Devlet Organları Tarafından İşlenen İhlallerde Devletin Sorumluluğu

Askeri veya istihbarat birimler tarafından ya da her hangi bir kamu tüzel kişiliğini haiz kurum veya kuruluş tarafından yapılan ih-laller devletlerin sorumluluğundan birinci önceliği taşımaktadır. Buna kısaca “devletin siber eylemleri” olarak tanımlama yapılabilir. Devlete bağlı olmayan varlıklar tarafından işlenen ihlaller yani, devlet tarafın-dan teşvik veya kontrol edilen geçici gruplar, devlet tarafıntarafın-dan kontrol edilmeyen ulusalcı veya vatansever hacker grupları ile terörist hacker grupları tarafından işlenen ihlaller de “devlet dışı siber eylemler” olarak tanımlanmaktadır (Payne, 2016, s. 692).

a) Devletin Siber Eylemlerinde Uluslararası Sorumluluklar Bir siber operasyon pek çok uluslararası yükümlülüğü ihlal edebilir. NATO tarafından yayımlanan TALINN Rehberine göre⁵, bir

2 DDoS saldırıları, bir web sayfasından yüklü miktarda dijital enformasyon talep-lerinin aynı anda ardışık ve dağınık olarak gönderilmesi sonucu web sunucusunun belirli bir süre için işlevsiz hale getirilmesidir. 2011 yılında CIA web hizmetleri bile erişilmez hale getirilmiştir.

http://www.informationweek.com/government/cybersecurity/lulzsec-claims-cre-dit-for-cia-site-takedown/d/d-id/1098340 Geniş ölçekli DDoS saldırılarına bir ör-nek olarak da 2007 yılında Estonya’nın çoğu web hizmetleri ve elektronik kamusal fonksiyonları devre dışı bırakıldı. Detaylı bilgi için bkz: https://www.us-cert.gov/

ncas/tips/ST04-015

3 Veri ihlalleri de bireylerin, kurumların veya devletlerin mahrem bilgilerini elde etmek veya bozmak maksadıyla yapılan saldırılardır. Kişisel PC ve mobil telefon-lardan da kişisel veriler manipülasyona uğrayabilmektedir. Kişiyi tanımlayan ve sosyal güvenlikle ilgili veya sağlıkla iligli veriler de ihlal edilebilmektedir. Bunun çok örneği vardır. Bkz: http://time.com/3952071/opm-data-breach-federal-emplo-yees/

4 Nükleer savaş en nihai olmakla birlikte tesisler içeriden birilerinin yardımıyla si-ber ataklara kolaylıkla hedef olabilir. bkz: http://www.rand.org/content/dam/rand/

pubs/monographs/2009/RAND_MG877.pdf

5 Talinn Rehberi, e-demokrasi ve e-devlet Dünya klasmanlarında birinci olan ve her türlü kamu hizmetini elektronik uygulamalarla entegre hale getirmiş olan

Eston-siber operasyonun güç kullanımı kapsamında değerlendirilmesinin tes-pit edilebilmesini sekiz ölçüte bağlamıştır. Bunlar; şiddet (kaç insanın öldürüldüğü, ne kadar geniş alanda saldırı yapıldığı, ne kadar zarar ve-rildiği), anilik (siber eylemin etkilerinin ne kadar yakında hissedilme-ye başlanacağı, bu etkilerin oluşumunu desteklehissedilme-yen eylemlerin devam edip etmediği), doğrudanlık (yapılan eylemle sonuçlar arasında illiyet olup olmadığı, bunların meydana gelecek etkileri arttırmada bir etken olup olmadığı), kuşatıcılık (eylemde güvenliği sağlanan bir elektronik ağı ele geçirmeye çalışılıp çalışılmadığı, eylemlerin mihrak noktasının hedeflenen ülke olup olmadığı), ölçülebilirlik (eylemin etkilerinin na-sıl sayısallaştırılabileceği, eylem sonuçlarının paralel veya farklı rakip saldırılarla karıştırılıp karıştırılmadığı), askeri nitelik (askeri birimlerin siber operasyona dâhil olup olmadığı, siber operasyonlarda askeri bi-rimlerin hedeflenip hedeflenmediği), devletin müdahil olması (devlet veya kamu birimlerinin doğrudan veya dolaylı bir şekilde operasyona dâhil olup olmadığı, devletin dahil olmaması durumunda eylemlerin gerçekleşebilir olup olmadığı) ve varsayımsal yasallık (eylemin kate-gorik olarak güç kullanımı olarak karakterize edilip edilmeyeceği, kul-lanılan araç ve tekniklerin uluslararası hukuk kapsamında meşru olarak nitelendirilebilen bir nitelikte olup olmadığı) gibi kriterlerdir.

Bu kriterler uluslararası hukukun hangi ölçüde ihlal edildiğini tespit ve değerlendirmede kullanılmaktadırlar. Aşağıda güç kullanımı, güç tehdidi gösterimi ve adem-i müdahale gibi yasaklar siber operas-yonlar kapsamında değerlendirilmektedir.

Bu yukarıdaki kriterler kapsamında bir siber eylemin güç kul-lanımını içermediği ve fiziksel, kişisel veya mülkiyet anlamında bir zarara yol açmadığı tespit edildiğinde TALINN Rehberi burada siber eylemlerle geleneksel eylemler arasındaki nüans farklarının belirlen-mesini gerekli kılmaktadır. Güç kullanımının dar anlamdaki tanımına göre, sadece askeri gücü içermesi (politik ve ekonomik zoru dışlayıcı bir şekilde) fiziksel zararlara yol açmayan siber saldırıların güç kulla-nımı kategorisinde sayılmaması gerekir. Zarar vermeyen bir siber

sal-ya’nın siber saldırılar ile haftalarca sistemlerinin işlemez hale gelmesi üzerine Es-tonya Talinn şehrinde uzun süren çalıştaylar ve araştırmalar sonucunda NATO’nun sahiplendiği bir siber güvenlik rehberidir. Detaylı bilgi için bkz: https://ccdcoe.

org/research.html

dırının geleneksel güç kullanımı altında zikredilmesini gerektirir ki bu da güç kullanımı yasağı kapsamının dışına çıkması anlamına gelmek-tedir. Örneğin TALINN’e göre bir hükümette veya ekonomide güven bunalımına yol açacak şekilde yapılan siber psikolojik eylemlerin güç kullanımı olarak tanımlanmaması gerekmektedir. Örneğin bir zararlı yazılımla hava savunma sisteminin uzun bir düze etkisizleştirilmesi güç kullanımı olarak kabul edilir. Dolayısıyla geleneksel anlamda askeri güçlerle bir ülkeyi kuşatmadan beklenen sonuçlar gibi fiziksel zararla-rın meydana gelmesi gerekir ki bir siber eylem güç kullanımı olarak ni-telendirilebilsin. Aksi durumlarda bu kategoride kabul edilmemektedir.

Bir siber operasyon aynı zamanda güç gösterimi yasağının da ihlal edilmesine yol açabilir. Bu yasak Birleşmiş Milletler Tüzüğünde mevut olmakla birlikte uluslararası hukukta iyice belirlenmiş olmadı-ğından geleneksel anlamda uygulanmaktadır. Yasal veya meşru bir ge-rekçesi olmadan güç kullanımı noktasında istekliliğin ifade edilmesi yasak bir güç gösterimi olarak kabul edilir. Buradaki tehdit, güç kul-lanılmasının ifade edilmesidir. Bir ülkenin hava savunma sisteminin başka bir ülke tarafından etkisiz hale getirilmesi füze, bomba veya hava operasyonu yapılacağına dair güç kullanımı ifadesi kapsamında bir teh-dit olarak kabul edilebilir. Hava savunma radar veya füze karşılama sistemlerinin devre dışı bırakılması kapasitesinin aşırı bir şekilde göste-rilmesi bir devletin meşru gerekçe olmaksızın konvansiyonel silahlarla saldırı yapması noktasında istekliliğini ifade edebilir. Siber operasyon ile bu şekilde bir teşebbüs bile başlı başına bir devletin başkasına karşı güç kullanmada karşılık ve savunma istemediğinin ifadesi olabilir. Si-ber saldırılar için bu şekilde bir potansiyel olmakla birlikte çoğu siSi-ber saldırıda daha çok devletin belirli organlarının web sayfalarına saldırıl-ması veya jeopolitik ya da ekonomik değere sahip hassas bilgilerin ele geçirilmesini hedeflemektedir.

Bir siber operasyon aynı zamanda adem-i müdahale⁶ ilkesini de ihlal edebilir. Bu ilke, toprak hükümranlığından kaynaklanmakta ve geleneksel uluslararası hukuk içerisine gömülüdür. Bu ilke, her bağım-sız ülkenin kendi işlerini başkalarının müdahalesi olmakbağım-sızın icra etme hakkını korumaktadır (Payne, 2016, s. 698). Ulusal istiklali

göstermek-6 Principle of non-intervention

tedir. Bu durumda siber operasyonlar kapsamında toprak hükümranlığı veya ulusal istiklal nasıl zarar görebileceği tartışma konusudur. Bu ana-liz kabul edilebilir dış politika (başka ülkelere ekonomik yaptırımlar, olaylar üzerinde politik yorumlar) ile kabul edilemez müdahaleler (bir ülkenin müdahale edilen bir konuda kontrol iktidarından mahrum bıra-kılması) arasında ayırım yapılması gerekir. Bir network saldırısında va-tandaşlara ait kişisel, mali veya mülkiyete ait bilgilerinin değiştirilmesi veya bozulması durumunda devletin kendi sorumluluk alanında gerekli kontrol ve iktidardan mahrum olmasına yol açılmış olabilir. Saldırıda hedeflenen ülke network sızmasını vatandaşlarının mahremiyetinin ve mülkiyet hakkının ihlal edilmesi olarak görerek kendi iç işlerine karı-şılması şeklinde kabul edebilir. Sony olayında olduğu gibi Kuzey Kore Devleti, bir filmin ABD piyasasında satılması engellenmiştir. Bu du-rumda vatandaşlık hakları veya devletin bağımsızlık ve istiklali zarar görmemiş olmakla birlikte politik, ekonomik veya sosyal yönlerden devletin çıkarları zedelenmiştir (Payne, 2016, s. 701).

b) Devlete Siber Eylemlerin İsnat Edilmesi

Teknik isnatların yapılabilmesi delillerin ortaya konulabilme-siyle ilişkilidir. Devlet organları devletin tüm idari organizasyonları-nın bileşenlerini içermektedir. Özel şirket dahi olsa mevzuat veya iç düzenlemelerle devlet adına veya kamu misyonuyla hareket etmekle görevlendirilmiş yapıların yaptıkları eylemler de devlete isnat edilebi-lir. Kamu sermayeli şirket, kurum ve kuruluşların eylemleri de devlete isnat edilmektedir. Bunun canlı bir örneği Çin Halk Cumhuriyeti Öz-gürlük Ordusunun 61398 numaralı birimi ki Çin devleti askeri gücü-ne dâhildir. Bu birim tarafından yapılan siber eylemlerin uluslararası hukuk kapsamında Çin hükümetinin her hangi bir yükümlüğünü ihlal edip etmediğine bakılmaksızın her türlü eylemleri Çin hükümetine is-nat edilebilir niteliktedir (Crawford, 2012).

1.2. Devlet Dışı Birimlerce Yapılan İhlallerde Devletin Sorumluluğu