Hukuki ve diplomatik sessizliği bozmak mı?
ÖZET
Siber uzayda ordulardan ziyade istihbarat teşkilatları en önde gelen güvenlik aktörleridir. Bununla birlikte, istihbarat teşkilatları tarafından yürütülen birçok siber operasyon ‘klasik’ casusluk faaliyetleri olmayıp, en iyi dijital gizli eylem (sabotaj, yıkım, bilgi operasyonları) olarak tanımlanabilir. Uluslararası hukuk ve diplomasinin geleneksel olarak casusluğu ele almadığı göz önüne alındığında, istihbarat teşkilatları tarafından yürütülen siber operasyonlar, en küstah siber güçlerin istihbarat teşkilatlarının davranışlarıyla gerilen yasal bir gri bölgede gelişmiştir. Dijital çağ istihbarat teşkilatlarının kabiliyetlerini ve rolünü önemli ölçüde dönüştürmüştür; bu da ‘istihbaratın tartışılmayacağı’ yönündeki geleneksel uluslar arası mutabakatın devletten devlete ilişkilerde hâlâ faydalı olup olmadığı sorusunu gündeme getirmektedir. İstihbarat teşkilatlarının teorik olarak yeterince tanımlanmamış rol ve faaliyetleri dijital çağdaki dört büyük değişiklikten etkilenmektedir: faaliyet ve etkilerinin ölçeğinin artması, belirsizliğin artması, saldırı yüzeyinin muazzam bir şekilde genişlemesi ve güvensizliğin damlama yoluyla azalması, siber istihbarat teşkilatlarının nasıl çalışması gerektiğini yeniden düşünme ihtiyacına işaret etmektedir. Diğer devletler yasal ve diplomatik sessizliklerini bozarak siber istihbarat faaliyetlerine yönelik ‘korkulukları’ tartışmadıkça, bazı devletler siber uzayda mümkün olanın sınırlarını zorlamaya devam edecektir.
GİRİŞ
Politika yapıcıların uykularını kaçıran siber operasyonların birçoğu askeri aktörlerin değil istihbarat teşkilatlarının işidir. Buna karşılık, bu operasyonların çoğu istihbarat teşkilatlarının işi olabilir, ancak geleneksel olarak istihbarat toplama ya da ‘klasik casusluk’ olarak kabul edilen şey değildir, ancak bu da oyunun bir parçasıdır. Genellikle CIA ve Mossad’ın işi olarak görülen İran’ın Natanz’daki nükleer tesisine yönelik Stuxnet saldırısı bir sabotaj operasyonuydu. Rus askeri istihbarat teşkilatı GRU’ya atfedilen 2016 ABD başkanlık seçimlerini bozmayı amaçlayan Rus etki operasyonları, seçim sürecini yıkmak amacıyla hack ve sızıntı operasyonları ile çevrimiçi dezenformasyon kampanyalarından oluşuyordu. Çin istihbaratına atfedilen Birleşik Devletler Personel Yönetimi Ofisi’nin hacklenmesi klasik bir casusluk faaliyetiydi, ancak daha önce görülmemiş bir ölçekteydi ve Ulusal İstihbarat Direktörü James Clapper bu konuda gönülsüzce şunları söyledi: ‘Yaptıkları şey için Çinlileri bir nevi selamlamak zorundasınız. Bunu yapma fırsatımız olsaydı, bir dakika bile tereddüt edeceğimizi sanmıyorum’. Yine Rus Askeri istihbaratına atfedilen NotPetya saldırısı (Verdiği zararın yaklaşık 10 milyar doları bulduğu tahmin edilen –en azından şu an için- tarihin en maliyetli siber saldırısı. Saldırının en büyük mağdurları şirketlerdi: kargo firmaları, zincir marketler, uçak bileti aldığınız internet siteleri, gıda firmaları…Elbette bu şirketlerin son kullanıcıları da doğrudan mağdur edilmişti. – çn), bir fidye yazılımı saldırısı gibi görünürken – bu durumda şifrelenmiş dosyalarınızı geri almak için fidye ödemeniz gerekir – gerçekte bulaştığı her bilgisayarı sildi ve onları işe yaramaz tuğlalara dönüştürdü. NotPetya, Ukrayna’ya yönelik olmasına rağmen, orman yangını gibi ayrım gözetmeksizin yayıldı ve Ukrayna’nın çok ötesindeki makinelere bulaştı. Bu küresel ölçekte bir sabotaj, hatta siber vandalizmdi. 2020’nin sonlarında, birçok şirketin ve ABD hükümet kuruluşunun – büyük olasılıkla – casusluk amacıyla ihlal edildiği ve tehlikeye atıldığı SolarWinds saldırısının hikayesi ortaya çıktı. Saldırı Rus dış istihbarat servisi SVR’ye atfedildi. Kötü amaçlı yazılım, tüm bu kuruluşların dijital güvenliklerinin bir parçası olarak para ödedikleri SolarWinds şirketinin güvenlik güncellemelerini akıllıca kullandı. Bilgisayar korsanlarının bu saldırı için dijital tedarik zincirini kullanmış olması politika yapıcıları, CISO’ları ve teknik topluluğu derinden rahatsız etti.
Bunlar daha kötü şöhretli ve kamuya açık siber operasyonlardan birkaçıdır, ancak listeye her gün yeni operasyonlar eklenmektedir. Bunların hepsi sözde barış zamanı operasyonlarıdır, yani savaş zamanlarında meydana gelmezler ya da silahlı saldırı seviyesine yükselmezler. Bununla birlikte, bazı akademisyenler içinde bulunduğumuz dijital zamanları, hem barış hem de savaştan yoksun olduğu için ‘barışsızlık’ olarak nitelendirmektedir. Bu siber operasyonlara bakıldığında, bu makalede daha ayrıntılı olarak sorgulanacak olan birkaç husus göze çarpmaktadır. İlk olarak, bu operasyonların tamamının istihbarat örgütleri tarafından yürütüldüğü iddia edilmektedir, ancak bunların hiçbiri klasik casusluk olarak kabul ettiğimiz, gizlice stratejik bilgi toplama anlamında casuslukla örtüşmemektedir. Bu da istihbarat teşkilatlarının siber uzaydaki rolü ve işlevi hakkında sorulara yol açmaktadır.
İkinci olarak, teknoloji araştırmalarında klasik bir soruyu gündeme getiriyor: yeni teknolojinin mevcudiyeti ya da operasyonel bağlamdaki teknolojik değişiklikler faaliyetin kendisi için bir fark yaratıyor mu? İşin dijitalleşmesi ve siber uzay bağlamı istihbarat teşkilatları ve rolleri için bir fark yaratıyor mu? Eğer öyleyse, niceliksel mi yoksa niteliksel bir değişimden mi bahsediyoruz? Üçüncü olarak, tüm bu operasyonlardan sonra, mağdur devlet – ama bazı durumlarda tüm devlet grupları – açıkça ve kamuoyu önünde bunların kabul edilemez siber operasyonlar olduğunun sinyalini verdi. Hatta bunların yasal ya da normatif sınırların dışında olduğunu düşündüklerinin de sinyalini verdiler. Ancak hiçbir zaman bu operasyonları ihlal edilmiş olabilecek belirli kurallar ve yasal ilkelerle açıkça ilişkilendirmediler. Başka bir deyişle, siyasi düzeyde kınama ve hatta bazen öfke olsa da, bu uluslararası hukuk düzeyine ya da diplomatların BM’nin ilk komitesinde müzakere ettiği ‘siber uzayda sorumlu devlet davranışı çerçevesine’ tercüme edilmedi. Dahası, BM’de siber uzayda sorumlu devlet davranışına ilişkin diplomatik müzakerelerde istihbarat teşkilatlarından hiç bahsedilmemiştir. İstihbarat faaliyetlerinin ve kurumlarının diplomaside ve uluslararası hukukta ele alınmamasının uzun tarihsel kökleri vardır ve kendi mantığı üzerine inşa edilmiştir. Asıl soru, istihbarat teşkilatlarının siber uzayda üstlendikleri ve oynadıkları rolün, istihbaratın tartışılmaması yönündeki geleneksel uluslararası mutabakatı sorgulamak için bir neden olup olmadığıdır. Diplomasi ve uluslararası hukuktaki sessizlik dijital çağda devletten devlete ilişkilerde hâlâ faydalı mı yoksa siber istihbarat hakkında konuşmak ve odadaki fili ele almak daha mı iyi? Bu makale bu soruları, uluslararası hukukun gelişimi ve siber uzayda kabul edilmiş normatif devlet davranışına ilişkin diplomatik müzakereler perspektifinden incelemektedir. İstihbaratın günlük uygulamalarına kıyasla bunlar, en aktif ve yüzsüz üst düzey siber güçler de dahil olmak üzere, küresel mutabakat arayışında olan yavaş hareket eden dünyalardır. Bununla birlikte, Silahlı Çatışma Hukuku’nun geliştirilmesi nasıl uzun ve meşakkatli bir yolculuk olduysa – ve hiçbir şekilde uyumlu devlet davranışının garantisi olmadıysa – savaştaki davranışlara ilişkin yasal ve normatif sınırlar koymuş ve devletlerin bu sınırları aşan devletleri uyarmasına olanak tanımıştır. Siber uzayda istihbarat teşkilatları halihazırda uluslararası hukuk ve devlet davranışına ilişkin diplomatik olarak mutabık kalınan normlar açısından ‘müsamahakâr bir normatif ortamda’ faaliyet göstermektedir ve bu da çok az veya hiç korkuluk sağlamamaktadır. Bu makale, istihbarat teşkilatlarının siber uzaydaki uygulamalar yoluyla ‘kabul edilebilir’ devlet davranışının hedef noktalarını değiştirmeye devam etmesini önlemek için devletlerin bu müsamaha alanını daraltmak için çalışmaya başlaması gerektiğini savunmaktadır.
(SİBER) İSTİHBARAT HAKKINDA KONUŞTUĞUMUZDA NE HAKKINDA KONUŞUYORUZ?
Sıklıkla dünyanın en eski ikinci mesleği olarak tanımlanan casusluk ve istihbarat şaşırtıcı bir şekilde yeterince kuramsallaştırılmamış ve tanımlanmamıştır. Akademik alan nispeten gençtir, ağırlıklı olarak tarihseldir ve Amerikan ve İngiliz akademisyenlerin hakimiyetindedir, bunlardan pek azının istihbaratla bağları ve/veya istihbaratta izleri vardır. Bunun -bilgi açısından- belirgin avantajları olsa da, gizlilik unsuru ve akademisyen ile uygulayıcı arasındaki melezlik, istihbarat çalışmalarının akademik bir disiplin olarak gelişimini de engellemektedir.
İstihbaratın ne olduğu genellikle istihbarat teşkilatlarının ne yaptığına bakılarak tanımlanır. Genel olarak, nispeten tartışmasız olan bir faaliyetler çekirdeği ve tartışmalı olan daha çevresel faaliyetler vardır. Çekirdekte istihbarat döngüsü olarak adlandırılan ve farklı aşamalardan oluşan bir süreç vardır: politika yapıcıların karar alma süreçlerini desteklemek üzere bilginin toplanması, işlenmesi, analiz edilmesi ve yayılması. Bu, stratejik bilgi toplamaya ve bir ülkenin siyasi liderliğini bilgilendirmeye odaklanan klasik siyasi casusluktur. Bilgi toplama bileşeni tüm istihbarat tanımlarının merkezinde yer alır ve dijital çağın bu temel işlev üzerinde büyük bir etkisi olduğu açıktır. Ancak bilgi toplamadan diğer devletlerin işlerine daha aktif, yıkıcı ve şiddet içeren müdahalelere geçildiğinde, neyin dahil edilip neyin hariç tutulduğuna dair siyasi ve akademik fikir birliği çatırdamaya başlar. Bazıları ‘örtülü eylem, etki [operasyonları] ve karşı istihbaratın, kanonik istihbarat döngüsünde eksik olsalar bile, temel istihbarat uygulamaları olarak kabul edilmesi gerektiğini’ savunmaktadır. Örtülü eylem üzerine yapılan araştırmalar genellikle şiddet kullanım derecelerine göre sunulan dört geniş faaliyet türüne odaklanma eğilimindedir: (1) propaganda ve enformasyon operasyonları; (2) bir siyasi partiye para aktarmak ya da isyanları kışkırtmak gibi siyasi eylemler; (3) ekonomik örtülü eylemler; ve (4) isyancı grupların eğitiminden suikastlara kadar paramiliter eylemler. Bu faaliyetler başka bir devletin işlerine doğrudan müdahale eder, genellikle şiddet içerir ve o devletteki sosyal ve siyasi istikrarı baltalamaya çalışır. Birçok örtülü faaliyet yıkıcıdır ve halihazırda mevcut olan siyasi ve sosyal ayrılıkları gizlice istismar eder. Birleşik Krallık’ta Brexit, ABD’de Black Lives Matter ya da Demokratlar ve Cumhuriyetçiler arasındaki derin ayrılıkların ateşini körüklemek, toplumsal huzursuzluğu arttırmanın ve toplumdaki sosyal uyumu zayıflatmanın kesin bir yoludur. Etkili olabilir ama aynı zamanda zaman alıcıdır. Ron Deibert’in sözleriyle: ‘yıkıcılık “yavaş yanan” bir faaliyettir – sebat, sabır ve zaman gerektirir’.
Örtülü eylemin istihbaratın bir parçası olarak görülüp görülmediği tartışmalıdır. Birçok analist ‘örtülü eylemi’ tarihsel, kurumsal ve pratik nedenlerle istihbarat alanına giren bir faaliyet olarak görmektedir. Bazıları örtülü eylemi ‘istihbaratın hizmetçisi’ olarak görmektedir. Başka bir deyişle: ayrı ama bağlantılı. Diğerleri ise ya kötü bir politika olduğunu düşündükleri için ya da gerekli olduğuna ama ayrı tutulması gerektiğine inandıkları için örtülü faaliyeti istihbarattan çok farklı bir şey olarak görmektedir. O zamanlar CIA’in resmi tarihçisi olan ve CIA’in kendi dergisi Studies in Intelligence’da yazan Michael Warner, Wanted: a definition of ‘Intelligence’ (Aranıyor: ‘İstihbarat’ın bir tanımı) başlıklı makalesinde pek çok (uygulayıcı) tanımın üzerinden geçmiştir. ‘Sanatımızı anlamak’ (vurgu eklenmiştir) alt başlığını taşıyan makalenin ilginç yanı, ‘örtülü sorunu’ ele almaya istekli yazarlarla karşılaşmadan önce ‘istihbarat’ın sadece bilgi ve gizlilik bileşenini yakalayan çok sayıda tanımın üzerinden geçmek zorunda olmasıdır. Ancak, bunun gerçekliğine değinen Shulsky (Warner’dan aktaran) bile bunun gerçekten istihbaratın bir parçası olup olmadığından emin değildir: ‘(. . .) daha temel soru – teorik olduğu kadar pratik bir bakış açısından da – örtülü eylemin istihbaratın bir parçası olarak kabul edilip edilmeyeceğidir’. Bu faaliyetlerin çoğunun gizli yürütüldüğü göz önüne alındığında, hem ampirik hem de politik olarak sınıflandırılmalarının zor olması belki de şaşırtıcı değildir. Her ikisi de (eski) ABD ulusal güvenlik uzmanı olan Stout ve yukarıda bahsi geçen Warner için bu, totolojik bir geçici çözüm önermek için bir nedendir. Stout ve Warner 2018’de yazdıkları makalede basitçe “istihbarat istihbaratın yaptığı şeydir” demektedirler. İstihbarat teşkilatları ne yaparsa yapsın, er ya da geç istihbarat teşkilatlarının ne olduğunun bir parçası haline gelmektedir. Bir anlamda, gizli eylemin ‘ait’ olup olmadığı sorusunu es geçip, devlet pratiğinin – itiraz edilmediğinde – neyin ‘normal’ istihbarat olarak kabul edileceğini belirleyeceğini kabul ediyorlar.
İstihbaratın amacına bakmak, istihbaratın ne olduğunu belirlemenin bir başka yoludur. Çoğu teorinin temel çıkış noktası ‘istihbaratın hükümetin bir işlevi olduğu’ ya da biraz daha farklı bir şekilde formüle edildiği üzere istihbaratın savaş ve diplomasinin yanında üçüncü bir devletçilik biçimi olduğudur. Başka bir deyişle istihbarat, devletlerin stratejik hedeflerine ulaşmak ve stratejik hatalardan kaçınmak için alet çantalarında bulundurdukları bir şeydir. Örneğin, başkalarının eylem ve niyetlerinin trajik bir şekilde yanlış yorumlanmasını önleyen bilgiler sağlayarak. Bu her şeyden önce bilgi işlevi için geçerlidir: “Bir düşman hakkında gizli kalmasını istedikleri bilgileri toplamak, bu bilgiyi karar vericiler için belirsizlik konisini daraltmak için kullanmak ve bunu tespit edilmeden yapmak istihbaratın temel taşları olmaya devam etmektedir”. Örtülü eylem genellikle yurtdışındaki olayları daha doğrudan etkilemeyi amaçlayan, ancak bunu yaparken açıkça görülmeyen bir dış politika aracı olarak görülür. Bazıları örtülü müdahalenin bir çatışmanın tırmanmasını kontrol altına alabileceğini savunurken, diğerleri örtülü eylemi ve daha genel olarak gri bölge operasyonlarını, özellikle niyetlerin okunmasının zor olduğu siber alanda, potansiyel olarak tırmandırıcı olarak görmektedir. Amerikalı akademisyen Jon Lindsay, yukarıda örtülü eylem başlığı altında tanımlanan tüm faaliyetlerin dahil olduğunu düşünerek, ‘istihbarat gizli devletçiliktir‘ diyerek durumu özetlemektedir.
Gizlilik belki de istihbarat örgütlerinin ve faaliyetlerinin en belirleyici özelliğidir. Ancak dijital çağda gizlilik de giderek daha sorunlu hale gelmektedir. Bazı siber operasyonlar – özellikle de klasik casusluk – bazen uzun süre tespit radarının altında kalsa da, çoğu operasyon ilk olarak kurulduktan çok sonra da olsa açığa çıkmaktadır. Bununla birlikte, gizli istihbaratta sıklıkla olduğu gibi, verilerimiz çarpıtılmış durumdadır çünkü yalnızca kamuya ifşa edilen siber operasyonlar hakkında bilgi sahibiyiz. İstihbarat bağlamında gizlilik iki şekilde karşımıza çıkmaktadır: Gizlilik ya gizli olabilir, yani aktörün kimliği gizlenir ya da gizli olabilir, yani faaliyetin kendisi gizlenir. Bu iki biçim genellikle örtüşür, ancak her zaman değil. Gizli operasyonlar söz konusu olduğunda, neler olduğunu ve etkilerinin neler olduğunu görebilirsiniz, ancak arkasındaki eli göremezsiniz. Siber uzayda, atıfta bulunma uzun süre sorunlu olmuştur, ancak giderek artan bir şekilde devletler teknik ve istihbarat analizlerine ve özellikle de siyasi mülahazalara dayanarak siber operasyonları devlet aktörlerine atfetmeye istekli ve muktedir olmaktadır. Buna rağmen, siber uzaydaki örtülü eylemler hükümetlere hâlâ ‘makul inkar edilebilirlik’ sağlamaktadır – üst düzey yetkililerin belirli bir örtülü operasyonun sorumluluğunu ‘ne doğruladıklarını ne de inkar ettiklerini’ söylemelerine izin veren bir doktrin. Bazı devletler – özellikle de Rusya gibi utanmadıkları için isimlendirilmesi ve utandırılması zor olanlar – mantıksız inkar edilebilirlikle bile yetinmektedir: aksi yöndeki ikna edici kanıtlar karşısında faaliyetlerin öfkeli bir şekilde reddedilmesi.
Dijital çağ, istihbarat teşkilatları için gizliliğin hayati rolünü etkilemiştir. Dijital çağ öncesi dönemde istihbarat teşkilatları faaliyetlerinin çoğunun uzunca bir süre gizli kalacağından nispeten emin olabilirlerdi. Operasyonların çoğu ancak arşivler sınıflandırılıp açıldığında ortaya çıkıyordu. Dijital gözetim, açık kaynak istihbaratı, istihbaratta özel yükleniciler ve istihbarat kurumlarının kendi veri ihlalleri çağında – Chelsea Manning ve Edward Snowden’ı düşünün – sırlar artık o kadar da güvenli değil. Başkan Obama tarafından ABD istihbarat servislerinin işleyişini incelemek üzere görevlendirilen komisyonun bir üyesi olan Peter Swire Snowden bu durumu ‘sırların azalan yarı ömrü’ olarak adlandırmıştır. Daha da sorunlu olanı, Amerikan istihbarat kurumlarının en değerli hack araçlarından bazılarını bile kaybettiği iddia edilmektedir. 2017’de CIA’nın kasa dosyaları ve NSA’nın ShadowBrokers tarafından hacklenen hack araçlarının çalındığı ve kamuya açık hale getirildiği iddia edildi. Bu durum, söz konusu kurumların hack araçlarının en değerli mücevherlerini kaybetmiş olmaları nedeniyle sadece utanç verici değil, aynı zamanda tehlikelidir de. Bir kez açığa çıktığında, diğer aktörler – devletler ve suçlular – bu hack araçlarını kendi çıkarları için kullanabilir ve en geniş anlamda siber güvenliği zayıflatabilir. Örneğin, Shadowbrokers tarafından çalınan ve ifşa edilen açıklardan biri olan EternalBlue – Microsoft Windows’taki bir güvenlik açığı, önemli mali ve toplumsal hasara neden olan WannaCry ve NotPetya operasyonlarında kullanıldı. Dijital çağda, gizlilik birçok açıdan baskı altındadır ve Aldrich ve Moran’ın “gizli istihbarat” fikrinin yeniden gözden geçirilmesi gereken bir yirminci yüzyıl kavramı gibi görünmeye başladığını” öne sürmelerine neden olmuştur. ‘Sırların olmadığı, sadece gecikmeli ifşaatların olduğu’ bir dünyaya doğru gidiyor olabileceğimizi savunuyorlar.
Dijital çağ istihbaratın önemli yönlerini dönüştürürken, akademik olarak ‘Soğuk Savaş hâlâ mevcut tartışmalarımızın üzerinde durmaktadır’. Literatürün çoğu Soğuk Savaş senaryoları üzerine inşa edilmiş tarihsel araştırmalardır ve iki kutuplu dünya düzeni bağlamında anlaşılmalıdır. Bununla birlikte, Soğuk Savaş tarzı ‘oyunun kuralları’ belki de bu özel tarihi güç dengesine özgüdür. Soğuk Savaş sırasında istihbarat teşkilatları arasındaki çatışmaların genellikle Soğuk Savaş’ın sıcak bir savaşa dönüşmesini önleyeceğine inanılırdı.
Ve bir dereceye kadar kurallar açıktı. ‘Batı’ ve ‘Doğu’ arasında, süper güçler arasında gerilimi tırmandırmadan stratejik rekabete izin veren karışık bir gri casusluk ve gizli eylem bölgesinde, üzerinde anlaşmaya varılmış bir rekabet duygusu vardı. Ancak bu ‘kurallar’ tüm istihbarat tanımlarının tartışmasız özü olan stratejik bilgi toplamadan çok daha fazla faaliyete izin veriyordu. Yıkıcılık, bilgi operasyonları ve örtülü eylemler Soğuk Savaş oyununun bir parçasıydı. Akademik bir kaynak olmamakla birlikte, John Le Carré’nin Soğuk Savaş Berlin’ini Doğu ve Batı istihbarat teşkilatlarının günlük olarak karşı karşıya geldiği bir yer olarak karakterize etmesi çağrıştırıcı ve açıklayıcıdır:
Berlin’de Firma’nın [İngiliz istihbaratının] etki ajanları, bozma, yıkma, sabotaj ve dezenformasyon ajanları vardı. Bize istihbarat sağlayan bir ya da iki kişi bile vardı, ancak bunlar ayrıcalıklı olmayan bir kalabalıktı ve gerçek bir profesyonel değerden ziyade geleneksel bir saygıdan dolayı tutulmuşlardı.
Ancak Soğuk Savaş’ın sona ermesinden bu yana hem siyasi hem de teknolojik olarak bazı şeyler değişti. Siyasi olarak, pek çok batı ülkesinde istihbarat teşkilatları ulusal denetimin çeşitli biçimlerine daha fazla dahil olmuşlardır – en azından skandallara ve yetkilerin kötüye kullanılmasına yönelik politik tepkilerin bir sonucu olarak. Batılı istihbarat teşkilatlarının hâlâ manevra alanı oldukça geniştir, ancak faaliyetleri üzerindeki inceleme ve gözetim artmıştır. Çoğu Batılı ülke artık Amy Zegart’ın da belirttiği gibi gizlilik ve şeffaflık arasında bir denge yaklaşımını tercih etmektedir: ‘Çok fazla gizlilik istismara davetiye çıkarır. Çok fazla şeffaflık ise istihbaratı etkisiz hale getirir‘. Ancak şeffaflık artık sadece hükümetlere bağlı değil: hack’ler ve sızıntılar, araştırmacı gazeteciler ve akademisyenler, tehdit istihbaratı araştırmaları ve Bellingcat kolektifinin çalışmaları gibi açık kaynaklı istihbarat, istihbarat kurumlarının gizlemeyi tercih ettiği pek çok faaliyete ışık tutuyor.
SİBER UZAY İSTİHBARATI DEĞİŞTİRİYOR MU?
Dijital çağ bağlamı, oyun alanını ve istihbarat teşkilatlarının faaliyetlerini açıkça değiştirmiştir. Dijital teknoloji mesleğe değişim getirmiştir, ancak bunun bir oyun değiştirici olup olmadığı sorusu halen geçerliliğini korumaktadır. Toplumların, ekonomilerin ve hükümetlerin dijitalleşmesinden ve bunlar arasındaki uluslar ötesi, ağ bağlantılı bağlantılardan istihbarat teşkilatlarının tartışmalı bir şekilde yeterince tanımlanmamış faaliyetleri nasıl etkileniyor? Dört büyük değişiklik göze çarpmaktadır: ölçekte artış, artan belirsizlik, saldırı yüzeyinin muazzam genişlemesi ve siber istihbarat teşkilatlarının nasıl çalışması gerektiğinin yeniden düşünülmesini gerektiren güvensizlik.
Değişen ilk şey, dijital dünyanın sağladığı operasyon ölçeğidir. Bu, öncelikle geleneksel casusluk ve istihbarat toplama için geçerlidir. Toplanan, işlenen ve depolanan veri hacmi üssel olarak artmış ve casusluk da buna paralel olarak gelişmiştir. Korunan (hükümet) binalardan belgeleri çalmak veya fotoğraflamak için hedeflenmiş operasyonlar hâlâ mevcuttur, ancak dijital gözetim ve hackleme artık gizli bilgilere ulaşmanın daha yaygın yollarıdır. İstihbarat ajansları, bilgisayar sistemleri ihlal edildikten sonra terabaytlarca bilgi toplar.
Personel Yönetimi Ofisi’nin hacklenmesi, Çin istihbarat ajanslarının neye odaklandığı nedeniyle değil, hack’in ölçeği nedeniyle dikkat çekti. Ayrıca, bazıları bu hack’in daha büyük bir operasyon setinin parçası olduğuna ve Anthem – bir Amerikan sağlık sigortacısı – ve United – bir Amerikan havayolu – hack’lerinin aynı çabanın bir parçası olduğuna inanıyor. Birlikte, Çin istihbaratına güvenlik iznine sahip Amerikan devlet personelinin yaşamlarına dair çok ayrıntılı bir içgörü sağlıyor. Elde edilen verilerin ölçeği, bu tür operasyonların etkisine doğrudan yansımıyor. Gioe ve Hatfield’in belirttiği gibi, Soğuk Savaş’ın ilk yıllarında Cambridge Beşlisi (Cambridge üniversitesinde komünist fikirlerden etkilenen ve İkinci Dünya Savaşı’ndan 1950’lerin ortalarına kadar KGB’ye çalışan beş ingilizin oluşturduğu casusluk şebekesine ithafen bu ibare kullanılmaktadır. – çn) tarafından gerçekleştirilen casusluk gibi son derece hedeflenmiş, insan istihbarat operasyonları stratejik olarak zararlıydı ve birçok kayıpla ödendi. Siber çağda büyük ihlaller henüz böyle bir bedel ödetmemiş olsa da, kendi siyasi bağlamları içinde değerlendirilmelidir – ‘soğuk’ savaş, istihbaratta 1989 sonrası dünyadan çok daha fazla hayat aldı – ve bu tür hack’lerin uzun vadeli etkilerinin hâlâ ölçülmesinin zor olduğu gerçeği. Çin, Amerikan istihbarat topluluğu hakkındaki bilgisiyle gelecekte ne yapabilir ve ne yapacaktır – özellikle ABD ile ilişkiler daha da kötüleşirse? Ayrıca, bilgi operasyonları ve diğer yıkıcı operasyonlar aracılığıyla bölünme yaratmak gibi daha az geleneksel istihbarat faaliyetleri, dijital teknoloji sayesinde büyük ölçekte artırılabilir.
Aldatma ve saptırma, bir zamanlar istihbarat ajanslarının liderleri ve elitleri kandırmaya çalıştığı elit bir meseleydi. Ancak bugün, “siber destekli aldatma operasyonları hepimizi kandırmayı hedefliyor, sınırlar ötesinde kitle görüşlerini şekillendiriyor.” Ayrıca, “internet, yanlış bilgilendirme sanatına ve bilimine daha fazla hassasiyet getirmedi.” Thomas Rid’e göre, bu, “kontrol etmeyi, yönlendirmeyi ve mühendislik etkilerini izole etmeyi daha da zor hale getirdi. Sonuç olarak, yanlış bilgilendirme daha da tehlikeli hale geldi.” Gizli eylemlere benzeyen operasyonlar ve etkiler artık ölçek ve erişim açısından çok daha büyük. NotPetya gibi sabotaj operasyonları, eşi benzeri görülmemiş, neredeyse küresel bir ölçekte faaliyet gösteriyor ve yüksek hızda yayılıyor. Warner’ın belirttiği gibi, “siber alan, gizli eylemlerin ölçek sorununu çözmüş gibi görünüyor.”
Siber boyut, istihbarat operasyonlarına belirsizlik de katmaktadır ve bu, öngörülemeyen sonuçlar doğurabilir. Başlangıçta, çoğu siber operasyon aynı görünmektedir. Herhangi bir siber operasyon, bir bilgisayar ağına erişim sağlamakla başlar ve ardından o ağda yanlara doğru hareket ederek devam eder. Saldırganlar bilgi dışa aktarmaya, sistemleri zayıflatmaya veya yıkıcı kötü amaçlı yazılım yerleştirmeye başladıklarında, savunucuların casusluk, alt üst etme veya yıkıcı bir siber saldırıyla mı karşı karşıya oldukları netleşir. Uzun bir süre boyunca, her şey aynı görünür. Gerçek dünyada, bir tankın sınıra doğru ilerlemesi kolayca bir casusluk operasyonuyla karıştırılamaz, ancak siber uzayda işler genellikle daha belirsizdir. Bu belirsizlik, Ben Buchanan’ın siber güvenlik ikilemi olarak adlandırdığı durumun merkezindedir: devletler, sistemlerinin düşman ajanslar tarafından ihlal edildiğinde genellikle en kötü senaryoyu varsayarlar ve buna göre tepki verebilirler. Bu belirsizliğin yalnızca belirsizliği besleyip beslemediği veya aynı zamanda tırmanma riskini de artırıp artırmadığı – ve ne ölçüde – hâlâ tartışmalıdır, ancak bu durum akademisyenleri ve politika yapıcıları düşündürmektedir. Dahası, belirsizlik, istihbarat ajansları için kendi eylemleri söz konusu olduğunda iyi olabilir, ancak bu eylemlerin genellikle öngörülemeyen sonuçlar yaratması beklenmez. Siber uzayda, birçok klasik ayrım bulanıklaşır ve önemli bir ayrım, siber askeri operasyonlar ile siber istihbarat operasyonları arasındadır.
Bu kenarların bulanıklaşmasının iyi organizasyonel ve operasyonel nedenleri olsa da, geleneksel olarak onları ayrı tutmanın da çok iyi nedenleri olmuştur. Ya da Amy Zegart’ın sözleriyle: “İyi haber, istihbarat ve savaş yürütmenin artık çok daha bağlı olması. Kötü haber ise, istihbarat ve savaş yürütmenin artık çok daha bağlı olması.” Dijital çağ, istihbarat operasyonları için saldırı yüzeyini de büyük ölçüde genişletti. Erişim sağlamak, bilgi toplamak, kesintiye uğratmak ve sabotaj yapmak – kısacası, bir etki yaratmak – artık sadece devlet organizasyonları ve aktörlerin meselesi değil. Sızma ve girme, elçilik binasında veya hükümet bakanlığında değil, Microsoft, Google veya Siemens’in yazılımlarındaki açıklar aracılığıyla gerçekleşiyor. SolarWinds operasyonunda, kötü amaçlı yazılım, ABD hükümeti ve Fortune 500 müşterilerinin ağlarını korumak için dikkatlice indirdiği güvenlik güncellemelerine akıllıca biniyordu. Ve istihbarat uzmanları ve akademisyenler bu operasyondaki Rus istihbaratının “kısıtlamasına” dikkat çekerken – bilgi çıkarımı yalnızca enfekte olan 300 organizasyonda gerçekleşti – CISOs, başlangıçta kötü amaçlı yazılımla enfekte olan 18.000 organizasyondaki endişelerine odaklanma eğilimindedir.
Birçok siber istihbarat operasyonu son derece hedefli olsa da, daha önce olduğundan çok daha geniş bir ağa yayılmayı ve zararları da daha geniş bir alana yaymayı amaçlayan birçok operasyon da vardır. İstihbarat ajansları, hedeflerine erişim sağlamak için yazılımlardaki zayıf noktaları bulur, çalar ve satın alır. Ancak bu, dünyanın dört bir yanındaki vatandaşların, şirketlerin ve hükümetlerin bağımlı olduğu yazılımdır. Kasten yamanmamış her yazılım zayıflığı, diğer devlet ajansları veya suçlular tarafından da kullanılabilecek bir açık kapıdır. Bazı zayıflıklar, istihbarat ajansları tarafından ticari yazılım veya donanımlara kasten ve gizlice yerleştirilir, böylece yalnızca kendilerinin bildiği sözde “arka kapılar” aracılığıyla ayrıcalıklı erişim sağlanmış olur. Ancak Bruce Schneier’in hatırlattığı gibi, sadece iyi insanların geçtiği bir arka kapı yoktur. Siber istihbarat operasyonları üzerindeki sınırlı görünürlük göz önüne alındığında – yalnızca ifşa edilmiş operasyonlar kamu alanında bulunmaktadır – modern yaşamın temelini oluşturan dijital altyapılar, ürünler ve hizmetlerle ilgili olduklarını söylemek güvenlidir; bu durum, dijital öncesi dönemlerde hayal edilemeyecek bir ölçekte gerçekleşmektedir.
Son olarak, dijital çağın araçlar ve yetenekler açısından bir aşağıdan yukarıya etki yarattığı söylenebilir. Yüksek düzey siber operasyonlar – ister casusluk, ister sabotaj ya da saldırı olsun – genellikle iyi kaynaklara sahip devlet istihbarat ajanslarının tekelindedir, ancak bazı ticaret sırları kolayca kopyalanabilir. Bir kez kötü amaçlı yazılım doğada bulunduğunda ve kamuya açık bir şekilde analiz edildiğinde, başkaları için de erişilebilir hale gelir ve genellikle keşfedildikten sonra oldukça yıkıcı bir yaşam sürer. Bilinen, açığa çıkarılmış, analiz edilmiş ve yayımlanmış zayıflıklara karşı savunma yapmak, umulduğu kadar iyi değildir. Dahası, beş yıl önce en ileri düzeyde olan yetenekler bugün çok daha yaygındır. Amerika’nın “Sadece biz” (NOBUS) kavramı – bazı kötü amaçlı yazılımların ve yeteneklerin yalnızca ABD’nin elinde olacağı anlamına geliyor – en azından övünç kaynağıdır, ancak daha uzun bir zaman diliminde bakıldığında daha çok hayalperest bir düşünce gibi görünmektedir. Siber istihbarat ajanslarının, keşfedildikten, kaybedildikten veya sızdırıldıktan sonra diğer devlet ve suç aktörlerine yayılma olasılığı olan araçlara, açıklarına ve kötü amaçlı yazılımlara olan bağımlılığı, istihbarat ajansları arasındaki rekabetin çok ötesinde güvenlik sonuçları doğurmaktadır.
ULUSLARARASI HUKUK, DİPLOMASİ VE SİBER İSTİHBARAT: SESSİZLİK ALTIN MIDIR?
Barış zamanı siber operasyonlarının yaygınlaşmasına rağmen, siber istihbarat hâlâ diplomatik ortamda bir fil gibi. Devletler bazen siber istihbarat operasyonlarını bir saldırgan devlete veya onların vekillerine atfetmekte politik seviyede protesto etseler de, bunu çok taraflı diplomatik müzakerelerde veya uluslararası hukuk açısından ele almaktan kaçınmaktadırlar. Ayrıca, devletler arasında siber operasyonları kamuya atfetme konusunda büyük farklılıklar vardır ve bunun birçok stratejik nedeni bulunmaktadır, bunlar arasında misilleme korkusu da bulunmaktadır. İstihbarat ve casusluk geleneksel olarak uluslararası ilişkilerin bir parçası olmuştur, ancak bunu diplomatik çevrelerde konuşarak veya normlar ya da uluslararası hukuk aracılığıyla düzenleyerek değil. Tam tersine: istihbarat söz konusu olduğunda sessizliğin altın olduğu görünmektedir. Genel olarak, yabancı istihbarat uluslararası hukuk tarafından ele alınmamaktadır, aksine barış zamanı istihbarat operasyonlarının de facto olarak izin verildiği konusunda devletler arasında bir centilmen anlaşması ile yönlendirilmektedir. Uluslararası hukukun istihbarat ve casusluk konusunda sessiz kalması o kadar sık tekrar edilmiştir ki, pratikte bir dogma haline gelmiştir. Bu da ‘yakalanma’ kuralını en önemli gayri resmi kural ve ‘herkes bunu yapıyor’ ifadesini yakalanıldığında ilk savunma hattı haline getirmektedir.
Bu, aynı zamanda, istihbaratın tanımsız veya az tanımlanmış karakterinin – neyin istihbarat olarak kabul edildiği ve neyin edilmediği – uluslararası hukuk çerçevesinde bu dikkatsizlik aracılığıyla ek bir koruma katmanı kazandığı anlamına gelir. Konu zaten ele alınmadığı için katı tanımlara gerek yoktur. Tallinn Kılavuzu 2.0, uluslararası hukukunun siber çatışmalara nasıl uygulandığına dair yetkili bir akademik, bağlayıcı olmayan çalışma, ‘uluslararası hukuk tarafından doğrudan düzenlenmeyen siber operasyonlar’ başlığı altında barış zamanındaki siber casusluğu tartışırken bu noktayı iyi bir şekilde ortaya koyar. Baskı altında, uluslararası hukuk, barış zamanındaki istihbarat operasyonları meselesini, ‘siber casusluk faaliyetlerinin yasallığının, diğer siber operasyonların yasallığından farklı olmadığı’ şeklinde ifade ederek ele alır: siber casusluk için genel bir yasak yoktur, ancak kullanılan siber operasyonlar uluslararası hukukun belirli normlarını ihlal edebilir. Diğer bir deyişle, istihbarat faaliyetleri uluslararası hukuku ihlal edebilir, ancak bu, onların istihbarat faaliyetleri olmasından kaynaklanmaz.
Bu casusluk ve istihbarat konusundaki sessizlik, BM’nin ilk komitesindeki uluslararası diplomatik müzakerelerde (Silahsızlanma ve Uluslararası Güvenlik) de tekrarlanmaktadır. Siber uzaydaki sorumlu devlet davranışı üzerine yapılan bu müzakerelerde – Hükümet Uzmanları Grubu (GGE) ve Sürekli Çalışma Grubu (OEWG) çabaları – delegeler, uluslararası hukukun savaş zamanlarında ve barış zamanlarında devletlerin davranışlarına nasıl uygulandığını uzun uzadıya tartışıyorlar. Ancak casusluk ve istihbarat, GGE ve OEWG konsensüs raporlarında hiçbir zaman anılmamaktadır ve diplomatlar genellikle bunu konuşmadan açıkça hariç tutmaktadır. İstihbarat ajanslarının çıkarları, diplomatların başkentleriyle yaptığı istişarelerin bir parçasıdır ve 5 Göz istihbarat ittifakının (Birleşik Krallık, ABD, Avustralya, Kanada ve Yeni Zelenda arasında kurulan istihbarat ittifakı – çn) çıkarları, batılı devletler arasındaki gayri resmi istişarelerin üzerine sıkça gölge düşürmektedir. Bununla birlikte, küçük çatlaklar belirmeye başlamaktadır. 2021 BM GGE ve OEWG raporlarında sırasıyla “başka bir Devletin süreçlerini, sistemlerini ve genel istikrarını etkilemek için ICT destekli gizli bilgi kampanyaları” ve “politik ve seçim süreçlerine olan güveni ve inancı zayıflatan kritik altyapı ve kritik bilgi altyapısına karşı kötü niyetli ICT faaliyetleri” ifadelerine yer verilmektedir ki bu da uluslararası düzeyde bu tür operasyonların muamelesinde bir değişimi temsil edebilir.
Bunlar, istihbarat ajansları tarafından gerçekleştirilen gizli siber operasyonlara, “devlet davranışı” genel dili içinde yapılan atıflardır. Bu dilin somutlaştırılması için, devletlerin bu tür tehditlere karşı alması gereken önlemler – hukuki veya diğer – üzerine anlamlı bir takip tartışmasına ihtiyaç vardır. Raporların, bu operasyonların “güveni zayıflattığını, potansiyel olarak tırmandırıcı olduğunu ve uluslararası barış ve güvenliği tehdit edebileceğini, ayrıca bireylere doğrudan ve dolaylı zarar verebileceğini” vurgulamasına rağmen, bu ilerlemeyi sağlamak zor olmuştur.
Bu, devletlerin sadece pasif bir şekilde casusluğu ve istihbaratı tolere ettiği anlamına gelmez. Çoğu, tümü olmasa da, devletlerin kendi ülkelerinde gerçekleştiğinde casusluğu ve istihbarat faaliyetlerini suç sayan yerel yasaları bulunmaktadır. Bazı ülkelerde, yabancı casusluk bile idam cezası gerektiren bir suçtur. Diğer bir deyişle: uluslararası düzeyde, devletler ulusal düzeyde en azından suç teşkil eden davranışlara göz yummaktadır. Böylece, devletler (siber) casusluk operasyonları için aktif olarak bir hukuki gri alan yaratmakta ve sürdürmektedir. Batılı devletlerin kendilerine karşı gerçekleştirilen siber operasyonlar hakkında yaptığı kamuya açık atıflar buna bir örnektir.
Genellikle istihbarat ajansları veya onların vekilleri tarafından gerçekleştirilen operasyonlarla ilgilidirler; yok etme ve sabotajdan daha geleneksel casusluğa kadar değişir ve bu tür devlet davranışlarını açıkça kınarlar. Ancak kural olarak, bu atıf ifadeleri, BM’de müzakere edilen sorumlu devlet davranışları çerçevesinin normlarını veya geçerli uluslararası hukuku, mümkün olan en genel terimlerin dışında referans vermez ve belirtmez. Bazen bu resmi hükümet açıklamaları, kendi istihbarat ajansları tarafından yayınlandıktan sonra bile incelikli hale getirilmektedir; bu da onların bakış açısından bunun “alışıldığı gibi” olduğu anlamına gelir. Uluslararası düzeyde istihbaratın hukuki ve normatif terimlerle ele alınmaması, bir dereceye kadar uluslararası güç politikalarının bir sonucudur. Çoğu devlet casusluk yaparken, siber casusluk ve siber gizli operasyonlar özellikle ABD, Birleşik Krallık, Rusya, Çin ve İsrail gibi bazı üst düzey siber güçler için favori bir araçtır; ayrıca Kuzey Kore ve İran gibi devletler için de. Dahası, ABD, Rusya ve Çin gibi büyük devletler, uluslararası ilişkilerde stratejik belirsizlik tercih etmişlerdir – bu onlara (hukuki) gri alanda manevra yapma imkanı tanır. Daha küçük devletler genellikle devlet davranışlarına yönelik daha fazla hukuki ve normatif kısıtlamalardan daha iyi yararlanırlar.
Bir ölçüde, uluslararası sistem hâlâ Thukydides’in dünyasına benziyor; burada “Güçlüler, yapabildiklerini yapar ve zayıflar, yapmak zorunda olduklarını çekerler.” Devletler arasındaki resmi egemen eşitlik, pratikte genellikle güç asimetrileri tarafından ortadan kaldırılmaktadır; siber alanda ise bu asimetriler her zaman geleneksel güç göstergelerini yansıtmaz, zira bu alandaki göreceli gücü belirleyen, saldırgan siber operasyonları kullanma isteğidir. Güç eşitsizlikleri, tarih boyunca devletler arası ilişkilerde önemli bir rol oynamış olsa da, uluslararası hukuk ve devletler arası davranış için normların geliştirilmesi – ne kadar kusurlu ve yavaş ilerlese de – uluslararası yaşamın belirgin bir özelliği olmuştur. Uzun bir süre boyunca, savaş ve barış zamanlarında devlet davranışını sınırlayan bir uluslararası hukuk sistemi gelişmiştir. Bu, devlet uygulamalarının, uluslararası hukukun kendisinin, devletlerin kuralları ihlal etmesini engellemediğini ve güç asimetrilerini tamamen ortadan kaldırmadığını tekrar tekrar gösterdiği gerçeğine rağmen olmuştur. Ancak, çatışma zamanlarında yasal olan ile yasadışı olan davranışları ayıran bir çerçeve sunar ve bu, devletler kuralları ihlal ettiğinde onları çağırmak için mevcut olan ölçüttür. Ancak, bu, önceden kuralların mevcut olmasını gerektirir: eğer yasadışı davranış tanımlanmamışsa, bir devleti hukuku ihlal etmekle suçlamak için bir temel yoktur.
İstihbarat ajanslarının siber çatışmanın gri alanındaki belirgin rolü göz önüne alındığında, siber istihbarat meselesinin ele alınmaması gerektiği fikrini yeniden gözden geçirmenin iyi nedenleri vardır. İstihbarat ajanslarının siber çatışmadaki rolünü görmezden gelmek, faaliyetlerini kontrol altına almak veya “koruma çiti” oluşturmak için yardımcı olmaz. Devletler, siber uzaydaki olanakların sınırlarını zorlamaya devam edecek ve bunu yaparken hukuki ve normatif gri alanı genişleteceklerdir. Raymond ve Joffe, ABD’nin Sürekli Angajman ve İleri Savunma siber stratejilerini tartışırken, bu tür stratejilerin devletlerin kabul edilebilir bulduğu şeylerin sınırlarını zorlamalarına olanak tanıyan “izin verici normatif bir ortam” yarattığını savunuyorlar. Diğer devletler bu tür davranışları sorgulamaz ve/veya kısıtlamazsa, nihayetinde bu davranışları sadece kodlayacaklar ve bu norm haline gelecektir. Devlet pratiği, norm oluşturmanın en güçlü kaynağıdır. O zaman, siber istihbarat gerçekten de siber istihbaratın “yaptığı” şey olacaktır.
SİBER İSTİHBARATI TARTIŞMAK: BİR ADIM İLERİ Mİ?
Eğer devletler şu ana kadar izledikleri yolda devam ederlerse, hem izin verici bir ortamı teşvik edenler hem de buna yanıt vermeyenler, o zaman normları şekillendiren devlet pratiği olacaktır. Daha spesifik olarak, siber uzayda en aktif olan ve siber casusluk ile siber gizli eylemlere katılan devletlerin pratiği olacaktır.
Devletlerin, Rusya, Amerika Birleşik Devletleri, Kuzey Kore, İran ve Çin gibi en aktif ve cesur aktörlerinden bazıları, istihbarat ajanslarının davranışlarından uygun olanın normları şekillenecektir. Bu aktörler arasında, sabotaj ve dijital vandallıktan, toplumsal bölünmeyi körükleyen bilgi operasyonlarına, sanayi ölçeğinde casusluğa kadar değişen siber operasyonlar gördük. Ve bunların hepsi, dünya genelindeki ekonomileri ve toplulukları destekleyen dijital altyapıda gerçekleşiyor. Şu anda, böyle bir siber kapasiteye sahip olmayan ve/veya bu konularda ihtiyat gösteren devletler, davranışları sorgulamayarak – ya da sadece kısık bir dille – bu gelişimi örtük olarak destekliyorlar; çünkü devletler arasında casusluk ve istihbarat hakkında konuşulmaması konusunda bir beyaz anlaşma var. Bu dogmayı kolektif olarak destekleyerek, çoğu devlet kendi daha iyi çıkarlarına karşı hareket ediyor olabilir. Onların örtük desteği, daha agresif devletlerin (a) çoğu devletin asla kendilerinin kullanmayacağı ve (b) ulusal ve kolektif (küresel) dijital güvenliklerini zedeleyecek uygulamalar geliştirmeleri için bir kalkan sağlıyor. Ancak, (bazı) devletler geleneksel sessizliği bozsa bile, bu kadar derin bir gizlilik içinde kök salmış ve uluslararası hukuk ve yönetişim açısından kasıtlı olarak göz ardı edilmiş bir olguyu ele almanın kolay bir yolu yoktur.
En azından, – büyük güç – direnişi ile karşılaşacak ve uzun bir süreç olacaktır. Poznansky, müdahale etmeme ilkesinin tarihini, “uluslararası hukukçuların, filozofların ve daha küçük devletlerin teşvik ettiği, ancak büyük güçlerin çoğunlukla göz ardı ettiği bir fikir” olarak başlayan ve sonunda Birleşmiş Milletler Antlaşması’na kodifiye edilen yüzlerce yıllık bir yolculuk olarak tanımlıyor. Dijital çağ daha hızlı ilerliyor, ancak uluslararası hukukun hızlandırılması genellikle zordur.
Bununla birlikte, bu yola çıkmanın bir alternatifi yoktur; çünkü siber uzaydaki daha agresif devletlerin, konuyu açıkça ele alan bir süreç olmadan kapasiteleri ve yöntemlerine sınırlamalar getirmeyi düşünmeleri pek olası değildir.
Üst düzey devletler, ABD gibi, kendilerini diğerlerinden çok önde düşündükleri sürece, kısıtlamalara karşı direneceklerdir. Ancak gördüğümüz gibi, üst düzey devletler siber uzayda savunmasız hale gelebiliyor – ABD örneğinde: kritik altyapı, seçim müdahalesi, fidye yazılımı – bu da müzakere etme teşvikidir. İstihbarat ajanslarının faaliyet gösterdiği gri alan, üst düzey siber güçlere manevra yapma ve kabul edilebilir davranış sınırlarını zorlayacak alan sağlıyorsa, birçok devlet için bu gri alanı kısıtlama ve güvenlik önlemleri tartışarak daraltmanın bir değeri olacaktır. Başlamak için mantıklı bir yer, hangi siber istihbarat uygulamalarının meşru, hangilerinin meşru olmadığına karar vermek olabilir. Devletler, siber uzayda istihbarat faaliyetleri için ölçek, kapsam, hedefler, bağlam ve istenmeyen sonuçlar riski gibi nedenlerle sınırlamalar var mı sorusunu sorarak ve yanıtlayarak gri alanı daraltmaya çalışabilirler. Kitle gözetim programlarına yönelik bazı politik tepkiler bunun var olduğunu öne sürse de, istihbarat ajansları genellikle kendi bilgi erişimlerini öncelikli kılarak sınırlara karşı direnirler. NotPetya gibi dikkatsiz ve ayrım gözetmeyen siber operasyonlar, siber sabotaj operasyonları söz konusu olduğunda sınırı aşma örneği olarak tartışılabilir.
Kaminska, Broeders ve Cristiano, güç kullanım eşiğinin altında kalan otomatik siber operasyonlarla ilgili bir norm önerisi için olanaklar görüyorlar; bu, devletlerin siber operasyonları tasarlarken, bu operasyonların ayrım gözetmeksizin zarar vermesini önleyecek şekilde düzenlenmesini gerektiriyor. Bu norm, IHL’nin ayırt etme ve ayrımcılık ilkelerine dayanıyor ve bunları barış zamanı siber operasyonlarına ‘çevriliyor’. Bilgi operasyonları, hack ve sızdırma operasyonları ile dezenformasyon kampanyaları gibi, demokratik ülkelerde önemli bir siyasi sorun teşkil etmekte ve neyin meşru siber istihbarat operasyonları olarak kabul edilip edilmeyeceği konusunda bir konsensüsün parçası olabilir. Ancak bilgi operasyonları karmaşık bir meseledir: Yabancı bilgi operasyonları olarak nitelendirilen çoğu faaliyet, henüz ulusal ve uluslararası hukuk altında ‘yasadışı’ olarak tanımlanmadığı için geri itmek daha zor hale geliyor. Bazı hukukçular, seçim müdahalesini müdahale etmeme ilkesine bağlama olasılıklarını görüyor. Ancak, seçim müdahalesesinin yasadışı bir müdahale olarak nitelendirilebilmesi için gereken koşullara uyması, yani (a) zorlayıcı olması ve (b) bir devletin rezerv alanına müdahale etmesi, ‘yeni bir hukuki incelik katmanı’ gerektirecektir.
Tsagourias, müdahale etmeme ilkesinin ihlalini, halkların kendi siyasi kaderlerini seçme hakkına sahip olduğu düşüncesi olan kendi kaderini tayin ilkesiyle bağlayarak böyle bir katman sağlar; bu süreç, demokratik toplumlarda seçimler aracılığıyla gerçekleştirilir. Ohlin, kendi kaderini tayin etmenin uluslararası hukuk tarafından kendiliğinden kolektif bir hak olarak hukuken korunduğunu ve müdahale etmeme ilkesiyle bağlantılı olması gerekmediğini savunmaktadır. Kendi kaderini tayin ilkesi – ya kendiliğinden ya da müdahale etmeme ilkesinin ihlali olarak – bu konuda devletler için olası bir ilerleme yoludur. 2021 BM GG ve OEWG, devletlerin bazı eşiğin altındaki siber faaliyetleri üzerine ilk bir tartışmaya girmiştir. Bilgi operasyonları, seçim müdahalesi, sağlık sektörüne yönelik tehditler ve otomatik siber saldırılar hakkında tartışarak, delegeler dolaylı olarak siber uzaydaki istihbarat ajanslarının faaliyetlerine değinmiştir. Bu konularda, devam eden OEWG sürecinde anlamlı bir takip şansı – artan jeopolitik gerilimler göz önünde bulundurulduğunda – şu anda oldukça düşüktür.
Bu soruları tartışmak – istihbarat hakkında konuşmama dogmasına rağmen – normatif alanı şekillendirme çabasıyla kayıtlara bazı sınırlamalar getirilmesine zemin hazırlayabilir. Normları açık hale getirmek, onlara yönelik harekete geçmek ve savunmak için bir başlangıç noktasıdır. Ulusal çıkarları söz konusu olduğunda, Amerika Birleşik Devletleri gibi büyük devletler bazen bu kesimi yapmaya hazırdır. Obama yönetimi, Çin’in sanayi ölçeğinde gerçekleştirdiği sanayi casusluğu ile karşılaştığında, meşru kabul ettikleri siyasi casusluğu, meşru olmayan ekonomik casusluktan ayıran bir normu çok açık bir şekilde ilan etti. Böylece siber istihbaratı ele almadığımız genel kural içinde, ABD ulusal çıkarlarına hizmet eden ve kendisini denetlemeye çalıştığı yeni bir norm oluşturdu. Daha küçük devletler için sayılarda güç vardır. Devletler, kısmen ulusal düzeyde normatif alanı şekillendirmeye çalışıyorlar; burada iç yasalar ve denetim, kendi istihbarat ajansları için sınırlar oluşturuyor. Orada edinilen dersler, uluslararası tartışmalara aktarılabilir. Yukarıda belirtilen bazı konular gibi diğer meseleler de uluslararası tartışmaların bir parçası olabilir. Bu tür bir tartışmanın, daha küçük, benzer düşüncelere sahip gruplarda başlayarak daha geniş bir yankı bulması muhtemeldir.
Thomas Hobbes’un uzun zaman önce yazdığı gibi: ‘sözleşmeler, kılıç olmadan, sadece kelimelerdir ve bir adamı korumak için hiçbir güçleri yoktur’. Uygulanmayan normatif çerçeveler çok az güvenlik sağlar, ancak normları açık hale getirmemek, bunların uygulanmasını zorlaştırır ve meşruiyetini azaltır. Belirsizlik, siber güvenlik meselesine hiçbir fayda sağlamaz. Hem normatif çerçevenin netliği hem de bu normlar üzerinde hareket etme siyasi iradesi ve kapasitesi üzerinde çalışmaya ihtiyaç vardır.
Yazar: Prof. Dennis Broeders – Leiden Üniversitesi
Çeviri: Cengiz Sözübek