Siber Savaşın Hukuki Boyutu SG 507 Siber Savaşlar Güz 2014
Siber Savaş hukuk kurallarını oluşturmadaki zorluklar Fiziksel güç ile birlikte, resmi veya kritik sivil web sitelerine veya ağlara yapılan saldırılar Fiziksel güç kullanmadan, resmi veya kritik sivil web sitelerine veya ağlara yapılan saldırılar Ülke içindeki politik muhaliflere karşı yapılan saldırılar Kritik altyapı ve ağlara yapılan siber saldırılar Siber casusluk faaliyetleri Misilleme saldırıları vb. 2
Geleneksel Savaş Hukuku Jus ad bellum: Silahlı kuvvet kullanılmasının haklılığı, silahlı kuvvete son çare olarak başvurulması gibi, savaşın gerekçelerinin hukuka uygunluğuna ilişkin kurallar. Jus in bello: Silahlı bir çatışmada hukuka uygun araç ve yöntemlerin kullanılması gibi savaş başladıktan sonraya ait kurallar. Gereklilik, İnsanlık, Orantı. Silahlı Çatışma Hukuku devreye girer 3
Jus ad Bellum Charter of the United Nations (BM sözleşmesi) Madde 2(4): Tüm üyeler, uluslar arası ilişkilerinde gerek herhangi bir başka devletin toprak bütünlüğüne veya siyasal bağımsızlığına karşı, gerekse BM nin amaçları ile bağdaşmayacak bir biçimde kuvvet kullanma tehdidine veya kullanılmasına başvurmaktan kaçınırlar. Altıncı bölüm: İhtilafların barışçıl yollardan çözülmesi 4
Charter of the United Nations Sözleşmede kuvvet kullanımına iki istisna getirilmiştir. Güvenlik Konseyi Kararı: Yedinci bölümde (Barışa karşı tehditler, barışın ihlali ve saldırganlık eylemleri), 39. madde: Barış ve güvenliğin temini için barışa karşı tehdit, barış ihlali ve saldırganlık eylemleri olduğuna BM- GK karar verir. 41. madde: BM-GK bu ihlallerde bulunan devleti, aldığı kararlarla diplomatik ve ekonomik müeyyidelerle baskılayabilir. 42. madde: Kuvvet kullanımına karar verebilir. Meşru Müdafaa (51. Madde): Kuvvet kullanımı şu gerekçelerle meşru müdafaa hakkı doğduğunda kullanılabilir Vatandaşların ve onların yurt dışındaki mülklerinin korunması Ulusun politik bağımsızlığının korunması Ülkenin toprak bütünlüğünün korunması 5
Siber saldırı = fiziksel saldırı? BM ye göre saldırı: Bir devletin diğer bir devletin bağımsızlığına, ülke bütünlüğüne veya siyasi bağımsızlığına karşı veya işbu tanımda belirtildiği üzere BM Sözleşmesi ile bağdaşmayan diğer herhangi bir tarzda silahlı kuvvet kullanılmasıdır. Siber saldırı, silahlı kuvvet sınıfına girer mi? Saldırı sayılabilmesi için aşağıdakilerden hangisinin olması gerekir Fiziksel silah fiziksel etki Siber silah fiziksel etki Siber silah sanal etki 6
Siber saldırı = fiziksel saldırı? Tüm fiziksel saldırılar kuvvet kullanımıdır, fakat tüm kuvvet kullanımları fiziksel saldırı olarak nitelendirilemez. Bu nedenle, siber kuvvet kullanımının hedefi olan bir devlet (fiziksel) misilleme yapamaz, çünkü maruz kaldığı kuvvet, fiziksel saldırıda olduğu kadar değildir. Ancak, ekonomik, diplomatik, sivil hukuk kuralları ile hakkını arama ve misilleme için BM-GK ya başvurma hakkına sahiptir. Cenevre Sözleşmeleri nin 1. Protokolünde saldırı: rakibe karşı şiddet eylemleri olarak nitelendirilmiştir. Fiziksel kuvvet vurgulaması yok. 7
Siber saldırı = fiziksel saldırı? Etkiye dayalı analiz Schmitt gibi bazı uzmanlar siber saldırının sonuçları fiziksel saldırıya benzer sonuçlar gibi ise BM Sözleşmesi 51. madde kapsamında değerlendirilebilir. Bir siber saldırının kuvvet içerip içermediği ile ilgili yedi kıstas: Zararın büyüklüğü Zamansal yakınlık Direk olması Yayılım Ölçülebilirlik Karineye dayalı meşrüiyet Sorumluluk 8
Siber saldırı = fiziksel saldırı? Etkiye dayalı analiz Zarar: insanların yaralanması veya ölmesi, mülk hasarı veya tahribatı gibi somut sonuçlar Örneğin, baraj kapaklarını kontrol eden bir sisteme yapılan saldırı sonucu bir yerin sel altında kalarak insanların zarar görmesi Ya kimse zarar görmüyorsa? 9
Meşru müdafaa Meşru müdafaa kavramı saldırıdan öncesi için de kullanılabilir. Buna önleyici meşru müdafaa (yani caydırıcılık amaçlı saldırı) denir. Bazı ülkeler önleyici meşru müdafaanın haklılığına inanmaz iken ABD gibi ülkeler, caydırıcılık için saldırma ihtimali, niyeti ve kabiliyeti olan ülkelere önleyici meşru müdafaa adı altında siber saldırılar gerçekleştirmektedir. Tabi bu saldırıların maruz kalınan tehdit ile orantılı olması ve belirli bir saldırıya yakın olduğuna dair deliller olması gerekmektedir. Bu deliller olmasa bile bazı ülkeler adına etkin meşru müdafaa diyerek caydırıcılık amaçlı saldırılar düzenlenebileceğini düşünmektedir. 10
Saldırılar birey kaynaklı ise 51. madde saldırıların devlet kaynaklı olması durumunda misillemeye izin verilebileceğini söyler. Ya bireysel siber saldırılarla bir devlet mağdur oluyorsa Saldırıların geldiği devlet saldırıları durdurmak için isteksizse veya saldırıları durduramıyorsa, baskı unsuru olarak misilleme hakkı yasal olarak doğar mı? 11
Jus in bello Silahlı Çatışma Hukuku (Uluslar arası İnsani Hukuk) Savaşa dahil olmayanları savaşın etkilerinden korumayı ve belirli savaş yöntemlerinin kullanılmasına sınırlama getirmeyi amaçlar. NATO CCD-COE nin, Silahlı Çatışma Hukukunun siber alanda uygulanması konusunda Gürcistan a yapılan siber saldırılar ve adı konulan yasal dersler dokümanı Savaş kelimesi bir yasal anlam taşımakta ve savaşın taraflarının uyacağı kuralları belirlemektedir. Yani başka bir ülkeye siber savaş başlatmak için ve siber savaş sırasında uyulması gereken kurallar olmalıdır. Birçok ülkenin siber ordular kurmadığı veya siber savunma güçleri teşkil etmediği için, siber savaşın Silahlı Çatışma Hukuku kapsamına girmesi zor görünmektedir. Ancak, herhangi bir eylem yaralanma, ölüm, hasar veya yıkım ile sonuçlanıyorsa Silahlı Çatışma Hukuku içinde değerlendirilebilir. Silahlı Çatışma Hukukuna göre savaş ilanı şart değildir. Bu hukuk düşmanca hareketlerin başlamasından itibaren uygulanır. Silahlı çatışma: tarafların ikisinin de devlet olması gerekmez, birinin devlet tarafından desteklenen özel bir grup olması yeterlidir. 12
Saldırıların arkasında bir devlet var mı? Uluslar arası Adalet Divanı nın iki tür içtihat yaptığı görülüyor Devlet-dışı aktörler üzerinde etkin kontrol Devlet-dışı aktörler üzerinde geniş-kapsamlı kontrol 13
Sivil hedefli siber saldırılar Silahlı Çatışma Hukukuna göre hedefin askeri bir unsur olması için mümkün olan her şeyin yapılması gerekir. Sivil hedeflerin vurulması hususunda silahların izin verilen hedefleri vurabilecek ayrımı yapma kabiliyeti aranır. Sivil hedeflere saldırı veya misilleme yapılamaz. İzin verilen hedefler: Tabiatı, konumu, amacı veya kullanımı, askeri faaliyetlere etkin katkı sağlayan nesneler ile bütün veya kısmi tahribi, yakalanması veya etkisiz bırakılması, saldırı zamanındaki şartlar altında, belirli bir askeri avantaj sağlayan nesneler. 14
Sivil hedefli siber saldırılar Ayrım: Cenevre Sözleşmelerine göre sivil ve askeri olanlar ayrımı olmalıdır ve sivillere zarar asgari seviyede olmalıdır. Sivil trafiğe açık bir köprü askeri avantaj için tahrip edilebilir. Bu anlamda sivil iletişim ağı da askeri avantaj için siber saldırı yolu ile tahrip edilebilir. Askeri Gereklilik ve İnsaniyet Arası Denge: Bir hedefi vurmak askeri avantajı az fakat sivil zararları fazla ise yasal olarak sıkıntı doğurabilir. Elektrik şebekesine yapılacak bir siber saldırı civar hastane ve sivil unsurlar göz önüne alındığında yasallığını yitirebilir. 15
Talinn El Kitabı NATO CCD-COE nin koordine ettiği, hukukçuların savaş hukuklarının siber savaşa uyarlanması ile ilgili 3 Eylül 2012 de yayınlanmış 95 maddelik bir belge Siber saldırı: insanların yaralanmasına, ölmesine veya mülklerin zarar görmesine ve tahrip olmasına sebep olan siber eylemler Bir devler, egemen olduğu bölgede siber altyapı ve faaliyetleri kontrol edebilir. Bir devlet, kontrolü altındaki siber ortam üzerinden başka bir devleri etkileyecek siber eylemlere izin veremez. Bir devlet, kendisi ile irtibatlandıracak siber saldırıların sorumlusudur. Saldırılar bir devletin siber altyapısından geliyorsa, doğrudan sorumlu olduğuna delil olmaz, fakat saldırılar o devletle irtibatlandırılabilir. Saldırılar bir ülkenin altyapısından yönlendirilmişse, o devletin sorumlu olduğuna delil teşkil etmez. 16
Uluslar arası Siber Güvenlik Antlaşmaları Siber silahsızlanma ve silahların kontrol altına alınması ABD böyle bir antlaşmaya, kurallarına uyulup uyulmadığını kontrol etmek mümkün olmadığından, karşıdır. Rusya ise böyle bir antlaşmanın yapılması gerektiğini uluslar arası camiada sıkça dile getirmektedir. BM, NATO ve ITU (uluslarlarası telekomikasyon birliği) bu tür antlaşmalar için taslak çalışmalara başlamıştır. Hindistan Savunma Bakanı: Ne kadar tartışılsa tartışılsın, ortak bir karara varılamayacak ve nükleer caydırıcılık modeli, siber alana uygulanarak siber caydırıcılıkla çözüme ulaşılacaktır. 17
Siber Suçlarla Mücadele Avrupa Konseyi Siber Suçlar Sözleşmesi (Budapeşte Sözleşmesi) 23 Kasım 2001 tarihinde imzalanmaya başlamış 1 Temmuz 2004 te yürürlüğe girmiştir. Türkiye 10 Kasım 2012 de imzalamış ve 22 Nisan 2014 de kanunlaşmıştır. 48 maddeden oluşur Telif haklarının ihlali Bilgisayarla ilgili sahtekarlık eylemleri Ağ güvenliği 18
Siber Suçlara karşı BM kararları 57/239 (2002) numaralı BM kararı: farkındalık, sorumluluk, mukabele, ahlak, demokrasi, risk değerlendirmesi, güvenlik tasarımı ve gerçekleştirimi, güvenlik yönetimi ve yeniden değerlendirme 58/199 (2004) numaralı BM kararı: Kritik altyapıların korunması 19
Ülkemizde yasal düzenlemeler 5070 Sayılı Elektronik İmza Kanunu 5237 Sayılı TCK Madde 124 Haberleşmenin engellenmesi Madde 132-138 Haberleşmenin gizliliği ihlali, Kişiler arasındaki konuşmaların dinlenmesi ve kayda alınması, Özel hayatın gizliliği, Kişisel verilerin kaydedilmesi, Verileri hukuka aykırı olarak verme ve ele geçirme, Nitelikli haller, Verileri yok etmeme 5271 Sayılı CMK Madde 134: Bilgisayar, bilgisayar programlarında ve kütüklerinde arama, kopyalama ve el koyma 5651 Sayılı Internet ortamında yapılan yayınların düzenlenmesi ve bu yayınlar yoluyla işlenen suçlarla mücadele edilmesi hakkında kanun 5809 Sayılı Elektronik Haberleşme Kanunu 5846 Sayılı Fikir ve Sanat Eserleri Kanunu 20
Soru-Cevap Haftaya: Proje Sunumları 21