Barış Zamanında Siber Casusluk Açısından Devletin Uluslararası Sorumluluğunun Doğması

Görsel:  www. canva.com 

Giriş

Siber platformun kapsamının genişlemesi ve kullanımının artışı devletlerin gizli bilgiye ulaşma imkanlarını hiç olmadığı kadar arttırmış, siber casusluğa uygun araç ve metotların çeşitlenmesine sebep olmuştur. Teknolojinin gelişmesi, siber platformlarda gerçekleşen zararlı faaliyetlerin devletler ve bireyler açısından giderek daha büyük bir tehlike arz etmesine sebep olmuştur.

Siber casusluk faaliyetlerine ilişkin uluslararası hukuk kapsamındaki tartışmalar özellikle   ABD Ulusal Güvenlik Ajansı (NSA) eski çalışanı olan Edward Snowden’ın, Haziran 2013’te bir dizi gizli belgeyi İngiliz basınına ifşa etmesiyle hız kazandı.[1] Bu belgeler, ABD ve İngiltere’nin, gizli bilgiler elde etmek için çeşitli ülkelerin ve birçok elçiliğin iletişim ve haberleşmesini gizlice dinlediğini ve gözetlediğini ortaya koydu. Ayrıca siber operasyonlar yoluyla siber platformda tutulan veya siber ağlar vasıtasıyla iletilen istihbarat değeri olan bilgilerin elde edildiği ve saklandığı ortaya çıktı. Sızdırılan belgelerde özel antenler, böcek ve telefon dinleme aygıtları da dahil olmak üzere iletişime müdahale etmek ve bilgi toplamak amacıyla çok geniş yelpazede casusluk metotlarının kullanıldığı iddia edilmekteydi.[2]

Böylece devletler tarafından yapılagelen casusluk faaliyetlerinin siber platforma taşınması, hedef devletlerin ulusal çıkarlarını ciddi ölçüde zedeler nitelik kazandığından uluslararası hukuk açısından bu faaliyetler tartışılır hale geldi. Bu yazının devam eden bölümlerinde, devletler için tehlikeli boyutlara ulaşan siber casusluk girişimlerinin devlet sorumluluğu açısından uluslararası haksız fiil teşkil edip edemeyeceği üzerinde kısa bir değerlendirmede bulunulacaktır. Siber casusluk girişimlerinin, uluslararası haksız fiilin iki unsuru olan “bir uluslararası norm ihlali” (breach of an obligation) ve “atfedilebilirlik” (attribution) açısından problemli noktaları değerlendirilecektir.

Siber Casusluk Nedir?

Siber casusluk (cyber espionage) kavramına ilişkin uluslararası hukukta genel kabul gören bir tanım bulunmamaktadır.  Kavramın uluslararası hukuk normları ile ilişkisinin incelenmesi için en azından herkesçe kabul edilen en temel unsurlarının ortaya konması gerekir. Buna binaen “Cyber Espionage and International Law” kitabında Russel Buchan, siber casusluk kavramına ilişkin yapılan tanımları inceleyerek, tüm tanımlarda ortak olan üç zorunlu unsuru tespit etmiştir:

  1. Siber platformda bulunan veya siber platform vasıtasıyla aktarılan,
  2. Gizli nitelikli verinin,
  3. Rıza-dışı elde edilmesi.[3]

Burada siber casusluk kavramının temel unsurları, ‘kamudan gizlenen veya sınırlı kişilerin erişimine açılan’ ve ‘siber platformda bulunan ya da siber platform vasıtasıyla aktarılan’ bir bilginin, bilgi üzerinde tasarruf yetkisi olan kişi veya kurumun ‘rızası dışında’ kopyalanmasıdır. Siber casusluk tanımı olarak genel nitelikli ve kuşatıcı olması açısından ortaya konan en uygun tanım budur. Aynı şekilde, siber faaliyetlere ilişkin en kapsamlı uluslararası hukuk kaynağı olan Tallinn Manual 2.0’da yukarıda belirtilen unsurları barındıracak biçimde siber casusluk, “gizli nitelikli ve hileli siber imkan ve kabiliyetler kullanarak veri elde etme girişimi” şeklinde belirtilmiştir.[4]

Siber casusluk faaliyetlerinde en çok kullanılan metot ‘Advanced Persistent Threat’ (APT) olarak adlandırılır. APT, bir ağa veya sunucuya rıza-dışı olarak gizlice erişim sağlanması ve bir müddet ağ veya sunucunun gözlenmesi, buradan veri kopyalanmasıdır.[5] Bu saldırılarda genellikle, ‘spear phishing’ (sisteme girebilmek için bir kullanıcının bilgilerinin ele geçirilmesini sağlayan uygulama) vb. saldırılarla sisteme gizlice sızılarak, sistem tarafından tespit edilemeyen bir kötü amaçlı yazılım yerleştirilir. Bu yazılım ile ağda gizli arka kapılar (backdoors) oluşturulur. Bu gizli kapılar vasıtasıyla ağ ve sunucuların gizlice gözetlenmesi, dinlenmesi ve veri kopyalama yapılabilmektedir.

Siber casusluğun, siber platformda yürütülen diğer faaliyetlerden farkı, devletlerin politik veya ekonomik çıkarlarını korumak ya da avantaj sağlamak amacıyla başka devlet veya organizasyonlara ait gizli ve istihbarat değeri olan bilgilerin hedef alınmasıdır. Bunu diğer zararlı siber girişimlerden (siber saldırı, siber terörizm vs.) ayıran özellik ise siber casusluğun salt bilgi elde etme amacının olmasıdır. Yine de siber casusluğu siber saldırılardan ayırmak her siber girişim olayı açısından kolay değildir. Örneğin, fiziksel zarara sebep olan siber kinetik ataklar[6] doğrudan fiziksel sistemlerde (örneğin askeri savunma sistemlerinde) zarara sebep olduğundan siber casusluk kapsamında değerlendirilemez ve bu bir siber saldırıdır. Öte yandan siber casusluk faaliyeti amacıyla başka bir devlete ait kurum ve sistemlerin siber platform vasıtasıyla engellenmesi, kullanılmaz hale getirilmesi ve böylece veri elde edilmesi durumunda ortaya hem bir siber saldırı hem de siber casusluk faaliyeti çıkmaktadır.

Siber Casusluğun Uluslararası Hukuktaki Yeri

Siber faaliyetlere uygulanacak uluslararası hukuk hakkında en kapsamlı çalışma 2009 NATO Siber Savunma Merkezi’nin (NATO Cooperative Cyber Defence Centre of Excellence – NATO CCD COE) daveti ve teşviği ile bağımsız bir grup uzman tarafından oluşturulan ‘Siber Operasyonlara Uygulanacak Uluslararası Hukuk hakkında Tallinn Manual 1.0’dır. 2013 yılında yine NATO CCD COE tarafından konu kapsamı ve uzman kadrosu genişletilerek bu çalışmanın devamı niteliğinde, barış zamanı siber operasyonları da kapsayacak şekilde  Tallinn Manual 2.0 ortaya konmuştur.[7] Bu rehber, savaş zamanı ve barış zamanı siber operasyonlara uygulanacak uluslararası hukuk kurallarını irdeleyen ve açıklayan bağımsız uluslararası uzman grubunun fikirlerini ve yorumlarını yansıtan bir çalışmadır. Bu sebeple siber platformda uluslararası hukukun işleyiş ve uygulamasına dair en kapsamlı çalışma olduğundan, devlet sorumluluğunun doğması açısından bu rehberdeki tespitlerden faydalanacağız.

Uluslararası hukukta devletin sorumluluğu, haksız bir fiilin varlığını gerektirmektedir. Uluslararası anlamda haksız bir fiil iki unsurdan oluşur: Bir uluslararası hukuk normunun ihlali ve bu ihlalin devlete atfedilebilirliği. [8] Siber platformda devletlerin haksız fiil sorumluluğu da devlete atfedilen siber nitelikli bir fiilin varlığını ve bu fiilin uluslararası hukuka aykırılık teşkil etmesini gerektirir.[9] Siber casusluk açısından devletin uluslararası sorumluluğundan bahsedilebilmesi, haksız fiilin varlığına bağlıdır. Dolayısıyla siber casusluk faaliyetleri bağlamında, uluslararası haksız fiilin iki unsuru olan bir uluslararası normun ihlalinin varlığı ve atfedilebilirlik açısından bir inceleme yapılması gerekmektedir.

Barış zamanı siber casusluk faaliyetlerini yasaklayan ya da uluslararası hukuka uygun kabul eden bir hukuk kuralı yoktur. Uluslararası teamül hukuku açısından da siber casusluğu yasaklayan bir norm yoktur.  Casusluk faaliyetleri, devletlerin yaygın olarak başvurdukları ama düzenleme yapmaya yanaşmadıkları bir alan olarak günümüze kadar devam etmiştir. Bunun sebebi, uluslararası ilişkilerin doğası açısından bakıldığında, devletlerin diğer devletler hakkında gizli bilgi edinmekten vazgeçmeyecekleri düşüncesidir. Uluslararası arenada sıkça gerçekleştirilen bir devlet uygulaması olmasına karşın, devletler gizlice ve sessizce mücadele ettikleri ve gerçekleştirdikleri casus faaliyetleri uluslararası hukuk bağlamında normlara bağlamaktan kaçınmaktadırlar. Bu sebeple uluslararası hukukçular ve uluslararası hukuk öğretisi casusluk faaliyetlerini uluslararası hukuk boyutuyla incelemek konusunda, Snowden belgeleri siber casusluğun gerçek boyutlarını ortaya çıkarana dek, gönülsüz kalmışlardır.

Genel kabul gören görüş, Tallinn Manual 2.0 Kural 32’de somutlaştırılmıştır. Buna göre barış zamanı siber casusluk faaliyetleri bizatihi uluslararası hukuku ihlal etmez, fakat casuslukta kullanılan metot uluslararası hukuku ihlal edebilir.[10] Bu itibarla siber casusluğu doğrudan yasaklayan bir norm olmamakla birlikte, uygulanan yöntem uluslararası hukuka aykırılık teşkil edebilir. Örneğin, 1961 tarihli Diplomatik İlişkiler Hakkındaki Viyana Sözleşmesi’ne göre misyon binaları, eşyaları, evrak ve arşivleri ‘nerede bulunursa bulunsun’ dokunulmazlığı haizdir.[11] Diplomatik temsilcilikte kurulu siber altyapı, bilgisayarlar ve siber ağ da aynı şekilde dokunulmazdır. Temsilcilikte bulunan ağ, sunucu ve temsilciliğin haberleşmesinin izlenmesi diplomatik temsilciliklerin dokunulmazlığına ilişkin yerleşik hukuk normunu ihlal edecektir. Yine aynı şekilde, Snowden belgeleriyle[12] gündeme gelen 38 farklı elçilik ve diplomatik temsilciliğin haberleşmesinin gizlice dinlenmesi ve kayda alınması dokunulmazlığın ihlali anlamına geldiğinden haksız fiil oluşturacaktır.

Aynı şekilde siber casusluk gerçek kişilere karşı, haberleşmenin gizliliği ve özel yaşam hakkının ihlalini teşkil edebilir. Yine Snowden belgelerinde ABD tarafından, ulusal ve uluslararası güvenlik, terör faaliyetleri ve uluslararası suçlar ile mücadele gibi bahanelerle, dünyanın birçok yerinden gerçek kişilerin mesajlaşma ve haberleşme verilerinin yanı sıra kişisel bilgilerinin de ele geçirildiği ve gözetlendiği ortaya konulmuştu.[13] Offline olarak korunan ve tesis edilen özel hayata saygı hakkının (AİHS madde 8) ve bunun uzantısı olan haberleşme özgürlüğü ve özel hayatın gizliliğinin  siber ortamda da aynen tesis edilmesi ve korunması esastır.[14] Gerçek kişilerin özel haberleşmesinin gözlenmesi ve kaydedilmesi şeklindeki siber casusluk faaliyetleri de özel hayatın gizliliğini ihlal ettiğinden  uluslararası haksız fiil oluşturabilecektir.

Bir diğer sorun, siber casusluk girişimlerinin devletlerin ülkesel egemenliğini ihlal edip etmeyeceği meselesidir. Devletlerin siber uzay üzerinde doğrudan bir egemen yetkileri bulunmamaktadır. Fakat bir devletin kara veya deniz ülkesi içinde fiziki olarak konuşlanmış siber altyapısı ve buna bağlı siber ağları o devletin egemenliği altında kabul edilir.[15] Yalnız söz konusu siber altyapı ve ağlara yönelik siber casusluk faaliyetinin, doğrudan devletin ülkesel egemenliğini ihlal edip etmediği ihtilaflıdır. Bir görüşe göre devletin egemenlik alanı içinde fiziki olarak konuşlanmış siber altyapı ve bunlara bağlı ağ ve sunuculara yönelik siber casusluk faaliyetleri devletin ülkesel egemenliğini ihlal edecektir.[16] Devletlerin kara ve deniz ülkelerinde konuşlanan savunma ve güvenlik sistemlerine sızma ve veri elde etme işlemleri de aynı şekilde bölgesel egemenlik ihlali teşkil etmelidir. Yalnız öğretide, zarar meydana gelmediği müddetçe bir devletin topraklarında konuşlanan güvenlik ve siber altyapılarına ilişkin veri toplama ve casusluk faaliyetlerinin egemenliğin ihlalini teşkil edemeyeceğine ilişkin görüş de mevcuttur.[17] Bu görüşe göre, salt olarak, bir devletin ülkesi içinde bulunan askeri, endüstriyel siber sistem ve altyapılara sızmak, sistemi gözetlemek ve veri aşırmak hedef devletin egemenliğinin ihlali olarak görülemeyecektir. Sonuç olarak, siber metod ve araçlar vasıtasıyla yapılan gizli nitelikli veri araklama ve casusluk faaliyetlerinin devletin ülkesel egemenliğinin ihlalini oluşturup oluşturmadığı meselesi hala tartışmalıdır.

Atfedilebilirlik

Bir siber faaliyet olarak casusluk faaliyetinin devlete atfedilebilirliği de Uluslararası Hukuk Komisyonu’nun Devletlerin Haksız Eylemleri Nedeniyle Uluslararası Sorumlulukları Hakkında Taslak Maddeler’deki  (ARSIWA) atfedilebilirlik hükümlerine uygun olarak Tallinn Manual 2.0 Kural 15 ve devamında düzenlenmiştir. Devletin bir organı veya iç hukuk tarafından kamu gücü otoritesi ile donatılmış kişi veya kurumlar tarafından gerçekleştirilen siber faaliyetler devletlere atfedilebilir niteliktedir. Devletlerin ulusal güvenlik, ordu veya istihbarat kurumlarına bağlı iç hukuk tarafından siber savunma ve operasyonlar için açıkça görevlendirilmiş siber birimlerinin operasyonları, ilgili devlete doğrudan atfedilebilecektir. Örneğin, USCYBERCOM, ABD’nin siber platformdaki ulusal çıkarlarını korumak ve geliştirmek için kurulmuş ve yetkilendirilmiş orduya bağlı bir askeri birimdir. Bu birimin siber operasyonlarının tümü Birleşik Devletlere atfedilebilir.[18] Bunun yanında devletler tarafından siber faaliyetler (siber casusluk) yapmak amacıyla görevlendirilen veya desteklenen devlet dışı aktörlerin (siber faaliyet gerçekleştiren özel şirketler, gerçek kişi veya kurumlar) faaliyetleri de devlete atfedilebilir niteliktedir.

Burada, siber saldırılar ve siber casusluk faaliyetleri açısından asıl problemli nokta, siber saldırıyı gerçekleştirenin gerçek kimlik ve konumunun belirlenmesinin zorluğudur. Öncelikle gizli nitelikli kötü niyetli girişimlerin (casus faaliyetin) varlığının tespiti, saldırının bertaraf edilmesi açısından önemli ise de atfedilebilirlik ve sorumluluğun doğması açısından yeterli değildir. Saldırganın veya siber girişimde bulunanın gerçek kimliğinin tespit edilmesi sorumluluğun doğması ve sorumlu devletin/kişinin tespiti açısından kritik niteliktedir.

Çoğu durumda, siber girişimin lokasyonunun belirlenmesi, faaliyetin atfedilebilirliği açısından yeterli olmamaktadır. Bazı kötü niyetli siber girişimler, başka bir devletin siber altyapılarını kullanılarak veya bu siber altyapının hack’lenmesi suretiyle gerçekleştirilebilmektedir. Bu sebeple, kötü niyetli girişimin lokasyon bilgisinin veya kaynağının bir devletin siber altyapısını işaret etmesi, girişimin bizatihi bu devlete atfedilebilmesi için yeterli delil teşkil etmeyecektir.[19] Ayrıca, bir devlet organını veya devlete ilişkin IP adreslerini taklit ederek gerçekleştirilen siber saldırı/girişimler de saldırganın gerçek kimliğinin tespitini, dolayısıyla siber girişimin atfedilebilirliğini daha zor ve karmaşık hale getirmektedir. [20]

Devletler, siber güvenlik faaliyetleri kapsamında, siber saldırı/girişimin kaynağını ve kimliğini tespit edebilecek türden uygulama ve metodlar da geliştirebilmektedirler. Örneğin, tuzak sunucular (Honeypot), “bilgi sistemlerine yetkisiz erişen saldırganlar ya da kullanıcılar hakkında bilgi toplamaya yarayan sunuculardır.”[21] Tuzak sunucular herhangi bir olası siber saldırı/girişime karşı savunma olarak kullanılmaktadır. Ayrıca bunlara saldırı veya girişimde bulunanın IP adresi, lokasyonu, amaç ve metodu hakkında bilgi toplayacak şekilde donatılabilmektedirler. Böylece olası bir casus girişimde, gerçek kimliğin tespiti ve atfedilebilirlik açısından önemli nitelikte bilgiler elde edilebilmektedir.

Sonuç

Siber casusluk girişimlerinin uluslararası haksız fiil teşkil etmesi, hem casus faaliyetin tespit edilip sorumlu devlete atfedilebilmesini hem de bu casus faaliyetin bir uluslararası normunun ihlalini teşkil etmesini gerektirmektedir. Siber platform vasıtasıyla gerçekleşen girişimlerinin devlete atfedilebilmesi, girişimin kaynağının ve ardındaki gerçek kimliğin tespitini gerektirmektedir. Siber platformun sürekli dönüşen yapısı, kötü niyetli siber girişimlerde kullanılan teknik metot ve yazılımların çeşitliliği ve bu çeşitliliğin sürekli artması, saldırganın kimlik tespitini zorlaştırmaktadır. Bu durum, siber casusluk girişimleri açısından haksız fiilin devlete atfedilebilirliğini çok zorlaştırmaktadır. Bunun yanında, casusluk tek başına bir uluslararası normu ihlal etmemektedir. Esasen kullanılan metot ve araçlar itibariyle ilgili uluslararası normlara aykırılığı gündeme gelebilmektedir. Böylece, siber casusluk faaliyetleri en azından dar bir kapsamda haksız fiil olarak nitelendirilebilmekte ve devletin sorumluluğunu doğurabilmektedir.

 

[1] https://www.theguardian.com/world/2013/jun/30/nsa-leaks-us-bugging-european-allies

[2] https://www.bbc.com/news/world-us-canada-23123964

[3] Cyber Espionage and International Law, Russel Buchan, s.13.

[4] Tallinn Manual 2.0,  Kural 32/2, “the term ‘cyber espionage’ refers to any act undertaken clandestinely or under false pretences that uses cyber capabilities to gather, or attempt to gather, information.”

[5] https://en.wikipedia.org/wiki/Advanced_persistent_threat

[6] https://en.wikipedia.org/wiki/Cyber-kinetic_attack

[7] Tallınn Manual 2.0 On The Internatıonal Law Applıcable To Cyber Operatıons

[8] Draft articles on Responsibility of States for Internationally Wrongful Acts(ARSİWA), Devletlerin Haksız Fiil Sorumluluğuna ilişkin Uluslararası Hukuk Komisyonu Taslak maddeler metni, Madde 2.

[9] Tallin Manual 2.0,  Kural 14.

[10] Tallinn Manual 2.0 , Kural 32 ,  “Peacetime cyber espionage Although peacetime cyber espionage by States does not per se violate international law, the method by which it is carried out might do so.”

[11] Viyana Sözleşmesi madde 22 ve madde 24.

[12] https://www.theguardian.com/world/2013/jun/30/nsa-leaks-us-bugging-european-allies

[13] https://www.washingtonpost.com/world/national-security/in-nsa-intercepted-data%20those-not-targeted-far-outnumber-the-foreigners-who-are/2014/07/05/8139adf8-045a-11e4-8572-4b1b969b6322_story.html?utm_term=.73d1872566c66

[14] The Right to Privacy in the Digital Age, UN Doc A/RES/68/167, 18 Aralık 2013, paragraf 5.

[15] Tallin Manual Kural 2 ve yorumları

[16] Buchan, s.51.

[17] Tallin Manual, Kural 32/8

[18] https://www.cybercom.mil/About/Mission-and-Vision/

[19] Tallinn Manual Kural 15/13

[20] Tallinn Manual 2.0 Kural 15/15

[21] https://en.wikipedia.org/wiki/Honeypot_(computing)

Muhammed Halid Kavak
    Muhammed Halid Kavak, 2017 yılında İstanbul Üniversitesi Hukuk Fakültesinden mezun olmuştur. Eylül 2019’dan beri İzmir Bakırçay Üniversitesi Hukuk Fakültesinde araştırma görevlisi olarak çalışmaktadır. ICIL 2019 yaz okuluna (SAIL 2019) ve Formasyon 2 programına katılmıştır. Uluslararası kamu hukuku, devletlerin uluslararası sorumluluğu ve idare hukuku alanları ile ilgilenmektedir.

    You may also like

    Leave A Reply

    Your email address will not be published. Required fields are marked *

    Lütfen Cevaplayınız - Please Answer *Captcha loading...