Uluslararası Kızılhaç Komitesi’nin (ICRC) çabaları savaşçılara angajman kuralları oluşturmak Uyum muhtemelen sınırlı olsa bile, bir siber savaşta uluslararası düzeyde alkışlanmalıdır. ICRC yakın zamanda çatışmalara karışan sivil bilgisayar korsanlarının, siviller ve savaşçılar arasındaki çizgiyi netleştirmek amacıyla uyması gereken bir dizi kural yayınladı; zira siber uzay, özellikle savaş sırasında çalışmak için bulanık bir yer olabilir.
Özellikle Rusya ile Ukrayna arasında devam eden çatışma, benzeri görülmemiş sayıda sivil bilgisayar korsanının kendilerini savaşın ortasına yerleştirmesine, becerilerini savaşı etkilemek amacıyla bankalara, üretim tesislerine, hastanelere ve demiryollarına yönelik saldırıları körüklemek için kullanmasına neden oldu bir tarafa veya diğerine. Siber uyanıklık bir yeni konseptancak bu yeni ortaya çıkan vatansever siber “çetelerin” büyük ölçekli olması, ICRC’ye her iki taraftaki bilgisayar korsanlarının bu kurallara uyması umuduyla harekete geçmesi için neden verdi.
Hacktivistler için Yapılması ve Yapılmaması Gerekenler
ICRC’nin “hacktivistlere” yönelik sekiz kuralı şunlardır:
-
Siber saldırıları sivil nesnelere yöneltmeyin.
-
Otomatik olarak yayılan ve askeri hedeflere ve sivil nesnelere ayrım gözetmeksizin zarar veren kötü amaçlı yazılım veya diğer araç veya teknikleri kullanmayın.
-
Askeri bir hedefe yönelik bir siber saldırı planlarken, operasyonunuzun siviller üzerindeki etkilerini önlemek veya en aza indirmek için mümkün olan her şeyi yapın.
-
Tıbbi ve insani tesislere yönelik herhangi bir siber operasyon gerçekleştirmeyin.
-
Nüfusun hayatta kalması için vazgeçilmez olan veya tehlikeli güçlerin açığa çıkmasına neden olabilecek nesnelere karşı herhangi bir siber saldırı gerçekleştirmeyin.
-
Sivil halk arasında terör yaymak amacıyla şiddet tehdidinde bulunmayın.
-
Uluslararası insancıl hukukun ihlallerini teşvik etmeyin.
-
Düşman uymasa bile bu kurallara uyun.
Bu kurallar, grupların, hatta bireylerin saldırılara karışmasının ve amaçları uğruna üzerlerine düşeni yapmasının hiç bu kadar kolay olmadığı bir zamanda geldi. Kin besleyen birinin siber saldırı başlatması ne kadar kolay olursa, bu kurallar o kadar az kısıtlayıcı olacak ve bunlara o kadar az uyulacaktır. Rusya-Ukrayna çatışmasına dahil olan vatansız grupların çoğu mevcut ulusal veya uluslararası yasalara bağlı değil. Aslında çeşitli gruplar, örneğin Rusya yanlısı Killnet grubuICRS kurallarına uymayacaklarını zaten bildirmişlerdi.
Her ne kadar bu kurallar şu anda Rusya-Ukrayna çatışmasında faaliyet gösteren bilgisayar korsanlığı grupları tarafından büyük olasılıkla kabul edilmeyecek olsa da, ICRC’nin bu kuralları ortaya çıkardığı ve yayınladığı için takdir edilmesi gerekir. Normların oluşturulması, bu tür grupların olası savaş suçları, sivil ölümleri ve yıkımları ile diğer zararlı yan etkilerden sorumlu tutulması açısından hayati önem taşıyor.
Kuralların, silahlı çatışmanın etkilerini sınırlamayı amaçlayan ve ihlal edildiğinde savaş suçu teşkil eden bir dizi kural olan uluslararası insancıl hukuka uygun olması gerekiyor. Silahlı çatışmalara ilişkin IHL kuralları, savaş sırasında askeri bölgelerdeki vatandaşların korunması açısından kritik öneme sahiptir, ancak siber uzayın çoğunlukla anonim ve bağımsız doğası, bu yeni siber odaklı IHL kurallarını denetlemenin çok çok daha zor olacağı anlamına geliyor.
Örneğin 3 No’lu Kural, bir çatışma sırasında sivillere verilen zararın azaltılması açısından kesinlikle kritik öneme sahiptir. Ancak askeri bir amaç adına çalışan sivil hackerlar, saldırılarıyla neden olacakları kasıtsız yıkımın farkında olmayabilirler. Herhangi bir siber saldırıya hazırlanırken, hedef ortama giren bir aktörün sahip olduğu istihbarat, profesyonel olsa bile nadiren %100 olur. Örneğin amaç bir bankanın tek bir bileşenini etkilemekse ancak saldırgan yakındaki bir hastanenin de aynı elektrik şebekesine bağlı olduğunu fark edemezse durum çok hızlı bir şekilde tırmanabilir. Ve yüksek güçlü bir aracın neler yapabileceğini pek az önemseyen veya anlayan düşük vasıflı bir saldırgan söz konusu olduğunda, yanlış hesaplamalar endişe verici derecede kolay hale gelir.
Tali hasar
Ayrıca özel sektörün bu ikincil zararın yükünü üstlenmesi de muhtemeldir. Örneğin, Petya değil Ukrayna altyapısına yönelik hedefli bir saldırı, 2017’de kontrolden çıktı, dünya genelindeki fabrikalar felç oldu ve nakliye şirketi Maersk’e 300 milyon dolara mal oldu. Diğer endişe nedeni ise siber suçların ticarileşmesinin, daha az gelişmiş aktörlerin son teknoloji ürünü kötü amaçlı yazılımları kiralamasına ve kampanyaları hızlı ve kolay bir şekilde başlatmasına olanak sağlamasıdır. Örneğin, Sömürge Boru Hattı Saldırı muhtemelen parasını ödeyen bir bağlı kuruluş tarafından düzenlendi. DarkSide kötü amaçlı yazılımı. Bu, kimin hedef alındığını izlemeyi çok daha zorlaştırıyor ve geliştiriciler bile muhtemelen kötü amaçlı yazılımlarının nasıl ve nerede kullanılacağını kesin olarak bilmiyor.
ICRC, bu kuralları çatışmanın her iki tarafındaki bilgisayar korsanlığı gruplarına gönderiyor ve sadece Rusya ve Ukrayna’ya değil, tüm devletlere “Sivillerin zarar görmesine maruz kalma riskinin dikkate alınması askeri siber operasyonlara katılmalarını teşvik ediyor veya zorunlu kılıyorsa.” Çatışmalara karışan sivil bilgisayar korsanları için parametrelerin şimdi oluşturulması, gelecekte uluslararası kabul görmüş ve uygulanabilir kurallara yol açacağını umuyoruz. Bu kurallarla bir miktar caydırıcılık bile sağlanabilirse, gelecekteki çatışmalarda gereksiz hasar ve zararın önlenmesine hizmet edecektir.