası normlar olağan akışında gelişmektedir. Bu tür normlar, özellikle Washington ve müttefikleri bu normları diğer caydırıcılık yöntemleriyle güçlendirirse, siber teknolojik ilerlemelerin getirdiği riski azaltmak için giderek daha kritik hale gelecektir. Bazı analistler caydırıcılığın siber alanda işe yaramadığını iddia etseler de, sonuç basittir: buradaki süreç, nükleer alandan farklı şekilde ilerler. Hedefler çoğalmaya devam ettikçe, ABD bu yeni ve tehlikeli dünyadaki bariyerleri güçlendirmek için caydırıcılığı ve diplomasiyi birleştiren bir strateji izlemelidir. Diğer pek çok alanda kurulan normlar, siber alanın farklı olduğu algısını değiştirmesi açısından iyi bir başlangıç noktası olabilir.
Hayatın Yeni Bir Gerçeği (ve Savaş)
Siber saldırılar daha maliyetli hale geldikçe, ABD’nin karşı savunma stratejisi yetersiz kalmaktadır. İyi bir strateji içeride başlamalı, ancak aynı zamanda siber uzayın yerel ve küresel yönlerinin ayrılmazlığını da tanımalıdır – siber uzay, doğası gereği ulus ötesidir. Ayrıca, siber güvenlik, kamu ve özel güvenlik zafiyetlerinin iç içe geçtiği bir alandır. İnternet, çoğu özel mülke ait olan bir ağ zinciridir. Nükleer veya konvansiyonel silahların aksine, hükümetin kontrol alanı değildir. Buna göre şirketler, güvenliğe yatırım yapmak ve kısa vadeli kârı en üst düzeye çıkarmak arasında değiş tokuş yaparlar. Yine de kurumsal savunmanın yetersizliğinin, ulusal güvenlik için büyük dış maliyetleri olabilir: ABD hükümeti ve özel sektördeki bilgisayarlara erişime izin veren SolarWinds yazılımına yönelik son Rus siber saldırısını izleyin. Askeri güvenliğin aksine, burada Pentagon sadece kısmi bir rol oynar.
Küresel askeri çatışma alanında, bilgisayar ağları, kara, deniz, hava ve uzay geleneksel dörtlüsüne ek olarak beşinci bir alan haline geldi ve ABD ordusu bunu 2010 yılında ABD Siber Komutanlığı’nın oluşturulmasıyla tanıdı. Yeni siber alanın özellikleri arasında mesafenin kaybolması (okyanuslar artık koruma sağlamıyor), etkileşim hızı (uzaydaki roketlerden çok daha hızlı), düşük maliyet (giriş engellerini azaltan) ve isnat etmenin zorluğu (inkâr edilebilirliği teşvik eden). Yine de, şüpheciler sıklıkla siber saldırıları, stratejik bir sorundan ziyade bir “sıkıntı” olarak tanımlarlar. Siber alanın casusluk ve diğer örtülü eylemler için ideal olduğunu, ancak geleneksel savaş alanlarından çok daha az önemli olduğunu savunup bunu siber saldırı yüzünden kimsenin hayatını kaybetmemesine dayandırıyorlar. Ancak bu bakış açısı giderek zorlaşan bir tutum haline gelmiştir. 2017 WannaCry fidye yazılımı saldırısı, bilgisayarları şifreli ve kullanılamaz bırakarak İngiliz Ulusal Sağlık Servisi’ne zarar verdi, binlerce hastanın randevularını iptal etmeye zorladı ve hastaneler ve aşı üreticileri Covid-19 salgını sırasında fidye yazılımı saldırıları ve bilgisayar korsanları tarafından doğrudan hedef alındı.
Dahası, uzmanların bile siber araçların kullanımının fiziksel çatışmaya nasıl dönüşebileceği konusunda anlamadığı çok şey var. Örneğin, ABD ordusunun büyük ölçüde sivil altyapıya bağlı olduğunu ve çevrimiçi sızmanın bir kriz durumunda ABD savunma kabiliyetini ciddi şekilde bozabileceğini düşünün. Ekonomik açıdan, siber olayların ölçeği ve maliyeti giderek artmaktadır. Bazı tahminlere göre, bankaların, enerji şirketlerinin, benzin istasyonlarının ve devlet kurumlarının bilgisayarlarındaki verileri silen Rus destekli 2017 NotPetya saldırısı, şirketlere 10 milyar dolardan fazla zarara mal oldu. Öte yandan hedef sayısı da hızla artıyor. Büyük veri, yapay zekâ, gelişmiş robotik ve nesnelerin internetinin artmasıyla uzmanlar, internet bağlantılarının sayısının 2030 yılına kadar bir trilyona yaklaşacağını tahmin ediyor. Dünya 1980’lerden beri siber saldırılar yaşıyor, ancak saldırı çerçevesi önemli ölçüde genişledi; artık endüstriyel kontrol sistemlerinden otomobillere, kişisel dijital asistanlara kadar her şeyi içeriyor.
Normlar ortak devlet uygulaması haline gelene kadar etkili değildir ve bu zaman alabilir.
Artık tehdidin arttığı açıktır. Daha az açık olan, ABD stratejisinin bununla yüzleşmek için nasıl adapte olabileceğidir. Caydırıcılık yaklaşımın bir parçası olmalıdır, ancak siber caydırıcılık Washington’un onlarca yıldır uyguladığı geleneksel ve bilindik nükleer caydırıcılık biçimlerinden farklı olacaktır. Nükleer saldırı tekil bir olaydır ve nükleer caydırıcılığın amacı bunu engellemektir. Buna karşılık, siber saldırılar çok sayıda ve sabittir ve onları caydırmak daha çok sıradan suçları caydırmak gibidir: amaç sınırlamaktır. Yetkililer, suçlardan sadece insanları tutuklayarak ve cezalandırarak değil, aynı zamanda yasa ve normların eğitimi, mahallelerde devriye gezme ve toplum polisliği yoluyla da caydırıyorlar. Suçu caydırmak, mantar bulutu tehdidi gerektirmez.
Yine de ceza, siber caydırıcılıkta büyük rol oynamaktadır. ABD hükümeti, siber saldırılara çıkarlarına verilen zararla orantılı olarak kendi seçtiği silahlarla yanıt vereceğini açıkça belirtti. Senelerdir uyarılara rağmen, şimdiye kadar bir “siber-Pearl Harbor” gerçekleşmedi. ABD’nin bir siber saldırıya silahlı saldırı olarak davranıp davranmayacağı tehdidin sonuçlarına bağlıdır, ancak bu daha belirsiz eylemlerden korunmayı zorlaştırır. Rusya’nın 2016 ABD başkanlık seçimlerini bozması aynı bu şekilde bir gri alandır. Son zamanlarda bazı Çin ve Rus siber saldırıları casusluk amacıyla gerçekleştirilmiş gibi görünse de, Biden yönetimi, ölçekleri ve süreleri göz önüne alındığında normal casusluğun ötesinde olduğunu iddia etti. Bu nedenle siber uzaydaki caydırıcılık sadece ceza tehdidini değil, aynı zamanda savunma yoluyla inkâr ile (saldırganların denemeye zahmet etmeyeceği kadar dayanıklı ve yeterince sağlam sistemler inşa etmek) ve dolaşıklığı da içermelidir (potansiyel düşmanlarla bağlantı kurmak, başlattıkları herhangi bir saldırı sonrası kendi çıkarlarına da zarar verecektir). Bu yaklaşımların her birinin kendi başına kullanıldığında sınırları vardır. Dolaşıklık, Çin’e karşı kullanıldığında, yüksek ekonomik karşılıklı bağımlılık nedeniyle, bunlardan hiçbiri olmayan Kuzey Kore’ye karşı olduğundan daha fazla etkiye sahiptir. Savunma yoluyla inkâr, devlet dışı aktörleri ve ikinci kademe devletleri caydırmada etkilidir, ancak daha güçlü ve yetkin aktörlerin saldırılarını önleme olasılığı düşüktür. Ancak bir ceza tehdidi ve etkili bir savunmayla birlikte, bu güçlerin maliyet ve fayda hesaplamaları etkilenebilir.
ABD içindeki ağların savunmasını iyileştirmenin yanı sıra, Washington son yıllarda ABD Siber Komutanlığı’nın “ileri savunma” ve “kalıcı katılım” olarak adlandırdığı doktrinleri benimsedi. Ancak bir düşmanın ağına girmek ve bozmak bir miktar tırmanma tehlikesi oluşturur ve dikkatli bir şekilde yönetilmelidir.
BAZI KURALLAR KOYMAK
Savunma ve saldırma yeteneklerine rağmen, Amerika Birleşik Devletleri serbest piyasası ve açık toplumu sebebiyle siber saldırılara ve etki operasyonlarına karşı oldukça savunmasız kalmaktadır. Ulusal İstihbarat Direktörü James Clapper, 2015 yılında “Bence en azından cam evlerde yaşayan insanların taş atmaması gerektiği konusunda eski testereyi düşünmek iyi bir fikir” diyerek Washington’ın siber saldırılara cevabını iletmişti. Clapper, haklı olarak, Amerikalılar taş atmada en iyisi olsalar da, cam evlerde yaşadıklarını vurguluyordu. Bu gerçeklik, ABD’ye siber alana “taş atma” teşviklerini azaltan normların geliştirilmesine itiyordu.
Siber silah kontrol anlaşmalarını müzakere etmek son derece zor olurdu, çünkü bunlar doğrulanamazdı. Ancak siber uzaydaki diplomasi neredeyse imkânsız. Aslında, siber normların geliştirilmesi konusunda uluslararası işbirliği yirmi yılı aşkın bir süredir devam etmektedir. 1998’de Rusya ilk olarak elektronik ve bilgi silahlarını yasaklamak için bir BM anlaşması önerdi. ABD, bu alandaki bir anlaşmanın gerçekliği kanıtlanamaz olacağını savunarak fikri reddetti, çünkü bir kod satırının bir silah olup olmadığı kullanıcının niyetine bağlı olabilirdi. Bunun yerine ABD, BM genel sekreterinin bir dizi norm geliştirmek üzere 15 (daha sonra 25’e genişletildi) uzmandan oluşan bir grup oluşturması gerektiğini kabul etti.
O zamandan beri bu şekilde altı grup toplandı ve daha sonra BM Genel Kurulu tarafından onaylanan ve geniş bir norm çerçevesi oluşturan dört rapor yayınlandı. Bu grupların birlikte çalışmaları, uluslararası hukukun siber alanda uygulanması ile barış ve istikrarın korunması için gerekli olduğu konusunda fikir birliğini güçlendirdi. Uluslararası hukukun karmaşık sorularıyla boğuşmanın yanı sıra, 2015’yılında yayınlanan rapor; 11 gönüllü, bağlayıcı olmayan normlar, talep edildiğinde devletlere yardım sağlama yetkisi ve sivil altyapıya saldırmaya karşı yasaklar, büyük siber saldırılara karşı bilgisayar acil müdahale ekipleriyle birlikte çalışmak gibi konuları içermekteydi.
Rapor, bir atılım olarak görülüyordu, ancak uzman grubun uluslararası yasal konular üzerinde anlaşamadığı ve bir uzlaşı raporu hazırlayamadığı 2017’de ilerleme yavaşladı. Rusya’nın önerisi üzerine BM, tüm devletlere açık olan ve pek çok şirket, sivil toplum kuruluşu, akademisyen ve teknik uzmanlarla istişareler içeren Açık Uçlu Çalışma Grubu’nu oluşturarak mevcut süreci destekledi. 2021’in başlarında, bu yeni grup, 2015 normlarını ve uluslararası hukukun siber alanla ilgisini yeniden teyit eden geniş çaplı, bir bakıma yatıştırıcı bir rapor yayınladı. Geçtiğimiz Haziran ayında, altıncı uzman grup da çalışmalarını tamamladı ve 2015’te ilk kez tanıtılan 11 norma önemli ayrıntılar ekleyen bir rapor yayınladı. Çin ve Rusya hala bir anlaşma için baskı yapıyor, ancak gerçekleşme ihtimali daha yüksek olan, bu normların kademeli olarak evrimleşmesidir.
BM sürecine ek olarak, Siber Uzayın İstikrarı Küresel Komisyonu (GCSC) da dâhil olmak üzere siber normlar üzerine tartışmak için birçok forum daha yapıldı. 2017 yılında bir düşünce kuruluşu tarafından başlatılan GCSC’ye Estonya, Hindistan ve ABD başkanlık etti ve başta Hollanda hükümeti olmak üzere eski kamu görevlileri, sivil toplum uzmanları ve 16 ülkeden akademisyenler tarafından desteklendi. GCSC, mevcut BM önerisindeki boşlukları gidermek için sekiz norm önerdi. En önemlisi, internetin “kamu çekirdeği” altyapısını saldırıdan koruma ve seçim sistemlerine müdahaleyi yasaklama çağrılarıydı. GCSC ayrıca ülkeleri, siber araçlarla tedarik zincirine müdahale etmemeye çağırdı; ev sahibinin bilgisi dışında kontrol sağlamak için bot netleri kullanmamak; devletlerin diğerlerinin güvenlik açıklarının açıklanıp açıklanmayacağına karar verirken izleyebilecekleri şeffaf süreçler oluşturmak; devletleri siber güvenlik açıklarını bulduklarında derhal düzeltmeye teşvik etmek; yasa ve düzenlemeler de dâhil olmak üzere “siber temizlik” sağlamak, ve özel işletmelerin bilgisayar korsanlarına karşı saldırılar başlatmasını yasadışı hale getirerek özel uyanıklığı caydırmayı hedeflediler.
Bu çabalar, karmaşık siber savunma sistemlerinin geliştirilmesinden daha az gösterişli (ve daha ucuz) olmakla birlikte çevrimiçi kötücül faaliyetlerin engellenmesinde önemli bir rol oynayacaktır. Siber uzay için daha birçok norm hayal edilebilir ve önerilebilir, ancak şimdi konuşulması gereken daha fazla normun gerekli olup olmadığı değil, nasıl uygulanacağı ve devlet davranışını değiştirip değiştirmeyecekleri ve ne zaman değiştirecekleridir.
YENİ KORSANLAR
Normlar, devletlerin yaygın uygulaması haline gelene kadar etkili değildir. On dokuzuncu yüzyılda Avrupa ve Birleşik Devletler’de köleliğe karşı normların gelişmesi onlarca yıl aldı. Kilit soru, devletlerin normların kendilerini kısıtlamasına neden izin verdiğidir. Bu bağlamda en az dört ana neden vardır: koordinasyon, önlem, itibar maliyetleri ile kamuoyu ve ekonomik değişiklikler de dâhil olmak üzere iç baskılar.
Yasalarda, normlarda ve ilkelerde belirtilen ortak beklentiler, devletlerin koordinasyon sağlamalarına yardımcı olur. Örneğin, bazı devletler (Amerika Birleşik Devletleri dâhil) BM Deniz Hukuku Sözleşmesi’ni onaylamamış olsa da, tüm devletler karasularıyla ilgili anlaşmazlıklar söz konusu olduğunda 12 mil sınırını geleneksel uluslararası norm olarak ele almaktadır.
Sağduyu, öngörülemeyen sistemlerde istenmeyen sonuçlar yaratma korkusundan kaynaklanır ve belirli silahların kullanılmaması veya sınırlı kullanımına dönüşebilir. Süper güçler 1962’de Küba Füze Krizi sırasında nükleer savaşın eşiğine geldiğinde nükleer silahlarda böyle tam da bu yaşandı. Kısmi Nükleer Deneme Yasağı Antlaşması bir yıl sonra yapıldı. İhtiyatlılığın belirli taktikleri kullanmaya karşı nasıl bir norm ürettiğine dair daha uzak ama tarihsel bir örnek, korsanların kaderidir. On sekizinci yüzyılda, donanmalar rutin olarak denizdeki güçlerini artırmak için belli kişi veya gruplara ait gemiler kullandılar. Ancak ertesi yüzyılda devletler bu korsanlardan uzaklaştı çünkü bunların yağmalamaları çok maliyetli hale geldi. Hükümetler korsanları kontrol etmek için mücadele ettikçe, tutumları değişti ve yeni önlem ve kısıtlama normları gelişti. Hükümetler, siber saldırıları gerçekleştirmek için aracıların (proxies) ve özel aktörlerin kullanılmasının olumsuz mali yan etkiler ürettiğini ve gerilimi tırmandırma riskini artırdığını keşfettikçe, siber alanda benzer bir şey hayal edilebilir. Bu bağlamda bazı devletler “karşı bilgisayar korsanlığını” yasakladı.
Siber silah kontrol anlaşmalarını müzakere etmek son derece zor olurdu, çünkü bunlar doğrulanamazdı.
Bir ülkenin itibarına ve yumuşak gücüne verilen zararla ilgili endişeler de gönüllü kısıtlama getirebilir. Bu tabular zamanla büyüyerek hasar verebilecek bir silah kullanma ve hatta sahip olma maliyetlerini artırır. Örneğin, 1975’te yürürlüğe giren Biyolojik Silahlar Sözleşmesi’ni ele alalım. Biyolojik silah geliştirmek isteyen herhangi bir ülke bunu gizlice ve yasadışı bir şekilde yapmak zorundadır ve Irak lideri Saddam Hüseyin’in keşfettiği gibi, faaliyetlerinin kanıtı sızarsa yaygın uluslararası kınama ile karşı karşıyadır.
Siber silahların kullanımına karşı benzer bir örtülü tabunun ortaya çıktığını hayal etmek zordur. Bir kere, herhangi bir kod satırının bir silah olup olmadığını belirlemek zordur. Daha olası bir tabu, siber silahların hastaneler veya sağlık sistemleri gibi belirli hedeflere karşı kullanımını yasaklayan bir yaklaşımdır. Bu tür yasaklar, siviller üzerinde geleneksel silahların kullanılmasına karşı mevcut tutumu sürdürmeye yarayacaktır. Covid-19 salgını sırasında, hastanelere düzenlenen fidye yazılım saldırılarına karşı halkın tepkisi, bu tutumu güçlendirmeye yardımcı oldu ve siber alandaki diğer eylemlere nasıl uygulanabileceği konusunda yol gösterdi. Bilgisayar korsanları, elektrikli araç kullanımından kaynaklanan ölümcül kazalarda artışa neden olursa benzer bir şey gelişebilir.
MAHALLE BASKISI
Bazı akademisyenler normların doğal bir yaşam döngüsüne sahip olduğunu savunmuşlardır. Genellikle bireyler, kuruluşlar, sosyal gruplar ve kamuoyu üzerinde büyük bir etkiye sahip resmi komisyonlardan oluşan “norm girişimcileri” ile başlarlar. Belirli bir gebelik döneminden sonra, bazı normlar, kabul etmenin yaygın bir inanca dönüştüğü ve liderlerin bunu reddetmek için büyük bir bedel ödeyeceklerini gördükleri o kritik eşiğe ulaşır.
İlkel normlar, değişen sosyal tutumlardan kaynaklanabilir veya ithal edilebilir. 1945’ten sonra evrensel insan hakları konusundaki endişelerin yayılmasını ele alalım. Batılı ülkeler 1948’de İnsan Hakları Evrensel Beyannamesi’ni desteklemede başı çekti, ancak diğer birçok devlet kamuoyu nedeniyle imzalamak zorunda kaldı ve daha sonra kendilerini dış baskı ve itibarlarıyla ilgili endişelerle kısıtladı. Demokrasilerde bu tür kısıtlamaların otoriter devletlerden daha güçlü olması beklenebilir. Ancak 1970’lerin başında Sovyetler Birliği ve Batı ülkeleri arasında bir dizi toplantı olan Helsinki Süreci, Soğuk Savaş sırasında siyasi ve ekonomik konularla ilgili tartışmalara insan haklarını başarıyla dâhil etti.
Ekonomik değişim, verimliliği ve büyümeyi teşvik edebilecek yeni normlara olan talebi de artırabilir. Korsanlık ve köleliğe karşı normlar, bu uygulamalar ekonomik olarak düşüşe geçince destek toplamaya başladı. Benzer bir dinamik bugün siber alanda da işliyor. Gizlilik ve veriler ile ilgili birbiriyle çelişkili ulusal yasalar nedeniyle kendilerini dezavantajlı konumda bulan şirketler, hükümetlere ortak standartlar ve normlar geliştirmeleri için baskı yapabilir. Siber sigorta endüstrisi, özellikle “Nesnelerin İnterneti” olarak adlandırılan çevrimiçi sayısız ev cihazına (termostatlar, buzdolapları, ev alarm sistemleri) gömülü teknoloji ile ilgili olarak, standartları ve normları ortadan kaldırmak için yetkililere baskı yapabilir. Bu cihazların internet bağlantısı giderek arttıkça, siber saldırılar için daha fazla hedef haline gelecek ve vatandaşların günlük yaşamları üzerindeki etkisi artacaktır. Bu yolla iç ve dış normlara olan talebi de artıracak. Halkın endişesi, ancak bilgisayar korsanlığı bir sıkıntıdan daha fazlası haline gelirse ve hayatlarına mal olmaya başlarsa hızlanacaktır. Ölümler artarsa, Silikon Vadisi’ndeki “hızlı bir şekilde inşa et ve daha sonra yama yap” normu yavaş yavaş yerini güvenliğe daha fazla önem veren normlara ve yasalara bırakabilir.
SİBER KURALLAR İHLAL EDİLMEK İÇİN YAPILIR
Normların gerekli olduğu konusunda uluslararası fikir birliği dahi olsa, kırmızı çizgilerin nerede çizileceğini ve geçildiğinde ne yapılacağını kabul etmek başka bir konudur. Ve soru şu ki, otoriter devletler normatif sözleşmelere dâhil olsalar bile, onlara uyma olasılıkları nedir? 2015 yılında Çin Devlet Başkanı Xi Jinping ve ABD Başkanı Barack Obama, ticari avantaj için siber casusluk kullanmama konusunda anlaştılar, ancak özel güvenlik şirketleri, Çin’in ABD kurumsal ve federal verilerini hack’leme eyleminden önce bu taahhüde sadece bir yıl kadar bağlı kaldığını bildirdi. Ancak bu, gümrük savaşlarının yükselişiyle işaretlenen kötüleşen ekonomik ilişkiler bağlamında gerçekleşti. Bu durum, anlaşmanın başarısız olduğu anlamına mı geliyor? Eleştirmenler, evet ya da hayır sorusu yerine, odağın aşılan kırmızı çizgiler ya da ihlallerin gerçekleştirilme şeklinde değil, yapılan hasar miktarı üzerinde olması gerektiğini savunuyorlar.
ABD’nin ilkeli sınırlar çizip, savunması gereken başka zamanlar da var. Şurası anlaşılmalıdır ki siber uzaya müdahale etmeleri giderek meşru görülecek. Washington’un destekleyeceği norm ve sınırları tam olarak belirtmesi ve onları ihlal eden ülkeleri çağırması gerekecek. Çin veya Rusya bir çizgiyi aştığında, ABD hedeflenen misilleme ile yanıt vermek zorunda kalacak. Bu, kamu yaptırımlarını ve ayrıca bazı oligarkların banka hesaplarını dondurmak veya bunlar hakkında utanç verici bilgiler yayınlamak gibi özel eylemleri de içerebilir. ABD Siber Komutanlığı’nın ileri savunma ve sürekli katılım uygulamaları burada yararlı olabilir, ancak onlara en iyi sessiz iletişim süreci eşlik edecektir.
Siber uzaya ilişkin anlaşmalar işe yaramaz olabilir, ancak belirli eylemlere sınırlar koymak ve bunların çerçevesini müzakere etmek mümkün olabilir. Soğuk Savaş sırasında, gayri resmi normlar, her iki tarafın casuslara muamelesini yönetti; idam yerine sınır dışı etme norm haline geldi. 1972’de Sovyetler Birliği ve ABD, gerilimi tırmandırabilecek deniz faaliyetlerini sınırlamak için Denizdeki Olaylar Anlaşması’nı müzakere etti. Bugün, Çin, Rusya ve ABD, Xi ve Obama’nın 2015’te yaptığı gibi, gerçekleştirdikleri siber casusluğun kapsamı ve türü ile ilgili tutumları konusunda getirilebilecek sınırlamaları müzakere edebilir. Ya da birbirlerinin iç siyasi süreçlerine müdahalelerine sınır koymayı kabul edebilirler. Bu tür taahhütler resmi anlaşmaların kesin dilinden yoksun olsa da, üç ülke bağımsız olarak kendi kendini kısıtlama alanları hakkında tek taraflı açıklamalar yapabilir ve çatışmayı kapsayan istişare süreci oluşturabilir. İdeolojik farklılıklar, ayrıntılı bir anlaşmayı zorlaştırabilir, ancak daha büyük ideolojik farklılıklar Soğuk Savaş sırasında gerilimi artırmayı önlemeye yardımcı olan anlaşmaları engellemedi. İhtiyatlılık bazen ideolojiden daha önemlidir.
Bu, siber uzayın gündemde nükleer silahlardan daha büyük bir rol oynadığı Haziran ayında Cenevre’de yapılan zirvede Rusya Devlet Başkanı Vladimir Putin ile Biden yönetimi tarafından incelenen bir yaklaşımdır. Dış basın, ABD Başkanı Joe Biden’ın, Putin’e kimyasallar, iletişim, enerji, finansal hizmetler, sağlık hizmetleri ve bilgi teknolojisi de dâhil olmak üzere 16 kritik altyapının bir listesini verdiğini ve bunun da Biden’ın sözleriyle “saldırıya yasak bölge” olduğunu iddia etti. Zirveden sonra Biden, Putin’e Rus boru hatlarının fidye yazılımı tarafından devre dışı bırakılsa nasıl hissedeceğini sorduğunu iletti. Bunun yanı sıra Biden, “Ona (Putin’i kastederek) önemli bir siber kapasiteye sahip olduğumuzu söyledim ve bunu biliyor. Eğer bu temel normları ihlal ederlerse, biz de siber alanda cevap vereceğiz, biliyor”. Ancak şimdiye kadar, Biden’ın sözlerinin ne ölçüde etkili olduğu belirsizdir.
Neyin korunması gerektiğini belirlemekle ilgili diğer bir sorun, diğer alanların kuralına uygun olduğunun düşünülmesi ve Rusya’daki suçluların fidye yazılım saldırılarının ne olursa olsun devam edecek olması olabilir. Siber alanda devlet dışı aktörler, değişen derecelerde devlet aracıları (proxies) olarak hizmet eder ve kurallar bu aktörlerin tanımlanmasını ve sınırlandırılmasını gerektirir. Ve yolun kuralları asla mükemmel olmayacağından, bunlara uyarı ve müzakere için bir çerçeve oluşturan bir danışma süreci eşlik etmelidir. Böyle bir sürecin, güçlü caydırıcı tehditlerle birlikte, Çin ve Rus müdahalesini tamamen durdurması olası değildir, ancak sıklığını veya yoğunluğunu azaltırsa, ABD’nin bu tür siber saldırılara karşı savunmasını artırabilir.
DEĞİŞEN TUTUM
Siber uzayda, “standart beden” herkese uymaz. Hem otoriter hem de demokratik devletleri bir noktada koordine eden bazı normlar olabilir. Ancak ABD Dışişleri Bakanı Hillary Clinton tarafından 2010 yılında getirilen “İnternet özgürlüğü” bu normlardan biri olamaz. Clinton, özgür ve açık bir internet ilan etti. Bu noktada bir dizi eşmerkezli dairede organize edilen normlar düşünülebilir. Siber güvenlik uzmanı Robert Knake’in ifade ettiği üzere, demokrasi grupları, gizlilik, gözetim ve özgür ifade ile ilgili normlar üzerinde anlaşarak ve bunları özel ticaret anlaşmaları yoluyla uygulayarak kendileri için daha yüksek bir standart belirleyebilirler. Bu tür anlaşmalar, daha yüksek standartları karşılamaya istekli ve istekli oldukları sürece diğer devletlere açık kalabilir.
Bu konularda demokrasiler arasındaki diplomasi kolay olmayacak, ancak ABD stratejisinin önemli bir parçası olacak. İki eski üst düzey Pentagon yetkilisi James Miller ve Robert Butler’ın dediği gibi, “ABD müttefik ve ortakları siber normları destekliyorsa, ihlal edenlere maliyet getirmeyi desteklemeye daha istekli olacaklar, böylece güvenilirliği, ciddiyeti (çok taraflı maliyet dayatması yoluyla) ve ABD’nin ihlallere yanıt olarak maliyet koyma tehditlerinin sürdürülebilirliğini önemli ölçüde artıracaklar.”
Biden yönetimi, siber alanının dünya siyasetinde önemli yeni fırsat ve güvenlik açıkları yarattığı gerçeğiyle boğuşuyor. İçeride yeniden örgütlenme ve yeniden yapılandırma, ortaya çıkan stratejinin merkezinde olmalıdır, ancak aynı zamanda caydırıcılık ve diplomasiye dayanan güçlü bir uluslararası bileşene de ihtiyaç duymaktadır. Diplomatik bileşen demokrasiler arasındaki ittifakları, gelişmekte olan ülkelerde kapasite geliştirmeyi ve gelişmiş uluslararası kurumları içermelidir. Böyle bir strateji, Amerikan demokrasisinin eski cam evini internet çağının yeni taşlarından korumak için uzun vadeli hedeflerle normlar geliştirmeyi de içermelidir.
Merve YAZICI
