Öncelikle belirtmek gerekir ki, teknolojinin gelişimi ve internetin her eve girmesi ile birlikte sunucularımızdan paylaştığımız her bilgi kişisel verilerimiz için tehdit arz etmeye başlamıştır. Kişisel verilerin korunumu ile alakalı olarak yapılan hukuki koruma yöntemlerinin dışında siber saldırıların mahiyeti gündeme gelmiştir. Siber saldırılara karşı savunma geliştirmek adına çalışmalar ilk olarak 2002 tarihinde Prag’da gündeme getirilmiştir. İlk kez NATO zirvesinde görüşülen bu konu zamanla genişletilerek ele alınmaya başlanmıştır. Buna istinaden 2008 tarihinde ise NATO, ilk kez siber savunma politikasını masaya yatırmıştır. Tarih 2014’ü gösterdiğinde ise artık çağımızın önemli bir sorunu olan siber güvenlik problemi müttefikler tarafından da benimsenerek, ortak savunma maddesi eklenmiştir. Buna göre NATO anlaşmasının 5.maddesi; ‘Tarafların, Avrupa veya Kuzey Amerika’da bir veya daha fazlasına karşı yapılacak silahlı bir saldırının hepsine karşı yapılmış sayılacağı konusunda mutabıktır.’ Siber saldırı durumunda da yürürlüğe alınacaktır.
Böylece NATO müttefikleri siber güvenlik adına önemli adımlar atmaya başlamıştır. 2018 yılına geldiğimizde ise Brüksel’de yapılan zirve toplantısında gündem, ittifakın güvenliğine yönelik tehditlerin daha komplike bir hal almaya başlamasıydı. Buna istinaden ittifaklar ‘İttifak’ın caydırıcılık ve savunma tutumunu bir bütün olarak güçlendirmek ve desteklemek için havada, karada ve denizde nasıl son derece etkili çalışıyorsak siber uzayda da öyle çalışabilmeliyiz.’ Söylemi ile aslında askeri bir savunma mesajı verilmiş olsa da üzerinde durulması gereken konu siber güvenliğin tehdidi konusunda alınabilecek güvenlik önlemleridir. Bu konuda Amerika Birleşik Devletleri, Amerika Birleşik Devletleri Siber Komutanlığı’nı faaliyete geçirmiştir.
Siber güvenlik, bütünlük, gizlilik ve erişilebilirlik prensipleri ışığında siber uzayda kurum, kuruluş ve kullanıcıların varlıklarını korumak amacıyla kullanılan araçlar, politikalar, güvenlik kavram ve önlemleri, kurallar, risk yönetimi yaklaşımları, eylemler, eğitimler, uygulamalar ve teknolojilerin bütünü olarak ifade edilmektedir.[1]
1950’li yıllardan itibaren dünyadaki yeni savaş alanı olarak nitelendirilmeye başlayan ve 21.yy itibari ile bilişim sektörünün de gelişimi ile birlikte yeni bir tehdit alanı oluşmaya başlamış ve siber savaş tanımlaması hayatımıza dahil olmuş, dünyada 5. savaş alanı olarak nitelendirilmiştir.[2]
Günümüzde ise siber saldırı olarak nitelendirilen zararlı yazılımlar, botnetler, DDOS saldırıları, Truva atları, virüsler, ihlaller, bilgi hırsızlıkları, kimlik hırsızlıkları vb. tehditlere kişiler, şirketler ve devletler maruz kalabilmektedirler. [3]
Tüm bu nedenler ile tehditlerin türleri değiştikçe NATO’nun da korunma tedbirleri değişiklik göstermiştir. İlk olarak Prag’da ele alınan siber güvenlik önlemleri mevzu konusunda Zirve’ye katılan 9 ülke tarafından (ABD, Almanya, İngiltere, Fransa, Hollanda, İspanya, İtalya, Kanada, Norveç) 2003 yılında bilgi paylaşımı konusu üzerine anlaşma imzalanmıştır. 2004 yılında ise Nato Communication and Information Systems Services Agency (NCSA) kurulmuştur. Böylece NCSA siber saldırılara müdahale edecek ilk yapılaşma hareketidir.
2008 yılına gelindiğinde ise büyük bir siber saldırıya uğrayan Estonya’ya anlık destek sağlanamamış ve yaklaşık 1 ay boyunca siber saldırılara maruz kalmıştır. Müttefikine karşı yapılan büyük çaplı ve yıkıcı siber saldırılar sonrası NATO savunmalarını geliştirmek üzere harekete geçmiştir. Öncelikle Cyber Defence Management Authority (CDMA) oluşturulmuştur. Ayrıca beraberinde yine Estonya’da Siber Savunma Mükemmeliyet Merkezi hayata geçirilerek, burada üye ülkelerin çeşitli eğitimler alması, çalışmalar ve araştırmalar yapması amaçlanmıştır. Bu merkezde ilk kez uluslararası hukuk uzmanlarınca yazılan ve siber savaşı irdeleyen Tallinn El Kılavuzu yayınlanmıştır. Her yıl siber tehtidler ile mücadele amacı ile müttefik devletlerce CCDCOE koordinasyonu kurulmuştur. Bu koordinasyon dünyanın en büyük siber saldırı tatbikatı olan ‘Locked Shields’i icra etmektedir.
2016 yılında ise Varşova Zirvesi’nde NATO’nun siber tehtidlerin sürekli şekil değiştirmesi, uluslararası hukuk anlamında boşlukların bulunması nedeni ile Zirve’de NATO-Avrupa Birliği Ortak Deklarasyonu imzalanmıştır. Böylece üye devletler ile daha fazla argüman üretme ve iş birliği kurmanın önü açılmak istenmiştir.
2018 Brüksel Zirve’sine gelindiğinde ise siber güvenlik alanında müttefiklerin ortak savunma üretebilmelerini sağlamak adına 2023 yılı itibari ile faaliyete geçecek olan Siber Operasyonlar Merkezi kurulmuştur.
Tüm bu gelişmelerin ışığında NATO iki faaliyet şekli ile bu konuyu ele almaktadır. Bunlardan ilki siber uzayın bir operasyon alanı olarak kullanılması diğeri ise Siber savunma taahhüdüdür.
NATO’nun siber uzaydaki amaçlarına değindiğimizde ise müttefiklerin Brüksel’de ifade ettiği üzere ‘ittifakın caydırıcılık ve savunma tutumunu bir bütün olarak güçlendirmek ve desteklemek için havada, karada ve denizde nasıl son derece etkili çalışıyorsak siber uzayda da öyle çalışabilmeliyiz.’ Şeklinde ittifak operasyonların siber uzay operasyonları ile ilgili koordinasyonu sağlamaktan sorumlu olduklarını belirtmişlerdir. [4]
Siber savunma taahhüdü ise Washington anlaşmasının 3.maddesinde belirtildiği üzere; ‘Müttefikler silahlı bir saldırıya karşı koyacak bireysel ve toplu yeteneklerini koruyacak ve geliştireceklerdir.’ şeklinde ittifak ülkelerinin sadece askeri savunma birliği çatısı altında değil, aynı zamanda hükümetlerinin de siber savunma konularına sektörel uyum göstermeleri noktasına dikkat çekilmiştir. Uyum konusunda hükümetlerden beklenilen ise; siber savunma konusuna yeterli özen ve dikkatin gösterilmesi hususu ile hükümet kaynaklarının kullanımı, sektörel desteğin sağlanması ve yenilikçi uygulamaların akademik anlamda desteklenmesidir.
NATO ittifakları ile yürüttüğü çalışmalarda ortak askeri ve teknik prosedürleri uygulayabilmek adına üye ülkeleri ile standardizasyon anlaşması imzalamıştır. (STANAG) Buna göre her bir NATO devleti bir STANAG’ı onaylar ve kendi ordusu içerisinde uygular. Amaç ise ortak operasyonel ve idari prosedürleri uygulamaktır.
STANAG (Standardization Agreement) standartları NATO’nun iki resmi dili olan İngilizce ve Fransızca olarak Brüksel’deki NATO standardizasyon ofisi tarafından yayınlanmaktadır. STANREC ise Standardizasyon tavsiyesi üzerine hazırlanmıştır. Üye ülkeler ürettiği tüm askeri ürünlerde bu standardizasyonlara uymak ile mükelleftirler.
Değişen şart ve koşullara uyum sağlamak adına çeşitli çalışmalar yürüten NATO, bu anlamda iş birlikleri yaparak çeşitli stratejiler geliştirmektedir. Avrupa Birliği ile siber uzay çalışmalarında beraber istişare toplantıları düzenleyerek yapay zeka stratejisi (NATO Artificial Intelligence (AI) Strategy) geliştirme konusunda ilk adımlarını atmışlardır. Bu anlamda siber uzaydaki tehtid ve güvenlik açıklarının önüne geçilmek hedeflenmektedir. Hedefleri gerçekleştirirken ise 6 adet ilkeye bağlı kalınacağı bildirilmiştir. Bu ilkeler; yasallık, açıklanabilirlik ve izlenebilirlik, sorumluluk ve hesap verilebilirlik, güvenilirlik, yönetilebilirlik, bilişsel ön yargıyı azaltma olarak belirtilmiştir. [5] Yapay zeka stratejisi ile birlikte NATO 2021 yılında gerçekleştirdiği toplantıda siber saldırıların önüne geçilebilmesi ve insan eli ile denetlenmesi adına bir Veri ve Yapay Zeka İnceleme Kurulu oluşturacağını resmen açıklamıştır. (The Data and Artificial Intelligence Review Board (DARB)) Böylece DARB, yapay zeka stratejisini destekleyerek, olası siber saldırıların önlenmesi adına çalışmalar yürütmek üzere kurulmuştur. Ayrıca bir başka fonksiyonu ise ürün geliştirme aşamalarına rehberlik etmek ve inovasyon topluluğu çalışmalarına katkıda bulunma hedeflerine ulaşmaktır. Her NATO ülkesi DARB’ da görev yapmak üzere bilgisayar bilimi, veri analitiği, mühendislik hukuk, felsefe, sosyal bilimler gibi çeşitli ilgili alanlarda yapay zeka uzmanlığına sahip adaylarını ; akademi, özel sektör veya sivil toplum, hükümet çalışanlarından seçebileceği belirtilmiştir.
DARB’ın ilk çabası ise RAI sertifikasyon standartını geliştirmek olacaktır. RAI (Guiding Responsible AI Adoption) uygulamaları NATO enterprise paydaşlarından gelen girdiler ile kamu, özel sektörlerinden ve sivil toplum kuruluşlarından edinilen deneyimlere dayanan bir süreç standartı olarak değerlendirilebilir.[6] Responsible AI certification standard (RAI) Ekim 2021’de kurul tarafından onaylanarak yapay zeka kullanımı konusunda oluşacak risklerin önüne geçilmesi ve kalite kontrollerin yapılması adına belirli standartların oluşturulması ile inovasyon sürecinde siber savunma, iklim değişikliği ve görüntü analizi alanlarına öncülük etmeyi hedeflemektedir.[7]
NATO Standardization Documents
NATO müttefikleri 2022 yılı itibari ile stratejik kavramlarının dijital dönüşüm odaklı olacağını ve bu dönüşüm için ilk adımların atılacağını belirtmişlerdir. Böylece NATO’nun ilk dijital dönüşüm vizyonu da onaylanmıştır. 2030 yılına kadar ittifakın çok alanlı operasyonlar yürütmesine, tüm alanlarda birlikte çalışabilirliğin sağlanması ile farkındalığın artması amacıyla siyasi istişarelerin arttırılması ve verilere dayalı kararlar alınması hedeflenmektedir. Bu anlamda 7 Şubat 2023 tarihinde toplanan ve temsilcilerinin mesleklerinde uzman avukatlardan, mühendislerden, askeri personelden ve etik uzmanlarından oluşan DARB kurulu, veri kullanımı da barındıran ve kalite kontrolleri de içeren bir standardizasyonun 2023 yılı sonuna kadar tamamlanmış olacağını bildirmişlerdir.[8]
Tüm bu bilgiler ışığında dijital dönüşüm, iklim değişikliği ve inovasyon sürecinin tüm dünyadaki önemi ve siber savunma mekanizmalarının geliştirilmesi ile standardizasyon sorunu NATO ülkeleri arasında istişare ve birlik bilincini yaratmıştır.
Ayrıca bakınız; Tasarımda Gizlilik (Privacy By Design – Pb), ISO Standardı Oldu!
Kaynaklar;
[1] Hill, R. (2015). Dealing With Cyber Security Threats: International Coorporation, ITU and WCIT. 7th International Conference on Cyber Conflict, 119-134
[2] Güvenlik Bilimleri Dergisi, Şubat 2020,UGK Özel Sayısı, 135-158 / Doğan Şafak POLAT sf.141
[3] Güvenlik Bilimleri Dergisi, Şubat 2020,UGK Özel Sayısı, 135-158 / Doğan Şafak POLAT sf.139
[4] https://www.nato.int/docu/review/index.html ( North Atlantic Treaty Organization )
[5] https://www.nato.int/cps/en/natohq/official_texts_208374.htm?selectedLocale=en ( North Atlantic Treaty Organization )
[6] https://www.nato.int/cps/en/natohq/official_texts_208374.htm?selectedLocale=en ( North Atlantic Treaty Organization )
[7] https://www.nato.int/cps/en/natohq/news_208342.htm ( North Atlantic Treaty Organization )
[8] https://www.nato.int/cps/en/natohq/news_211498.htm#:~:text=NATO’s%20Data%20and%20Artificial%20Intelligence,projects%20are%20in%20line%20with (North Atlantic Treaty Organization)