Teknolojik gelişmelerin ivme kazanması ve internetin küresel ölçekte yaygınlaşması “gri bölge” denilen yeni bir alanın tanımlanmasına/kavramlaştırılmasına neden olmuştur. Bu kavram savaş ve barış arasındaki muğlak alanı belirtmek için kullanılmaktadır. Ekseriyetle asimetrik siber saldırılar sonucunda hedef ülkenin herhangi bir aksiyon almadığı veya alamadığı durumları ifade etmektedir. Gri bölge üzerinde gerçekleşen siber saldırılar tam bir askeri operasyon özelliği göstermediği gibi mutlak bir siber barışı da simgelememektedir. Bunun temel sebebi de bu alanda meydana gelen siber saldırıların askeri ve konvansiyonel şekilde karşılık verilecek saldırı eşiğinin altında olmasıdır.
Gri bölgenin en belirgin özelliği ise savaş ve barış durumlarındaki netlik ve sınırların bu alanlarda tamamen bulanıklaşmasıdır. Siber saldırıyı gerçekleştiren ülke veya hacker grubu, hedef ülkenin alabileceği reaksiyonların bulanıklaşmasını sağlamaktadır. Asimetrik doğası ve hibrit taktiklerin yoğun şekilde kullanılması, siber saldırıları geleneksel askeri saldırılardan ayırmaktadır. Keza mutlak bir askeri güç ve caydırıcılık yerine ekonomik, sosyal, politik ve kültürel araçların da dahil edildiği daha geniş bir yelpaze tercih edilmektedir.
Gri bölge içerisinde değerlendirilebilecek siber saldırılar özellikle 2007’den itibaren uluslararası güvenliğin konusu haline gelmiştir. Bu bölge içerisinde yer alan saldırıların erken aşamasında, saldırıların büyük ölçüde düşük teknik karmaşıklığa sahip araçlar ve hizmet engelleme (Denial-of-Service, DoS) yöntemleri etrafında şekillendiği görülmektedir. Buna iyi bir örnek olarak 2007’de Estonya’yı hedef alan saldırılar verilebilir. Estonya hükümeti saldırıların Rusya tarafından gerçekleştirildiğini iddia etse de ciddi bir kanıt bulunamadığı için bu saldırılar gri bölgede kalmıştır.
2011 Stuxnet Saldırısı
Zamanla bu saldırıların daha çok enerji gibi kritik altyapıları ve ekonomi sektörünü hedef alan zararlı yazılımlar ve virüsler aracılığıyla daha komplike şekilde oluşturulduğuna şahitlik edilmiştir. ABD-İsrail ortaklığında gerçekleştirildiği iddia edilen 2011 Stuxnet saldırısı buna örnek verilebilir. Stuxnet saldırısı, İran’ın Natanz’daki uranyum zenginleştirme tesislerini hedef almıştır. Bu virüsle sisteme zarar verme ve nükleer çalışmaları sekteye uğratma hedeflenmiştir. Her ne kadar ABD-İsrail ortaklığı tarafından yapıldığına ilişkin resmi bir kayıt olmasa da saldırı bu iki ülkeyle ilişkilendirilmektedir. İran’a yönelik süren yaptırımlar ve nükleer anlaşmalardan tam olarak sonuç alınamaması Stuxnet saldırısı ile siber saldırıların caydırıcılık tartışmasını tetiklemiştir.
Bu saldırı uluslararası alanda siber saldırılar için bir dönüm noktası oluşturmuştur. Uranyum zenginleştirme tesisindeki santrifüjleri hedef alan bir siber saldırının ciddi oranda fiziksel tahrip oluşturduğu ilk defa somut olarak görülmüştür. Stuxnet saldırısının en önemli tarafı yalnızca teknik anlamda bir silah olması değil aynı zamanda fiziksel anlamda bir sonuç ortaya çıkaracak şekilde dizayn edilmesidir. Diğer taraftan 2011 saldırısı da gri bölge içerisinde değerlendirilen bir olay olarak literatüre geçmektedir. Gri bölge stratejisinin en temel karakteristik özelliği olan inkar edilebilirlik durumu saldırının doğrudan bir devlete (veya ABD-İsrail tarafına) atfedilmesini zorlaştırmıştır.
ABD’ye Yönelik Siber Saldırılar
Verilen örneklerin dışında gri bölge içerisinde değerlendirilebilecek başka saldırı durumları da gerçekleşmiştir. Örneğin 2021’de ABD’nin en büyük yakıt taşıma boru hattına yönelik Colonial Pipeline saldırısı bunlardan biridir. Son yıllarda ise çarpıcı şekilde bilgi ve etki operasyonları adı altında dezenformasyon ve propagandanın yaygınlaştığı saldırı türleri ortaya çıkmıştır. Örneğin 2016’da Rusya destekli olduğu düşünülen siber saldırılar, ABD seçimlerini doğrudan etkileyerek bir ülkenin iç işlerine ve egemenliğine zarar vermiştir. Saldırının Rusya tarafından gerçekleştirildiğine ilişkin kesin bir kanıt olmamasına rağmen siber saldırıların bir ülkenin jeopolitik hedeflerini siber alana taşıyabileceğini ortaya çıkarmıştır.
ABD’nin saldırı kaynağı ve saldırgan ülkeye ilişkin öngörüsü olmasına rağmen herhangi bir askeri karşılık vermediği görülmüştür. Bunun temel sebebi ise bu saldırıların gri bölge denilen bir alanda değerlendirilmesidir. Bu alanın hem yasal hem de normatif açıdan sınırlarının tam olarak belirlenmediği dikkat çekmektedir. Uluslararası normların yetersizliği ve etkin bir küresel yönetişimin eksikliği, saldırgan ve hedef ülkeler arasındaki durumun belirsizleşmesine yol açmaktadır.
Siber Güvenlik
Siber güvenlik artık teknolojik dayanıklılık ve jeopolitik gücün kesişim noktasında yer alan kritik bir meseledir. Dijital ağlar sadece iletişim ve ticaret için değil aynı zamanda ulusal savunma, enerji, finans ve yönetişim için de hayati önem taşımaktadır. Bugün siber uzay denilen ekosistem birçok kritik altyapının temelini oluşturmaktadır. İnternet aracılığıyla savunma, sağlık, eğitim ve ulaşım gibi önemli ulusal kaynaklar bu alan içerisinde yer almaktadır. Örneğin bir ülkenin en önemli kritik altyapısı savunma ve askeri kaynaklarıdır ki bu askeri unsurlar günümüzde uydu bağlantılı komuta sistemleri ve ağ merkezli şekilde çalışmaktadır. Askeri üretim merkezlerinin altyapısı dijitalleşirken komuta kontrol sistemleri ağlar üzerinden çalışmaktadır. Bu yüzden bu alanda gerçekleşecek herhangi bir ciddi siber saldırı önemli bir ulusal güvenlik problemine dönüşebilmektedir. Bu bağlamda ortaya çıkabilecek güvenlik açıkları ve tehditleri önlemeye yönelik olarak devletlerin siber komutanlıklar oluşturması söz konusu riskleri yönetme arayışlarının yansımasıdır. Beyaz Saray’ın 2010’da kurduğu ABD Siber Komutanlığı (USCYBERCOM) ile siber uzay güvenliğini tesis etmeyi ve siber kapasitesini güçlendirmeyi hedeflemesi, bu yaklaşımın somut bir örneğidir.
2007 Estonya Saldırısı
Öte yandan herhangi siber saldırının hacker grubu veya devlet destekli olduğu önemli olmaksızın doğrudan stratejik sonuçları ortaya çıkabilmektedir. Uluslararası güvenlik açısından bir kırılma noktası olan 2007 Estonya saldırısı bunun en dikkat çekici örneğidir. Estonya hükümetinin 2007’de Tallinn’in merkezindeki Sovyet askerlerine ait bir anıtı, yakındaki bir askeri mezarlığa taşıma kararı sonrası Rus kökenli vatandaşlar ülkede protestolar başlatmıştır. Bu anıt Rus kökenli vatandaşlar için kurtarıcıyı simgelerken Estonyalılar için baskıcı bir dönemin sembolünü ifade etmektedir. Hükümetin bu karardan dönmeyeceğine ilişkin açıklamaları, 22 gün boyunca sürecek siber saldırıların başlamasına neden olmuştur. 2007 itibarıyla yüksek düzeyde dijitalleşmiş bir yapıya sahip olan Estonya’da, kamu hizmetleri ve finansal sistemlerin dijital altyapıya güçlü bağımlılığı, siber saldırıların etkisinin geniş çapta ve sistemik biçimde hissedilmesine neden olmuştur. Ülke içindeki iletişim hatları ve internet bağlantıları kesilmiş, ATM’ler arızalanmış, trafik ışıkları çalışmaz hale gelmiş, radyo ve televizyon istasyonları yayın yapamamış ve tren istasyonları kapatılmıştır.
Normatif Boşluk ve Atıf Sorunu
Bu saldırılar hem Estonya’nın bu alana ilişkin güvenlikleştirici söylemlerini artırmış hem de uluslararası örgütlerin (NATO, AB, BM) ve devletlerin bu alana yoğun bir önem vermesine sebep olmuştur. Ulusal egemenliğe ve ulusal kimliğe doğrudan bir saldırı olarak analiz edilen 2007 olayı, modern toplumun işleyişine bir tehdit ve Rusya ile jeopolitik çatışmanın bir uzantısı haline dönüşmüştür. Saldırıların kaynağının Kremlin destekli siber gruplar ve hacker grupları olduğu değerlendirilmektedir. Ancak NATO ve diğer önemli aktörlerin saldırıları bir savaş sebebi olarak görmemesi gri bölge tartışmalarının somut örneğini oluşturmaktadır. Estonya’nın bunu bir savaş unsuru olarak belirtmesi ve NATO’yu desteğe çağırmasına rağmen, NATO bunu 5. maddenin kullanılabileceği bir durum olarak görmemiştir.
Benzer şekilde Birleşmiş Milletler’in (BM) kuvvet kullanma yasağına ilişkin 2(4). maddesinin yetersiz olduğu da ortaya çıkmıştır. BM’nin 2(4). maddesi herhangi bir ülkenin kuvvet kullanmasını engellemeyi amaçlamaktadır. Ancak BM Şartı’nda kuvvet kullanma fiziksel kuvveti esas almaktadır. Diğer taraftan Estonya saldırılarında herhangi bir fiziksel yıkımın ve can kaybının olmaması, kuvvet kullanımının eşiğini belirsizleştirmiştir. Diğer bir ifadeyle 2007 Estonya siber saldırıları, BM Şartı’nın kuvvet kullanımı ve meşru müdafaa hükümlerinin siber alan bağlamında uygulanabilirliğine dair normatif boşluğu ortaya koyması açısından önemli olmuştur. Özellikle saldırıların kaynağı noktasında oluşan atıf sorunu, kolektif güvenlik mekanizmasının etkinliğini işlevsizleştirmiştir. Normatif boşluğa ek olarak özellikle saldırıların eşik ve atıf sorunu NATO ve diğer ülkeler için önemli bir problem teşkil etmektedir. NATO içinde 5. maddenin işletilmesini gerektirecek düzeyde bir silahlı saldırı eşiğinin aşıldığına dair bir konsensüs oluşmaması, kuvvet kullanımı normunun yokluğundan ziyade siber operasyonların mevcut hukuki kategorilere nasıl yerleştirileceğine ilişkin yorum farklılıklarını ortaya koymaktadır. Bu bağlamda atıf sorunu, kolektif savunma mekanizmalarının karar alma süreçlerini yapısal olarak zorlaştıran bir unsur olarak öne çıkmaktadır.
Siber Vekiller
Siber saldırıların genel olarak devlet destekli siber vekiller tarafından düzenlendiği bilinmektedir. Siber vekiller bir devletin onayı, finansmanı veya yönlendirmesiyle faaliyet gösterir ancak inkar edilebilirliğini önemli ölçüde korur. Bu yüzden askeri şirketlere kıyasla daha steril bir şekilde hareket edebilir. Bu güçler devletlerin siber alanda güçlerini yansıtmalarına olanak tanırken doğrudan sorumluluktan kaçınmalarını kolaylaştırabilir. Bu aktörler gelişmişlik, kalıcılık ve gizlilikleri nedeniyle genellikle gelişmiş kalıcı tehditler (advanced persistent threats, APT) olarak adlandırılır. Devletler resmi olarak sorumluluklarını üstlenemeyecekleri operasyonları yürütmek için bu devlet dışı siber vekilleri kullanabilir. Bu, barış ve savaş arasında bir gri bölge oluşturan temel aktör-devlet ilişkisini yansıtmaktadır. Örneğin APT28 (Fancy Bear) Rusya ile bağlantılı bir aktör olarak 2016 ABD seçimlerine müdahaleden sorumlu tutulmaktadır. Aynı şekilde APT29 (Cozy Bear) Rusya bağlantılı ve SolarWinds saldırısıyla (2020) ilişkilendirilirken Lazarus Grubu, Kuzey Kore bağlantılı olup Sony Pictures hack saldırısından (2014) sorumlu tutulmaktadır.
APT35 (Charming Kitten) ise İran bağlantılı olup Batılı kuruluşlara karşı casusluk ve dezenformasyon faaliyetlerinden sorumlu tutulmaktadır. APT35, İran’ın siber alandaki kapasitesi açısından önemli rol alan siber vekillerden birisidir. Bunlara ek olarak APT33 ve APT 34 siber vekil açısından İran’ın önemli araçlarından bazılarını oluşturmaktadır. Özellikle Stuxnet saldırısı sonrası İran’ın da siber anlamda kapasitesini ciddi anlamda geliştirdiği bilinmektedir. İran bir yandan Silahlı Kuvvetler Genelkurmayına bağlı Siber Savunma Komutanlığını bir yandan da APT gibi siber vekillerle ofansif anlamdaki birimlerini güçlendirmektedir. Aramco saldırısı bu anlamda İran ile ilişkilendirilen ve gri bölge içerisinde kalmış kritik bir örnektir. Shamoon adlı kötü amaçlı yazılımla Suudi Arabistan’ın petrol şirketinde yer alan yaklaşık 30 bin bilgisayarın tahrip edildiği iddia edilmektedir. Bu anlamda kinetik savaş durumunun dışındaki birçok saldırının da İran ile ilişkilendirildiği görülmektedir. Bu durum, siber saldırıların asimetrik doğası ve gri bölgenin oluşturduğu atıf sorununun pek çok ülke tarafından kritik bir güvenlik meselesi olarak görüldüğünü göstermektedir.
Hibrit Savaş
2011 Stuxnet saldırısı her ne kadar gri bölge içerisinde yer almış olsa da bugün devam eden ABD/İsrail-İran savaşı ve İran’a yönelik siber saldırıların öncüsü veya devamı niteliğinde görülebilir. Keza 28 Şubat 2026’da başlayan savaş sürecinde de ABD-İsrail ortaklığında İran’a yönelik siber saldırıların devam ettiği; kinetik askeri operasyonlarla desteklenen bu siber saldırıların hibrit savaş modelinin somut bir örneğini ortaya koyduğu görülmektedir. Siber saldırılar sadece barış süreçlerinde gri bölge içerisinde değerlendirilmemekte; bunun yanı sıra sıcak çatışma ve savaş durumlarında doğrudan destekleyici ve savaşa yön veren asimetrik özelliğiyle kinetik saldırıları da tamamlayabilmektedir.
Stuxnet saldırısı aslında İran’a yönelik başlayan siber saldırıların temelini oluşturmaktadır. 2010 öncesinde İran’a karşı düzenlenen saldırı türleri genel olarak kritik hedefleri hedefleyen sızma ve sabotaj hazırlığı olarak düşünülmektedir. Stuxnet ile SCADA sistemleri hedef alınarak fiziksel ve siber alanlar arasında ilk kez ciddi anlamda köprü kurulmuş; bu kapsamda uranyum zenginleştirme tesisleri hem fiziksel sabotaj hem de casusluk amacıyla hedeflenmiştir. Buradaki amaç doğrudan nükleer Ar-Ge çalışmalarını durdurmak yerine geciktirme ve istihbarat amacıyla oluşturulmuştur. Bu saldırı İran’a yönelik siber saldırıların başlangıcı olarak değerlendirilebilir. Keza 2010 sonrası dönemde saldırılar bazen doğrudan hava savunma sistemleri, finansal sistemler, petrol tesisleri ve komuta kontrol merkezlerini doğrudan hedef alarak gri bölge kapsamında düzenlenmiştir.
ABD/İsrail-İran Savaşında Siber Saldırılar
Siber saldırıların farklı bir görünümü ABD/İsrail-İran savaşı sırasında gerçekleşmektedir. Daha önce enerji ve kritik altyapı sektörlerini hedef alan siber saldırıların, sıcak savaş sırasında ABD ve İsrail tarafından İran halkını rejime karşı harekete geçirmek için düzenlendiği görülmektedir. Başlatılan son siber saldırılar artık gri bölge dışında hibrit savaş modeli içerisinde yer almaktadır. ABD-İsrail ile İran arasındaki siber gerginlikler 2010’dan itibaren cereyan etmektedir. Stuxnet ile başlayan ve karşılıklı rekabete dönüşen siber alan zaman zaman İran’ın da ABD ve İsrail’e yönelik saldırıları (Aramco gibi) ve siber casusluk faaliyetleriyle süreklilik kazanmıştır. Buna binaen 2026 savaşı sıfırdan kurulmamış; uzun yıllardır devam eden altyapı sızma ve erişim hazırlığının kinetik çatışmayla birleştiği bir olgunluk noktasını temsil etmektedir. Örneğin İran içerisinde yaygın bir şekilde kullanılan BadeSaba adlı dini uygulama hacklenip kullanıcılara otomatik mesajlar gönderilerek rejime karşı desteğin ortadan kaldırılması hedeflenmiştir. Bu örnek, siber saldırıların kritik altyapılar kadar iletişim ve toplumsal alanı ilgilendiren bir boyuta sahip olduğunu da göstermektedir. Siber saldırıların gri bölgelerin yanı sıra sıcak çatışma süreçlerinde hibrit savaş modelini tamamlamak için de kullanıldığına işaret etmektedir. İran’a yönelik saldırılar bunun en güncel bir örneğidir. ABD-İsrail ortaklığında başlatılan kinetik saldırılar, eş zamanlı olarak siber saldırılarla desteklenerek toplumsal alanda kargaşa çıkarmak ve rejime yönelik desteği azaltmak amacıyla tasarlanmaktadır. Özellikle İsrail tarafından başlatılan siber saldırıların bugüne kadarki en geniş çapta düzenlenen saldırılar olduğu görülmektedir. Bu saldırıların temel hedefi ise resmi medya araçları ve Devrim Muhafızları arasındaki iletişimi sekteye uğratarak rejim ile halk arasındaki iletişimi sınırlandırmaktır. Bununla birlikte en dikkat çekici etkinin hibrit savaş modelinin stratejik unsurlarından biri olan psikolojik boyutta ortaya çıktığı söylenebilir. Özellikle toplumsal desteği zayıflatmak ve kaos ortamı oluşturmak amacıyla, BadeSaba gibi sivil kullanım alanına ait uygulamaların hedef alınması, saldırıların yalnızca teknik değil aynı zamanda toplumsal ve psikolojik sonuçlar üretmeyi amaçladığını da göstermektedir.
Bu tablo dikkate alındığında İran’ın yalnızca pasif bir hedef olarak kalmadığı aynı zamanda ofansif düzeyde çeşitli reaksiyonlar geliştirdiği görülmektedir. 2026 savaşı bağlamında İran’ın da eş zamanlı siber saldırılar düzenlediğine ilişkin değerlendirmeler mevcuttur. Bu kapsamda İsrail’in enerji ve su altyapılarının hedef alınması, ABD’nin bölgedeki askeri lojistik sistemlerine yönelik keşif faaliyetleri ve Körfez ülkelerindeki müttefik altyapılara karşı gerçekleştirilen dezenformasyon operasyonları öne çıkmaktadır. Söz konusu süreç, siber alanın yalnızca saldıran tarafın bir aracı olmadığını, karşılıklı ve asimetrik bir çatışma ortamını ortaya çıkardığını göstermektedir.
Sonuç
Sonuç olarak siber saldırılar savaş ve barış arasında bir alan işgal etmesi nedeniyle gri bölgede yer almaktadır. Bu alanda gerçekleşen siber saldırılar zorlayıcıdır ancak genellikle silahlı çatışma eşiğinin altında kalır ve devletlerin resmi savaş olmadan stratejik rekabete girmelerine olanak tanır. Bunun yanı sıra sorumluluğun belirlenmesindeki teknik zorluk ve meşru misilleme eşiğinin belirsiz olması geleneksel uluslararası hukuku ve caydırıcılık teorisini zorlamaktadır. Bu nedenle siber güvenlik hem teknik bir sorun hem de stratejik bir belirsizliktir ve bu haliyle uluslararası ilişkilerde yeni kavramsal çerçeveler gerektirmektedir.
