30 Temmuz 2020 tarihinde Avrupa Birliği (AB) Konseyi, AB vatandaşlarını ve üye devletleri hedef alan ve son 10 yılda üç büyük ölçekli siber güvenlik olayına karıştığına inanılan kişi veya kuruluşlara yönelik ilk kez yaptırım kararı aldı. Avrupa’daki siber güvenlik yetkilileri tarafından yapılan basın açıklamaları ve geçmiş yıllarda siber güvenlik firmaları tarafından açıklanan bilgiler bu üç saldırının kaynağının Rusya, Kuzey Kore ve Çin’de devlet birimleriyle bağlantılı hacker grupları olduğu yönündeydi.
Avrupa Birliği’nin almış olduğu yaptırım kararı siber alanda mücadele için üye ülkeler arasında önemli bir adım olarak görüldü. Son dönemde AB’nin özellikle Rusya ve Çin tarafından bilgi ve iletişim teknolojileri tabanlı saldırılara hedef olduğu düşünüldüğünde siber saldırılara yönelik alınan ilk yaptırım kararı önemli bir niteliğe sahip.
Yaptırım Kararına İlişkin Ayrıntılar
AB Konseyinin siber saldırılara karşı aldığı ilk yaptırım kararının arka planında geçmişte AB ülkelerinin hedef alındığı siber saldırılar yer almaktadır. 2018’de birçok AB ülkesindeki bilgisayarın etkilendiği “NotPetya” ve “WannaCry” adlı iki fidye yazılımı saldırısı ve birçok şirket ve devlet kurumunun hedef alındığı “Cloud Hopper” siber saldırısı düzenlenmişti. 2018 yılı Nisan ayında ise merkezi Hollanda’nın Lahey kentinde bulunan Kimyasal Silahların Yasaklanması Örgütü’ne yönelik siber saldırının arkasında yine önceki siber saldırılarla bağlantılı kişi ve kuruluşların olduğu iddia edilmiştir.
Konseyin yazılı açıklamasında siber saldırılara karışan 6 kişiye yönelik yaptırım kararı alındığı, bu kişilerden ikisinin Çin ve diğerlerinin Rus vatandaşı olduğu belirtilmektedir. Şirketlere yönelik yaptırım listesinde ise Kuzey Kore merkezli ihracat firması “Chosun Expo”, Çin merkezli teknoloji şirketi “Huaying Haitai” ve Rusya İstihbarat Teşkilatı (GRU) ile birlikte Rusya merkezli teknoloji şirketlerine yer verilmektedir.
Brüksel’in yaptırım kararının arka planındaki hukuksal zemin, AB’nin siber saldırılarla mücadele yöntemini belirlemesi ve gelecekte siber saldırılara yönelik verilecek tepkinin yasal sınırlarını ortaya koyması bakımından önemli bir yere sahiptir.
Gerçek ve tüzel kişilere yönelik uygulanan yaptırım kararına göre, yaptırım uygulanan kişilerin AB ülkelerine seyahati yasaklandı ve AB ülkelerindeki varlıklarının dondurulmasına karar verilmiştir. Ayrıca AB tarafından bu kişi/kuruluşlara, doğrudan ya da dolaylı olarak fon sağlanması yasaklanarak siber saldırılara yönelik ilk kez alınan tedbirler uygulanmıştır.
Uygulanan yaptırımların ilk olması AB’yi ve üye devletleri etkileyen siber saldırılara karşı bir tepki olmanın dışında, yeni yaptırımlar ve siber alanın güvenliğine ilişkin düzenlemeler için kilometre taşı olarak görülmektedir. Uluslararası siber güvenlik perspektifinden bakıldığında AB’nin yaptırım kararı Amerika Birleşik Devletleri (ABD) başta olmak üzere batı ülkelerinin son yıllarda geliştirdiği siber caydırıcılık stratejisiyle de uyumlu olarak değerlendirilmektedir. Brüksel’in yaptırım kararının arka planındaki hukuksal zemin, AB’nin siber saldırılarla mücadele yöntemini belirlemesi ve gelecekte siber saldırılara yönelik verilecek tepkinin yasal sınırlarını ortaya koyması bakımından önemli bir yere sahiptir.
Yaptırımların Hukuksal Arka Planı
Siber güvenlik kavramının her geçen gün önem kazandığı günümüzde, siber suçlarla mücadelenin hukuki zemininin oluşması ve siyasi alandaki adımların bu zemine dayandırılması zorunluluk olarak görülmektedir. AB’nin kişisel hak ve özgürlükleri öncelediği hukuksal düzenlemelerinin, son yıllarda değişerek özellikle bilgi ve iletişim teknolojileri konusunda yeni düzenleme arayışlarına girmesi dikkat çekicidir. AB’nin siber güvenlik stratejisinin hukuksal zemini söz konusu yaptırım kararının arka planını anlamak ve karara ilişkin detayları değerlendirmek için temel oluşturmaktadır.
Brüksel yönetimi Haziran 2017’de, “Kötü Niyetli Siber Faaliyetlere Ortak AB Diplomatik Tepki için Çerçeve” metnini oluşturarak siber güvenliğini güçlendirmek için yasal bir zemin ortaya koymuştur. Çerçeve, AB ve üye devletlerinin bütünlüğünü ve güvenliğini hedefleyen kötü niyetli siber faaliyetleri önlemek, caydırmak ve bunlara yanıt vermek için gerekirse kısıtlayıcı önlemler de dahil olmak üzere tüm Ortak Dış ve Güvenlik Politika (ODGP) önlemlerinin kullanmasına izin vermektedir.
AB Parlamentosu tarafından kabul edilen ve 25 Mayıs 2018 tarihinde yürürlüğe giren Genel Veri Koruma Tüzüğü (General Data Protection Regulation-GDPR) ile AB vatandaşlarının artan veri ihlallerinden korunması amaçlanarak GDPR hükümleriyle kuruluşlara ciddi yükümlülükler getirilmiştir. Söz konusu yükümlülüklerin ihlali halinde kuruluşlara 20 milyon avroya kadar veya küresel cirosunun yüzde 4’üne kadar para cezası uygulanabileceği düzenlenmiştir. Ancak kuruluşların GDPR hükümlerine tam anlamıyla riayet etmesi ve gerekli güvenlik tedbirleri almasına rağmen siber saldırılar karşısında kişisel verilerin hala risk altında olduğu bir gerçektir. Dolayısıyla GDPR ile hizaya getirilen kuruluşların yanı sıra siber suçlular için de caydırıcı ve etkin bir hukuki mekanizmaya ihtiyaç bulunmaktadır. Siber güvenlik alanında alınan yaptırım ve kısıtlama tedbirlerini de bu sürecin bir parçası olarak görmek mümkündür.
Siber saldırılara karşı ilk kez uygulanan yaptırımlar ise 17 Mayıs 2019 tarihinde kabul edilen ve yeni yaptırım mekanizmasının temelini oluşturan 2019/797 sayılı Konsey kararına dayanmaktadır. Konsey 2019/797 sayılı kararın 4. ve 5. maddeleri uyarınca, uyruğu veya konumu ne olursa olsun, AB’yi veya üye devletlerini tehdit eden siber saldırılara karışan kişi ve kuruluşlara yönelik kısıtlayıcı tedbirleri uygulama yetkisine sahiptir.
Konsey almış olduğu yaptırım kararını, AB’nin siber güvenlik yasasında bulunan seçeneklerden biri olarak değerlendirdiğini ve ilk kez uygulandığını ifade etmektedir. Söz konusu yaptırım kararı ile AB güvenlik ve mahremiyet ekseninde sert tedbirler almaya devam ederek siber saldırılara karşı taviz vermeyen bir tutum sergileyeceğini göstermektedir.
Yaptırım Kararına Yönelik Tepkiler
AB Konseyinin 30 Temmuz’da ikisi Çin’den, dördü Rusya’dan olmak üzere altı kişiye ve Çin, Rusya ve Kuzey Kore’den üç kuruluşa karşı aldığı yaptırım kararına ilişkin tepkilerin özellikle Rusya ve Çin’in resmi makamlarından geldiği görülmektedir. Çin ve Rusya, yaptırım kararının ertesi gününde, yaptırım kararına karşı siber saldırılar konusunda tek taraflı yaptırım uygulanmaması gerektiğini ve cezalandırmanın uluslararası düzeyde güvenlik ve istikrarı azaltacağını vurgulayarak, siber saldırı sorununu diyalog ve iş birliği içerisinde çözmeyi umduklarını ifade etmiştir.
Söz konusu yaptırım kararı ile AB güvenlik ve mahremiyet ekseninde sert tedbirler almaya devam ederek siber saldırılara karşı taviz vermeyen bir tutum sergileyeceğini göstermektedir.
Çin Dışişleri Bakanlığı Sözcüsü Wang Wenbin ülkesinin de siber saldırıların kurbanı olduğunu ve Pekin yönetiminin bu tür saldırılara karşı önlem aldığını veya Çin’in siber altyapısını yasalara uygun olarak kullandığını belirtmiştir. Rusya Dışişleri Bakanlığı ise yaptırım kararına endişeyle baktıklarını ifade ederek AB’yi bilgi paylaşım sorunları konusunda profesyonel bir diyalog başlatmaya birkaç kez davet ettiklerini ancak AB’nin “uluslararası hukuk açısından gayri meşru” olarak gördükleri tek taraflı yaptırımlara başvurduğunu söylemiştir. Diğer yandan ilk kez uygulanan yaptırım kararının öncesinde Almanya, Rusya kaynaklı siber saldırılara karşı hukuksal çerçevenin uygulanmasına dair öneri getirmişti. 2017 yılında kabul edilen Kötü Amaçlı Siber Faaliyetlere Ortak AB Diplomatik Tepki için Çerçeve Belgesi, Birlik üyelerinin siber güvenlik konusunda uygulanan yaptırımların destekleyicisi olduklarına işaret etmektedir.
Yaptırım kararının ardından ABD, Avustralya, Kanada ve Birleşik Krallık ise AB’nin yaptırım kararını memnuniyetle karşıladıklarını ifade ederek yaptırımları desteklemiştir. Söz konusu destek mesajları ile uluslararası siber politikada Batı ülkeleri arasında koordineli bir yaklaşımın benimsendiği ve siber suçlulara karşı işbirliğinin artarak devam edeceği değerlendirilmiştir.
Sonuç
İletişim teknolojilerinin gelişmesiyle birlikte siber güvenlik konusu her geçen gün daha fazla gündeme gelmiştir. Bilgi teknolojilerinin güvenliğini de içine alan daha soyut bir kavram olarak siber güvenlik, kişilerin ya da kuruluşların siber saldırılardan korunması için önemlidir. Gerçek ya da tüzel kişilerin dışında devletlerin de siber saldırılara karşı aldığı tedbirler, siber uzaydaki hareket alanının düzenlenmesi ve ortak düzenleyici kuralların belirlenmesinde kritik rol almaktadır.
Çin’in 2017’den beri AB’de ve diğer yerlerde tepkiler alan kendi siber güvenlik yasasını çıkarması ya da ABD’nin uzun yıllardır siber alana yatırım yapması ve kendi siber güvenlik politikasını uygulaması siber alana yönelik hukuksal düzenlemelerin farklılığını ortaya koymaktadır. Ülkelerin siber saldırılardan korunmak için uygulamaya koydukları girişimleri, diğer ülkelerin siber güvenlik alanlarını tehdit edebilmekte ya da siber güvenlik kanunlarıyla çelişebilmektedir. Bu nedenle siber güvenlik stratejilerini etkileyen sorunlar dünya çapında hararetli bir şekilde tartışılmaya devam etmektedir. AB Konseyinin siber saldırılara karşı ilk kez aldığı yaptırım kararı da AB’nin siber güvenlikle ilgili yasal zemini içerisinde ele alınmaktadır. Bu noktada AB’nin son yıllarda bilgi ve iletişim teknolojileri konusunda daha somut düzenleme arayışlarına girmesi dikkat çekmektedir. İlk kez alınan yaptırım kararı AB’nin güvenlik ve mahremiyet ekseninde sert tedbirler almaya devam ederek siber saldırılara karşı taviz vermeyen bir tutum sergileyeceğini göstermektedir.
Diğer taraftan salgın sonrası dönemde AB üye ülkeleri ve vatandaşlarına yönelik özellikle Rusya, Çin gibi devletler tarafından bilgi teknolojileri kaynaklı saldırıların arttığı görülmektedir. Son 10 yılda AB üye ülkeleri ve vatandaşlarına yönelik siber saldırılara karşı yaptırım kararının ilk kez bu dönemde alınıyor olması önemlidir. AB’nin siber güvenliğini korumak için ilk kez uyguladığı yaptırım kararını AB, Rusya ve Çin ilişkileri bağlamında değerlendirmek gerekmektedir. Yakın gelecekte AB tarafından alınacak siber güvenlik tedbirlerinin özellikle bu ülkelerle ilişkiler ekseninde yeniden şekilleneceği öngörülmektedir.
