TR-TR 
EN-US 
6 – 17 Mayıs 1943 tarihinde Barnes Wallis tarafından geliştirilen geri tepmeli bombanın kullanılması suretiyle Almanya’nın hidroelektrik enerji üreten Möhne ve Edersee barajlarına saldırı düzenlenmiş, saldırı sonucunda Möhn ve Ruhr vadilerinde toplam 11 fabrika imha edilmiş 114 kişi ciddi şekilde yaralanmış, 25 yol ve demiryolu köprüsü kullanılamaz hale getirilmiş ve bunun nihayetinde bölgedeki su ve elektrik altyapıları büyük ölçüde kullanılamaz hale gelmiştir. Tarihte Chastise Operasyonu olarak tanımlanan bu saldırı, teknolojik gelişimin sonuçlarının yarattığı tahribatı anlamak için bizlere gerekli dersleri vermesi bakımından önem arz etmektedir. Bu olaydan tam altmış yedi yıl sonrasında ise İran'ın nükleer çalışmalarını sekteye uğratmak için kullanılan solucan yazılım Stuxnet aracılığı ile İran’ın Natanz nükleer zenginleştirme tesislerinde yaklaşık 1000 santrifüje yönelik saldırı gerçekleştirilmiş, bu saldırı neticesinde İran nükleer zenginleştirme programları önemli hasar görmüş ve bu olay dünyada ilk kez ‘siber savaş’ teriminin gündeme oturmasına sebep olmuştur. Bununla birlikte her ne kadar 2007 yılında Estonya, 2008 yılında Gürcistan’a yönelik hizmetleri engellemeye yönelik saldırılar yapılmışsa da bu saldırılar da fiziksel bir hasar oluşmadığı gerekçesiyle saldırılar adi suç olarak değerlendirilmiştir.
Günümüzde bilgi teknolojileri ile bilgisayar ağları etkileşimi arasında gerçekleşen bu yasa dışı eylemlerin hukuka aykırılık oluşturduğu haller, unsurları ve amaçları gerek hemen hemen tüm dünya ülkelerinin savunma stratejisi ve ulusal güvenlik uygulamalarında öncelik kazanmaya başlamıştır. Siber saldırıların ekseriyetle gözlemlenen öncül etkisi ve aslında ‘siber’ başlığı altında yapılan hukuki tartışmalar kapsamında ön plana çıkan en önemli unsurların ‘tehdit’ ve ‘risk’ olduğu değerlendirilmektedir. Sosyal mecraların insanlar arasındaki etkileşimdeki rolü, bu mecralardaki etkileşimin büyük kitleleri etkileme gücü, ülke ekonomilerinin üretim, ticaret, güvenlik, finans, medya ve sanayilerinde ‘dijital’ payın artış hızı ve tüm bunlarla birlikte verinin kendi ekonomisini yaratmış olduğu düşünüldüğünde, bu platformda yapılan bireysel veya örgütlü tüm hukuka aykırı eylemlerin aslında bilgi teknolojileri ve bilgisayar ağları zemininde ‘bilinmez risk alanı’ olgusuna işaret ettiği ve nihayetinde korku ve endişe egemen bir dünya yarattığı, bu korku ve endişenin ise askeri teknolojilerden bireysel internet kullanımına kadar geniş yelpazede hakim olduğunu inkar etmek gerçekçi olmayacaktır. Bu kapsamda ele alındığında siber riskler ile mücadelede taktiklerin belirsiz hal alması da bu durumun doğal sonucudur zira niteliği, faili, amacı, eylem kabiliyeti ve unsurları belirsiz bir hukuka aykırı eylemin kısa ve orta vadede oluşturulacak taktiksel manevralar ile engellenmesi mümkün değildir. Bu sebeple siber alanda yaşanılan uyuşmazlıkların aslında baskınlaşan bir biçimde tehdit yapılanmasının korku tabanlı süreçleri olarak değerlendirmek konuya bakış açımızın sistematiğinin oluşması için önem arz etmektedir.
Bu kapsamda büyük fotoğraftan ele alındığında siber alandaki unsurların yarattığı sonuçların etkilerinin aslında bir risk alanı oluşturduğunu düşünülebilir. Zira ABD’li akademisyen Randall R. Dipert, siber dünyada sörf yapmayı kirli bir havuzda yüzmeye benzetmekte ve internet yaşamına ilişkin gelişmelerin aslında birçok kişide korku uyandıracak yeni tehlikeleri de beraberinde getirdiğini savunmaktadır. A.B.D. merkezli Pew Araştırma Merkezi’nin 16 Ocak 2015’te duyurduğu araştırma da aslında bu iddiayı destekler nitelikte. Araştırmaya göre Amerikan toplumunun %91’i tüketici olarak kişisel bilgilerinin nasıl toplanıldığı ve kullanıldığı konusunda kontrolü kaybettiğini düşünürken, yalnızca %2 gibi bir oran sosyal medyayı kişisel bilgi paylaşımı için ‘çok güvenli’ bulmakta, veri etkileşimi ve paylaşımı kapsamında yine yalnızca %16’lık bir oran ise ‘sabit telefonları’ güvenli olarak algılamaktadır. Bu kapsamda, diğer ülkelerdekine benzer şekilde, siber olayların vatandaşlar için risk tehdidi oluşturduğunu düşünenlerin oranı ise %70’i oluşturmaktadır. Bu araştırmanın, ABD’de 2016 yılında gerçekleşen başkanlık seçimlerine Rusya’nın siber müdahalesi olduğu yönünde iddialar öncesi yapıldığını değerlendirdiğimizde güncel oranının çok daha fazla olduğunu düşünmek yanıltıcı olmayacaktır. O halde siber güvenlik denildiğinde aslında siber alanın yeni bir oyun alanı olduğu gerçeğinden hareketle öncelikle bu alanın dinamiklerini tespit ederek eş zamanlı olarak ‘güvenlik’ olgusunun hukuktaki karşılığının irdelenmesi, bu alanda gerçekleşen çatışmaların toplumsal yaşamda meydana gelen ihlaller ve mili güvenlik tehditleri şeklinde ele alınması gerekmektedir.
Siber Alan
Yirminci yüzyılın getirdiği teknolojik gelişim ve dönüşümün tabii bir sonucu olarak tehlikelerin ve eylemlerin evrim gösterdiği sabittir. Güvenlik perspektifinden bakıldığında; 1943 yılında Almanya’da gerçekleşen ve aslında 2. Dünya Savaşı’nda askeri teknolojilerdeki gelişimlerin hangi sonuçlar doğurabileceğine ilişkin ilk örnekleri oluşturan Chastise Operasyonu ile Stuxnet saldırısı arasında aslında tek fark kullanılan araç ve usuldür. Teknolojik gelişimin günümüzde internetsiz bir hayat düşünemeyecek kadar gündelik hayatımızda yer etmiş olması hiç şüphesiz ki, bu alanın bir yandan evrimini hızlandırırken bir yandan da bu alandaki yetenek ve kabiliyetleri arttırmaktadır. Veriye ulaşım, veriyi paylaşım hızı ve yoğunluğu kontrolsüz veri yönetim uygulamaları ve teknolojik gelişim seviyesi ile birlikte ele alındığında aslında dijital ekonominin yeni sermayesi ‘veri’yi de evrimselleştirmektedir. Verinin dünyanın herhangi bir yerinden ulaşılabilirliği ve kullanılabilirliğinde oluşan risk alanı ise bu ekonominin hukuka aykırı amaçlara konu olmasını da kolaylaştırmaktadır. Bu alanın, bir risk alanı olarak tanımlanabilmesinin bir sebebi de sosyal etkisine ilişkindir. Gerçekten de günümüzde özellikle sosyal ağ ve medya platformları düşünüldüğünde veri platformuna dayalı risklerin ne denli açık ve küresel etki yaratabileceği sabittir.
O halde, tüm bunlar değerlendirildiğinde, siber alanın aslında bir kritik altyapı olduğu düşünülebilir. Veri ve bilgisayar ağlarının kesiştiği bu kümede, risk alanı veri ve bilgisayar ağlarının kesiştiği bir Venn şemasına benzetilebilir. Bu şemada kesişen alan bilgi teknolojilerinin gelişmesi ve verinin yoğunluk ve dağılım hızının artmasıyla hiç şüphesiz ki günümüzde veri ve ağların bulunduğu, Venn şemasındaki iki kümenin kesiştiği alan dışında sağ ve solunda kalan alanın güven ve işlevine son derece zarar verir hale gelmiştir. Aslında günümüzde verinin en çok ve en hızlı el değiştirdiği ve siber alan olarak değerlendirebileceğimiz en önemli platformlar sosyal ağ ve sosyal medya platformlarıdır. A.B.D’li yazarlar Candace Jones ve Elizabeth Hamilton Volpe’nin[1] de ifade ettikleri üzere, sosyal ağ perspektifinin odaklandığı husus, bir birey veya ağın etrafındaki sosyal ilişkilerinin yapısını, iletişim, veri ve geri bildirim aracılığı ile davranış ve hareketleri şekillendirmeye dayalıdır. Bu gerçeklikten hareketle verinin iştah açan yoğunluğu siber alanın gitgide hayatımıza ne boyutta nüfus ettiğini de göstermektedir.
John Arquilla ve David Ronfeldt ise bir ağın güçlü yönlerini etkileyen dört alan olduğunu, bunların sırasıyla organizasyon (ne tür bir ağın kullanıldığı ve bu ağ kullanıcılarının birbirleri ile ne boyutta bağlantılı olduğu) , doktrin (insanların ağı kullanmaya motive eden sebepler ile bu organizasyonun merkezi bir liderlik oluşmadan nasıl işlerlik kazandığı), teknoloji (hangi tür teknolojilerin ne surette kullanıldığı) ve ağ içi insanlar arası güvenden oluştuğunu ileri sürmektedir.[2] Bu değerlendirme ise aslında tamamen bir sosyal mühendislik okuryazarlığı ile siber platformları hukuka aykırı kullanmak isteyen kişilerin bu alanlara müdahale odaklarının ve süreçlerinin anlaşılması bakımından önem arz etmektedir.
İnternet bazlı platformların gündelik hayatımızdaki yerinin daha fazla önem kazanması ile birlikte ise bu alan aslında organize suç örgütleri ile devletlerin daha çok odaklandığı bir yapıya bürünmüştür. Siber alandaki saldırıların herhangi bir yerden herhangi bir hedefe kolaylıkla ve anonim görünüme bürünerek gerçekleştiği ve bu alandaki koruma ve tedbirlerin artık adi bir suç kavramından daha geniş olarak bir ulusal güvenlik konusu haline geldiği değerlendirildiğinde aslında gerek ulusal gerekse de uluslararası literatürde ‘güvenlik’ kavramının değişen risk alanları da değerlendirilmek suretiyle yeni bir derinlikte ele alınması kaçınılmazdır.
Güvenlik
Güvenlik kelimesi Türk Dil Kurumu sözlüğünde ‘Toplum yaşamında yasal düzenin aksamadan yürütülmesi, kişilerin korkusuzca yaşayabilmesi durumu, emniyet’ olarak tanımlanmakla İngilizce’de security olarak ifade edilmektedir. ‘Security’ kelimesinin etimolojik incelemesinde security kelimesinin Latince securitas kelimesinden geldiği gözlemlenmekle sine cura –sine (İngilizce karşılığı ‘without’ Türkçe karşılığı ‘-siz, -sız’) ve curalcurio (İngilizce karşılığı ‘troubling’, Türkçe karşılığı ‘rahatsız etme, tedirgin etme, sıkıntılı’) köklerinden türediği görülmektedir. Bu kapsamda güvenlik kelimesinin endişe, tedirginlik, rahatsızlık olmama durumu üzerine anlam ifade ettiği söylenebilir. Dillon’a[3] göre, kelimenin Latince kökü olan cura ise durum ve sorumluluklara ilişkin olmakla, endişeden ve hakeza sorumluluktan ari şekilde, tamamen olumlu (bir kişinin güvenli hissetmesi) veya olumsuz (ihmalkar, kayıtsız) olarak tanımlanamaz. Bunun önemli bir sebebi hiç şüphesiz ki güvenlik kavramının politik kavramlar kapsamında sıklıkla ele alınması, politika ve uygulamalar ile yakın ilintili olmasındandır. Gerçekten de güvenlik, egemen devlet kavramının temelini oluşturmakla, politika olarak nasıl oluştuğu ve nasıl işlediğine ilişkin tasarlanan sonuçlar ile vücut bulmaktadır. Güvenlik algısı birçok bakış açısında bu detayları barındırmazken temel olarak özellikle diğer devletler ile ilişkilerinde devletlerin bireyleri ve kendisini nasıl koruduğu ile, bir başka ifade ile ‘milli güvenlik’ çerçevesi ile ele alınır.
Buzan’a[4] göre, güvenlik meseleleri tek bir noktayı kapsamaktan ziyade genel bir alanın tümünü kapsamakla, bu sebeple de herhangi özel bir konunun genel manasında tanımlama bulmamaktadır. Walt’a[5] göre ise bu alan önceden tehdit ve askeri güç kullanımı ve kontrolüne odaklanmış iken bugün ekonomik, sosyal ve çevresel konulara, politik ve askeri kaygılar ile yayılmış durumdadır. Hatta mevcut durumda bu alan devletlerin kendilerine başvuru sınırları ile değil bireylerin, toplulukların, bölgelerin ve hatta tüm dünyanın sınırlarını kapsar hale gelmiştir.
Tüm bu yaklaşımlar ele alınıldığında güvenliği anlamak hiç şüphesiz ki tanımlamasını anlamaktan ziyade varoluş döngüsünde güvenliği bir kavram olarak algılamayı gerektirmektedir. Baldwin’e[6] göre güvenliğe bir kavram olarak yaklaşılması ‘Kim için Güvenlik?’, ‘Hangi değerler için güvenlik?’, ‘Ne maliyette?’ ve ‘Hangi zaman diliminde?’ sorularının sorulması ile daha uygun olacaktır. Bu sorular birbirleri ile ilintili görünse de hiç şüphesiz ki denk değildir. Sorular üzerinde mutlak bir fikir birliğinin sağlanamaması ise olumsuz bir etki sağlamayacak, güvenlik kavramının anlaşılması ve yerleşmesine yardımcı olacaktır. Bununla birlikte ‘güvenlik’ kavramını ‘türev bir kavram’ olarak değerlendiren, psikolojik ve politik perspektifte, güvenliğin kendisinin hiçbir şey olmadığı gerçeğinden hareketle, tehdit ve risk varlığı halinde yine bu kavramlar ile birlikte ortaya çıktığını ve sıklıkla serbestiyet, mahremiyet, hareket özgürlüğü vb. unsurlar ile dengelenmeyi gerektiren bir kavram olduğunu değerlendiren görüşler de mevcuttur.[7]
Tüm bu yaklaşımlar kapsamında, güvenlik kavramına ilişkin aslında zemini, araçları, aktörleri ve kapsamı itibari ile tek bir tanım üzerinde mutabık kalınamaması kanaatimizce de yerindedir. Gerek Birleşmiş Milletler uygulamaları gerekse de günümüzde kimi ülkelerin güvenlik unsurunu sağlamak üzere oluşturduğu yasal düzenlemeler birlikte değerlendirildiğinde, güvenlik konusunun tehdit ve risk halinde öncelikli koşul olduğunu söylemek uygun olacaktır. Bu koşul hiç şüphesiz ki meşruiyetini uluslar arası hukuk kuralları çerçevesinde bulmakla, sınırlamaları ve belirginlikleri bakımından farklılıklar da barındırmaktadır. Tehdit ve riskin bulunmadığı bir alanda, güvenliği sağlama hakkının da bulunmayacağına ilişkin yapılacak değerlendirme de bu kapsamda doğru olmayacaktır. Zira egemen devletin temel taşı olan güvenlik unsuru tehdit ve riskin bulunmaması halinde dahi devletin sağlamakla yükümlü olduğu asli görevlerindendir. Bu çerçevede güvenliği tanımlarken aslında kapsamının ve varoluş sebebinin değerlendirilmek suretiyle ele alınması, bir başka ifade ile bireyler için ve devlet için ‘ontolojik güvenlik’ kapsamlarının göz önüne alınması uygun olacaktır.
Siber Güvenlik
Siber alan ve güvenliğe ilişkin yukarıda belirttiğimiz hususlar çerçevesinde, genel hatları ile siber güvenliği veri ve bilgisayar ağları platformlarında yer alan tehdit ve risklere karşı güvenli olma durumu olarak tanımlayabiliriz. Lakin bu tanımlama, bugün siber alandaki aktörlerin ve hukuka uygun olmayan amaçların doğrudan ve dolaylı olma yapısı da değerlendirildiğinde hiş şüphesiz ki yeterli olmayacaktır. O halde ‘siber güvenlik’ kavramına yaklaşımda ontolojik güvenlik disiplinine başvurulması kanaatimizce yerinde olacaktır.
İngiliz sosyolog Anthony Giddens ontolojik güvenlik kavramını yeni doğan bir bebek ve bakıcısı arasındaki ilişkiye benzetir. Yeni doğanlarda temel güven oluşumu rutin ve alışkanlıklara dayanır. Birey, bu rutin ve alışkanlıklar üzerinden çevresinde olup bitenlere bir anlam vererek kendi kimliğini oluşturur, böylece varoluşsal soruları yanıtlar ve kendisine koruyucu bir çerçeve oluşturur.[8] Bu değerlendirme ışığında siber alandaki temel güven oluşumunu birey ve devlet bazlı olarak iki ayrı çerçevede ele almak daha doğru olacaktır. En basit hali ile birey, ağlar üzerinden veya ağlar aracılığı ile tasarruf ettiği veriye ulaşımda kullandığı parolalar veya şifrelerin özellikle bu ağlar ve platformların sahipleri tarafından güvenle korunduğu inancı ve alışkanlığı ile hareket ederken, devletler gerek kritik alt yapı korumalarında gerekse de kamu hizmetlerinin sağlandığı bu ağlardaki güvenliği Gidden’sın bakıcı benzetmesi rolünde üstlenmek durumundadır.
Bununla birlikte, siber platformlardaki verilerin ve ağların güvenliği aslında bu alanları oluşturanlar tarafından kendi belirginlik alanları içerisinde koruyucu bir çerçeveye sahip görünmesine rağmen, bu alandaki dinamik tehdit kırılganlığının bir sonucu olarak Booth’un da tanımladığı gibi bir tehdit ve risk varlığı karşısında türev bir güvenlik gereksinimi doğurmaktadır. Bu durum da alışılagelmişin dışında saldırı tiplerini incelemekten ziyade mantık ve sınırlar çerçevesinde türev unsurların ortaya çıkışını ve suçun evrimselleşme sürecini analiz etmeyi gerektirmektedir.
Güvenlik alanında da uygulanan, uluslararası ilişkiler öğretilerinde yer edinmiş mantık davranışları siber güvenlik alanında türev güvenlik analizinin sağlanması bakımından önem arz etmektedir. Sonuç mantığı, uygunluk mantığı, tartışma mantığı ve uygulama mantığı teorileri kapsamında ortaya çıkan hareket tarzları aslında eylem ve karşı eylemlerin oluşum mantıklarını da ortaya koymaktadır. Fakat bugün günümüzde siber güvenlik denildiğinde bu alandaki güvenliğin temas ettiği alanlar ve sınırlar değerlendirilmeksizin, bilgisayar ağı üzerinden yapılan her türlü hukuka aykırı eylem ‘güvenlik’ tanımı ile karşılık bulmaktadır. Oysaki siber güvenlik temelinde birçok ülkenin de kabul ettiği şekli ile bir ‘milli güvenlik’ meselesi olarak uluslar arası devletler hukukunun konusunu oluştururken, bireyler arasında bilgisayar ağları aracılığı ile yapılan hukuka aykırı eylemler ise kanaatimizce ‘siber suç’ unsurunu oluşturmakla ceza hukuku kapsamında değerlendirilmelidir.
Bununla birlikte, siber özünde bir ‘platform’ niteliğinde olmakla, hukuka aykırı eylemin hedef aldığı unsur ve fail bakımından yapılacak değerlendirme kapsamında ve yine öncül veya entegre yapısının olup olmadığının değerlendirilmesi ile de eylemin bir milli güvenlik meselesi mi yoksa adi suç niteliğinde mi olduğu anlaşılabilir. Ceza hukuku disiplininde suç tipleri hareketin şekline, sayısına, süresine, neticeye bağlı olup olmamasına ve sonucun zarar veya tehlike olup olmamasına bağlı olarak sınıflandırılmış olmasına rağmen siber alanda hukuka aykırılık gösteren eylemleri suç veya milli güvenliğe karşı saldırı olarak tanımlamak için bu sınıflandırma yeterli olmayacaktır. Zira Walth ve Booth’un yukarıda alıntıladığımız, güvenlik yaklaşımları aslında siber güvenliğin temini için mantıksal ve sınırsal analizin de gerekliliğine işaret etmektedir. Güvenlik sınırlarının tehdit ve risk alanları ile paralellik gösterecek şekilde belirlenmesinden hareketle bu alanın coğrafi sınırsızlıkta suç ve saldırı platformuna dönüşmesi günümüzde ülkeler arasında işbirliğini de zaruri hale getirmiştir. O halde siber güvenlik analizinde uluslar arası ilişkilerin de önemli bir yere sahip olduğu sabittir. Bununla birlikte, siber alanın platform niteliği göz önüne alındığında bireysel ve kamusal yaklaşımda da risk ve tehdit alanlarının benzer şekilde platform dengesinde ele alınması uygun olacaktır. Unutulmaması gereken gerçeklik, veri akışının ve kritik ağların yoğun olduğu platformların öncelikli tehdit-risk alanında olduğudur.
Tüm bu yönleri ile ele alındığında, siber güvenliğin tek başına yasa yapma ve teknolojik kabiliyetlerin geliştirilmesi ile sağlanamayacağı aşikardır. Siber alandaki güvenliğin sağlanması her şeyden önce analiz, değerlendirme ve uygulamaların etkileşimi ve işbirliği ile mümkündür. Derece, içerik ve yoğunluk olarak çok bilinmeyenli bir denkleme benzetebileceğimiz bu alandaki tehdit ve risk, kimi zaman eyleme dönüşmemiş, yalnızca var oluşu ile dahi ulusal güvenliğe ciddi zararlar verebilecek yapıda ve nitelikte ortaya çıkarken kimi zaman meşru kuvvet kullanımının bir unsuru olarak değerlendirilebilir. Bu sebeple siber güvenlik denildiğinde konuyu öncelikle günümüzde anayurt güvenliği çerçevesinden teorisel yaklaşım ile ele alarak siber gücün kapsamının, bu alandaki araç, amaç, durum ve sonuçlarının bütünleşik yapıda değerlendirilmesine imkan verecek yasal alt yapı oluşturmaya yönelik analizler ile birlikte ele alınması gerekmektedir.
Siber Tehdit ve Riskler
Devamlılık arz edecek şekilde tehdit ve risk faktörlerine hedef olan bir güvenli alanın sürdürülebilirliği için öncelikli olarak tehdit ve risklerin analiz edilmek suretiyle modellenmesi büyük önem taşımaktadır. Günümüzde birçok insanın teknolojik platformları kullanırken farklı kaynak veya sebeplerden ötürü sistemlerinde yaşadıkları sorunları kolaylıkla bir hackleme eylemi olarak yorumladığı görülmektedir. Bununla birlikte, örneğin sosyal medya hesaplarına erişimde sorunlar yaşayan bu tür kişilerin diğer sosyal medya hesaplarını okurken akıllarına dahi getirmedikleri hackleme olasılıkları aslında artık günümüz dünyasında basit ve kolay anlaşılır terminolojik anlamından çok daha geniş şekilde vücut bulmaktadır. 2010 yılında ortaya çıkan ve Arap Baharı olarak adlandırılan, sosyal medyanın kullanımına bağlı olarak yaygınlaşan halk hareketlerinde ‘CNN Etkisi’ olarak tanımlanan ve kitleleri hızlı bir şekilde koordine eden, yönlendiren, (doğru veya yanlış şekilde) bilgilendiren sosyal medya kanalları hiç şüphesiz ki siber alandaki tehdit ve riskin basit anlamda bir ‘hackleme’ olmadığını da ortaya koymuştur. Yine bununla birlikte bankalara yönelik gerçekleşen veya teşebbüs aşamasında kalan eylemler ile devlet yetkililerinin teknoloji ile buluştuğu her türlü platformdaki fark edilen veya edilemeyen tuhaflıklar aslında siber alandaki tehdit ve riskin varoluş gerçeğini ortaya koymaktadır. Tüm bu eylemlerin, insan ve/veya eşyanın yer değiştirme hızına paralel olarak dünyada yarattığı küresel etki de düşünüldüğünde ortada inkar edilemez bir unsurdan bahsedilmelidir: KASIT.
Gerçekten de siber tehdit ve risklerin saldırıya dönüştüğü olaylar genel itibari ile incelendiğinde de görülecektir ki, bu olaylarda hakim olan iki tür iradi yapıtaşı olan ‘aktivizm’ veya ‘haktivizm’ bugün internet özgürlükleri ile siber güvenlik uygulamalarının en çok çakıştığı alanın adlarını oluşturmakta ve her ikisinde de ‘kasıt’ unsuru yegane manevi unsur olarak ortaya çıkmaktadır. O halde konuyu bu iki alandan ayırarak bir milli güvenlik konusu olan siber güvenlik başlığı altında incelemek için ne tür tehdit ve risk modellemeleri yapılmalıdır? Bu sorunun cevabı yıllarca siber güvenlik alanında mevzuat çalışmaları yürüten uzmanlar tarafından aranmaktadır. Genel kabul görmüş yaklaşımda bir tehdit veya riskin tanımlanması için öncelikle düşmanın bilinmesi gerekmektedir. ‘Düşman kim?’ sorusunun cevabı ise hiç şüphesiz ki kendisine karşı bir soru ile cevap bulmaktadır: ‘Neye göre?’
Aslında bu modellemenin de teyit ettiği üzere, ‘güvenlik’ kelimesinin etimolojik yaklaşımı ile yukarıda değindiğimiz kavramsal yaklaşımları arasında bir kesinlik ve netlik bulunmadığındadır ki, ‘düşman’ hiçbir zaman kesin olarak bilinememektedir. O halde dolaylı bir yaklaşım ile bir tehdit modelinin oturtulabilmesi için her şeyden önce bir başkasının kastını cezbedecek sahip olunan şeylerin varlığını ve potansiyelini değerlendirmek uygun olacaktır. Bir örnek ile açıklamak gerekirse; şahsi e-posta hesabını uzun yıllar kullanmamış ve kutusunda hiçbir e-posta bulundurmayan bir kişinin hangi odakların kastını harekete geçirebileceğini düşünmek büyük uğraşlar gerektirebilirken, birden fazla e-posta hesabı ile teknoloji platformlarında birçok işlemi yapan bir kişinin ( hele ki bu kişinin tanınan bir figür olduğunu da varsayarsak) çok daha kolay mağdur olabilme ihtimalini değerlendirmek zamanımızı almayacaktır. Benzer şekilde, şirketinizin ürettiği ürünlerin veya sağladığı servislerin alıcılarının da kastı cezbedecek bir avantaj ve potansiyele sahip olması durumunda da hiç şüphesiz ki gerek çalışanlarınız gerekse de bu tür ürün ve servislerini pazarladığınız platformlar bakımından bir tehdit ve karşılığında güvenlik algısının oluşması olasıdır.
1990’lı yıllarda eğlence amacıyla ‘hackleme’ yapan birçok kişinin aslında kendi becerileri ile yarışmasından öteye geçmeyen bu eylemler unutulmamalıdır ki artık maddi menfaatler çerçevesinde, çok daha organize, yer altında ve anonim bir yapıda birer suça konu eyleme dönüşmüştür. Bu suçları işleyen suçluların başında gelen Alberto Gonzalez, kendisi ile birlikte hareket eden grubuyla birlikte Amerika’nın büyük şirketlerinde yer alan, toplam 180 milyonluk bir müşteri kredi kartı veri bankasına sahip olmuş ve 400 milyon Amerikan Doları’ndan fazla haksız kazanç sağlamıştır. İlk bakışta incelendiğinde 180 milyon kişi karşılığı ortalama iki katı bir tutar birçoğumuza ‘kötünün iyisi’ olarak görünebilir. İşte tam da bu noktada siber suçların bir başka özelliği olan sinsilik ortaya çıkmaktadır. Zira unutulmamalıdır ki; kredi kartlarından bir kereye mahsus bir iki doların çekilmesinden rahatsız olduğunu fark ederek bankasını arayan bir kişiye ulaşmak, hiç şüphesiz ki tek işlemde yüklü miktarda alışveriş yapıldığını fark edecek kişiye ulaşmaktan çok daha zordur. Aynı durum bankaların güvenlik sistemleri için de geçerli olup böylelikle müşterinin yüklü veya küçük tutarlar halinde sıralı alışveriş yapması durumunda güvenlik amaçlı yapılan uyarı ve bilgilendirme çağrılarına da bir çelme takılmıştır.
Görüldüğü üzere internet merkezli bu alana ilişkin tehdit ve riskler öncelikli olarak düşmana ne sunulduğu ile ilgili olmakla, kastı cezbetmeye yönelik bireysel davranışlarımız ile şekillenmekte ve evrimselleşmektedir. Yer altı ekonomisinin bu yönüyle kaynağı haline gelen internet platformlarında her gün milyonlarca eylem gerçekleşmekte ve bu büyük ekonomi aslında uluslararası suç örgütlenmeleri başta olmak üzere farklı sebepler ile farklı riskleri içerisinde barındırarak devletler tarafından da amaç veya araç olarak değerlendirilir hale gelmiştir.
Siber güvenlik yönetiminde tehdit veya riski üç temel yaklaşımda birbirinden ayırarak incelemek uygun olacaktır. Birincil olarak belirtmek gerekir ki risk, hiç şüphesiz ki yukarıda izah ettiğimiz güvenlik yaklaşımı çerçevesinde güvenli olma halinin ve dolayısıyla güvenliğin temini için proaktif bir alanı ifade etmekte iken tehdit, bu alana yönelik kastın hareket geçmesiyle başlamaktadır. İkinci husus ise tam da bu noktada, harekete geçmenin mutlaka icra-i olması gerekliliğinin aranmamasıdır. Zira icra-i olmaksızın iradi şekilde ortaya çıkan siber faaliyetler milli güvenlik boyutunda kimi zaman bir istihbarat çalışması, bir casusluk teşebbüsü, bir saldırı amaçlı savunma saiki veya tam tersi olarak da vücut bulabilir. Üçüncü yaklaşım ise siber güvenlik yönetiminin siber emniyet ve siber güvenlik olarak bir bütün halinde ve fakat ayrı disiplinler şeklinde ele alınması risk ve tehdit ile irade, icraat ve netice bakımından bağlanan sonuçlar itibariyle değerlendirilmesi gerekliliğidir. Bu sebeple bu alana ilişkin hukuki düzenlemeler getirilirken uluslararası hukuk kaideleri ve ilkeleri gözden geçirilmeli ve uluslar arası hukuktaki meşruiyet kavramının iç hukuktaki uygulama alanları birlikte değerlendirilmelidir.
