SAYI 09 / HUKUK MAKALESİ/ AV. YUNUS EMRE GÜL, LL.M.
Hayır. Ancak bu cevap günümüz Silahlı Çatışma Hukuku (lex lata) bakımından geçerli. Gelecekteki hukuk (lex ferenda) bakımından ise bu cevabın değişmesi kuvvetle muhtemel. Bu yazımızda bu konuda bir incelemeye gideceğiz. Esasında bir sonraki paragraftan itibaren ifade ettiklerimizin, çıkacak olan “Savaş Hukuku 2.0: Siber Saldırılar ve Hukuk” isimli kitabımızın bir bölümünü teşkil ettiğini belirtmekte fayda vardır. Dolayısıyla bu yazı, hem kitaba dair bir ipucu verme ve hem de günümüz uluslararası hukuku bakımından çok tartışmalı bir hususu inceleme amacı taşımaktadır.
Günümüzde siber saldırıların hukuki değerlendirilmesinde önemli bir tartışma, “nesne”nin ne olduğu ve “veri”nin (data) siber saldırıların niteliği gözetildiğinde “nesne” olarak kabul edilip edilemeyeceği üzerinedir. Nesnenin tanımının ele alınış şekli, verinin bu kategoride değerlendirilip değerlendirilmeyeceğini de şekillendirmektedir. Bunun en önemli sonucu ise EP-I md. 52(1)’de sivil nitelikteki nesnelerin saldırıların hedefi olamayacağı ifadesi ile doğrudan ilişkilidir. Bu doğrultuda, “veri” nesne olarak kabul edildiği takdirde bunun sadece silinmesi veya değiştirilmesi bir siber operasyonun, siber saldırı olarak kabul edilmesine yol açabilecektir. Ancak nesne olarak kabul edilmediği takdirde bu nitelikteki operasyonlar, saldırı kabul edilmeyecek ve sivil veriler bu operasyonların doğrudan hedefi olabilecektir. Bunu silahlı çatışma esnasında sivillerin morallerinin hedef alınmasına benzetebiliriz. Burada herhangi bir ölüm, yaralama veya hasar ortaya çıkmaması nedeniyle, sivillerin bu şekilde psikolojilerinin hedef alınmasında herhangi bir hukuka aykırılık bulunmamaktadır. İşte bu noktada, bir siber operasyonun sivil verileri hedef almasının hukuki olup olmadığı tartışması önemli bir husustur.
Tallinn’de toplanan Uluslararası Uzmanlar Grubu’nun genel olarak görüşü 1987 tarihli Ek Protokollerin Yorumu’nda “nesne”nin “görülen” (visible) ve “hissedilen” (tangible) olarak ele alınması doğrultusunda “veri”nin, Viyana Sözleşmesi’nin 31(1) maddesinde ifade edilen “bir andlaşma, hükümlerine andlaşmanın bütünü içinde ve konu ve amacının ışığında verilecek alelade manaya uygun şekilde iyi niyetle yorumlanır” hükmü de göz önüne alınarak “nesne”nin sıradan manasını (ordinary meaning) karşılamadığı yönündedir. Nitekim veri, Tallinn Kılavuzu’nda da “bilgi iletmek için bir bilgisayar tarafından işlenebilen veya üretilebilen temel unsur” olarak tanımlanmıştır.Dolayısıyla, lafzi yorum metoduna dayanarak bu görüşü savunanlarca, doğrudan veriye hasar veren siber operasyon, siber saldırı olarak değerlendirilemeyecek ve Silahlı Çatışma Hukuku (SÇH) uyarınca tartışılması mümkün olmayacaktır. Her ne kadar kati bir şekilde lafzi yorumu benimseyerek doğrudan verilere yönelik operasyonun hiçbir şekilde saldırı teşkil etmeyeceğini savunanlar olsa da uzmanların büyük çoğunluğu, eğer veriyi hedef alan bir siber operasyon, bir siber altyapının işlevselliğini (functionality) etkiliyor ve bunun sonucunda bazı fiziksel birleşenlerin değiştirilmesi (replacement) gerekiyorsa, burada bir siber saldırı olduğundan söz edilebileceğini kabul etmektedir. Yine de bu şekilde yorumun esnetilmesi verinin nesne olarak ele alınması sonucunu doğurmamaktadır. Zira, burada zarar gören nesne veri değil sistemin işlevselliğidir.
Uluslararası Uzmanlar Grubunun azınlık görüşü ise verilerin “nesne” olarak ele alınabileceğini savunmaktadırlar. Nitekim söz konusu çoğunluk grubun verileri “nesne” kategorisine almaması ve dolayısıyla da onları hedefleyen siber operasyonları başlı başına “saldırı” olarak kabul etmemesi, bu operasyonlar yoluyla vergi kayıtları, banka hesapları ve sosyal güvenlik verileri gibi önemli sivil veri setleri (database) dahi silinse, bu durum SÇH düzenlemesine tabi tutulmamakta ve sivil halkın çatışmaların etkisinden genel olarak korunmasını öngören ilkeye (EP-I md. 486) aykırı davranılmaktadır. Yine onlara göre Ek Protokol-I madde 52’nin konu ve amacının temelinde yatan kilit unsur, söz konusu operasyonun sonuçlarının ağırlığı olup sivil halkın refahı adına sivil nitelikte verilerin sivil nesneler içine dahil edilerek korunması gerekmektedir. Yukarıdaki görüşte benimsenin lafzi yorum metodunun aksine bu görüş amaçsal yorum yöntemiyle hareket etmektedir.
Doktrinde amaçsal yorum yöntemini benimseyerek verinin nesne olarak ele alınması özellikle iki akademisyen tarafından makalelerinde dile getirilmiştir: Kubo Macak ve Heather Harrison Dinniss. Ek Protokollerin Yorumu’nun hazırlandığı koşullardan hareket eden yazarlar, 1987 yılında hazırlanan yorumun, “soyut” (intangible) olarak ele alıp nesne tanımının içine dahil etmediği hususun sivillerin morallerinin hedef alınması olduğunu vurgulamışlar ve kitap yazıldığı dönemde henüz internetin dahi mevcut olmadığını belirterek tezlerini desteklemeye çalışmışlardır.Bunun yanı sıra Macak, metnin Fransızcasında korunan şeyin “mülkiyet” (bien) olarak ifade edildiğini ve bunun da soyut şeyleri de içine aldığını belirterek yorumlama yoluna gitmiştir. Her ne kadar Macak bu ifade üzerinden daha esnek bir yorumlama yoluna gitmeye çalışsa da söz konusu yorumun kelimeye verdiği anlam gayet kesindir. Burada gerek İngilizce ve gerekse Fransızca metinlerde nesneden kastedilenin “görülebilir” ve “hissedilebilir” şeyler olduğu konusunda herhangi bir şüphe olmadığı açıkça belirtilmiştir. Yazarların nihai noktada ulaşmak istedikleri sonuç, günümüzde verilere olan bağımlılığın artmasıyla birlikte bunları hedef alan operasyonların ortaya çıkarabileceği ciddi etkilerden hareketle verilerin de nesne olarak ele alınmasının gerekli oluşudur.
Uluslararası Kızılhaç Komitesi de konuya bu doğrultuda yaklaşmaktadır. Komite’ye göre, her geçen gün daha fazla veriye bağımlı hale gelen dünyada temel sivil verilerin silinmesi (deleting) veya bunlara gizlice müdahale edilmesinin (tampering) yasak olduğu sonucuna varılmamasının Silahlı Çatışma Hukuku’nun amacıyla bağdaşmayacağı belirtilmiştir. Zira, belirli bilgilerin kâğıt dosyalar yerine dijital dosyalarda saklanması bunların doğasında var olan korunan niteliğini değiştirmemektedir.Yani burada korunan statüsüne sahip olan şey elle tutulabilir ve gözle görülebilir kâğıt parçası değil, bizatihi bilginin kendisidir ve bu bilgiye yapılan her türlü müdahale gayrı meşru olacaktır.
Ancak bu şekildeki yaklaşımların siviller üzerinde sadece rahatsızlık (inconvenience) yaratılması gibi SÇH’de yasaklanmamış hususları da kapsayacağı ve bunun da devlet pratikleriyle uygun düşmeyeceğini belirten Schmitt verinin hedef alınmasının ancak fiziksel olarak zarar ortaya çıkarması halinde SÇH kapsamında değerlendirilebileceğini savunmaktadır. Dolayısıyla bu şekilde verilere yönelik operasyonları, psikolojik operasyonlara benzeten Schmitt, söz konusu yazarların vurgulamaya çalıştığı ciddi etkilerin zaten ortaya çıkması halinde bu operasyonun saldırı olarak ele alınabileceğini belirtmektedir.Ancak ona göre yine de iki durumda verilerin nesne olarak ele alınıp alınmaması konusunda esnek davranılabilir. Birincisi, ATM’de hemen paraya çevrilebilecek şekilde tasarlanan banka hesap verileri gibi doğrudan somut bir nesneye dönüştürülebilecek ve hasar verildiği takdirde somut bir nesnenin de tahrip edilmesine yol açacak veriler; ikincisi, esas değere sahip olan ve hasar verildiğinde sivil veya kültürel varlık olarak bir eserin de tahribiyle sonuçlanacak veriler. Buradan yola çıkan Schmitt, belirleyici sorunun; bir siber operasyon yoluyla söz konusu verilerin tahrip edilmesinin, korunan fiziksel nesnelere veya kişilere verdiği zararın seviyesinin “saldırı” düzeyine ulaşıp ulaşmadığının incelenmesi olduğunu belirtmektedir. Yani yine sonuç merkezli bir yaklaşımdan yola çıkmakta ve operasyonun sonuçlarının ölüm, yaralama veya fiziksel hasar gibi etkileri meydana getirmesi halinde sivil verilere yapılacak müdahalenin gayrı meşru olduğunu kabul etmektedir. Bu doğrultuda örneğin bir barajı kontrol eden operatörlere sağlanan verilerin değiştirildiği ve bu verilere dayalı olarak yapılan değişiklik sonucunda sivillere yönelik büyük zararlara neden açan bir siber operasyon düşünün. İşte muharip taraf bu zararları öngörerek siber operasyonu başlattığı andan itibaren bu bir siber saldırı olarak değerlendirilecektir.
Son olarak belirtilmesi gereken husus, her ne kadar günümüz koşullarında veri nesne olarak kabul edilmemekteyse de devlet pratiklerinin değişim göstermeye başladığıdır. Örneğin Fransa tarafından yayınlanan Uluslararası Hukuk’un siber uzaya uygulanmasına dair belgede, “siber uzay aracılığıyla gerçekleştirilen ve verilere (kullanılabilirlik, bütünlük veya gizlilik bakımından) veya bunları işleyen sistemlere zarar vermeyi amaçlayan ve sonuç olarak bunların aracı oldukları faaliyetlere zarar verebilecek kasıtlı bir saldırı (offensive) veya kötü amaçlı eylem (malicious action)” siber saldırı olarak nitelendirilmiştir.
Yine Türkiye 2020-23 Ulusal Siber Güvenlik Stratejisi’nde benzer şekilde siber saldırılar, “Siber uzaydaki bilişim ve endüstriyel kontrol sistemlerinin veya bu sistemler tarafından işlenen bilginin/verinin gizliliği, bütünlüğü veya erişilebilirliğini ortadan kaldırmak amacıyla, siber uzayın herhangi bir yerindeki kişi ve/veya bilişim sistemleri tarafından kasıtlı olarak yapılan işlemler” şeklinde tanımlanmıştır.
Her ne kadar ilgili belgelerde açık bir şekilde verinin nesne olarak ele alınabileceği ifade edilmemekteyse de bu tür yaklaşımların şu anki uygulamanın ötesine gittiği açıktır. Nihayetinde bu şekilde yaklaşımlar devletler nezdinde zamanla genel kabul gördüğü takdirde, verilerin nesne olarak ele alınmamasına yönelik yaklaşım da değişiklik gösterecektir.