2016 Amerika Birleşik Devletleri Başkanlık Seçimine Rusya’nın Siber Müdahalesi İddialarının Uluslararası Hukuk Açısından Analizi

 Giriş

Amerika Birleşik Devletleri’nde (ABD) 2016 yılında gerçekleştirilen başkanlık seçimi sürecinde en çok tartışılan hususlardan biri seçimlere yönelik siber faaliyetlerdi. Kampanya sürecinde bu iddia başkan adayı Hillary Clinton tarafından sık sık gündeme getirildi. Hatta kimi senatörler tarafından bu faaliyetlerin savaş sebebi olduğu dahi iddia edildi.[i] Clinton birçok kez bu faaliyetlerin arkasında Rus istihbarat servisinin bulunduğunu ileri sürdü.[ii] Seçimlerden sonra ise ABD’li makamlar siber faaliyetlerin Rusya tarafından gerçekleştirildiğini resmi olarak açıkladılar. Devamında ABD, 35 diplomatın Rusya’ya geri gönderilmesi dahil bir takım tedbirlere başvurdu.[iii] Peki Rusya’ya isnat edilen bu saldırılar uluslararası hukukun ihlali niteliğinde miydi? Mevcut iddialardan yola çıkılarak siber casusluk, kuvvet kullanma yasağı, meşru müdafaa ve içişlerine müdahale etmeme ilkesi hususları uluslararası hukuk perspektifinden tartışılabilir.

Seçim Sürecinde Ne Oldu?

Mart 2016’da Hillary Clinton’ın seçim kampanyası başkanı John Podesta’nın kendisine gelen bir e-postadaki linke tıklaması ile hacklenmesi sonucu seçimlerin güvenliğine yönelik siber saldırı tehdidi gündeme gelmiş oldu. Siber faaliyetler bununla da sınırlı kalmadı. Demokrat Parti’nin bir organı olan Ulusal Demokratik Komite’nin (UDK) pek çok üyesinin de hesabı, sosyal mühendislik saldırılarıyla (oltalama [phishing] ve hedef odaklı oltalama [spearphishing] teknikleri) ele geçirildi. Elde edilen veriler Hillary Clinton’ın imajını zedeleyebilecek türdendi vebu veriler Guccifer 2.0, DCleaks ve Wikileaks adlı websiteleri üzerinden zamana yayılan bir şekilde yayınladı. Clinton ve Demokrat Parti üyeleri ısrarla Rusya’nın bu siber operasyonun arkasında olduğunu ve seçim sonuçlarını etkilemeye yönelik olarak bunu gerçekleştirdiğini ifade ettiler. Seçimlerden sonra Federal Soruşturma Bürosu (FBI) tarafından ve ABD Ulusal İstihbarat Direktörlüğü Ofisi (UİDO) tarafından yayınlanan raporlarda bu siber faaliyetler resmi olarak Rusya’ya isnat edildi.[iv]

UİDO raporuna göre Moskova yönetimi, siber araçlarla ve medya propagandası ile “ABD’nin öncülük ettiği liberal demokratik düzeni, kamuoyunun seçim sürecine olan inancını, Hillary Clinton’ı ve onun seçilebilirliğini ve muhtemel başkanlığını” zedelemek niyetiyle hareket etmişti.[v] ABD istihbarat servisleri, APT 28 ve APT 29 olarak bilinen Rus hacker gruplarının operasyonun arkasında olduğunu duyurdular. Bu gruplardan ikincisi henüz 2015 yılında, ilki ise 2016 baharında UDK hesaplarına erişim sağlamıştı. UİDO, bu operasyonların Rus askeri ve sivil istihbarat servisleri tarafından gerçekleştirildiğine ve Guccifer 2.0, DCleaks ve Wikileaks’in yayınladıkları bilgilerin bu servisler tarafından sağlandığına dair “yüksek bir güven”leri olduğunu ifade etti.

Rapor, Rus hackerların bazı ABD federal ve yerel seçim kurullarının bilgilerine de erişim sağladığını itiraf etti. Ancak bu kurullar oy sayım sisteminin birer parçası olmadığından seçim sonucuna doğrudan etki edecek bir müdahalenin söz konusu olmadığını ifade etti.[vi]

Uluslararası Hukukun İhlali Söz Konusu Mu?

Devletlerin siber alandaki faaliyetlerini düzenleyen siber alana özgü bir uluslararası sözleşme bulunmamaktadır.[vii] Her ne kadar bazı devletler böyle bir sözleşmenin gerekliliği üzerinde ısrarcı olsalar da bunun yokluğu bizi siber alanın uluslararası hukuktan bağımsız olduğu sonucuna ulaştırmamalıdır. Mevcut uluslararası siyasi konjonktür böyle bir siber sözleşmeye ulaşılmasına müsait olmadığından pek çok uluslararası hukukçu bu meseleye mevcut uluslararası hukuk normlarının siber ortama da uygulanabilirliği üzerinden yaklaşmışlardır. Bu anlamda literatürde çalışmalar genel olarak jus ad bellum ve jus in bello ayrımı üzerinden ele alınmıştır. Seçimlere yönelik siber faaliyetler savaş sırasında gerçekleşmediği için jus ad bellum kuralları uygulanacaktır. Bu kurallar temel olarak devletlerin birbirlerinin içişlerine müdahale etmemesi ilkesi, kuvvet kullanmama ilkesi ve meşru müdafaa olarak sıralanabilir. Ek olarak siber casusluk faaliyetleri de mevcut olayda değinilmesi gereken bir husustur.

  1. Siber Casusluk

ABD seçimlerine yönelik gerçekleştirilen siber faaliyetler kabaca iki kategori altında toplanabilir: casusluk ve sızdırma faaliyetleri. Uluslararası hukukta casusluğu yasaklayan herhangi bir kuralın bulunmadığını belirtmek gerekir. Casusluk faaliyetleri, uluslararası hukukta düzenlenmemiş, iç hukuklarda ceza hukuku çerçevesinde ele alınagelmiştir. NATO bünyesinde oluşturulan ve uluslararası hukukçular ve uzmanlardan oluşan bir komisyon tarafından hazırlanan Siber Savaşa Uygulanacak Uluslararası Hukuk Hakkında Tallinn El Kitabı’nın 32.maddesi de barış zamanında gerçekleşen siber casusluğun bizatihi olarak uluslararası hukukun ihlali olmayacağını belirtmiştir. Buradan hareketle UDK’nin servis sunucularının ve maillerinin hacklenmesinin ve verilerin çalınmasının uluslararası hukukun ihlali olduğu söylenemez. Fakat UDK’ye yönelik siber faaliyetler yalnızca veri hırsızlığı olarak kalmamış, bu veriler egemen bir devletin seçim sonuçlarını etkilemek amacıyla internet üzerinden sızdırılmıştır. Bu noktada ise yukarıda bahsedilen jus ad bellum kurallarının tartışılması gerekmektedir.

  1. Kuvvet Kullanma Yasağı ve Meşru Müdafaa

Seçimlere yönelik siber faaliyetler kuvvet kullanma boyutuna ulaştı mı? Bu soruyu cevaplamak için öncelikle “kuvvet kullanma” ifadesinin siber alanda ne ifade ettiğinin açıklığa kavuşturulması gerekmektedir. Literatürde bu hususta genel olarak üç temel yaklaşım dikkat çekmektedir: Araç bazlı yaklaşım, hedef bazlı yaklaşım ve etki/sonuç bazlı yaklaşım. Araç bazlı yaklaşım geleneksel silahların tabiatı gereği taşıdıkları kinetik karaktere dikkat çekip siber silahları bu karaktere kıyasla değerlendirerek temelde bilgisayar kodlarından oluşan siber silahların kinetik bir karaktere sahip olmaması nedeniyle kuvvet kullanma boyutuna ulaşmasını oldukça zor görmektedir. Bu görüşün kadük kaldığı söylenebilir. Hedef bazlı yaklaşım ise değerlendirmesinde siber faaliyetin hedefine odaklanmaktadır. Kısaca siber saldırı “kritik ulusal altyapı”lardan birini hedef almışsa faaliyetin etkisi göz önüne alınmaksızın kuvvet kullanma olarak değerlendirilir. Bu görüş, kuvvet kullanmanın kapsamını çok genişletmesi sebebiyle eleştirilmektedir. Doktrinde hakim görüş olan etki/sonuç bazlı yaklaşıma göre ise bir siber faaliyetin kuvvet kullanımı olarak nitelendirilebilmesi için o faaliyetin “etki ve ölçek” itibarı ile konvansiyonel silahların yarattığı etki ile benzer sonuçları doğurması gerekmektedir. Kısaca bir siber faaliyet bir canın veya malın yok edilmesi veya zarar görmesine sebep olmuşsa o faaliyet kuvvet kullanımı olarak değerlendirilebilir. Bu yaklaşım genel kabul görmekle birlikte fiziksel etkiye çok fazla değer atfettiği için eleştirilmektedir. Benim de katıldığımve “fonksiyon bazlı yaklaşım”[viii]olarak adlandırdığım bir başka görüşe göre ise, hedef bazlı yaklaşım ve etki/bazlı yaklaşım buluşturulmalı; ancak bu yaklaşım ne hedef bazlı yaklaşım kadar geniş ne de etki/sonuç bazlı yaklaşım kadar dar olmalıdır. Buna göre bir devletin kritik ulusal altyapısına yapılacak bir siber saldırı o altyapının işleyişini (fonksiyonunu) önemli bir ölçüde işlevsiz bırakıyorsa fiziksel bir hasara yol açmasa da kuvvet kullanma olarak değerlendirilebilmelidir.[ix]

Bu bilgiler ışığında ABD başkanlık seçimine yönelik siber faaliyetlerin kuvvet kullanma yasağını ihlal ettiğini ileri sürmek -hangi yaklaşım benimsenirse benimsensin- oldukça güçtür. İlk olarak, araç bazlı yaklaşıma göre bu siber faaliyet kinetik karakterden yoksun olduğu için zaten kuvvet kullanımı olarak kabul edilmez. İkincisi, internet üzerinden bilgi çalmak ve sızdırmak konvansiyonel silahların yarattığı etkiye benzer bir etki yaratmayacağı için hakim görüş olan etki/sonuç bazlı yaklaşıma göre de bu siber faaliyetler kuvvet kullanımı olarak değerlendirilemez. Son olarak, bu faaliyetler esasında kritik ulusal altyapıları değil, bazı parti üyelerinin mail hesaplarını hedef aldığı için hedef bazlı yaklaşım ve fonksiyon bazlı yaklaşım altında da kuvvet kullanımı olarak değerlendirilemez. Siber saldırılar eğer bizatihi oylama ve oy sayım sistemlerini hedeflemiş ve bu sistemlerin işleyişinde önemli derecede bir fonksiyon kaybına yol açmış olsaydı, bu sistemlerin kritik ulusal altyapı olarak kabulü halinde fonksiyon bazlı yaklaşıma göre kuvvet kullanma yasağının ihlali söz konusu olabilirdi.

Meşru müdafaa hakkına gelince, bu hakkı kullanmak için BM Şartı’nın 51.maddesine göre mağdur devlete karşı bir silahlı saldırı gerçekleştirilmiş olması gerekmektedir. Silahlı saldırı ise kuvvet kullanımının en ağır şekli olarak değerlendirilmektedir.[x] Mezkur siber faaliyetler kuvvet kullanma boyutuna ulaşmadığından bu saldırıların ABD’ye meşru müdafaa hakkı vermeyeceği açıktır. Dolayısıyla bazı ABD senatörlerinin iddia ettiği gibi “savaş sebebi” olacak bir durum söz konusu değildir(eğer bununla kast ettikleri meşru müdafaa hakkının kullanımı ise). Zaten mevcut uluslararası hukukta savaş sebebi diye bir kavram da bulunmamaktadır.

  1. İçişlerine Müdahalede Bulunmama İlkesi

Mevcut olayda üzerinde daha çok durulması gereken jus ad bellum kuralı belki de içişlerine müdahalede bulunmama ilkesidir.  Bu ilke BM Şartı’nda açıkça yer almamakla birlikte uluslararası teamül hukuku kuralı olarak kabul edilmektedir. BM genel kurulu bu ilkeye pek çok kararında dikkat çekmiş, bunlardan en önemlisi olan Dostane İlişkiler Bildirisi’nde de “herhangi bir Devletin iç mevzuat uygulamaları dahilinde olan konulara karışmamaya ilişkin ilke” başlığıyla yer vermiştir.[xi] Tallinn El Kitabı, bu ilkeyi “Hiçbir devlet, bir başka devletin iç veya dış işlerine -siber araçlarla dahil olmak üzere- müdahale edemez.” şeklinde benimsemiştir.[xii]

İlkenin kapsam ve içeriği ise uluslararası hukukta kesin olarak sonuca bağlanmış değildir. Ancak neredeyse tüm uluslararası hukukçuların hemfikir olduğu bir husus vardır ki o da “cebir” unsurudur. Uluslararası Adalet Divanı,Nikaragua kararında “cebir unsuru müdahale etmeme yasağını tanımlar ve hatta yasağın özünü oluşturur” şeklinde bir hükme varmıştır[xiii]. Buradan hareketle, cebir içermeyen faaliyetlerin müdahalede bulunmama ilkesini ihlal ettiği söylenemez.

Bu noktada “Cebir nedir?” sorusuyla karşılaşırız. Uluslararası hukukta cebrin üzerinde uzlaşılmış bir tanımı olmamakla birlikte Tallinn El Kitabı cebiri şu şekilde ifade etmektedir: “Cebir sadece fiziksel zorlama ile sınırlı değildir, daha ziyade başka bir devleti seçme özgürlüğünden mahrum etmek için tasarlanan bir eylemi ifade eder, yani bu devletin istemsiz bir şekilde hareket etmesini veya belirli bir şekilde hareket etmekten kaçınmasını zorunlu kılar.”[xiv]

Peki ABD seçimlerine yönelik gerçekleştirilen siber faaliyetler (veri hırsızlığı ve sızdırma) cebir olarak nitelendirilebilir mi? Kimi yazarlar seçim sonuçlarını etkilemek ve seçimlerin meşruiyetini zedelemek amacıyla UDK’ye ait özel verilerin siber ortamda çalınması ve sızdırılmasının cebir için yeterli olduğunu iddia etseler de[xv] bu görüşe katılmak mümkün değildir. Cebir bir devletin veya devlet organının iradesinin aksine hareket etmeye zorlanmasıdır. Mevcut olayda herhangi bir devlet organı bir şey yapmaya veya yapmamaya zorlanmış değildir. David Ohlin’in haklı bir şekilde sorguladığı gibi “Hedef kimdi? Hillary Clinton’un kendisi miydi? Amerikan seçmeni miydi? Yoksa Rus-Amerikan ilişkileri miydi
?”[xvi] Bu sorulara hukuki anlamda kesin bir cevap verebilmek mümkün değildir.   Eğer hedef Clinton’un kendisiyse, insan hakları hukuku anlamda kendisinin özel hayatının gizliliğinin ihlal edildiğini söyleyebiliriz. Eğer hedef Amerikan halkıysa, burada da manipülasyon veya propaganda söz konusu olabilir ki bunların cebir olarak değerlendirilmesi mümkün değildir.[xvii]

Tallinn El Kitabı aslında tam da bu konuya açık bir şekilde değinmiştir. Siber casusluk yoluyla elde edilen verilerin Wikileaks veya başka yollarla ifşası bir devlet aleyhine öylesine yaygın ve zararlı bir hale gelmeli ki yeni bir uluslararası teamül kuralının doğduğu söylenebilsin. Ancak böyle bir teamül kuralı için ne maddi (devlet uygulaması/state practise) ne de manevi unsur (opinio juris) tamamlanmıştır.[xviii]

Sonuç

ABD seçimlerine yönelik bu tür düşük seviyeli siber faaliyetler genellikle cevap verilmesi ve sınıflandırılmasızor olan “gri bir alan”a düşmektedirler.[xix]Bunlar her ne kadar egemen bir devlet açısından rahatsız edici olsa dauluslararası hukukun ihlali boyutuna ulaştığı söylenemez.Zaten ABD yönetimi de hiçbir zaman bu faaliyetleri uluslararası hukukun ihlali olarak değerlendirmemiştir. Eski Başkan Obama, bu türden faaliyetleri “yerleşik uluslararası davranış normlarının ihlali” olarak nitelemiştir. Bunlar ise, içeriği muğlak olmakla birlikte, en fazla bağlayıcı olmayan yumuşak kurallar olarak değerlendirilebilir. 

[i]https://www.reuters.com/video/2016/12/31/russian-cyber-attacks-are-acts-of-war-mc?videoId=370836127

[ii]https://www.washingtonpost.com/politics/clinton-campaign–and-some-cyber-experts–say-russia-is-behind-email-release/2016/07/24/5b5428e6-51a8-11e6-bbf5-957ad17b4385_story.html?utm_term=.c78f9da1073a

[iii]https://www.theguardian.com/us-news/2016/dec/29/barack-obama-sanctions-russia-election-hack

[iv]‘Grizzly-Steppe – Russian Malicious Cyber Activity’ (The Department of Homeland Security (DHS) and the Federal Bureau of Investigation (FBI) 2016) JAR-16-20296 <https://www.us-cert.gov/sites/default/files/publications/JAR_16-20296A_GRIZZLY%20STEPPE-2016-1229.pdf> accessed 25 March 2018; ‘Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution’ (Office of the Director of National Intelligence 2017) <https://www.dni.gov/files/documents/ICA_2017_01.pdf> accessed 25 March 2018.

[v]‘Background to “Assessing Russian Activities and Intentions in Recent US Elections”: The Analytic Process and Cyber Incident Attribution’ (n 4).

[vi]ibid.

[vii] Avrupa Konseyi Siber Suçlar Sözleşmesi (2001) sanal ortamda işlenen suçları ceza hukuku bağlamında ele almaktadır.

[viii]Hasan Basri BULBUL, ‘Cyber Operations and the Use of Force within the Meaning of Article 2 (4) of the United Nations Charter’ <https://www.academia.edu/36251717/Cyber_Operations_and_the_Use_of_Force_within_the_Meaning_of_Article_2_4_of_the_United_Nations_Charter> accessed 25 March 2018.

[ix]Nicholas Tsagourias, ‘The Tallinn Manual on the International Law Applicable to Cyber Warfare: A Commentary on Chapter II—The Use of Force’, Yearbook of International Humanitarian Law Volume 15, 2012 (Springer 2014) <http://link.springer.com/chapter/10.1007/978-90-6704-924-5_2> accessed 15 August 2016.

[x] Military and Paramilitary Activities in and against Nicaragua (Nicaragua v. United States of America), Merits, Judgment, ICJ Reports 1986, p. 101, para. 191.

[xi] UN Doc A/Res/25/2625, 24 October 1970, Declaration on Principles of International Law concerning Friendly Relations and Co-operation among States in accordance with the Charter of the United Nations.

[xii] Michael N Schmitt & Liis Vihul (eds.), Tallinn Manual 2.0 on the International Law Applicable to Cyber Warfare (Cambridge University Press 2017), Rule 66, p.66.

[xiii] Nicaragua Case, p. 108, para. 205.

[xiv] Tallinn Manual 2.0, p. 24, para. 22.

[xv]Brian Egan, ‘International Law and Stability in Cyberspace’ (2017) 35 Berkeley Journal of International Law 169.

[xvi]Jens David Ohlin, ‘Did Russian Cyber Interference in the 2016 Election Violate International Law?’ 95 Texas Law Review 21.

[xvii]Tallinn Manual 2.0, p. 208, sub-para 569.

[xviii] ibid., Rule 32 commentary, p.169, para 5.

[xix]Michael N Schmitt, ‘Grey Zones in the International Law of Cyberspace’ (2017) 42 The Yale Journal of International Law Online <https://cpb-us-west-2-juc1ugur1qwqqqo4.stackpathdns.com/campuspress.yale.edu/dist/8/1581/files/2017/08/Schmitt_Grey-Areas-in-the-International-Law-of-Cyberspace-1cab8kj.pdf> accessed 25 March 2018.

Hasan Basri Bülbül
    2013 yılında İstanbul Üniversite Hukuk Fakültesi'nden mezun oldu. Ardından King's College London'da Uluslararası Hukuk ve İnsan Hakları Hukuku üzerine yüksek lisansını Uluslararası Hukukta Siber Saldırılar ve Kuvvet Kuvvet Kullanma Yasağı başlıklı teziyle tamamladı. Halen King's College London'da Uluslararası Hukukta Devletlerin Mülteci Korumasını Paylaşma Sorumluğu başlıklı projesiyle doktora çalışmasına devam etmektedir.

    You may also like

    Leave A Reply

    Your email address will not be published. Required fields are marked *

    Lütfen Cevaplayınız - Please Answer *Captcha loading...