Siber Güvenlik Kuralları

2007 yılında Estonya’da iletişim altyapıları, bankalar ve medya sistemlerine büyük

ölçekli siber saldırılarından sonra, siber tehditlere karşı küresel algı büyük oranda değişmiştir. Kritik altyapılar üzerindeki siyasi ve ideolojik motivasyonlu siber saldırılar güvenlik uzmanları için uyarı çağrısı olmuştur. 2010 yılında Çin’de Google ve diğer şirketlere yapılan Aurora kod adlı saldırılar, 2008’de Microsoft Windows’a saldırmayı hedefleyen “Conficker” adlı bilgisayar solucanı, İran nükleer programını hedefleyen “Stuxnet” solucanı gibi birçok saldırı çeşidi, siber saldırıların çok yönlü şekilde artarak devam edeceğini göstermiştir. Bu olaylardan sonra Birleşmiş Milletler, North Atlantic Treaty Organization (NATO), Avrupa Birliği, Avrupa Güvenlik ve İşbirliği Konferansı ve diğer uluslararası kuruluşlar siber güvenlik planlarını yeniden gözden geçirmişlerdir. Günümüzdeki siber tehditlere karşı yeni düzenlemeler, çareler ve yasal uygulamalar yoluyla karşı koyulabilir. Bu kapsamda siber olaylar belirlenerek uzmanlar arasında tartışıldığında aşağıda belirtilen evrensel kurallara odaklanılmalıdır [34].

30

1. Bölgesellik Kuralı : Devletlerin kendi toprakları içindeki siber tehditlerle karşı karşıya

kalabilecek tüm teknolojik altyapıları devletin ulusal egemenliği ile ilgilidir. Elektronik haberleşme, cezai yaptırımlar, araştırma yetkileri, internet servis sağlayıcısıyla işbirliği ve başarılı siber savunmanın çoğu ulusal hukukun niteliğine bağlıdır. Kendi ağ altyapılarını korumak için devletlerin sorumluluğu bağımsızlığın uluslararası kabul görmüş fikirleri tarafından desteklenir. Uluslararası hukuk kurallarına göre; her devlet kendi ülkesindeki tehditlere karşı önlem almak ve ve bunlara karşı koyabilmek için bilgi teknolojileri altyapısında iyileştirme hakkına sahiptir.

2. Sorumluluk Kuralı: Eğer bir siber operasyon başka bir devlete ait altyapıdan

başlatılmışsa, söz konusu devlet bu saldırıyı ilgili devletle ilişkilendirebilir. Her ülke kendi altyapı ve siber güvenlik sistemlerini kurarak; saldırı kendi ülkesinden yapılmışsa saldırının kaynağını, yöntemlerini ve araçların tespitini sağlamalı, saldırganların yakalanmasına ve yargılanmasına destek olmalıdır.

3. İşbirliği Kuralı: Aslında bir siber saldırı, mağdur devlet ile işbirliği içinde bir görev

oluşturularak devletin içine kurulmuş bilgi sistemleri aracılığıyla yönetilmelidir. Hukuk ve politika, askeri ve teknik uzmanlar arasında çapraz disiplinli işbirliği de gereklidir. Uluslararası siber suçlar sözleşmesi şartları gereğince cezai konularda karşılıklı mevzuat ve iç hukuk kuralları çerçevesinde her ulkenin tüm kanıtların toplanmasını isteme hakkı bulunmaktadır. Yine Kuzey Atlantik Antlaşması şartları gereğince ülkelerin bağımsızlığı, toprak bütünlüğü ve ulusal güvenliğini tehdit eden faktörlerin varlığı durumunda taraf ülke ve tüm müttefik ülkelerin işbirliği yapması gereklidir.

4. Kendini Savunma Kuralı: Kendini savunma kavramı hem ceza hemde uluslarası

huhukun bir parçasıdır. Herhenbi bir şekilde siber saldırıya maruz kalmış bir ülke kendini savunma hakkını kullanarak, var olan saldırıyı engellemek için nefsi müdafa hakkını kullanabilir. Fakat bu son çare olarak kullanılmalıdır. Bir siber saldırı eğer silahlı saldırı eşiğine çıkarsa bireysel veya toplu savunma mekanizmaları devreye sokulabilir. Böyle bir siber saldırının sonuç ve etkilerinin ne derecede zararlı olup olmadığını NATO gibi uluslararası otoriteler değerlendirmelidir. Hatta NATO sözleşmesinin 5. Maddesine göre bu saldırıyı bertaraf etmek için diğer üye ülkelerde dahil olabilecektir.

31

5. Veri Koruma Kuralı: Hukuk alanında uzmanlaşmış kişilere göre bir kişinin internet

ortamında saklamış olduğu verilerinin gizlilik kapsamına girip girmediği hala araştırma ve tartışma konusudur. AB veri koruma yönergesine göre belirlenmiş veya belirlenmemiş gerçek kişilerin bilgileri kişisel veri olarak kabul edilir. Yönergeyi uygulayan ülkelerde yaygın görüş IP adreslerinin kişisel veri olduğu ve ulusal mevzuat kapsamında kısıtlama işleminin konusudur. Bu kısıtlama AB üyesi ülkeler haricindeki üçüncü ülkelere kişisel verilerin aktarımı, ancak o ülkede yeterli seviyede bir korumanın bulunması halinde yapılmaktadır. Aksi takdirde bu ülkelere veri aktarımı yasaktır. Bu yasaklar siber bir saldırının niteliğini tanımlamak ve önlemek için ulusal düzeyle girişimleri engellemektir. İhtiyacı tespit etme, veri ve paket inceleme yöntemleri gizlilik ve izleme arasındaki doğru dengeyi kurmaya yardım edecektir.

6. Bakım Görevi Kuralı: Herkesin kendi bilgi altyapısındaki güvenliğini makul bir

seviyede sağlama sorumluluğu vardır. Bakım görevi kavramı yasal birçok alanda iyi kurulmalıdır. Bir birey kişisel verilenin korunmasını garanti etmek için bir yükümlülük altındadır. AB Veri Koruma Yönergesi uyarınca kişiler, yasadışı yöntemlerce verilerinin yok edilmesini, değiştirilmesini ve yetkisiz kişilere açıklanmasını önlemek amacıyla tüm tebirlerini almak zorundadır. Bu önlemler için her türlü teknik altyapı ve desteği sağlamalıdır. 1981 yılındaki Avrupa Konseyi Sözleşmesi’nde kişisel verilerin kaybı, izinsiz açıklanması ve yetkisiz olarak erişilmesini önlemek gerektiği bir hükme bağlanmıştır. Siyasi boyutlarıyla siber saldırılar daha yaygın oldukça, bakım görevi kavramı kritik bilgi altyapısı, devlet ve askeri bilgi servisleri için güvenlik standartları geliştirilebilir.

7. Erken Uyarı Kuralı: Bilinen veya yaklaşan siber saldırılar hakkında potansiyel hedefleri

belirlemek bir zorunluluktur. Servis sağlayıcılar e-gizlilik yönergesi EC/2002/58’e göre verdikleri hizmetlerin güvenliğini sağlamak ve gelebilecek siber tehditlere karşı önlemlerini almak için tüm teknik imkanları sağlamak gibi bir yükümlülüğü vardır. Gerektiğinde servis sağlayıcısı, bağlananılan açık iletişim ağ sağlayıcıları ile başka eylemleri koordine etmelidir. Ayrıca e-ticaret yönergesine göre üye devletlerin servis sağlayıcıları iddia edilen yasadışı faaliyetleri yetkili kamu otoritelerine derhal bildirmek zorundadırlar.

8. Bilgiye Erişim Kuralı: Halkın hayat, güvenlik ve refahına yönelik tehditler hakkında

32

öğrenmek konusunda devletin şeffaf olması gerektiğine dair bir görüş gün geçtikçe kuvvetli bir şekilde varlığını hissettirmektedir. Yaşam, sağlık ve kişilerin özellikleri gibi varolan bilginin ortaya çıkma tehlikesi için bilgileri bir ortamda tutmak gereklidir. Bilgiyi tehdit eden saldırıları öğretmek ve siber güvenlik hakkında farkındalığı artırabilmek için halka olanak tanımak gereklidir. Özel sektör kuruluşlarına karşı yapılan siber saldırıların ortaya çıkarılması ve onların sonuçları iş modeli ve hizmetlere güveni azaltabilecektir. Fakat siyasi olarak güdülenmiş siber saldırılarda devletin sorumlukları genellikle böyle bilgilerin yayınlanmasını engellemektir. Bir saldırının yöntemi, hedefleri ve etkilerinin detaylarını açıkça tartışmak güvenlik açığını artırabilir. Bilgiye erişim için yasal çerçeve stratejik haberleşme ortamı ve kamu farkındalığını artırabilmek için siber güvenliğin önemli bir yönü olacaktır.

9. Suçluluk Kuralı: Her ulusun asli ceza kanununda en yaygın siber suçları kapsaması

sorumluluğu vardır. Bilindiği üzere sipesifik bir eylem yada sonuç ulusal hukukta bir suç olarak belirtilmemişse siber saldırı gerçekleştirmiş birisine yaptırım uygulamak devlet için neredeyse imkansızdır. Siyasi amaçlı bir siber suç belirli kişiler ve varlıklardan ziyade genelde toplum için çok kısmı bir tehdittir ve ekonomiyle alakalı olan siber suçdan da farklı bir yanıt gerektirebilir. Uluslararası anlaşmazlıların giderilmesi ve bir uyum oluşturması için esas alınabilecek Avrupa Birliği Siber Suçlar Sözleşmesi gibi sözleşmeler ağ altyapılarına izinsiz erişimlerde yasal yükümlülükler getirmesi iyi bir başlangıca işarettir.

10. Yetki Kuralı: Yetki kuralı küresel siber güvenlikte uluslararası çabaları belirlemek ve

koordine etmek ile ilgilidir. Siber güvenlik ile ilgili mevcut yasal ve siyasal araçların analizi uluslararası koordinasyonu ve boşlukları meydana çıkarmaktadır. Örneğin uluslararası siber suç uyumu en az altı büyük uluslararası organizasyonun odağı haline gelmiştir. Siber yeteneklerinde devlet yatırımlarını haklı göstermek için uluslararası organizasyonlar diğer kuruluşların çabalarından yararlanmalı ve artırmalıdır. NATO, üye ülkelerine herhangi bir siber saldırı gerçekleştirildiğinde hangi durumlarda silahlı saldırı yapabileceği konusunda bir karar verememiştir. Siber saldırılar konusunda tüm ülkelerin koordineli çalışmaları ve siber altyapılarını en üst seviyelere çıkarmaları gerekmektedir.

33