Siber Uzayın Anatomisi

Siber uzay, insan yapımı bir kurgu olmasına rağmen günümüzde kara, deniz, hava ve uzaydan sonra beşinci harekat alanı olarak kabul edilerek küresel güvenliğin en dinamik ve öngörülemez mecrasını oluşturmaktadır.^【1】

^{Siber Güvenlik Temalı Fotoğraf (Görsel Yapay Zeka ile Oluşturulmuştur)}

Siber terminolojisinin bilimsel temelleri, bilgisayar teknolojilerinin henüz emekleme aşamasında olduğu 1940'lı yıllarda atılmıştır. "Siber" ifadesi ilk kez 1948 yılında Amerikalı matematikçi Norbert Wiener tarafından yayımlanan "Sibernetik ya da Hayvanlarda ve Makinelerde Kontrol ve İletişim" adlı çalışmada kullanılarak literatüre girmiştir. Wiener'ın bu kavramı, canlılar ve makineler arasındaki iletişim ve kontrol mekanizmalarını açıklamak üzere kurgulanmıştır. 1958 yılına gelindiğinde Fransız bilim insanı Louis Couffignal, terimi iletişim disiplinini tanımlamak amacıyla yeniden yorumlamış ve bu süreçten itibaren kavram bilişim dünyasının ayrılmaz bir parçası haline gelmiştir

"Siber uzay"(cyberspace) kavramı ise teknik bir zorunluluktan ziyade, bilim kurgu edebiyatının bir hayali olarak ortaya çıkmıştır. Kanadalı yazar William Gibson, 1982 tarihli "Burning Chrome" eserinde bu terimi ilk kez telaffuz etmiş, 1984 yılında yayımlanan ünlü romanı "Neuromancer"da ise siber uzayı "bilgilerin elektromanyetik ortamlarda oluşturulup dünyaya yayılmasıyla oluşan sanal gerçeklik bütünü" olarak tasvir etmiştir. Gibson’ın bu kurgusal tanımı, zamanla fiziksel altyapıların ve dijital verilerin birleştiği devasa bir ekosistemi ifade eden teknik bir karşılık bulmuştur.^【2】

Siber uzayın fiziksel altyapısının inşası, Soğuk Savaş’ın teknolojik rekabeti içerisinde şekillenmiştir. 1957 yılında ABD bünyesinde kurulan İleri Araştırma Projeleri Ajansı (ARPA), siber uzayın ilk ağ yapısını oluşturacak çalışmaları başlatmıştır. 1960’lı yılların başında DARPA’ya (Savunma Araştırma Projeleri Ajansı) dönüşen bu kurum, 1962 yılında ARPANET projesini hayata geçirerek bilgisayarların birbirine bağlanabildiği ilk platformu kurmuştur. Bu ağ yapısı başlangıçta olası bir nükleer saldırıya karşı dayanıklı, merkezi olmayan bir iletişim hattı oluşturma amacıyla tasarlanmıştır.

1970’li yıllarda ARPANET, üniversiteleri, sivil araştırma merkezlerini ve devlet kurumlarını birbirine bağlayan ulusal bir ağ niteliği kazanmıştır. 1980’li yıllara gelindiğinde ise ağ yapısı ticari bir boyut kazanarak hızla büyümüş, 1988 yılı itibarıyla yaklaşık 60.000 bilgisayara hizmet verir hale gelmiştir. Ancak bu hızlı büyüme güvenlik risklerini de beraberinde getirmiştir. 2 Kasım 1988'de gerçekleşen ve internete bağlı bilgisayarların %10’unu etkileyen "Morris solucanı" saldırısı, siber uzaydaki ilk büyük güvenlik krizini tetikleyerek savunma mekanizmalarının zorunluluğunu kanıtlamıştır.^【3】

Siber uzayın gelişimi, sadece teknolojik bir ilerleme değil, devletlerin "milli güç" unsurlarını yeniden tanımlayan bir dönüşümdür. Geleneksel milli güç modellerinde nükleer kapasite, nüfus ve coğrafya ön plandayken; günümüzde bilişim sistemlerinin yönetimi birer güç çarpanı haline gelmiştir. Bu gelişim süreci belirli matematiksel yasalarla izah edilmektedir:

^{Siber Uzay İnfografik (Görsel Yapay Zeka ile Oluşturulmuştur)}

• Shannon Yasası: Bir iletim hattının maksimum kapasitesinin bant genişliği ve gürültü oranıyla olan bağlantısını bilimsel olarak ortaya koyar.
• Moore Yasası: Gordon Moore tarafından öngörülen bu yasa, tümleşik devrelerdeki transistör sayısının her 18 ayda bir iki katına çıkacağını belirterek işlemci gücündeki devasa artışı açıklar.
• Metcalfe Yasası: Bir ağın değerinin, o ağa bağlı kullanıcı sayısının karesiyle orantılı olduğunu savunarak ağ etkisinin ekonomik ve stratejik önemini vurgular.
• Gilder Yasası: Bant genişliğinin, bilgisayar gücünden en az üç kat daha hızlı gelişeceğini öngörür.

Bu yasalar, askeri kapasitedeki "yazılım odaklı" dönüşümü de tetiklemiştir. Örneğin, 1974 yılında bir F-16 uçağının aviyonik yazılımı sadece 135 satır koddan (SLOC) oluşurken, 2012 yılında bir F-35 uçağında bu sayı 10.000’e, destek sistemleriyle birlikte ise 24.000’e yükselmiştir. Bu durum, bilginin korunmasının ve siber güvenliğin artık ulusal bekânın bir parçası olduğunu göstermektedir.^【4】

1990’lı yıllar, siber uzayın "yüksek siyaset" (high politics) alanına girdiği ve askeri operasyonların ayrılmaz bir parçası olduğu dönemdir. 1996 yılında NATO bünyesinde kurulan İstişare, Komuta ve Kontrol Ajansı (NC3A), teknolojik gelişmeleri takip etmek ve ağ merkezli savaş konseptini geliştirmek için görevlendirilmiştir. Siber uzayın bir savaş sahnesine dönüştüğü ilk somut olay 1999 Kosova Krizi’dir. Sırp bilgisayar korsanlarının NATO sunucularına yönelik saldırıları, literatüre "internetteki ilk savaş" olarak geçmiş ve propaganda faaliyetlerinin dijital mecraya kaymasına neden olmuştur.

2000’li yıllar siber güvenliğin kurumsallaştığı bir dönem olmuştur. 2002 Prag Zirvesi’nde NATO, siber saldırıları kitle imha silahları ve terörizmle eşdeğer beş büyük tehditten biri olarak tanımlamıştır. Ancak siber güvenliğin küresel bir paradigma değişimine uğraması 2007 yılında gerçekleşen Estonya saldırılarıyla mümkün olmuştur. Tallinn’deki bir anıtın kaldırılması üzerine Rus milliyetçisi gruplarca gerçekleştirilen koordineli saldırılar, bir ülkenin finans ve kamu altyapısını felç etmiştir. Bu olay, 2008 yılında Estonya’da NATO Müşterek Siber Savunma Mükemmeliyet Merkezi’nin (CCDCOE) kurulmasına ve "Tallinn El Kılavuzu" gibi hukuki çalışmaların başlatılmasına zemin hazırlamıştır.^【5】

Siber saldırıların sadece veri hırsızlığı veya erişim engelleme ile sınırlı kalmadığı, fiziksel dünyada doğrudan hasar verebildiği 2010 yılında kanıtlanmıştır. İran’ın nükleer tesislerini hedef alan "Stuxnet" solucanı, endüstriyel kontrol sistemlerini ele geçirerek nükleer santrifüjlerin fiziksel olarak tahrip olmasına neden olmuştur. Bu olay, siber silahların konvansiyonel silahlardan çok daha maliyetsiz, anonim ve yıkıcı olabileceğini tüm dünyaya göstermiştir. Stuxnet’ten sonra devletler siber alanı hızla "güvenlikleştirmiş" ve kendi siber ordularını kurma yoluna gitmişlerdir.^【6】

Siyasi veya sosyal amaçlara ulaşmak için bilgisayar sistemlerinin bireylere, topluma veya hükümetlere karşı bir yıldırma aracı olarak kullanılmasıdır. Terör örgütleri siber alanı propaganda, finans kaynağı sağlama, örgüt içi eğitim ve koordinasyon için etkin bir şekilde kullanmaktadır. Siber tehditler yazılım kaynaklı (zombi sistemler, yemleme, casus yazılımlar) ve insan kaynaklı (organize suç grupları, hackerlar, teröristler) olarak ikiye ayrılır. Bu kapsamda yetkisiz erişim, veri hırsızlığı, kimlik avı, siber zorbalık ve siber casusluk en yaygın suç türleridir.^【7】

2010 yılından itibaren siber savunma, uluslararası ittifakların ana gündem maddesi haline gelmiştir. NATO’nun bu süreçteki gelişimi şu kronolojiyle özetlenebilir:

• 2010 Lizbon Zirvesi: Siber savunma yeteneklerinin güçlendirilmesi ve modernizasyonu kararlaştırılmış, yeni bir Stratejik Konsept benimsenmiştir.
• 2012 Chicago Zirvesi: Siber tehditlerin karmaşıklığına dikkat çekilmiş ve üye ülkeler arasında iş birliği vurgulanmıştır.
• 2014 Galler Zirvesi: Tarihi bir kararla, ciddi bir siber saldırının NATO Antlaşması'nın 5. Maddesi olan "kolektif savunma" mekanizmasını tetikleyebileceği resmi olarak kabul edilmiştir.
• 2016 Varşova Zirvesi: Siber uzay; kara, deniz, hava ve uzay gibi resmen bir "harekat sahası" (operational domain) ilan edilmiştir.
• 2018 Brüksel Zirvesi: Mons/Belçika’da bir Siber Operasyonlar Merkezi kurulmasına karar verilerek siber savunmanın askeri yapısı güçlendirilmiştir.
• 2019 Londra Zirvesi: 5G altyapıları dahil olmak üzere iletişim sistemlerinin güvenliği ve siber dayanıklılık ön plana çıkarılmıştır.^【8】

Siber uzaydaki anonimlik ve yargı sınırlarının belirsizliği, uluslararası hukuk normlarının geliştirilmesini zorunlu kılmıştır. Avrupa Birliği’nin 2018 yılında yürürlüğe soktuğu Genel Veri Koruma Yönetmeliği (GDPR), kişisel verilerin korunması konusunda dünya çapında bir standart belirlemiştir. ABD ise 2015 yılında Siber Güvenlik Bilgi Paylaşımı Yasası (CISA) ve 2019 yılında IoT (Nesnelerin İnterneti) Siber Güvenlik Geliştirme Yasası ile kritik altyapılarını güvence altına almaya çalışmıştır.

Rusya Federasyonu 2000 yılında Bilgi Güvenliği Doktrini'ni yayımlarken, Çin Halk Cumhuriyeti 2015 yılında siber alanı askeri stratejisinin merkezine yerleştirmiştir. Türkiye ise 2013 ve 2016 yıllarında yayımladığı Ulusal Siber Güvenlik Stratejileri ve Eylem Planları ile siber farkındalığı artırmayı ve milli yazılım çözümleri geliştirmeyi hedeflemiştir.^【9】

^{Siber Uzay ve NATO Dönüşümü İnfografik (Görsel Yapay Zeka ile Oluşturulmuştur)}

Sosyolog Ulrich Beck tarafından tanımlanan "risk toplumu" kavramı, siber uzayın modern dünyadaki konumunu en iyi açıklayan kuramlardan biridir. Modernleşmenin getirdiği teknolojik risklerin (siber saldırılar, nükleer facialar vb.) artık kontrol edilemez ve öngörülemez bir boyuta ulaştığı savunulmaktadır. Siber uzay, bu risklerin coğrafi sınır tanımadan yayılmasına imkan tanımaktadır.

Wikileaks skandalı ve Arap Baharı gibi olaylar, siber uzayın "düşük siyaset" alanından çıkarak rejimleri sarsabilecek bir güce dönüştüğünü kanıtlamıştır. Özellikle Facebook, Twitter (X) ve YouTube gibi platformlar üzerinden sağlanan ortak bilinç, baskıcı rejimlere karşı bir domino etkisi yaratmıştır. Bu süreçte güç, merkezi devlet yapılarından bireylere ve devlet dışı aktörlere doğru dikey olarak dağılmış; siber uzay, geleneksel diplomasi ve istihbarat anlayışını kökten değiştirmiştir.^【10】

Siber güvenliğin geleceği, gelişen teknolojilerin birer silah ya da savunma aracı olarak kullanılmasına bağlıdır. Yapay Zeka (YZ), siber saldırıların önceden tespit edilmesi ve otomatik savunma mekanizmalarının kurulmasında devrim niteliğinde imkanlar sunmaktadır. Ancak aynı teknoloji, saldırganlar tarafından daha karmaşık zararlı yazılımlar üretmek için de kullanılabilmektedir.

Blokzincir teknolojisi, verilerin merkezi olmayan bir yapıda şifrelenerek depolanmasını sağlayarak veri bütünlüğünü ve güvenliğini artırmaktadır. Nesnelerin İnterneti (IoT) ise her bir akıllı cihazı siber uzayın bir bileşeni haline getirerek saldırı yüzeyini genişletmekte, evlerden fabrikalara kadar her alanı potansiyel bir hedef haline getirmektedir.^【11】

Günümüzde siber güvenlik, artık sadece bilgisayar mühendislerinin ya da yazılım alanında çalışan kişilerin karşılaştığı teknik bir sorun olmaktan çıkmış siyaset biliminden hukuka, sosyolojiden askeri stratejiye kadar pek çok alanı ilgilendiren multidisipliner bir olgu olmuştur. Enerji, ulaşım, finans ve sağlık sistemlerini kapsayan "kritik altyapılar" tamamen bilişim ağlarına bağımlı hale gelmiştir. Şüphesiz ki teknolojinin ilerlemesi bunun en önemli ve en büyük sebeplerinden birisidir. Bu sistemlerin herhangi birinde yaşanacak zafiyet, sadece veri kaybına değil, doğrudan can kaybına ve ekonomik yıkıma yol açma potansiyeline sahiptir. Çünkü görmekteyiz ki artık savaşlar "ağ" adını verdiğimiz görünmeyen cephelerde, 7-24 yapılmaktadır. Devletlerin milli güçlerini koruyabilmeleri için siber güvenlik farkındalığını her düzeye yaymaları, milli yazılım projelerini desteklemeleri ve uluslararası iş birliğini güçlendirmeleri gerekmektedir. Özellikle bu alana ilgisi olan gençleri hususen desteklemeli uzmanların mentörlüğü ışığında bu yolda ciddi bir şekilde yol kat etmeleri sağlanmalıdır. İleride bizleri yönetecek, koruyacak, ileriye götürecek bu neslin olduğunu bilmek ve sorumluluğumuzu da ona göre düzenlememiz gerekmektedir. Siber uzay kavramı, sunduğu fırsatların yanı sıra insanlık tarihinin en karmaşık ve asimetrik çatışma alanını temsil etmeye devam etmektedir.^【12】