Siber ortam “gri alan” olarak kabul edilmesine karşın, birçok ülke ve kurum, siber uzayda veya siber uzay aracılığıyla düşmanlarını caydırmak için siber yeteneklerini güçlendirmenin yollarını aramaya başladı. Bu açıdan bakıldığında, mevcut ve gelecekteki siber ekosistemin iki ana başlık altında tartışılması kıymet arz ediyor: “Teknik/teknolojik” ve “yasal ve kurumsal” boyut. Aslında bu başlıkların her biri ülkelerin farkındalık ve hazırlık seviyelerini ortaya koyuyor.
Siber ortam dataları işlemek, göndermek ve depolamak için her türlü enformasyon sisteminin (örneğin bilgisayarlar ve telefonlar) ve bunların irtibat kanallarının bir ortaya geldiği global bir alandır. Bu anlamda siber ortam insani, teknolojik, sanal ve fizikî bileşenleri içerir. Günümüzde toplumla teknolojinin kesiştiği alan bir “siber yaşam alanı” olarak ortaya çıkmış durumda ve sadece tehdidin boyutunu ve tesirini değil, tıpkı vakitte zincir tepkilere ve (artan sürat açısından) gerçek vakitli önleyici ve harekete geçirilebilir tedbirleri almanın zorluğuna da işaret etmekte.
2020 Ekim ayı prestijiyle dünyada toplam 4,66 milyar etkin internet kullanıcısı var ve bu dünya nüfusunun yaklaşık yüzde 56’sına tekabül ediyor. Öte yandan, dünyadaki toplam internet kullanıcısı sayısı ise son 12 ayda 321 milyon artmış durumda ve bu da her gün 875 binden fazla yeni kullanıcı manasına geliyor. Bu ortada “Nesnelerin İnterneti” (IoT) beklenenden daha süratli büyüyor; 2006’da 2 milyar akıllı obje varken, bu sayı özellikle son yıllarda akıl almaz bir büyüme trendi sergiliyor. Başka taraftan, 2019 yılında IoT pazarı, 250,72 milyar dolar iken, bu sayının 2027 yılı prestijiyle bir trilyon 463 milyar dolara ulaşması öngörülüyor.
Dünya çok daha “akıllı” hale geliyor; iş/üretim, sıhhat, perakende, güvenlik ve ulaşım bölümlerinde milyarlarca akıllı aygıt kullanıyor. Birebir vakitte, beşerler cep telefonlarının ötesinde akıllı teknolojiye ve birbirine bağlı ağlara giderek daha fazla bağımlı hale geliyor, akıllı konutlarda ve ofislerde yaşıyor ve çalışıyor. Ne var ki akıllı aygıtların süratle yaygınlaşmasına karşın, beşerler bağlanabilir konut aygıtlarında meydana gelebilecek risklerin büyük ölçüde farkında değiller. Meğer televizyonlar, kameralar, termostatlar, ısıtıcılar ve klimalar, bisiklet kilitleri ve izleyiciler, kapı kilitleri, güç ve aydınlatma sistemleri yahut alarmların tümü, bilgisayar korsanlarının meskendeki IoT ekosisteminize yetkisiz erişim elde etmeleri tehlikesine karşı savunmasız olabilirler.
Görüldüğü üzere, siber ortam geniş bir yelpazede hem avantajlar hem de dezavantajlar içeriyor. Dezavantajlar prestijiyle değerlendirildiğinde, günümüzde siber tehditlerin asimetrik özellikleri ve güçlü tesirleri, klâsik olanlardan farklı savunma yaklaşımları gerektiriyor. Ayrıca siber savaşta, saldırıyı asıl kaynağına atfetmek sıkıntı olduğundan, saldıran tarafın riski düşük oluyor. Farklı ülkelerden çok sayıda siber suçlunun, bir eyaleti yahut mahallî hükümeti yahut bir kurum ya da kuruluşu amaç alan koordineli bir akın başlattığını varsayalım: Bu siber saldırı rastgele bir şiddet belirtisi göstermez ve neredeyse ışık suratında gerçekleşir. Öte yandan asimetriktir, çok taraflıdır ve klasik savaş tekniklerini kullanmaz. Zayıflar tarafından güçlü olanlara karşı gerçekleştirebilecek ve uzun vadeli derin tesirler yaratabilecek bir hücum tipidir. Kaldı ki sonlardan ve coğrafik pozisyondan bağımsızdır, bu açıdan siber alanda tüm sonları aşabilecek imkân ve kabiliyetleri haizdir.
Geçmişte siber saldırılar ekseriyetle sistemlerdeki bilgilerin gözden geçirilmesi, ön bilgilerin toplanması yahut sistemden bilgilerin çalınması biçiminde gerçekleştiriliyordu. Oysa siber saldırılar artık bilgisayar sistemlerine sızma, maksatlardan şahsî yahut kurumsal bilgilerin çalınması, bilgilerin toplanması ve yayılması yahut mevcut bilgi sisteminin bozulmasıyla sonlu değil. Artık siber saldırılar bir devlet tarafından, rakip ya da hasım devlete siber saldırılar yoluyla ziyan verme ve hatta yok etme gayesi taşıyan ve böylelikle devletler ortasında giderek daha yaygın bir halde icra edilen savaş tipi olarak açığa çıkıyor. Bu minvalde siber saldırılar, bir devletin rakip ya da hasım devletin irtibat sistemini, sıhhat sistemini, bilgi sistemini, güç ağlarını, ulaşım ağlarını, finansal piyasaları ve bankacılık sistemlerini, elektrik ve su tedarik ağlarını, komuta ve denetim sistemlerini, askeri yahut öbür kritik altyapılarını gaye almasıyla sonuçlanabiliyor.
Ayrıyeten devletler, ekonomik gereksinimlerini karşılamak ve endüstriyel çıkarlarını korumak için, farklı türlerde siber casusluk araçları kullanabiliyorlar. ABD, Rusya ve Çin ortasında süregiden siber savaşlar, siber espiyonaj olaylarını gözler önüne seren somut örneklerdir. ABD’deki Ulusal İstihbarat (DNI) nezdinde faaliyet gösteren Ulusal Karşı İstihbarat ve Güvenlik Merkezi (NCSC) tarafından yayımlanan bir rapora nazaran, yabancı istihbarat teşkilatları en kalıcı ve yaygın siber istihbarat tehdidini temsil etmeye devam ederlerken, Çin, Rusya ve İran ekonomik casusluk bakımından en yetenekli ve aktif siber aktörler olarak tanımlanıyorlar. Benzeri halde, Aralık 2018’de Senato İstihbarat Komitesi’ne sunulan bir rapora nazaran, Adalet Bakanlığı 2011’den 2018’e kadar tüm casusluk ve endüstriyel hırsızlığın yüzde 90’ının ve bakanlığın ticari sır hırsızlık olaylarının üçte ikisinden fazlasının Çin ile temaslı olduğunu tespit etti.
Siber riskin işletmeler açısından ne kadar tehlikeli olabileceğini gösteren çarpıcı bir örnek ise Marriott Hotels bilgi tabanının hacklenmesidir ki yaklaşık yarım milyar konuğun özel ve detaylı bilgileri (örneğin pasaport numaraları) ele geçirilmiştir. Keza geçmişte yaşanan bir öteki çarpıcı olay 2018 Ekim’inde yaşanmış, bilgisayar korsanları Cathay Pacific Airways’in yaklaşık 10 milyon yolcusunun ferdî ve finansal bilgilerini çalmıştı. Bu hadise, bir hava yolu şirketi tarafından bildirilen en büyük bilgi ihlali olarak tarihe geçmiştir.
Kuşkusuz bir ülkenin, eyaletin ya da kentin mali yahut sıhhat hizmetleri bölümünü yahut askeri altyapısını hedefleyen siber saldırılar, halkın hem hükümete hem de vatandaşlarını korumakla mükellef olan ulusal kurum ve kuruluşların savunma yeteneklerine olan inancına önemli ziyan verebilir. Tüm bunların ötesinde, siber saldırılar insan hayatının kaybına dahi yol açabilir. Örneğin sıhhat hizmeti sağlayıcılarına yönelik siber saldırılar insan hayatını tehlikeye atabilir. Bu durumun en somut göstergesi, 2016’da gerçekleştirilen siber saldırı nedeniyle, Hollywood Presbiteryen Tıp Merkezi’nin kendi bilgisayar sistemlerine tekrar erişim sağlamak için bitcoin olarak 17 bin dolar ödemek zorunda kalmasıdır. Kritik test sonuçlarının, teşhislerin yahut ameliyat bekleyen hastalara ilişkin tüm bilgilerin bilgisayar sistemlerinde saklandığı düşünüldüğünde, kusurlu bir siber güvenlik stratejisinin yol açabileceği mümkün tahribatı anlamak daha kolaydır.
Üstteki örneklerden görüleceği üzere, bilgi ve bağlantı teknolojisi dünya tertibini şekillendirmeye devam ederken, siber güvenlik, irtibat güvenliği ve bilgi güvenliğinin geri dönülmez bir biçimde iç içe geçtiği unutulmamalı. Her ne kadar mevzubahis alanlarda korunması gerekenler birebir olsa da tehditler, taarruz formülleri ve zayıflıklar birbirinden farklıdır. Her halükârda, siber ortamdaki bilgi daima tehdit altındadır ve bu tehdit çoğunlukla “dağıtılmış hizmet reddi” (DDoS), “veri çalma” yahut “veri istismarı” halinde ortaya çıkıyor.
Hülasa hem siber savaşın kullanımı hem de yol açtığı ziyanlar giderek artmakta. İşletmelerde ve kuruluşlarda siber güvenlik tehditleri ve ağ güvenlik açıklarına ait artan global farkındalığa karşın, birçok devlet ve özel kurum ya yetersiz sayıda ya da vasıfsız ve tecrübesiz çalışanla çalışmak zorunda kalıyor. Ayrıyeten hudutlu finansal kaynaklar ve başka departmanlar ve kurumlarla işbirliği ve etkileşim eksikliği de siber mücadeledeki başarıyı sekteye uğratan faktörler ortasında yer alıyorlar.
Bu ortada bir parantez açıp siber savaşın aktörlerinden de bahsedilmesi gerekir. Zira siber saldırılar yalnız (hacker ağları gibi) organize cürüm örgütleri, devletler, devlet dayanaklı hackerlar, yasadışı kümeler ve ağlar yahut hükümete bağlı aktörler tarafından yönlendirilebilir. Her ne kadar ulus devletler tam ölçekli bir siber savaşın ana oyuncuları olarak kabul edilseler de, bilhassa son on yılda gerçekleşen siber saldırılar, hükümete bağlı ve/veya devlet-dışı aktörlerin, yeni muharebe meydanı olan “siber uzayda” giderek daha fazla yer aldığını kanıtlıyor.
Örneğin bilhassa son birkaç yıldır Moskova, hükümete bağlı olduğu argüman edilen hacker kümelerinin, maksat kitlenin fikirlerini, ideolojilerini ve kararlarını etkilemek, manipüle etmek ve nüfuz oluşturmak gayesiyle hassas bilgileri toplamak, yaymak ve bozmak suretiyle siyasetçilerin, ünlülerin ve tanınmış şahısların şahsî bilgilerini yahut devlet kurumlarından kurumsal bilgileri çaldığı gerekçesiyle sık sık eleştirilmekte. Malum, çok değil daha birkaç yıl evvel Rusya, Avrupa devletlerinin yanı sıra 2016’daki ABD başkanlık seçimlerine kitlesel siber saldırı gerçekleştirmek suretiyle (2015 yılından itibaren Beyaz Saray, Dış İşleri Bakanlığı ve Genelkurmay Başkanlığı’nın e-mail sistemlerine sızma teşebbüsleri unutulmamalı) müdahil olduğu için tenkitlerin gayesinde yer almıştı. Her ne kadar 2016 başkanlık seçimleri, sav edildiği üzere Rus destekli siber espiyonaj kümesinin birinci ve en ciddi siber casusluk hadisesi olarak geçse de, aslında Obama idaresi de misal enformasyon operasyonlarının mağduru olmuştu. Devrin Lider Yardımcısı Mike Pence Trump’ın “bir siber krizi miras aldığını” sav ederken, Obama’nın siber güvenlik “çarı” Michael Daniel muhalif bir bakış açısıyla, Obama 2013’te Ulusal Risk İdare Merkezi ve 2015’teki kötücül ve casus yazılım içeren siber faaliyetlere karşı Hazine Bakanlığı tarafından yaptırım uygulanması için başkanlık buyruğunu yayınlamamış olsaydı, Trump’ın Rusya ve İran’a yönelik yaptırımlar üzere hareketleri hayata geçiremeyeceğini savunmuştu.
Hakikaten bilhassa son on yıldır Rusya, dış seçimlere müdahale başta olmak üzere, rakiplerine karşı çok sayıda ve muhtelif siber operasyon yürütmekle suçlanıyor. Bu bağlamda Galante & Ee, Rusya’nın müdahale hareketlerini “altyapı istismarı”, “oy manipülasyonu”, “stratejik yayın”, “sahte angajman”, “duyguları güçlendirme” ve “uydurma içerik” kategorileri altında tanımlıyor. Müdahale aksiyonları için tanımsal bir netlik sağlamanın yanı sıra, muharrirler, devletin iştirakinin üç seviyede gerçekleştiğine de işaret ediyorlar: Devlet tarafından yönlendirilen, devlet tarafından teşvik edilen ve devletle uyumlu.
Ayrıyeten Kremlin’in Avrupa ve ABD’deki seçim kampanyalarına müdahale ettiği savlarını müteakiben, Ulusal İstihbarat Yöneticisi Daniel Coats “son derece gelişmiş siber saldırı programıyla daha agresif bir siber duruşa sahip olan Moskova’nın, devlet takviyeli en korkulan siber saldırgan” haline geldiği yorumunda bulunmuştu. Böylelikle, kurumsal casuslukta dünya çapında makûs bir üne sahip olan Çin’in yerini, artık hem kurumsal hem de siyasi arenada en önemli tehdit olarak kabul edilen Rusya almıştı.
Moskova ve Washington birbirlerinin saldırgan siber operasyonları hakkındaki tüm suçlamaları reddederlerken, atakların artan sayısı ve karmaşıklığı düşünüldüğünde, siber savaş ve enformasyon savaşı, geleceğin güvenlik ortamını şekillendiren ana ögeler olarak ön plana çıkıyor. Bu bağlamda, ulus devletlerin yanı sıra bağımsız yahut ortaklaşa hareket eden çok çeşitli devlet dışı aktörlün taktik ve stratejik maksatlar için siber alana çok daha fazla dahil oldukları görülüyor. Münasebetiyle ulusal ve milletlerarası güvenlik mimarisinin, devletlerin ve devlet dışı aktörlerin savunma ve akın amaçlı siber uzay yeteneklerinin uygunlaştırılması nedeniyle tekrar yapılandırılması beklenen.
Hakikaten 2020 Aralık ayında ABD’de gerçekleşen ve hazine, ticaret ve iç güvenlik bakanlıkları başta olmak üzere çok sayıda resmi kurum ve kuruluşu maksat alması prestijiyle son yılların en büyük siber saldırısı olarak tarihe geçen akınlar, Kremlin ve Beyaz Saray ortasında süregiden ithamların devam edeceğinin en somut tezahürü niteliğinde. Bu cins akınlar, geleceğin siber savaşlarının çok daha çetin geçeceğini kanıtlarken, siber savaşta kullanılan araç ve tekniklerin çeşitlendiği ve ayrıyeten devlet kurumlarının, istihbarat servislerinin, devlete ilişkin yahut devlet takviyeli hack kümelerinin ve fiyatlı internet trollerinin gün geçtikçe artan oranda açık/örtülü operasyonlar, tesir kampanyaları, propaganda, dezenformasyon ve manipülasyon faaliyetleri yürüttükleri gözlemlenmekte.
Siber saldırının gerisindeki her motivasyon kendi telaşlarını ve risklerini beraberinde getirir. Atağın kapsamı, ölçeği, gayesi ve motivasyonu ne olursa olsun, siber saldırıların kimi ortak özellikleri vardır. Siber saldırıların hudutları yoktur; dünyanın rastgele bir yerinden fırlatılabilir ve yalnızca saniyeler içinde dünyanın en uzak ucuna yönlendirilebilirler. Saldırgan için risk ve maliyet düşükken, savunma tarafı için yük çok ağır olabilir. Saldırganın gayesi açık ve barizdir; lakin maruz kalan taraf için siber suçlunun yerini belirlemek, izlemek ve bulmak hayli zordur. Bu koşullar altında ABD’nin ve öteki büyük güçlerin, siber operasyonların sunduğu “belirsizlik” ve “öngörülemezlikten” beslenmeye devam edecekleri aşikardır.
