Doç. Dr. Salih Bıçakcı: Türkiye’nin siber diplomasi ve stratejiye ihtiyacı var

İsrail’in Hizbullah’a dönük çağrı cihazlarını hedef alan saldırısı, teknoloji ve içinde yaşadığımız çağa dönük tehditleri görünür kılıyor. Devletin kontrolündeki verilerin hacklenmesi, seçimlere müdahale iddiaları, veri kapitalizmi tartışmaları yeni bir anlam evreni içinde olduğumuzun birkaç karinesi. Savaş kavramındaki dönüşümden devletin görevine, ulusal sınırlardan siber uzaya uzanan hattı nasıl yorumlayabiliriz? Devletleri, ulusal sınırları temel alan ulusal ve uluslararası sistem bu değişime uyum sağlayabiliyor mu? İsrail’in bu saldırısı bir ilk mi? Yeni tehditler karşısında devletler hazırlıklı mı? Türkiye bu değişime ne kadar uyum sağlayabiliyor? Hem İsrail’in saldırısını hem de teknoloji/elektronikle gelen değişimi anlamak için yeni çağın gerçeklerini Kadir Has Üniversitesi Siyaset Bilimi ve Uluslararası İlişkiler Bölümü Öğretim Üyesi ve Center for Applied Turkey Studies (CATS) Network Araştırmacısı Doç. Dr. Ahmet Salih Bıçakcı’yla konuştuk.

Bıçakcı’ya göre dikey hiyerarşi modelini temel alan ve ulusal sınırlara göre kurulmuş olan devlet ve bürokrasi, bazı istisnaları olmakla beraber hibrit savaş, siber uzayın sınırsızlığı ve verilerin korunması/işlenmesi konusunda yeni gerçekliğe uyum sağlamakta zorlanıyor. Siber diplomasi sisteme dönük bu değişimde en azından şimdilik bir adaptasyon alanı açabilir.

İsrail geçtiğimiz hafta Hizbullah militanlarının kullandığı çağrı cihazlarını hedef alan bir saldırı gerçekleştirdi. Çağrı cihazları, 1990’larda karşımıza çıkan ürünlerdi, yerlerini cep telefonlarına bıraktılar. Hizbullah neden telefon yerine çağrı cihazı kullanmayı tercih ediyor?

Bu, 1967’den bugünümüze uzanan bir hikaye ki Lübnan ve Suriye tarafı İsrail tarafından dinlenir. Buna sinyal istihbaratı deniyor. Dinlemeler için daha önceleri değişik taktikler kullanıyordu: Casus uçaklar, balonlar, radarlar gibi. Yeni dönemde bu cep telefonu teknolojisine kaydı. Telefonun ele geçirilmesine “sıfır tıklama (zero click)” deniyor. İsrail ve pek çok istihbarat örgütü bunu kullanıyor. Yanımızda taşıdığımız telefonlar birer alıcı. Hem ortam sesi kaydedebiliyor hem sinyal toplayabiliyor hem de etrafındaki cihazların bilgisini, kablosuz (wireless) erişim bilgisini ve bluetooth bağlantınızı, konumunuzu, yani her şeyi kaydediyor. Cep telefonları iki yönlü iletişim sağlıyor. Siz cep telefonlarınızı kapatsanız bile o hücresel sisteme sürekli ben buradayım diye mesaj yolluyor. Bu iki yönlü iletişimde, araya biri girerse, o iletişimi kuran cihazın nerede olduğunu görebiliyor ve bahsettiğim bütün bilgilere erişebiliyor. Buysa cep telefonunun takibini yaygınlaştırdı.

‘ÇAĞRI CİHAZLARI DÜNYADA HALA KULLANILIYOR Kİ İSRAİL DE BU CİHAZLARI KULLANANLAR ARASINDA’

Bu takip bilgisi, son zamanlarda İsrail-Hizbullah çatışması açısından çok kritik aşamaya geldi. Haniye’nin öldürülmesi sürecinin bir parçası Hizbullah’ın üst düzey komutanlarından Fuad Şukri’nin öldürülmesiydi. Şukri’nin yeri cep telefonu sayesinde tespit edilmişti. Kaldı ki, İsrail daha önce de Hizbullah komutanlarının cep telefonlarına bomba yerleştirmiş ve yine belli isimleri bu yöntemle öldürmüştü. Hizbullah lideri Nasrallah, Şukri’nin öldürülmesi sonrasında “cep telefonlarınızı kaldırın, kullanmayın” dedi.

Öte yandan çağrı cihazı; telefondan farklı olarak, tek yönlüdür, analog ve dijital sistemle çalışır. Çalışma şekli basitçe şöyle: Bir merkezden mesaj gönderiliyor, o mesaj radyo frekansıyla cihaza geliyor, cihaz bunu metne çeviriyor ve ses çıkarıyor. Dünyada hala kullanılıyor ki İsrail kullananlar arasında. İsrail güvenlik amacıyla değişik taktikler için de çağrı cihazı sistemlerini kullanıyor. Hizbullah da bunu kullanmaya geçti. Bununla beraber çağrı cihazını kullanan bir topluluk değilseniz, bir anda ‘Bunu nereden bulacağız?’ meselesi ortaya çıkıyor. İşte bu da sonraki patlama senaryolarının öncülü oluyor.

‘İSRAİL FİRMA KURMAMIŞTIR, PARAVAN ŞİRKET ÜZERİNDEN ÜRETİM YAPILMIŞTIR’

Süreci de sanıyorum bir tedarikçi firma üzerinden yönetti? Kendisi bir firma kurdu diyen görüşler de mevcut?

İsrail, Hizbullah’ın çağrı cihazına geçmek istediğini dinlemelerden yakalamıştır ya da içerden bilgi gelmiştir. Bunun üzerine bir proje hazırlanmıştır. Söylendiği gibi kendisi bir firma kurmamıştır. Çünkü İsrail ve istihbarat örgütleri inkarı sağlamak için bu tür süreçlere doğrudan dahil olmazlar. Bir maşa tutarlar, paravan şirket kurulmuştur. Bu şirketlerin sahipleri bile İsrailli istihbarata çalıştığını bilmiyordur. Ona üretim yaptırmışlardır. Hizbullah da bir şekilde bunu almıştır. Akıllarına böyle bir şeyin gerçekleşeceği dahi gelmemiştir. Ancak buna dönük hazırlığa İsrail eylemden çok önceden başlamıştır.

‘PANDEMİDE AŞILARA DÖNÜK OLUŞTURULMAYA ÇALIŞILAN KARŞITLIK DA BİR HİBRİT SAVAŞTIR’

Bu noktada biraz alanı genişleterek İsrail’in zamana yayılan bu taktiğinden öte bunun bir savaş yöntemi olduğuna, çünkü artık savaş kavramının değiştiğine dönük ciddi tartışmalar mevcut. Hibrit savaş terimi sık sık kulağımıza çalınıyor. Hibrit savaş nedir, bundan ne anlamamız gerekiyor?

Son saldırıyla ilgili siber savaş denildi, ancak bunu da düzeltmek gerekiyor. Bu elektronik bir harp, yani niyetiniz belli, bir grup insan öldürüyorsunuz. Bu bir kör saldırı, orada olan herhangi bir insan da öldürülebilir. Buysa saldırıyı ahlaki normlardan yoksun kılıyor. İsrail bu saldırıyla Lübnan’ı terörize etmek istiyor. Dolasıyla bu bir hibrit saldırı değil, böyle tanımlarsak hafifletmiş oluruz. Devrelere, frekansa müdahale ettiğinizde siberle, elektronik harbin birleştiği spektrum ortaya çıkıyor, bu saldırı da onun kapsamına giriyor.

Hibrit savaş kavramına gelirsek, aslında geniş bir kapsamı var. Sizin bir şeye inanmanızı hedefleyip iknaya dönük girişimleri de kapsar. İki örnekle açıklayayım. İlk olarak pandemi döneminde aşılara dönük oluşturulmaya çalışılan ve bilimsel dayanaktan uzak bilgi akışı. Bu, vatandaşlarını aşılatmak isteyen herhangi bir devlete karşı zorluk oluşturulmasını sağlıyor. Devlet bu durumda aşılatma için çok daha fazla efor sarf ediyor. İşte bu bile bir hibrit savaştır. İkincisi herkes daha büyük planlar yapıldığını düşünüyor ama bazen daha basit ve kolay yollarla da hibrit savaş yürütülüyor.

‘BASİT HACKLEMELER DE BİRER SAVAŞ TAKTİĞİDİR’

Geçtiğimiz günlerde verilerimizin çalındığında dönük bir gündem olmuştu. Şöyle düşünelim çalınan bu veriyle sistemde adres bilgileriyle oynanıyor, örneğin “herkesin bina numarasına 3 ekle” komutunu veriyorsunuz, bu çok basit bir kodlama. Bütün kişilere bunu uyguluyorsunuz. Verileriyle oynanmış kişiler sandığa gittiğinde evinin adresiyle sistemdeki adresin tutmadığını görüyor, seçim belirli saat aralıklarında gerçekleşiyor. Sorun kısa sürede çözülemeyeceği için bir grup insanın oy kullanmasını engelliyorsunuz. Bu da bir siber/hibrit savaştır. İnsanlar aşırı büyük şeyler bekliyor, ama aslında basit bir hackleme de savaş taktiğidir. Üstelik ortaya çıkan kaosu dizginlemek için harcadığınız enerji sizin gücünüzden ve kapasitenizden gidiyor. Buysa aslında ilgilenmeniz gereken diğer konulara bakamamanız anlamına geliyor.

‘DEVLETLER YENİ TÜR SALDIRI VE GELİŞMELERE KARŞI GEREKLİ DÖNÜŞÜMÜ YAŞAYAMADI’

Bu bahsettiğiniz basit görünen ancak sistemde kaoslar, aksamalar yaratabilen yeni koşullara devletler uyum sağlayabiliyor mu? Yani kurulu sistem ve bürokratik mekanizma böylesi yeni taktiklere karşı hazırlık mı?

Bu noktada bir uyum olduğunu söylemek zor. Hala fiziksel savaş taktikleri üzerinden duruma yaklaşılıyor. Düşünce yapısı ve bunun arka planında işleyen mekanizmalar çok değişti, bu değişim hızlı da oluyor. Siz bir konuya/başlığa odaklanıyorken hemen başkası geliyor/oluyor. Bu kadar çok bilgiyi toplamak, incelemek, istihbarata dönüştürmek, kurumlar arasında koordinasyonu sağlamak zorunda olan devlet sisteminin dikey hiyerarşik yapısında bu çok zor. Devletler bu dönüşümü yaşayamadı, dönüşüm gerçekleştiremedikleri için de sorunlar yaşıyorlar.

Temel sorun şu: Devlet yapısı, dikey olduğu için zihinsel olarak organizasyonun buna hızlı ve esnek tepki vermesi çok zor oluyor, verse de yetersiz kalıyor. Yani teknoloji çok hızlı değişirken teknolojiyi yönetenlerin zihin yapısı bununla örtüşmüyor. Ana çelişkisi burada başlıyor.

‘TÜRKİYE’NİN DE 2013’TEN BU YANA BİR SİBER BİRLİĞİ VAR’

Bu noktada ABD, İngiltere, Rusya ve Çin gibi bazı devletlerin siber ordularının olduğu ve bazen de çatıştıklarına dönük bilgiler zaman zaman önümüze düşüyor. Siber ordu nedir ve gerçekten böyle çatışmalar yaşanıyor mu?

Evet, bu siber ordular çok uzun zamandan bu yana varlar. 90’lardan beri ABD’nin böyle bir birliği var, diğerlerinin de var. Türkiye’nin de siber savunma adını taşıyan bir birliği var. Savunmayı burada yalnızca kendini savunma değil de saldırıyı da içeren milli savunma gibi düşünürsek Türkiye’nin de böyle bir birliği var. Zaman zaman bu yapılar belirli eylemlere de giriyorlar. Burada şöyle bir sorun var: Günümüzde orduların yaptığı operasyonları var, bunlar çok açıklanmıyor. Ama istihbarat güçlerinin yaptığı operasyonlar da var. Ordu ve askerden bağımsız onların adına devlet destekli aktörler de var ki onların da operasyonlar var.

‘SON SALDIRI DA DAHİL, TEDARİK ZİNCİRİ SALDIRISI EN BİLİNEN SİBER SALDIRI TÜRLERİNDEN’

Bahsettiğiniz devlet destekli siber aktörler ne yapıyorlar, nasıl operasyonlar gerçekleştiriyorlar?

Nasıl saldırılabiliriz, nasıl silahlanabiliriz, nasıl açıklıklar var, buna odaklanıyorlar. Bir asker mantığıyla bakarsanız savunma hattını kurmak için silahınızın, tankınızın, uydularınızın, füzelerinizin olması lazım. Benzer şekilde siber yapıda da ihtiyaçlar var. Ancak gün geçtikçe siber yapının sistematik yapısında bir dağılma var. Tedarikçileriniz kadar tehditleriniz artabiliyor. İsrail örneği onun için önemli. Tedarikçi zinciri saldırısı bilinen, sık görülen bir siber saldırı. Rusya’nın ABD’de Solarwinds saldırısı bu anlamda akla gelen örneklerden. Burada Solarwinds’in ürettiği Orion yazılımı hedef alındı. Saldırı, bu yazılımı kullanan enerji, adalet ve dışişleri bakanlığına bağlı kuruluşlar başta olmak üzere pek çok kişiyi etkiledi. Yani güvendiğiniz bir unsuru ele geçirip, onun altından sisteminize giriyorlar.

‘SİBER ORDULARIN ELİNDEKİ SİLAH AÇIKLIKTIR’

Siber orduların elinde silahlar var ne demek derseniz; zafiyet (vulnerability) diyebiliriz. Bir teknoloji firması bir ürünü yapar ve üretenin bile farkında olmadığı üründe zafiyetler olabilir. Yani kodda bir açık vardır, çünkü bunu insanlar yapıyor. İşte bu zafiyetler genellikle karanlık market (dark web) veya bu işi yapan firmalar üzerinden satılıyor, bunlar satın alınıyor ve belli unsurlara ya da müşterilere satılıyor. Bahsettiğimiz İsrail’e ait NSO firması da zaten bunu yapıyor. Açıklığı satın alıyor ve bunu kullanarak sistemi ele geçiriyor. Siz bir askeri örgütsünüz tank alıyorsunuz, siberdeyse zafiyet satın alınıyor. İhtiyacınız olan zafiyeti markette gördünüz ve aldınız diyelim, bunu nasıl meşru ve hukuki olarak alacaksınız? Aldınız, ancak bir ay sonra firma bu zafiyeti kapattı, o zaman ne yapacaksınız? Hareket kabiliyetleri kısıtlı olduğu için bu tür operasyonları ordular yerine genellikle istihbarat örgütleri yürütüyor. Bu noktada savunma kadar saldırı kabiliyet ve gücünüzün de olması gerekiyor. Öte yandan saldırgan bir siber yapı kurmak ciddi maliyetleri olan, aktif ve güncel hedefleri olması gereken bir yapı gerektiriyor. Bu yapının cephesi eskisi gibi konvansiyonel savaşlardaki gibi olmadığı için bunları şekillendirmek ciddi bir lüks oluyor.

‘TÜRKİYE FÜZE, DRON GELİŞTİRDİKÇE DAHA FAZLA SİBER SALDIRI ALMAYA BAŞLADI’

Bildiğimiz ordular arası klasik savaştan farklı olarak devletler arasında, farklı örgütler arasında bizim görmediğimiz ancak sürekli olan savaşlar ve taramalar mevcut. Şu anda milyonlarca cihaz dünyadaki açıklıkları tarıyor, hangisine girebileceklerini düşünüyorlar, operasyonlar gerçekleştiriyorlar. Daha sık görülen şu, istihbarat örgütleri insan ve siber operasyonları birleştirip farklı operasyonlar yapmaya başlıyor. Bu noktada siber artık bir unsur olmaktan çıktı, alt yapının tamamına ilerliyor. Türkiye’nin en büyük sorunlardan biri, savunma sistemleri, füzeleri geliştirdikçe fazlaca saldırı almaya başladı. Bundan korunmak için hazırlık yapmak gerekiyor. Yayınlanan raporlardan eskisinden farklı olarak daha sofistike pozisyonlar alınmaya çalışıldığını anlıyoruz. Ama burada insan kapasitesi sorunu var. Herkes makinaların bütün işi yaptığını söylüyor, ancak siber güvenlik operasyonları çok insan odaklı bir iş. Türkiye açısından burada bir sorun var. İnsanlar ya yurtdışına gidiyor ya da kamu kurumlarında gerekli eğitimleri alıp daha iyi ücretler karşılığında özel sektöre geçiyor. Buna bir çözüm bulmadığımız sürece yapılan yatırım ölü demektir. İkincisi, herhangi bir yapıdan farklı olarak (ethical) hacker, siber güvenlik uzmanı dediğiniz kişiler farklı bir maaş beklentisi, farklı bir çalışma düzeni ve farklı işler yapıyorlar, bunun da devlet yapısı için düzenlenmesi gerekiyor.

‘SİBER SALDIRILARDA SALDIRANI BİLSENİZ DE HUKUKİ OLARAK SUÇU İSNAT ETMEK ÇOK ZOR’

Siber orduların yanında botlardan cyborglara uzanan, eşyaları da içeren yeni bir kaos evreni de var sanıyorum. Özellikle akıllı ev aletleri/robotlarla beraber yeni bir kuşatılma yaşıyoruz sanki. Bununla nasıl mücadele ediliyor?

Bot en bilinen ve aslında en kolay elenebilecek araçlardan. Öte yandan nesnelerin interneti (Internet of Things-IoT) dediğimiz bir gerçeklik var; cihazların internet vasıtasıyla birbiriyle iletişim kurması. Örneğin telefonunuzla evdeki bulaşık makinasına, robot süpürgeye çalıştırma komutu verdiğinizde bu iki makine arasında bir iletişim doğuyor ve genellikle bunu görmüyoruz. İşte bu noktada şöyle bir sorun var, bu cihazlar ele geçirilebilir hale geliyor. Mesela Mirai botnet saldırısı bunun güzel örneklerinde biriydi. Bu saldırıyla bir çok hizmetin görevini yerine getirememesine sebep olundu. Çin benzer şekilde evdeki yazıcıları, routerları, firewalları ele geçirerek kendisi bir botnet kurmuş. İşte burada yine modern devlet algısına dönmemiz gerekiyor. Ulus devlet dediğimiz kendi sınırları olan bir yapı, ancak siber uzayda bir sınır yok. Bir saldırının nereden geldiğini biliyorsunuz, ancak bunu hukuki olarak isnat edemiyorsunuz. Mesnet çıkarmak zor. Bot netler sürekli hibrit savaşı ile bizim ilgi alanımızı değiştiriyor. Kendisinin 10-15 personası olan kişiler bu operasyonları yönetiyorlar. Olmayan alanlara, haber kaynaklarına yönlendiriyorlar. Olmayan bir gerçekliği var sanıyorsunuz. Bu sırada gerçekleştirmek istedikleri operasyonları rahatça gerçekleştiriyorlar.

Devletler hem ulusal hem de uluslararası alanda bunu ortadan kaldırmaya çalışıyor. Ancak siber uzay o kadar büyük ve geniş bir alan ki…Örneğin evinizde bir routermodem var. O modem aslında kablosuz da çalışıyorsa esasında bir yönlendiricidir (router), yani siz tatildeyken evinizdeki modeme girilirse ya da o firmanın açığı varsa ele geçirilebilir. Türkiye’de bulunan firmalardan internet alıyorsanız, onlar da tek bir marka modem tercih ediyorlar. Belli bir grup insanın modemi ele geçirilip başka ülkeye saldırı yapılırsa Türkiye’den saldırı yapılmış gibi görünebilir.

‘SİBER DİPLOMASİDE İLERLEYEN DEVLETLERİN SİBER DİPLOMASİNDEN SORUMLU ELÇİLERİ VAR’

Bu tablo aslında BM sisteminin temelindeki devlet yapısının da ciddi bir krizle yüz yüze kaldığını gösteriyor. Peki bu durumda ne yapılabilir? Bu sorun modern diplomasi araçlarıyla çözülebilir mi?

Bu konuda bazı devletlerin girişimleri var, siber diplomasi olarak biliniyor. Dışişleri bakanlıkları üzerinden bunu yürüten ülkeler var. Mesela Almanya Dışişleri Bakanlığı’nda görevi sadece siber diplomasi olan bir bölüm var. İşi, norm inşa etmek, teknolojisinin gelişimine müdahil olmak, ülkeye saldırılar olmadan önce çeşitli bağlantı/iletişim noktaları kurmak. Diyelim ki Almanya’ya Çin’den bir saldırı geliyor. O bölgedeki büyükelçisi Çin’in ilgili kişisiyle görüşüp bu saldırının kaynağını bulmaya çalışıyor, en azından bunu bildiğini ima ediyor. Karşı taraf da bunun bilindiğini bildiği için buna göre davranıyor. ABD’de de benzer yapılar var. Türkiye bu konuda biraz geri kaldı.

‘TÜRKİYE FİDYE YAZILIM İÇİN KURULAN KOALİSYONA DAHİL EDİLMEDİ’

Dışişleri Bakanlığı bünyesinde yakın zamanda teknoloji ve bilim müdürlüğü kurdu, umuyorum buradan ilerler. Yayınlanan ulusal stratejide bir siber diplomasinden bahsediliyor, bu nasıl uygulanacak bilmiyoruz. Bir diplomatın tüm teknik detaylara sahip olup, diplomatik sistemi de bilip ona göre davranması ve bağlantıları kurabilmesi, Türkiye’nin kendi içindeki kurumları organize etmesi büyük bir yönetme kapasitesi gerektiriyor. Bazı ülkelerin siber diplomasi büyükelçileri var. Hatta Danimarka’nın teknoplomasi (TechPlomacy) diye bir yapısı var. Silikon vadisinde büyükelçileri var. Örneğin IP 6 tartışmaları var. Bu nasıl ulaşacak, BM’de nasıl ele alınacak. Türkiye burada nasıl bir tutum alacak, bunu bilmiyoruz. Yakın zamanda fidye yazılımı konusunda bir koalisyon kuruldu. Bir çok Avrupa ülkesi çağrıldı, Türkiye bu ülkeler arasında değildi. Oysa Türkiye fidye yazılımda ciddi kayıplar verdi. Neden orada yokuz, bakanlık neden “biz de olmak istiyoruz” demiyor, bilmiyoruz. Belli yapılar içine Türkiye’nin girebilmesi gerekiyor, duruşumuz şu diyebilmemiz gerekiyor. Söz gelimi, ITU’da tartışılan konulardan birisi olan IP6 ve 6 G tartışmasında Çin çok kontrolcü ve otoriter bir yapı savunuyor. İnternet’in parçalara bölünmesine imkan verecek bir teknolojik altyapıyı savunuyor. Türkiye buna nasıl bakıyor, destekliyor mu karşısında mı, bilmiyoruz. Bazı ülkeler buna karşı çıkıyor örneğin. Uluslararası bir dünya kuruluyor ve buna dahil olmanız gerekiyor.

‘TÜRKİYE’NİN SİBER DİPLOMASİ VE BUNA DÖNÜK BİR STRATEJİYE İHTİYACI VAR’

Türkiye’ye elektrikli arabalar geliyor, bu araçlar anlık olarak 200 tür veri üretiyor. Bu veri nerede saklanıyor? Türkiye verilerin kendi sınırları içinde kalmasını mı savunuyor? Bu verileri nasıl saklamasını savunuyoruz, yoksa umurumuzda değil mi? İşte bunları da içeren bir siber diplomasiye ihtiyaç var. Burada cumhurbaşkanlığından emniyete, BTK’ya uzanan çok düğümlü bir yapı var. Koordine eden bir mekanizma yok maalesef. Sık sık siber caydırıcılık deniyor. Caydırıcılık muhatabınızı biliyorsanız anlaşılır. Ancak suçu kime isnat edeceğinizi bilmediğiniz bir durumda kimi caydıracaksınız? Bu gibi kritik sorulara yanıt verebilmek için bunlara dönük bir strateji oluşturulması ve bu çerçevede yapılandırma gerekiyor ki sadece devlet değil, telekomünikasyon, bankacılık gibi kritik alt yapıları ve paydaşları içermesi gerekiyor.