İnsanlığın karada başlayan güç mücadelesi zamanla denizle tanışmış, 20. yüzyılda ortaya çıkan hava, uzay ve siberle savaşın sahası bir hayli genişlemiştir. Buna ek olarak teknolojik gelişmeler de çatışma dinamiklerini temelinden değiştirmiştir. Erken modern Avrupa’daki Barut Devrimi, 19. yüzyıldaki Sanayi Devrimi, 1950lerdeki Nükleer Devrim ve 21. yüzyılda hepimizin yaşamakta olduğu Bilgi Devrimi bu dönüşümün temel noktalarını oluşturmakta.
Geleceği öngörmek zordur ve hemen her dönemde insanlar yeni gelişmeleri yorumlayabilmek için geçmişteki olayları incelemiş ve benzerlikler kurmaya çalışmışlardır. Joseph Nye da 2011’de kaleme aldığı “Nuclear Lessons for Cyber Security?” başlıklı makalesinde benzer bir metodu kullanarak “Nükleer silahlanma döneminnden siber güvenliğe dair birtakım dersler çıkarabilir miyiz?” sorusuna yanıt aramaktadır. İlk olarak kendi perspektifinden siber uzayın genel bir görüntüsünü ortaya koyan Nye, devamında nükleer dönemden siber güvenliğe dair alınabilecek genel dersleri başlıklara ayırarak açıklamakta; son bölümde ise uluslararası iş birliğine dair alınabilecek dersleri tarihsel örneklerle ortaya koymakta ve önerilerde bulunmaktadır.
Siber uzayın fiziksel ve sanal olmak üzere iki katmandan oluştuğunu vurgulayarak siber alan tasvirine başlayan Nye, devletlerin -egemenlik haklarından kaynaklanan- fiziksel katmandaki güçlerinin altını çizmekte ve siber savaşı “kansız savaş” olarak tanımlayan kavramsallaştırmalara eleştiri getirmektedir. Bunları dar tanımlar olarak görerek siber savaşı ‘siber alanda icra edilen ve büyük kinetik şiddete eşdeğer yahut ona yol açabilecek etkiye sahip düşmanca eylemler’ olarak tanımlamıştır.
İlgili haber: Nükleer dünyadan siber uzaya iktidarın yeni boyutu
Devletlerin fiziksel katmandaki güçlerinin altını çizmesine rağmen, devlet elinde yoğunlaşmış gücün artık diğer aktörlere doğru dağılmaya başladığını “Gücün Yayılması” kavramıyla ifade eden Nye, siber uzayın bunun en güzel örneklerinden biri olduğunu söylemektedir. Ona göre kara, hava ya da denizin aksine siber sahayı bir devletin tek başına domine etmesi mümkün değildir. Zira hem bu sahaya girmek diğerlerine göre çok daha masrafsızdır (Deniz Görev Gücü oluşturmakla operasyonel bir siber ekip oluşturmak arasında ciddi bir maliyet farkı vardır) hem de paradoksal bir şekilde siber sahada güçlenmek zafiyeti de beraberinde getirmektedir. Bunun en tipik örneği çok güçlü siber saldırı araçlarına sahip olmasına rağmen ağ ortamına bağımlılığı sebebiyle saldırıya en açık ülkesi olan ABD’dir.
Günümüzde siberde saldırının savunmaya baskın geldiğini belirten Nye, ulusal güvenliğe tehdit oluşturan 4 temel siber tehdit olduğunu iddia etmektedir: Devletlerle ilişkilendirilebilecek Siber Savaş & Ekonomik Espiyonaj ve devlet-dışı aktörlerle ilişkilendirilebilecek Siber Suç & Siber Terörizm. Devlet kadar bütçe yöneten şirketlerin olduğunu günümüzde ekonomik espiyonajı sadece devletlerle ilişkilendirmeyi doğru bulmasam da bu yazı Nye’ın makalesini incelemeyi amaçladığından konuyu başka bir yazıda ele almak üzere kapatalım.
Makalede siber alanın ve muhtemel tehditlerin açıklanmasından sonra nükleer-siber karşılaştırmaları yapılarak alınabilecek dersler belirtilmiştir. Yazara göre nükleer ve siber arasındaki en temel ayrım ortaya çıkış ve kontrolleriyle ilgilidir. Askeri amaçlarla ortaya çıkan ve sıkı kontrol altında tutulan nükleer gücün aksine internet sivil amaçlarla geliştirilmiş ve kontrolü sivillerde kalmıştır, dolayısıyla güvenlik arka plandadır. Bu sebeple devlet-dışı aktörlerin nükleer silahlara erişimi neredeyse imkansızken; siber alana rahatlıkla girip eylem yapabilmeleri mümkündür. Nye’ın nükleer-siber karşılaştırmalarına devam ederek çıkardığı diğer dersler şunlardır:
Teknolojideki sürekli değişimler ilk dönem strateji çalışmalarını karmaşıklaştıracaktır
Nükleer dönemin ilk yıllarında nükleer kaynakların kıt ve etki alanının sınırlı olduğu düşünüldüğünden strateji düşünürleri buna göre stratejiler geliştirmişlerdi. Sayısal üstünlüğün mutlaka stratejik üstünlük anlamına gelmeyeceği, karşılık verebilecek kadar cephaneliğe sahip olmanın yeterli olacağı şeklindeki minimum caydırıcılık stratejisi benimsenmişti. Bu yaklaşım, limitleri ortadan kaldıran hidrojen bombasının keşfiyle ciddi bir meydan okumaya maruz kaldı ve strateji düşünürleri yeni yaklaşımlar geliştirmek amacıyla çalışmalarına başladılar.
ARPANET 1969 yılında kurulmuş olsa da World Wide Web’in ortaya çıkışı 1990’lara denk gelmektedir. Yani şu an güvenliğini tartıştığımız alanın yalnızca 20-30 yıllık bir mazisi var ve sürekli yeni gelişmeler yaşanmakta. Nükleer ve siber arasındaki gelişim çizgilerini benzeştiren Nye, böylesi teknolojik değişimlerin olduğu bir alanda geliştirilecek siber stratejilerin çok yönlü ve gelişmelere devamlı adapte olabilecek bir yapıda olması gerektiğini söylemektedir. Strateji olarak saldırganın iş yükünü savunana kıyasla fazlasıyla arttırmayı önermekte ve tıpkı nükleer dönemde olduğu gibi bugünün çözümlerinin yarın geçerli olmayabileceğinin bilinmesinin önemli olduğunu belirtmektedir.
Yeni teknolojiye dair stratejiler yeterli empirik içerikten yoksun kalacaktır
Hiroşima’dan sonra bir daha nükleer saldırı gerçekleşmediğinden geliştirilen stratejik yaklaşımlar soyut düzeyde kalmış ve bunları gerçek hayat tecrübesiyle test etmek mümkün olmamıştır. Aksine siber cephede her gün binlerce saldırı gerçekleşmekte ve bu sayede strateji önerilerini test edebilecek empirik veritabanı oluşturulabilmektedir. Bu noktadaki sıkıntı ise bugüne kadar gerçek anlamda siber savaş diyebileceğimiz bir durumun yaşanmamasıdır. Başta ABD olmak üzere devletlerin düzenlediği harp oyunları ve simülasyonlar olsa da bunlar savaşın sis perdesini kaldırmaya yetmemekte ve siber savaşın doğurabileceği beklenmeyen sonuçları gösterememektedir.
Yeni teknolojiler sivil-asker iş birliğine yeni meseleler ekleyecektir
Nükleer dönemin ilk yıllarında ABD’deki siyasi liderler bu yıkıcı teknolojinin sivil kontrolünde kalması için Atom Enerjisi Ajansı’nı kurarken, operasyonel kontrolü ise Stratejik Kuvvetler Komutanlığı’na vermişlerdir. Bu kurumların yaklaşım farkları sebebiyle zaman zaman problemler de yaşanmıştır. Zira sivil yöneticiler nükleer silahları politikayı destekleyici araçlar olarak görürken askerler düşmanı yok edecek silahlar olarak görmüşlerdir. Nye, ABD’deki Siber Komutanlık henüz çok yeni olmasına rağmen burada da benzer sıkıntıların yaşanma ihtimalini vurgulamıştır. Nükleer ve siber arasındaki tepki süresinin farklılığı da önemli bir faktördür. Nükleer saldırıda tespit ve yanıt süresi onlarca dakikayı bulabilirken siber uzayda bu süre 300 milisaniyeye kadar inmiştir. Nye, karar ve tepki sürecinin bu kadar kısaldığı bir alanda yetkinin en alt kademeye kadar delege edilmesi olasılığının ve sivil-asker yetki dağılımının yeniden düşünülmesi gerektiğini vurgulamıştır.
Sivil kullanım efektif ulusal güvenlik stratejilerini zorlaştıracaktır
Nükleer devrim tamamen askeri amaçlarla ortaya çıksa da zamanla ticari kullanıma açılmış ve denetim amacıyla kurulan kurumlar bu ticarileşmenin getirdiği ortamda görevini yapamaz hale gelmişlerdir. Ticari rekabet, sıkı denetim mekanizmasını gevşemeye zorlamıştır. Nükleerin aksine siber alanda özel sektörün çok önemli gücü bulunmaktadır. Pek çok altyapı özel sektöre aittir ve hükümetler kullanıcı durumundadır. Bu mülkiyet ilişkisi sebebiyle siber güvenliği özel sektörün sağlaması beklenmektedir; fakat yoğun rekabet ortamında şirketler buna yeterince kaynak ayıramamakta, yaşadıkları siber saldırıları da kurumsal imajlarını korumak amacıyla saklamaktadırlar. Tüm bunları değerlendiren Nye, devletlerin etkili bir ulusal siber güvenlik stratejisi oluşturmalarının zor olduğunu belirtmektedir.
Öğrenme süreci bir iş birliği olmaksızın tarafların aynı düşünceye gelmelerine sebep olabilir
Sibere dair bu genel derslerden sonra Nye’ın uluslararası iş birliğine dair çıkardığı ilk ders paralel öğrenme sürecinin önemidir. Nükleer dönemin ilk zamanlarında devletler herhangi bir iş birliğine ve kontrol mekanizması oluşturmaya yanaşmamışlardır. Buna rağmen Sovyetler Birliği ve ABD’nin birbirinden ayrı yaşadığı öğrenme süreçleri onları adım adım iş birliğine götürmüştür. Yaklaşık 20 yıl boyunca yaşanan yanlış alarmlar sonucu oluşan tehlikeyi gören, kısıtlama getirilmezse nükleerin çok büyük tehditler yaratacağını anlayan 2 süper güç bu öğrenme sürecinin sonunda iş birliği yapmayı kabul etmiştir. Siber alan doğası gereği -belli bir seviyede de olsa- iş birliği ve kontrol mekanizmasına ihtiyaç duymaktadır. Internet Engineering Task Force (IETF) ve ICANN gibi kurumlar bu görevi görse de henüz devletlerarası bir iş birliği mekanizması oluşturulabilmiş değildir. Nye nükleerde olduğu gibi siberde de devletlerin kendi başlarına yaşayacakları öğrenme deneyimlerinin onları iş birliğine yöneltebileceğini söylemektedir.
Silah kontrollerini üçüncü taraflarla ilgili pozitif-toplamlı oyunlarla başlatmak gerekir
Nye’ın uluslararası iş birliğine dair çıkardığı ikinci ders ise silah kontrolü gerektiren anlaşmalara adım adım gidilmesi gerektiğidir. ABD ve Sovyetler’in silah kontrolüne dair anlaşmaya varmaları için 30 yıl beklemek gerekmiştir. Bu yolda öncelikle çevreci bir anlaşma gibi gözüken ‘atmosferde nükleer denemeyi yasaklamak’ ve nükleer silahların üçüncü tarafların elini geçişini engellemek gibi iki devletin de çıkarına olan anlaşmalar imzalanmıştır. Bu süreçten ders çıkaran Nye, siber alanda da direkt devletlere yönelik kısıtlama getirme çabasını gerçekçi bulmamakta ve ilk aşamada siber terörizm gibi tüm devletlerin çıkarına olacak alanlarda anlaşma zemini aranması gerektiğini vurgulamaktadır.
Sonuç
Özetle Nye bu makalesinde yeni yeni gelişmekte olan siber alanı anlamlandırabilmek için bizzat tanıklık ettiği nükleer dönemle benzerlikler bulmaya çalışmıştır. Siber güvenlik stratejileri geliştirmeye çalışanlara nükleer dönemde yaşanan zorlukları hatırlatarak önerilerde bulunmuş, sivil-asker iş birliğinin önemine dikkat çekmiş, iki dönem arasındaki yapısal farklılıkları vurgulamış ve devletleri iş birliğine ikna etmek için izlenmesi gereken bir yol haritası sunmuştur. Şahsen siber ve nükleer arasında yapısal farklılıklar bulunduğunu ve makalede yapılan bazı benzetmelerin zorlama olduğunu düşünüyorum; fakat yazıyı çok uzatmamak adına eleştirileri başka bir yazıda ele almak daha doğru olacaktır. Eleştirilerimi korumakla birlikte hem sahip olduğu akademik birikim hem de devlet tecrübesi sebebiyle Nye’ın söylediklerinin önemli olduğunu düşünüyor, makaleyi okumanızı öneriyorum.
Siber Bülten abone listesine kaydolmak için formu doldurunuz
