Geçtiğimiz birkaç yılda Birleşik Krallık, ABD ve diğer Batılı devletler, hem mali motivasyonlu hem de ulus-devlet tehdit aktörlerinin eylemlerini duyurma ve onlara yaptırım uygulama konusunda rahat olmaya başladı; ancak Royal United Services Institute (Rusi) tarafından hazırlanan bir rapora göre, uygulamanın pratik etkisi son derece dengesiz.
Çalışmada, Rusi siber yaptırımlar görev gücü: Devlet destekli siber tehditlerle mücadeleRusi araştırma görevlisi Gonzalo Saiz, siber yaptırımların evrensel bir çözüm olmadığını söyledi.
“Yaptırımlar tüm kötü niyetli siber faaliyetleri caydırmayacak” dedi. “Yapabilecekleri şey operasyonları karmaşıklaştırmak, maliyetleri artırmak, altyapıyı etkinleştiren altyapıyı bozmak ve kolektif kararlılığın sinyalini vermek.”
Saiz, yaptırımların sürtüşme yaratarak, çeşitli kaynaklara (hem finansal hem de teknik) erişimi kısıtlayarak ve Birleşik Krallık Ulusal Suç Ajansı’nın (NCA) LockBit’e bir miktar başarıyla yaptığı gibi tehdit aktörü ağlarını kamuya açık şekilde zehirli hale getirerek düşmanları caydırabileceğini açıkladı.
Ancak siber yaptırımların her tehdit aktörünü caydırmayacağı ve bunların pratik etkilerinin büyük ölçüde farklılık göstereceği konusunda uyardı. Saiz, bu tür önlemlerin, yalnızca bağımsız bir önlem olmaktan ziyade daha geniş bir diplomatik, istihbarat veya kolluk kuvvetleri öncülüğündeki kampanyanın bir parçasını oluşturduklarında en etkili olma eğiliminde olduğunu söyledi.
Raporun temeli, Rusi’nin Finans ve Güvenlik Merkezi ile Siber ve Teknoloji ekibi tarafından düzenlenen ve yaptırım uzmanlarını, siber araştırmacıları ve Birleşik Krallık, ABD ve Avrupa Birliği’nden (AB) mevcut ve eski hükümet yetkililerini bir araya getiren yakın tarihli bir toplantıya dayanıyor.
Çok taraflı yaklaşım önemli
Toplantıda Birleşik Krallık yetkilileri, siber yaptırımlara yönelik çok taraflı bir yaklaşımı savundu ve bu önlemlerin etkinliğinin, ABD gibi ortaklarla birlikte çalışarak ek erişim ve uygulama kapasitesine dayanmasına bağlı olduğunu söyledi.
Birleşik Krallık’ın mevcut politikası, kendisini maksimum etkiyi sağlayacak şekilde hızlı ve koordinasyon içinde hareket etmeye istekli, güvenilir bir ortak olarak konumlandırmaktır. Siber yetkililer ayrıca, daha ayrıntılı olarak ve kullanıcılara uyarının bağlamını anlamalarına yardımcı olacak ve uygun olduğunda hafifletici adımları atacak rehberlikler ekleyerek, atıfları ve çağrıları daha etkili hale getirmeye çalışıyor.
İngiliz yetkililer, bu yaklaşımın yalnızca bireyleri cezalandırmaya veya kısıtlamaya hizmet etmediğini (tehdit aktörlerinin çoğunluğunun Birleşik Krallık’ta varlıkları veya Birleşik Krallık’a seyahat planları olmaması nedeniyle bunun zor olduğunu kabul ettiler) değil, aynı zamanda tehdit aktörlerinin kararlarını ve kripto borsaları veya kurşun geçirmez barındırma hizmetleri gibi üçüncü taraflarca alınan kararları potansiyel olarak şekillendirebilecek daha geniş bir anlatıyı şekillendirdiğini vurguladı.
Ancak Birleşik Krallık’taki katılımcılar, Kraliyet Savcılık Servisi’nin (CPS) gerektirdiği delil eşiğinin çok yüksek olması ve genellikle düşman devletlerde bulunan ve/veya bu devletler tarafından korunan kişilerin tutuklanmasının olası olmaması nedeniyle, Britanya’nın cezai işlemleri yaptırımlara tamamlayıcı olarak kullanma yeteneğinin sınırlı olduğunu söylediler.
Bu durum, sistematik olarak iddianame hazırlama ve hatta bazen tehdit aktörlerini iade edip adalet önüne çıkarma yetkisine sahip olan ABD’nin tam tersidir.
Aslında ABD bugüne kadarki en kapsamlı ve sürekli siber yaptırım uygulamasını geliştirdi; yaptırım çerçevesinin çoğu, geniş bir yelpazedeki hedeflere karşı kullanılabilen ve kullanılan Obama dönemi yönetim emrine dayanıyor.
ABD’nin yaklaşımı, siber çeteler veya casusluk birimleri yerine bireyler hakkında cezai iddianameler yayınlamak, onları isimlendirmek ve utandırmak şeklinde şekilleniyor. Bu, grupların dağılabilmesi veya kendilerini yeniden markalaştırabilmesine rağmen bireysel kimliklerin çok daha kalıcı olduğu ve takip edilebildiği temelinde yapılır. Özellikle Rus ve Çin istihbarat teşkilatları için çalışacak belirli görevlilerin atanması, gelecekteki eylemler için bir temel oluşturdu ve bunların içerdiği operasyonel ve itibari riskleri artırdı.
İngilizler gibi Amerikalılar da siber yaptırımların en iyi şekilde kamusal teknik tavsiyeleri ve diplomatik girişimler gibi diğer önlemleri içeren entegre bir kampanyanın parçası olarak kullanıldığında işe yaradığı ilkesiyle hareket etme eğilimindeydiler.
Bu arada AB’nin siber yaptırımlar rejimi 2019 yılına dayanıyor ve Birleşik Krallık’ın yaklaşımı gibi, temel mekanizma olarak varlıkların dondurulması ve seyahat yasaklarını içeriyor. AB’nin hem siber suçlulara hem de siber casuslara karşı harekete geçmesini sağlamak için biraz yatay olacak şekilde tasarlanmıştır.
Ancak uygulamada, kısmen AB’nin yaptırım politikası oluşturma sürecinin 27 ülkenin oybirliğiyle onaylanmasını gerektirmesi nedeniyle ihtiyatlı bir şekilde kullanıldı. Bu, Estonya, Almanya ve Hollanda gibi bazı üye devletlerin proaktif olarak eyleme geçmeleri için baskı yaparken, diğerlerinin (özellikle Macaristan’ın) özellikle Rusya meselelerinde engelleyici olduğu anlamına geliyor.
AB temsilcileri, bloğun siber atıfları ve yaptırımları yıkıcı bir mekanizma yerine bir sinyal aracı olarak kullanma eğiliminde olduğunu, anlatılar oluşturduğunu ve üye devletlerin Birleşik Krallık ve ABD’nin yaptığı gibi bireysel olarak siyasi risk üstlenmeden duygularını ifade etmeleri için bir kanal sağladığını söyledi.
Rusi’nin raporunda, daha geniş kapsamlı atamalar ve daha sistematik ve şeffaf yaptırımlar olmadan, AB’nin düşman davranışları üzerindeki etkisinin sınırlı kalacağı belirtildi.
Öneriler
Tartışmaları özetleyen rapor, ileriye yönelik dört temel tavsiyede bulunuyor.
Rusi, hükümetlerin daha kesin hedefleme ve sonuçların daha net değerlendirilmesini mümkün kılmak, daha fazla alanlar arası strateji benimsemek, faillerin yanı sıra siber tehdit faaliyetini gerçekleştirenlere odaklanmak ve yaptırımların etkisine ilişkin şeffaflığı ve verileri geliştirmek için açık hedefleri konusunda daha spesifik olmaları gerektiğini söyledi.
Saiz, “Siber yaptırımlar modern caydırıcılığın temel ama kusurlu bir bileşenidir” diye yazdı. “Operasyonları nadiren tamamen durdursalar da, kötü niyetli faaliyetleri daha riskli ve daha az karlı hale getirecek maliyetler getirebilirler.
“Araştırma, etkililiğin koordinasyona, ilişkilendirmeye ve amacın netliğine bağlı olduğunu vurguluyor. ABD deneyimi, kümülatif etki yaratmak için yaptırımları diğer araçlarla sıralamanın değerini gösteriyor; AB’nin deneyimi şeffaflık ve veri ihtiyacını vurguluyor; Birleşik Krallık’ın yaklaşımı ise ortaklığın ve anlatıyı şekillendirmenin önemini gösteriyor.”