Ana sayfa 125. Sayı Stuxnet ve uluslararası hukuk: Bir siber saldırının anatomisi

Stuxnet ve uluslararası hukuk: Bir siber saldırının anatomisi

200
PAYLAŞ

Murat Can

Stuxnet dava süreciyle ilgili birçok belirsizlik bulunuyor. İran gerçekten bu siber saldırıyı mahkemeye taşıyacak mı; mahkeme bu davayı kabul edecek mi; eğer dava görülecek olursa, ABD kendini savunma yoluna gidecek mi; eğer savunmayı seçerse hangi argümanlar ile hareket edecek; dava sonunda mahkeme nasıl bir karar verecek, Tallinn Kitapçığı’ndaki hükümleri dikkate alacak mı, bunların hepsi yanıtları belli olmayan sorular.

Stuxnet ortaya çıktığından beri, siber güvenliğin bütün boyutlarıyla ilgilenen herkesi bir heyecan sardı. Siber güvenlik bugüne kadar sadece marjinal gibi görünen bazı uzmanlar tarafından tartışılırken, Stuxnet kadar büyük ölçekli ve profesyonel bir siber saldırının devletler düzeyinde gerçekleştirilmesi, meseleyle uzaktan yakından ilgilenen herkesi bu konuya daha da gömülmeye itti. Stuxnet, siber savaşın ve siber silahların, bir dönem tartışılan uzay savaşları gibi sadece kağıt üzerinde kalmayacağını gösterdi. Ayrıca meselenin içinde devlet dahli olma ihtimali de, bu konuda bir uluslararası düzenleme gerekliliğini bir kez daha gözler önüne serdi.

Stuxnet neydi?

Stuxnet saldırısı çok büyük ihtimalle bir ABD-İsrail ortak yapımıdır.

Kısaca hatırlamak gerekirse, Stuxnet, Haziran 2010’da fark edilen ve İran’ın Natanz nükleer geliştirme tesisine saldırmak için geliştirilmiş olan bir siber silahın adıdır. Bu saldırı, resmi olarak hiçbir devlet tarafından üstlenmemiş olsa da, saldırı çok büyük ihtimalle bir ABD-İsrail ortak yapımıdır. Zira her iki ülkeden de bu konuda herhangi bir yalanlama gelmemiştir. Ayrıca David Sanger de 2011 yılında yazdığı makalesinde ve daha sonra çıkan Confront and Conceal kitabında, Stuxnet’in Obama’nın emriyle NSA’in Maryland’deki merkezinde geliştirildiğini ve İsrail’de kurulan bir model nükleer tesiste denendiğini iddia etmektedir. Sanger’in iddiaları oldukça inandırıcı olsa da, bu konuda herhangi bir resmi açıklama yapılmamış olması, iddiaları empirik açıdan sorgulanabilir kılmaktadır.

Bir siber saldırı, hedef sistemdeki sistem açıklarını kullanarak içeri sızar. Stuxnet’te ise, “zero-day” yani sıfırıncı gün açıkları adı verilen, sistem açığı piyasalarında değeri kimi zaman yüz binlerce doları bulabilen sistem açıklarından bolca kullanılmıştır. Diğer bir deyişle Stuxnet’in tasarlanması, milyon dolarlık bir bütçeye mal olmuştur. Bu da, Stuxnet’in amatör birey veya gruplarca değil de ancak bir ulus devlet bütçesi ve teknik birikimi ile tasarlanmış olduğu konusunda ikna edici bir veri sunar. Bu konuda, Stuxnet’in geliştirilmesinde ana rolü olduğu iddia edilen devlet olan ABD’nin suskunluğunun çeşitli nedenleri bulunmaktadır. Öncelikle böyle bir saldırıyı üstlenmek, beraberinde başka bir devletin egemenlik haklarını ihlal anlamına gelir. Söz konusu hedef ülke, İran gibi uluslararası hukukla sıkıntılı bir devlet bile olsa, sonuç değişmeyecek ve ABD bu saldırıdan dolayı haksız konumda görünecektir. İkincisi (ve siber güvenlik çalışan siyaset bilimciler açısından çok daha heyecan verici olan ise) uluslararası ilişkilerin en temel kavramlarından biri olan caydırıcılık açısından ABD suskunluğunun belli bir anlama geliyor olmasıdır. Caydırıcılık, siber caydırıcılık ve ABD suskunluğu konusuna yine bu yazıda değineceğiz.

Stuxnet’in eylem planı

Stuxnet, Natanz’daki uranyum zenginleştirme tesisine saldırırken, bunu, akıllara durgunluk verecek derecede ustalık ve kurnazlık içeren süreçlerle yaptı. Öncelikle belirtmek gerekir ki, bu nükleer tesis, diğer tüm SCADA sistemleri gibi global internet ağından güvenlik gerekçeleriyle koparılmış şekilde işlemektedir. Yani bu sisteme bir virüs bulaştırabilmek için USB sürücü veya harici hard disk gibi bir aparatın sisteme bir şekilde dahil edilmesi gerekir. Stuxnet’in de bunu, bu nükleer tesise hizmet veren üçüncü şahıslar, yani taşeron firmalar ile gerçekleştirdiği düşünülmektedir.

Stuxnet, aktif olduğu süre boyunca, nükleer tesiste içinde uranyum zenginleştirilen santrifüjlerin dönüş hızlarını etkileyerek kullanım ömürlerini azaltmak suretiyle zenginleştirme sürecine zarar vermeyi hedeflemiştir. Bunu yapmaya başlamadan önce, SCADA ekranlarında, daha önceden almış olduğu 21 saniyelik ekran görüntüsünü defalarca döndürerek kontrol mühendislerini yanıltmayı başarmıştır. Arka planda, santrifüjlerin dönüş hızlarını artırıp azaltarak ömürlerini azaltmıştır. Kırılan veya parçalanan santrifüjlerin yerine yenilerinin takılması gerekir. Bu şekilde, nükleer zenginleştirme süreci tamamen sekteye uğramasa da, İran uranyum zenginleştirme planlarında en azından 2 yıllık bir üretim aksaması olduğu düşünülebilir. Stuxnet’in neden bu şekilde bir eylem planı izlediği konusunda çeşitli tahminler bulunmaktadır. Stuxnet, bir anda tüm sistemi parçalayacak, tüm santrifüjleri kıracak şekilde değil de, uzun vadede gizli şekilde bu parçaların kullanım ömürlerini azaltacak şekilde dizayn edilmiştir. İran ise ömrü biten santrifüjleri, yenileriyle değiştirmesine imkan verecek sayıda santrifüjü üretip yedekte beklettiğinden, nükleer geliştirmede ciddi bir zarar görülmemiştir. Yine de Stuxnet, tüm bunlara rağmen, kamuya açıklanan ilk siber silah olarak tarihe geçmiştir.

Birleşmiş Milletler Sözleşmesi’ne göre…

Bugüne kadar konuyla ilgili sessizliğini koruyan İran’ın geçtiğimiz günlerde Stuxnet’i uluslararası mahkemeye taşıyacağı yönünde bir haber basına yansıdı. Bu yazıda da Stuxnet gibi bir siber saldırının Uluslararası Adalet Divanı’na taşınması sürecinde neler yaşanabileceği konusunda bir değerlendirme yapılacak ve tüm bu hukukî sürecin siber güvenlik açısından önemi tartışılacak.

Stuxnet, teoride, uluslararası hukukun en temel metinlerinden biri olan Birleşmiş Milletler Sözleşmesi’ni de (The Charter of the United Nations) ihlal etmiştir. Bu sözleşmede, 1.2.4’te açıkça şunlar belirtilir: “Tüm üyeler, uluslararası ilişkilerinde gerek herhangi bir başka devletin toprak bütünlüğüne ya da siyasal bağımsızlığına karşı, gerek Birleşmiş Milletler’in amaçları ile bağdaşmayacak herhangi bir biçimde kuvvet kullanma tehdidine ya da kuvvet kullanılmasına başvurmaktan kaçınırlar.” Stuxnet’te de açıkça bir başka devletin egemenlik haklarını ihlal söz konusudur.

Bilindiği üzere, bir devletin başka bir devletin egemenlik haklarına ve bütünlüğüne saygı duyması uluslararası hukukun en temel kurallarından birini oluşturur. Başka bir devletin topraklarına olduğu kadar, sanayi ve teknik altyapısına saygı duymak, o devletin egemenliğini ilgilendiren bir konudur ve ihlali durumunda uluslararası hukukun ve uluslararası toplumun yaptırımlarıyla karşı karşıya kalınır. Normal şartlar altında, her devlet, gayri hukuki olarak verdiği tüm zararları karşılamak zorundadır. Bu konuda uluslararası hukuk normları gayet nettir. Teamül olarak bu şekilde tüm devletlerce kabul edilen bu norm, artık uluslararası hukuk davalarının kararları neticeleriyle de, hukuk mevzuatına girmiştir. 1928’de Milletler Cemiyeti’nin mahkemesi olan Daimi Uluslararası Adalet Divanı (Permanent Court of International Justice) tarafından görülen ve Chorzow Fabrikası Davası olarak da bilinen Germany v. Poland PCIJ davasında mahkemenin tazminat verilmesi konusunda verdiği karar, bu konuda gelecek tüm davalar için uluslararası hukukun temellerinden birini oluşturmuştur. Mahkemeye göre: “Herhangi bir taahhüdün ihlalinin beraberinde tazminat ödeme yükümlülüğü getirmesi, hem uluslararası hukukun hem de genel olarak hukuk anlayışının temel ilkelerinden biridir.”

Saldırının kaynağının kestirilememesi sorunu

İlk bakışta Stuxnet’in de aynı şekilde, Natanz nükleer tesisine verdiği zarardan dolayı ABD’nin tazminat ödemesi gerektiği düşünülebilir. Zira ortada açık bir egemenlik ihlali ve bir devletin sanayisine verilmiş ciddi bir ekonomik ve teknik zarar bulunmaktadır. Yalnız bu noktada, siber güvenlikle ilgili çok ciddi bir duvara çarpılmaktadır. Siber güvenliğin temel problemlerinden biri de, hayata geçirilmiş bir siber saldırının gerçekten kim tarafından gerçekleştirildiğinin tespitinin kimi zaman imkansız olmasıdır. “Attribution” yani isnat problemi olarak anılan bu sorun, bir siber saldırı sırasında kullanılan IP’lerin bambaşka proxy’ler kullanılarak gerçekleştirilmesinden veya saldırıyı gerçekleştiren grubun arkasında ulus devlet desteği olmasının tespit edilmesinin çok zor olmasından kaynaklanır. Stuxnet konusunda da şimdiye kadar resmî bir açıklama yapılmamıştır ve tahminler hukukî olarak spekülasyon mesabesindedir. Söz konusu bu isnat problemi, yani saldırının kime atfedileceğinin tam olarak kestirilememesi, Stuxnet için olduğu kadar diğer tüm siber saldırıların da hukukî olarak problem teşkil etmesinin nedenlerinden biridir. Öyle ki, örneğin Rusya’dan kaynaklandığı düşünülen bir saldırı, bambaşka bir ülkedeki amatör bir grup tarafından gerçekleştirilmiş olabilmektedir ve bu zincirin tam takip edilerek nihaî olarak kimin saldırıdan sorumlu tutulacağı, çözümü zor bir engeldir.

Söz konusu bu isnat sorunu, uluslararası hukuk açısından da ilginç bir durum ortaya çıkarır. Zira Uluslararası Hukuk Komisyonu’nun (ILC) 2001 yılında kabul ettiği “Devletlerin Uluslararası Hukuka Aykırı İşlemlerinin Sorumluluğu Hakkında Hükümler” (ARSIWA [Articles on Responsibility of States for Internationally Wrongful Acts]) taslağı, devletlerin hangi eylemlerinin hangi durumlarda uluslararası hukuka aykırı olarak nitelendirilebileceğini açıklığa kavuşturmaya çalışmıştır. Devletlerin kimi eylemleri “uluslararası hukuka aykırı” (internationally wrongful) olarak nitelenerek yargılanabilir. Fakat yine ARSIWA’nın 2. maddesine göre, söz konusu eylemin açıkça “söz konusu devlete isnat edilebilmesi” gerekmektedir. Yani diğer bir deyişle, hukuksuz eylem işlediği iddia edilen devletin bu eylemi gerçekten işlediğine dair açıkça ikna edici deliller bulunmalıdır. Fakat Stuxnet bağlamında, bu şekilde bir isnadiyet problemi vardır. Geleneksel silahlarda bir silahı dizayn eden ve saldırıda kullanan devlet kolaylıkla bulunabilirken, Stuxnet gibi bir siber silahta durum bu kadar kolay değildir. Bu türden siber saldırılar, kodlar yoluyla yapıldığından, salt kod incelenerek saldırı arkasında herhangi bir ülke dahli bulunması mümkün olmayacaktır. Dolayısıyla mahkemenin davayı delil yetersizliğinden dolayı incelemeye almaması söz konusu olacaktır. Bu durumda da siber güvenlikteki isnadiyet problemi açıkça hukuku alt etmiş olacak ve siber saldırılar için yeni bir hukuki yaklaşım ihdas edilmesi gerekecektir.

Beyan yeterli

Aslında, bu şekilde Stuxnet’i ABD’nin işlediğine dair bir yeterli kanıt elde edilemese bile, bir devletin bir saldırıyı üstlendiğini “beyan etmesi” de saldırının devlete isnat edilebilmesi için yeterli olacaktır. Aynı taslak hukuk belgesinin, yani ARSIWA’nın 11. maddesinde anlatılan “ikrar yoluyla isnat” (attribution by ackowledgement) devreye sokulabilir. Zira ARSIWA’nın 11. maddesi şöyledir: “Daha önceki maddeler altında bir devlete isnat edilemeyen eylemler, yine de, devletin bu eylemin kendi eylemi olduğunu beyan etmesi ve üzerine alması durumunda, uluslarararası hukuka göre bu devletin eylemi olarak sayılacaktır.” Diğer bir deyişle, beyan, isnadiyet için bir temel oluşturur. Beyanın isnadiyet açısından yeterli kabul edilmesi, uluslararası hukukta ARSIWA taslağı oluşturulmadan önce de önemli bir normdur. Örneğin 1956’da görülen ve Deniz Feneri Tahkimi olarak bilinen France v. Greece davasında, Girit’in Yunanistan devletinin topraklarına katıldığı beyanı, Girit’in yaptığı eylemin Yunanistan devletine isnat edilmesi için yeterli bir dayanak olarak görülmüştür. Görüldüğü üzere açık beyanlara ek olarak bu şekilde bir dolaylı beyan dahi isnadiyet içinde değerlendirilebilmektedir.

Fakat Stuxnet bağlamında, ABD’li devlet yetkililerinin beyanatları gerçekten güçlü bir dayanak teşkil edecek kadar sağlam değildir. Sanger’ın kitabındaki iddialarının ya da basında çıkan diğer iddiaların mahkemece delil olarak kabul edilebilmesi oldukça zordur.

Stuxnet’in hedefi olan İran konuyu uluslararası mahkemeye taşıyabilir.

ABD savunma yapar mı yapmaz mı?

Tüm bunlara rağmen, mahkeme davayı görmeyi kabul edebilir. Bu durumda, ABD’nin mahkemede kendini savunup savunmayacağı konusu çok önemlidir. Eğer savunmayı seçerse ve Stuxnet’i resmî olarak kendisinin yaptığını kabul ederse, bu durumda ABD tazminat ödeme ve prestij kaybı gibi riskleri göze almak durumunda kalacaktır. Eğer kendini savunmayı seçmezse de, bu durumda siber caydırıcılık açısından son derece önemli bir fırsatı kaçırmış olacaktır. Zira siber caydırıcılık, geleneksel caydırıcılıktan farklıdır. Normal şartlarda herhangi bir silahı üreten ve elinde bulunduran bir devlet, salt bu durumdan bile, diğer devletleri kendisine karşı güç kullanmaktan vazgeçirir ve caydırıcılıktan yararlanmış olur. Ancak siber silahlar kodlardan oluştuğundan, karşı devlete gözdağı vermekte kullanılmaları neredeyse imkansızdır ve devletlerin ikincil güç gösterilerine ihtiyacı vardır. Stuxnet gibi, bir mühendislik harikası siber silahın ABD tarafından uluslararası arenada sahiplenilmemesi, son derece stratejik bir siber caydırıcılık hamlesinin elden kaçırılması anlamına gelecektir. Yalnız bu noktada şöyle bir eleştiri haksız sayılmaz: Stuxnet ortaya çıktığından beri, bu siber silahın kendisine atfedilmesi neticesinde ABD zaten siber caydırıcılıktan fazlasıyla yararlanmıştır. Sadece resmi bir açıklama ile üstlenmemiş olması, caydırıcılıktan feragat etmesi anlamına gelmez. Böyle bir bakış açısı da şimdilik son derece haklı görünmektedir. Gerçekten de ABD’nin resmî olarak suskun kalması, kendisine siber güvenlik konusunda geldiği aşama hakkında son derece önemli bir prestij kazandırmıştır.

‘Zaruret’ hali tartışması

Yine de, uluslararası hukuk açısından olayı incelemeye devam edilmesi gerekirse, ABD’nin kendisini savunurken kullanmayı seçeceği argüman, bu saldırıyı kendini ve bölgedeki müttefiki İsrail’i koruma adına gerçekleştirdiği olabilecektir. İran’ın uranyum zenginleştirmesinin, muhtemel bir nükleer silah amacıyla kullanılmasını önceden önleme girişimi olarak kendini savunmaya gidebilir. Bu durum, uluslararası hukuka aykırı işlemler hakkında yukarıda bahsedilen taslakta ele alınmıştır. Bir devlet, kendisine ya da temel çıkarlarından birine bir zarar geleceği iddiasıyla zorunlu olduğu hallerde uluslararası hukuka aykırı bir eylem işlediğini iddia ederek kendini savunma yoluna gidebilir. Yukarıda bahsedilen ARSIWA’nın 25. maddesi, “zaruret” hallerini hükme bağlamıştır. Bu maddeye göre, “zaruret” (necessity) iddiası için “devletin, kendi temel çıkarlarına büyük ve mutlak bir tehlikenin önlenmesi için bu hukuka aykırı eylemi işlediğini” açıkça gösterebilmesi gerekir. Bu zaruret konusu, hukuka aykırı kimi eylemlerin işlenebilmesinin önünü açmaktadır. ABD’nin de olası Stuxnet davasında kendini savunması durumunda, bu maddeyi dayanak olarak kullanmak istemesi muhtemeldir. ABD, İran’ın Natanz’da geliştirdiği uranyumun, kendinin ve bölgedeki müttefiki İsrail’in güvenliğini tehlikeye atabileceğini, bunun da 25. maddede belirtilen “büyük ve mutlak bir tehlike” (“a grave and imminent peril”) teşkil ettiğini iddia edebilir. Fakat buradaki sorun, Natanz’da geliştirilen uranyumun herhangi bir nükleer silahta kullanıldığına dair bir kanıtın bulunmamasıdır. Ayrıca İran, Uluslararası Atom Enerjisi Ajansı’nın aktif bir üyesidir ve dolayısıyla bu ajansın güvenlik tedbirleri gereğince, Natanz’da geliştirilen uranyumun askeri silah geliştirmede kullanılmayacağını taahhüt etmiştir. Bu durumda ABD’nin olası bir Stuxnet davasında kendini savunurken, işlediği iddia edilen eylemi güvenliğini korumak için “zaruret” altında yaptığı şeklinde bir iddia da mesnetsiz bulunarak mahkeme tarafından haksız bulunabilir.

Tallinn Kitapçığı

Olası Stuxnet davasının siber güvenlik ve uluslararası hukuk açısından başka bir önemi daha bulunmaktadır. 2009 ve 2012 yılları arasında, NATO’nun girişimiyle uluslararası hukuk uzmanlarına yazdırılan ve savaş hukuku ile uluslararası insani hukukun siber savaşa uygulanabilirliğini irdeleyen Tallinn Kitapçığı’nın mevcut uluslararası mahkemelerce dikkate alınıp alınmayacağı, muhtemel bir Stuxnet davasında görülebilecektir. Tallinn Kitapçığı, henüz sadece uzman görüşlerini içeren bir kitap hükmündedir. Herhangi bir ülke ya da ülkeler tarafından resmî olarak kabul edilmiş veya tartışılmış değildir. Yine de, bu türden uzman görüşleri uluslararası hukuk için önemlidir. Uluslararası Adalet Divanı Tüzüğü’nün (Statute of the International Court of Justice) 38(1) maddesinde sayılan uluslararası hukukun kaynakları arasında, anlaşmalar ve teamüller ile birlikte uzman hukukçuların görüşleri de bulunur. Bu maddeye göre “çeşitli milletlerin en üstün hukukçularının hukukî kararları ve öğretileri de 59. maddeye tabi olmak üzere” uluslararası davalarda mahkemenin karar vermesine yardımcı olmak için dayanak teşkil edebilir. Tallinn Kitapçığı da bu açıdan uluslararası hukuk açısından değerli bir metindir. Bu kitapçığın sayısız hükmü, siber saldırıların tıpkı geleneksel saldırılar gibi egemenlik ihlali teşkil ettiğini ve tazminat gerektirdiğini karara bağlamıştır. Bununla birlikte kitapçık, siber saldırıları da detaylı olarak ele almış, başa gelmesi muhtemel senaryoları hesaba katarak, bu durumlarda hangi hukuk mevzuatının işletilebileceğini açıklamıştır. Yalnız Stuxnet davasında veya herhangi bir davada, Tallinn Kitapçığı’nın hükümlerinin kullanılıp kullanılmayacağını veya uzman görüşü olarak nitelendirilip nitelendirilmeyeceğini zaman gösterecektir.

Stuxnet dava süreciyle ilgili birçok belirsizlik bulunuyor. İran gerçekten bu siber saldırıyı mahkemeye taşıyacak mı; mahkeme bu davayı kabul edecek mi; eğer dava görülecek olursa, ABD kendini savunma yoluna gidecek mi; eğer savunmayı seçerse hangi argümanlar ile hareket edecek; dava sonunda mahkeme nasıl bir karar verecek, Tallinn Kitapçığı’ndaki hükümleri dikkate alacak mı, bunların hepsi yanıtları belli olmayan sorular. Sonuç nasıl olursa olsun, dava süreci hangi yönde şekillenirse şekillensin, kesin olan bir şey vardır. O da Stuxnet’in uluslararası bir mahkemece değerlendirilmesinin siber güvenlik ve siber alanın düzenlenmesi konusunda uluslararası düzeyde ciddi adımlar atılmasının önünü açacağı gerçeğidir. Siber güvenliği ulusal düzeyde fark edilmiş olmasına rağmen, uluslararası arenada hâlâ hukukî düzenlemelere ve normlara ihtiyaç duyulmaktadır. Uluslararası Adalet Divanı veya ilişkili tahkim komisyonlarından birinde Stuxnet’in dava edilmesi birçok açıdan son derece önemli ve heyecan vericidir.