Siber çatışma: Savaş halinin evrimi

Panelistler son on yılda siber saldırıların ortaya çıkışını ve siber silahların gelişimi ve yaygınlaşmasının modern jeopolitik çatışmanın niteliğini nasıl değiştirdiğini ele almaktadır.

NINAN: “Siber çatışma: Savaş halinin evrimi” paneline hoş geldiniz.

Ben Reena Ninan. CBS News haber sunucusu ve muhabiriyim. Bu panelin moderatörlüğünü ben üstlendim. Beraberimde Galante Strategies kurucusu ve Atlantik Konseyi bünyesindeki Siber Devlet Yönetimi Girişimi’nin yerleşik olmayan kıdemli üyesi Laura Galante ve siber güvenlik politikası analisti ve Dış İlişkiler Konseyi’nde kıdemli araştırmacı Robert Knake de olacak.

Böyle bir ifade kullanmak doğru mu? Başlığı doğru mu anladım?

Ve elbette, “Mükemmel Silah: Savaş, Sabotaj ve bu Siber Çağda Korku” başlıklı kitabın yazarı David Sanger de var. Kendisi, New York Times ulusal güvenlik muhabiri.

Hepinize katılımınız için teşekkür ederim.

Seninle başlayalım Laura. Bildiğin gibi 2007 yılında istihbarat ajansları bir araya gelerek Küresel Tehdit Değerlendirmesi hazırladı. Bu, siber tehditler ve endişelerle ilgili bir çalışmaydı. On bir yıl sonra, bu konuda hayalperest olmanın ötesine geçerek saldırgan bir tutum benimsemeye başladığımızı söyleyebilir misin?

GALANTE: Sanırım 2007 yılına dönüp baktığımda, hükümette çok fazla tartışma olduğunu anımsıyorum ve bu tartışmalar, siber güvenliğin teknik etkilerine dairdi. Doğru, değil mi? Ve bu konu bir bilişim teknolojisi meselesi olarak görüldü; yönetim kurulu veya karar alıcı düzeyinde bir endişe olarak değil.

Peki küresel bilgi şebekesini nasıl koruyacağız? Ağlarımızı nasıl dayanıklı kılacağız? Bu, jeopolitiği değiştirmek üzere neredeyse asimetrik bir güç olarak bu yeteneği nasıl kullanacağımızla ilgili bir sorun değil miydi bu? Bence, şu anda şu durumdayız: Bu konuda ne düşünüyoruz?

Ve bildiğiniz gibi, David bize son on yılda düşüncedeki bu değişimi gösteriyor. Ancak, bu çatışmanın siber çatışmanın da ötesine geçerek gelecekte nasıl bir görünüm alacağını düşünüyoruz?

NINAN: Rob, size şunu sormak istiyorum. Siz Beyaz Saray’da Obama yönetimindeydiniz ve bu tür politikaları ve verilecek yanıtları belirliyordunuz. ABD’yi diğer ülkelerle kıyasladığınızda – Rusya, Çin, Kuzey Kore- şu anda siber yetenekler konusunda nasıl bir durumdayız?

KNAKE: Dolayısıyla saldırı açısından dünyada en iyi durumda olan biziz. Sorun; dünyada savunma açısından ve teknik bir bakış açısından, aynı zamanda siyasi bir bakış açısından en kırılgan durumda olanın biz olmamızdır.

Yaklaşan siber saldırılar karşısında daha az tepkisel olacağız, çünkü kaybedecek daha fazla şeyimiz var ve biz hükümeti bazı kararları almaya zorlayacak olan bir demokratik toplum içindeyiz. Bu, Çin, Rusya, İran veya Kuzey Kore için doğru değil.

NINAN: David, 2014 yılına geri dönüldüğünde, o sırada dönemin Siber Kumandanı Amiral Mike Rogers’la konuştunuz. Kendisi, birincil önceliğinin – ki bunu da kitapta yazdınız- Amerika’ya karşı yöneltilen siber silahlar için “belli bir maliyet belirlemek” olduğunu söylemişti. Bu nasıl gerçekleşti?

SANGER: Gerçekleşmedi. Bunu yaptığınız için teşekkürler ve burada herkese beni çağırdığınız için teşekkür ederim. Burada olmak harika bir şey.

Ulusal Güvenlik Ajansı’nın ve ABD Siber Kumandanlığı’nın başkanı olarak kısa süre önce atanan Mike Rogers, görevinin ilk haftalarında, beni ve başarımı nasıl ölçeceğinizi söylemişti.

Görevinden ayrıldığı sırada sanırım bu konuda çok kötü bir durumda olduğumuzu düşünüyorum; çünkü çok daha fazla saldırı yaşadık. Kendi ajansı çok daha kötü durumdaydı, çünkü Gölge Aracılar ismi verilen bir grup, ellerindeki siber silahların önemli bir kısmını ele geçirmişti. Ve o silahlar Kuzey Korelilerin gerçekleştirdikleri WannaCry saldırıları sırasında ABD’nin müttefiklerini vurmak için kullanıldı.

Ve kitabı biraz daha ayrıntılı incelediğinizde, Obama yönetimindeki kimilerinin, hatta savunma bakanının, Rogers’ı kovmaya çalıştığını, IŞİD’e karşı mücadelelerini yetersiz bulduğunu görüyorsunuz. Dolayısıyla, kendisinin başarılı olduğunu düşünmüyorum.

Ama bunun kendi hatası olduğunu düşünmüyorum. Çünkü genel anlamda ABD’de siber güvenlik iyileşirken, kamu hizmetleri eskisinden çok daha iyi durumda; finans endüstrisi de. Başkaları da bunun farkına vardı. Bireyler, daha önce kendilerini korumak için asla yapmadıkları şeyleri yapıyorlar: iki aşamalı kimlik doğrulama gibi. Saldırı uzayı o kadar genişledi ki, bir yandan iyileşirken, diğer yandan daha kırılgan hale geliyoruz.

Dolayısıyla, herşeyi web ile bağlantılandırıyoruz – sürücüsüz araçları da buzdolabımızı da. Ve böyle yaptıkça yeni kırılganlıklar üretiyoruz. Ve bildiğiniz gibi, eğer gerçekleşen saldırılara bakarsanız, bazıları insanların evlerinin dışına yerleştirdikleri güvenlik kameralarına yansıyor. Dolayısıyla, sorun daha da kötüleşiyor.

Ve beni en çok etkileyen şey, Mükemmel Silah’a dair yapılan haberlerdi. Obama yönetimi içinde 2016 yılı yaz döneminde Vladimir Putin’e nasıl yanıt verileceğine dair bir tartışma yaşandı. Putin’in bu saldırıyı yapmış olduğuna dair kanıtlar giderek artıyor. Bunu Ekim ayına kadar alenen kabul etmediler, ancak tüm hakikat ortadaydı.

Ve Başkan Obama’ya buna nasıl misillemede bulunacağına dair bir dizi öneride bulunuldu. Rusları küresel finans sisteminden, SWIFT sisteminden ayırmak, onlara bir ders verilmesini sağlayacaktı. Bildiğiniz gibi Avrupalılar kış aylarında donmamak için doğalgaz kaynaklarını korumak isterken, Rusların doğal gazı kesme ihtimali karşısında örneğin Almanya’da böyle bir öneri pek popüler olmayacaktır.

Ardından, kendisinin oligarklarla bağlantısının araştırılması önerildi. Kimileri hemen atlayıp bu fikri beğendiler. Putin’in oligarklardan rüşvet aldığını düşünsenize, bu harika bir haber konusu olur.

Ardından Fed’den bazıları gelip, Merkez Bankası’na gidip paranın yok olmasını istemeyeceklerdir. Daha sonra bundan pişman olabilirler ne de olsa.

Bildiğimiz gibi Ruslar daha şimdiden Illinois ve Arizona’daki kayıt sistemlerine sızmaya çalışıyorlar ve bu noktada bazı kanıtlar ve öneriler de var. Varsayalım ki bu öneriler yeniden gündeme geldi ve seçimlerin hileli olduğu konusunda Trump’ın söylemine karıştı. Bu durumda ne yapılabilir?

Dolayısıyla, herkes bir toplantı yaptı ve temelde görüş birliğine vardılar. Evet, Hillary her halükarda başarılı olacak; bununla daha sonra başa çıkarız.

NINAN: Bildiğiniz gibi, David, bir nevi mali kurumlardan söz ediyor.

Rob, Obama yönetiminde çalıştığınız sırada İran, bazı mali kurumlara saldırmıştı. Dolayısıyla şayet İran ABD’nin mali kurumlarına saldırıyorsa, Rob, siz karşı saldırıda bulunmayacak mısınız?

KNAKE: Dolayısıyla, ilk girişim bu yönde oldu. Her taraftan telefonlar çalıyordu. Büyük bankalardan Beyaz Saray genelkurmayına dek tüm muadillerim, misilleme yapmamız gerektiğini söylüyorlardı. Bence bunu yapmama kararı iki sebepten dolayı idi: Bu noktada ABD ve İran arasında nükleer anlaşma konusunda bir sır olduğuna dair bir diyalog söz konusuydu. İranlı ekibi bize nükleer, siber kazanımları tehlikeye atacak bir şey yapmamıza izin vermeyecekti. Diğer görüş ise, bu tür bir faaliyete doğru bir yanıt vermek istemediğimiz doğrultusunda idi. Bunun maliyetlerini bankalara yükleyecektik, ancak bunun bedelini karşılayamazlar.

NINAN: Siber yeteneklerden söz ederken, Laura, buna dair bir tür politika veya plan yaratıyorsun. Peki tüm bunları nükleer ile nasıl kıyaslıyorsun? Bu, aynı şey mi, farklı mı? Kıyaslamalar yapabilir misin?

GALANTE: Dolayısıyla sanırım bu siber konusunda kıyaslama yapılan bir paradigma oldu, keza burada paradigma benzeri bir durum var. Doğru mu? Ancak, işlerin gerçek anlamda zorlaştığı nokta

ise, burada sözünü ettiğimiz silahın türüdür. Doğru, değil mi_ Ve bunu nasıl kullanacağız? Tüm bunlar bir operasyon planına nasıl uygun düşer? Konvansiyonel silahları nasıl kullanılacağına dair anlayışımızla nasıl örtüşür? Tüm bunlar doktrinimizle nasıl uygun düşer?

Ve Nitro Zeus örneğine değinmek istiyorum. Sanırım David de kitabında bundan bahsediyordu. Bu konuda yıllarınızı harcayabilirsiniz.

NINAN: Bu noktada bir an için geri adım adalım. Nitro Zeus’u açıklayın. Bu, tamamen bilinmeyen bir konu.

GALANTE: Elbette. Eğer İran ile varılan anlaşma başarısız olursa, İran nükleer programına karşı NSA’da Siber Kumandanlığın geliştirdiği bir program devreye girecektir.

NINAN: Ve böylelikle ışıklar sönecek; altyapı, her şey sona erecek.

SANGER: Bu harika bir şeydi, çünkü bu öyle bir programdı ki eğer İran ile çatışmaya girerseniz – muhtemelen İranlıların başlattığı veya İsrail-İran ortak programı- İran içinde fişi çekmiş olursunuz ve bir tane bile ateş açmadan çatışmayı kazanabilirsiniz.

GALANTE: Dolayısıyla, böylesi bir silahı almak ve böylesi bir şifreyi üstlenmek için oldukça spesifik bir hedef, amaç, özel bir kullanım için geliştirildi. Bu, farklı çatışma türlerinde kullanılabilen bir Tomahawk değil elbette. Bir raf ömrü var. Dolayısıyla, bu, eğer ABD hükümeti iseniz ve elimizdeki bu yeteneği değerlendirmek istiyorsanız, Nitro Zeus hakkında kibirlenebilirsiniz. Ancak bir veya altı ay sonra, eğer siyaset değişmişse, eğer koşullar değişmişse, bunun pek bir caydırıcı özelliği kalmaz.

Dolayısıyla, stratejik paradigmalar denediğimiz, bu silah seti hakkında düşünebildiğimiz bir doktrin bulmaya çalıştığımız ve bu konuda öngörülebilirlik bulmanın yolları için mücadele ettiğimiz bir mesele söz konusu.

NINAN: Dolayısıyla, bildiğiniz gibi David, Nitro Zeus hakkında konuşuyorsunuz. Ve bunu oldukça ilginç buluyorum, çünkü bu birçok kişinin hakkında pek bir şey bilmediği bir şey: Nitro Zeus Programı. Şurası açık ki, Laura’nın da açıkladığı gibi, bu rafta bekleyen bir şey, hiçbir zaman kullanılmadı, oracıkta bekliyor. Yaptığımız şey hakkında açıkça konuşmadığımızda nasıl bir politika yaratabiliriz? Açıkça tartışmazsanız bir tür siber politika üretebilir misiniz? Obama’nın dronlar hakkındaki konuşmasını biliyoruz. Trump da siber alan konusunda bir konuşma yapabilir mi?

SANGER: Çok ilginç bir soru. Ve bu kitabın başlıca argümanlarından biri, tüm sanal şeyler hakkında kendimize ait derin bir sınıflandırmamız olmasıdır. Bu konuda neredeyse tamamen bir gizlilik hakim, çünkü ortada istihbarat topluluğunun geliştirdiği bir silah var ve bu kişiler tamamen gizlilik içerisinde

hareket etmek istiyorlar. Hem saldırıda bulunacaklarımız konusunda küresel standartlar belirleme, hem de Rob ve Laura’nın sözünü ettiği türden bir caydırıcılıkta bulunma yeteneğimizle ilgili bir durum söz konusu.

Dolayısıyla bu konuda bir – iki örnek vermeme izin verin. Öncelikle, yeteneklerimizi bu denli gizli tutmamızdan dolayı, yaptığınız ilk şey caydırıcılıkla ilgili değil. Ancak şu anda inandırıcı bir tehdit haline gelmiş durumda.

Ancak, “Confront ve Conceal” (Yüzleşme ve Gizleme) başlıklı son kitapta –ki bu konuyu altı yıl önce yazmıştım- Olimpiyat Oyunları hakkında çok fazla ayrıntıyı ortaya çıkarıyorum. Bu, İran merkezkaç güçleri karşısında gerçekleştirilen bir program idi. Ayrıca, yıllar sonra Obama yönetimi içinde bu konuda harika bir tartışma yaşandı: Olimpiyat oyunlarının bir ABD-İsrail programı olduğunu bugün halen inkar etmeye devam mı edeceğiz, yoksa bu gerçeği kabullenecek miyiz? Bu benim iddiam değil; tüm dünya öğrendi. Dolayısıyla insanlar ortada bir “şifre” olduğunu biliyorlardı. Bunun kaynağı ve bu konuda Başkanlık düzeyindeki tartışmalar hakkında yazdım. Bu, yapabileceklerimizin sadece küçük bir kısmı. Dolayısıyla, insanlar bunu bilmeli mi?

Ve bu tartışma çok kısa süreli oldu. Ve temelde, istihbarat topluluğu bunu kapatmalı ve bu konuda herhangi bir şey kabul etmeyeceklerini açıkladı. Ve gerçekten eğlenceli olan dört yıllık bir soruşturma süreci yaşandı (Gülüşmeler).

Bu konudaki politikamızın ne olduğu ve ne olmadığı konusunda düşünmeye başlamazsak, standartlar belirlemeye nasıl başlayabiliriz?

Size bir örnek vereyim. Seçim sistemlerine saldırmayacağınız bir küresel norm belirlemek istiyoruz. Elbette 2016 yılında yaşadıklarımızdan sonra bu oldukça iyi geliyor kulağa. Anacak eğer bunu yaparsak Laura ve Rob’un da bu konudaki görüşlerini almak isterim, çünkü bu konuda çok fazla deneyimleri var. Bence ABD istihbarat topluluğu içinde bir kesim “bir dakika durun bekleyin, bu konuya başlamadan önce seçimlerle ilgilenmeliyiz, burada belirlemek istediğimiz nedir” diyen bir kesim var. Sivil tesislere – hastanelere, iletişim sistemlerine, acil hizmetlere- saldırmayacağınıza dair bir standart belirlemek isteyebilirsiniz.

Nitro Zeus hakkında yazan kişiler, bu sürece dahil olup, bu şifreyi geri çekmemiz gerektiğini mi ima ediyorlar? Çünkü, samimi olmak gerekirse, İran’ı süreçten ayırırsanız, hastaneleri ve iletişim sistemlerini de kesmiş olursunuz.

Dolayısıyla bence takip edeceğimiz yolu bulduğumuz noktaya vardık. Bu kitabı yazmamın sebeplerinden biri de burada gizli.

NINAN: Laura, bu konuda değerlendirmelerini paylaşmak ister misin?

GALANTA: Elbette.

Bence David, silah kontrolüne dair merkezi bir soru söz konusu. Doğru mu? Ve bu konuda elimizi ne oranda bağlamak istiyoruz? Ve her bir olay karşısında, düşündüğümüz her bir araçta, ABD’nin şu koşullar altında şunu kullanabileceğini söylüyoruz ve bu gücü sınırlandırmayı herhangi bir şekilde istemiyoruz.

Ancak bu konuda konuştuğumuzda, ABD hükümeti bu konuda açıkça konuştuğunda, egemenlik meselesine odaklandılar. Ve yıllardır Rusya ve ABD arasında bu silah setine dair bir diyalog söz konusu olduğunda temel tartışma konularından biri, siber uzayın bir egemenlik alanı olarak kabul edilip edilmeyeceği oldu. Bunu bir muharebe alanı olarak nitelendiriyoruz, peki ama bu aslında bir egemenlik alanı mıdır?

ABD ise buna gülüp geçecek ve orada egemen bir alan olamayacağını, küresel bir oyun alanının söz konusu olduğunu söyleyecektir. Bu ortak bir mirastır. Ve konunun daha karanlık yüzeyine bakarsak, her ikisinde de eyleme geçme yeteneğimizi sekteye uğratmak istemiyoruz. Rusya’ya bakın. Eğer bunu bir egemenlik alanı olarak tanımlamak istiyorsanız, kendi halkınıza ve egemen uzayınıza istediğiniz her şeyi yapabilirsiniz.

Dolayısıyla egemenlik kritik bir mesele. Ve elbette bu konu bize 2016 yılından beri tebelleş olmakta. Siber uzayda egemenlik iddia etmek istemiyorsunuz. Peki ya DNC, peki ya seçim altyapısı veya Amerikalıların zihinleri? Eğer bu bir egemen uzay değilse, manipülasyon yapmak serbest hale gelir.

Dolayısıyla, bu alanı nasıl tanımlayacağımız sorusuyla uğraşmalıyız. Bu konu son 20 yılın meselesidir. Ancak bu şekilde David’in sözünü ettiği normlardan bazılarını belirleme yeteneğini elde etmiş oluruz.

NINAN: Peki Rob, bildiğin gibi, siber uzayda egemen toprağın ne olduğunun belirlenmesi oldukça zor bir mesele. Neyin savaş eylemi olduğunu nasıl belirliyorsunuz?

KNAKE: Sanırım yanıt, son derece titiz ve yavaş bir şekilde verilmeli. Bu alanda normlar belirlemeye çalışırken, David’in ileri sürdüğü gibi bir durum söz konusu. Dolayısıyla, Çin’in ekonomik casusluğuna karşı savunduğumuz normları anımsayalım. “Siz bu konuya karışmayın, biz de karışmayalım, devletler böyle şeyler yapmamalı, istihbarat yeteneğinizi yabancı şirketlerden ticaret sırları toplayıp bunları ulusal şirketlere vermek üzere kullanmamalısınız” şeklinde konuşmuştuk.

Bu, 1950’li yıllardan beri ABD’nin bir iç politikasıdır: İstihbarat topluluğu, ABD şirketleri yararına sanayi casusluğuna karışmaz. Sanırım “bunu yapmayız ve başkasının da yapmaması gerekir” deme noktasına gelmemiz iki yılımızı aldı.

Dolayısıyla, bu kavramı ele alacağız, tamam. Ama şimdi bu elektrik şebekesi hakkında bir açıklamada bulunmak istiyoruz. Çin veya Rusya’nın elektrik şebekesine sızdığını görüyoruz. Peki, bizim onların şebekelerine sızmamızın nasıl görülmesini istiyoruz? Çünkü eğer bunun düşmanca bir eylem olduğunu söylersek, bizim yaptığımız da korkunç şekilde çirkin bir eylem olarak görülebilir.

NINAN: Biliyorsun, David, bu—

SANGER: Rob’un söylediklerine ufak bir ekleme yapabilir miyim hemen?

NINAN: Evet, lütfen.

SANGER: Dolayısıyla birkaç hafta önce İç Güvenlik Bakanlığı bu uyarıyı dağıtıma soktu. CBS’nin de bu konuda haber yaptığını düşünüyorum. Ve sanayide belli bir tür kötücül yazılım bulunduğu söylendi. Bu konuda bir uyarı yapıldı.

Ve DHS’nin haberinden anımsadığım kadarıyla, bu konuda neden endişe duyulduğu konusu merak ediliyor. Şebekenizin tam orta yerine kurulmuş Ruslar var ve aklınıza gelen ilk şey tümünü kapatmak. ABD, Rusya’ya ve başka yerlere benzeri şeyler yerleştirdi. Muhtemelen yüz binlercesini. Snowden belgelerini okursanız göreceksiniz.

Ve DHS’ye şöyle söyledim. Dünyanın geri kalanının, Rusların bize yerleştirdiklerine benzer şeylerin bizim tarafımızdan da onların sistemine aynı şekilde yerleştirildiğini öğrenmesini mi istiyorsunuz? Gelen yanıt ise, bizim sadece sistemlerimizi savunduğumuz, bu şekildeki sorulara yanıt vermeyeceğimiz şeklindeydi.

Ancak bu sorulara da birinin yanıt vermesi gerekecek. Normal şartlarda, Rob’un Beyaz Saray’daki eski ofisine kadar götürülebilecek bir mesele söz konusu. Ancak işler pek o kadar kolay değil. John Bolton göreve gelir gelmez, siber güvenlik koordinatörlüğü ofisini kaldırdı. Sebep olarak da ABD hükümetinin siber güvenlik konusunda gereğinden fazla koordineli olduğu ileri sürüldü (Gülüşmeler). Ve bu görevdeki kişiyi, Rob Joyce’u NSA’ya geri göndermekle kalmadılar, bu görevi de ortadan kaldırdılar. Dolayısıyla, açık konuşmak gerekirse, bugün tartıştığımız politika sorununu kurum içinde kime ileteceğim konusunda pek bir bilgim yok.

NINAN: Bildiğiniz gibi, bürokrasi siber savaş konusuyla pek ilgilenmiyor. Bu konudan 9-11 saldırıları sonrasında konuştuk; istihbarat ve analizi yeniden düşünmeye başladık.

Siz o görevdeydiniz. Amerikalıların çoğunun bunun farkında olmaması hakkında ne düşünüyorsunuz?

KNAKE: Burada, yani herhangi bir siber saldırı kararında veya siber savunma amacıyla istihbarat kullanımı kararında devreye giren farklı özkaynakları sayısına bakıldığında, Obama yönetimi sırasında birçok karar için uzlaşı-temelli bir yaklaşım benimsemiştik. Yani, Dışişleri Bakanlığı sürece dahil olmuştu ve bu operasyonun ABD’nin yurtdışı şirketleri açısından doğurabileceği ticari risklere dair etki değerlendirmesi görüşlerini iletmişti. Rus piyasasının küçük olduğunu, ancak çok da küçük olmadığını biliyoruz. Öte yandan Çin piyasası devasadır. Sanırım bu doğru bir yaklaşım idi. Çin’in tutumunu nasıl gördüğümüze bakarsak, Çin ile ilişkilerin geliştirilmeye çalışılması bağlamında sert bir değişim yaratmak istedik.

NINAN: Ama Rob, son kertede, kendisi kim? Bu siber saldırının başlatılması emrini veren ABD Başkanı değil mi?

KNAKE: Dolayısıyla Başkanlık Politika Direktifi No. 20’nin gizliliği kaldırılmış özetini okursanız...

NINAN: Özür dilerim, bunu anlamışım. (Gülüşmeler.)

KNAKE: — Bence bu nokta oldukça net. Amiral Rogers, bu konudaki açıklamalarında çok netti. Dolayısıyla bu noktada nükleer saldırı gerekleriyle oldukça benzer bir durum söz konusu. Bolton bu konuda değişiklik istiyor ve yetkinin Siber Kumandalığa devredilmesinden yana.

SANGER: Ve tüm bunlar Bolton’un göreve başlamasından önce gerçekleşti. Ve bu fikir bence anlamlı olup, gerçek anlamda terörle mücadele yaklaşımından ileri geliyor. Laura hükümette bu konudaki deneyimlerinden de bize söz edebilir biraz.

Ancak terörle mücadele kuramı, elinizi kolunuzu bağlayarak oturup, birinin bir uçakla bomba getirmesini sınırda beklemenizin mümkün olmadığını öne sürüyor. Dışarı çıkarsınız, bomba yapıcısının bulunduğu evi bulursunuz ve onu kaynağında yok edersiniz. Ve bu işe yaramıştır, hem de oldukça fazla. Ve bu, 9-11 benzeri bir deneyimin yinelenmemesinin sebeplerinden biridir. Buradaki fikir, bunun siber alana da yaygınlaştırılmasıdır. Bir yerde kötücül bir yazılım geliştirildiğini gördüğünüzde, bunu yok etmelisiniz. Evet, bunu yapabilirsiniz.

Sorun şu ki ilk kez tüm bunları Başkan’ın izni olmadan yapmanız ve Rob’un az önce sözünü ettiği türden büyük bir tartışmanın yaşanmaması. Sanki önleyici bir saldırıya uğradıkları anda buna karşı koyacakları, ancak bu insanların kötücül yazılım geliştirmedikleri, okuldaki öğrenciler için eğitici yazılım geliştirdikleri gibi bir durum söz konusu. Sanki mücadeleyi biz başlattık.

NINAN: Çok az süremiz kaldı. Bu konunun bir boyutu da bu senaryolara dair hayal gücü yoksunluğu ve olabilecek olayların öngörülememesi. Sizin de bu konuda görüşünüzü almak isterim. Siber savaş söz konusu olduğunda ne tür dersler edinildi?

Peki Laura size bundan sonraki sınır ne olacak?

GALANTE: Bu alanı tanımlama biçimimize dair birkaç yorum yapmak isterim. Bence, bu konuda oldukça manalı bir soru söz konusu; çünkü siber uzayı farklı açılardan tanımlayan ülkeler ve rakipler söz konusu. Rusya, bu konuyu “bilgi” ve konunun teknik boyutları açısından düşünüyor. Ve bu bilgi rolü bağlamında harekete geçiyorlar. Doğru mu? Kuzey Kore bu konuda oldukça geniş bir jeopolitik çerçeveden düşünüyor ve siber düzeyin nasıl bunun bir parçası olduğuna dair kafa yoruyor.

Dolayısıyla bence bu konuyu daha fazla sorgulamaya devam etmeliyiz. Bu süreçteki oyuncuların kimler olduğunu ve sürece nasıl dahil edileceklerini yeterince düşündük mü?

David, bu kitapta sözünü ettiğiniz temel noktalardan biri. Kapasite geliştirmenin bu farklı unsurlarına dair ne oranda bir gizlilik söz konusu? Bunları farklı aktörlerle nasıl özdeşleştirebiliriz? Sektör ne olursa olsun, bu kişilerin tehdidi anlamaları ve bu konuda bir şeyler yapmalarını sağlamak için ne yapmalı? Saldırı yüzeyi ulusal düzey olduğunda ne kadar büyük ölçekte düşünüyoruz?

Ve bildiğiniz gibi, kısa bir anekdot aktarayım. Ben bir süredir Ukrayna’dayım.

NINAN: Evet. Ukrayna’ya bile henüz varamadık. Konuşacak çok konu var.

GALANTE: Doğru bir süredir Ukrayna’da yaşıyorum. Ve son seyahatim sırasında bir milletvekili bana 1917 yılını anımsattı. Bu sadece siyasetle ilgili bir durum değil, doğrudan “ekmek” ile ilgili. Bu esnada, her şeyi başlatan ekmek ayaklanmaları olmuştu, değil mi? Peki bununla neyi kast etti? Orada uzun bir sohbet ettik. Ancak söylemek istediği şey, orada düşük dereceli bir çatışma, sürekli bir muharebe hali olduğu ve en kırılgan durumdaki insanları etkileyerek, insanların bunun çok etkin bir araç olduğuna inanmalarının sağlanmasıydı. Eğer insanların düşünce biçimlerini değiştirirseniz, gidip şalteri kapatmanıza gerek kalmaz, çünkü zaten demokratik değişimi veya aklınızdan geçen herhangi bir başka şeyi sağlamak için onları elde etmiş olursunuz. Kendilerinin aktör olduklarını düşündükleri şekilde hareket etmelerini sağlamış olursunuz.

Dolayısıyla konuyu burada tamamlıyorum. Bu konunun ne kadar ileri gideceğini bence henüz görmedik.

Sözü Rob’a vereceğim.

KNAKE: Laura’nın yorumlarına bağlı kalacağım ve buradaki en büyük endişemin, Rusların ışıkları kapatması olduğunu düşünüyorum. Böyle söylememin sebebi ise, 2011, 2012, 2013 ve 2014 yıllarına baktığımızda, o sırada Çin’le nasıl mücadele edeceğimize dair planlar hazırlıyorduk ve birisi kalkıp dedi ki, öncelikle Rusya’yı durdurma planı hazırlamalıyız. Bunun üzerine, Rusya’yı durdurmak için

neye ihtiyacımız olduğunu sorguladık. Rusya, eski Soğuk Savaş casusluk kurallarına göre faaliyet gösteriyor; gizli hareket ediyorlar; hedefe yönelikler. Dışişleri Bakanlığı’na, Beyaz Saray’a, Genelkurmay Başkanlığına saldırıyorlar. Ancak bunlar istihbarat için meşru hedefler. Dolayısıyla, biz gerçek anlamda ne istiyoruz? Neyi gözden kaçırıyoruz?

Ruslar, yakın çevrelerindeki seçimleri manipüle ediyorlar. 2016 yılında bize bunu yaşattılar. Dolayısıyla Ukrayna’ya baktığımda, başka neler yaptıklarını soruyorum. Sanırım şu anda Ukrayna’da elektrikleri iki kez kestiler. Birçok kişiye göre, şu anda sadece deneme yapıyorlar. Ve buradaki mesele, neyin denemesini yaptıkları.

NINAN: David?

SANGER: Rob’un söylediklerine devam edeyim. Kitap, Ukrayna’nın elektriklerinin kesilmesi vakalarından biriyle başlıyor ve ABD, burada neler olduğunu anlamak için bir ekip gönderiyor ülkeye. Ekip geri geldiğinde hem iyi hem de kötü haberi olduğunu söylüyor. Kötü haber şu ki Ruslar gelmişler ve bu elektrik şirketlerinin kontrol sistemlerinin içine sızmışlar. Kontrol bankolarında oturan insanlar, ekranlarının etrafında hareket eden ibreleri izliyorlar; ancak kendi masalarında ellerine bilgisayar faresi geçtiğinde, bunu hareket ettirmeye çalışıyorlar ve bir anda tamamen bağlantı kesiliyor. Bir araca binip direksiyona geçtiğinizde direksiyonun hareketsiz kalması gibi bir durum. Doğru mu? Ancak araç yine de ilerliyor o sırada...

Dolayısıyla iyi haber şu ki, Ukraynalılara göre daha iyi korunduklarını düşünüyorlar. Kötü haber şu ki, son kertede Ukraynalılar demode şalterleri buldular, bunları alt-istasyonların dışına çıkardılar ve bilgisayar sistemlerinin bağlantısını kestiler.

Dolayısıyla herkes bunun harika olduğunu, bir destek sistemine sahip olduğumuzu söyledi. Ve insanlar, evet, elektrik şebekemizin modernizasyonu haricinde tüm eski şalterleri devre dışı bıraktıklarını bunların bakımının zor olduğunu, paslandıklarını, dolayısıyla bir el kılavuzlarının olmadığını söylediler.

Seçim sistemine geri dönersek. Bir kağıt eşdeğeri olmayan, kağıttan oy pusulaları olmayan kaç tane yetki sınırımız var? Bu, elektrik şebekesinin aksine seçim sistemi için manüel bir destektir.

Bence bazı açılardan caydırıcılık gücümüz çok daha fazla, çünkü bir devlet Boston’dan Washington’a dek tüm elektriği kestiğinde, muhtemelen bir yanıt göreceğini ve bu yanıtın askeri bir yanıt olacağını fark eder.

Siber alan konusunda etkileyici olan şey, son beş – altı yıl içerisinde devletlerin askeri bir yanıtı provoke etmeksizin bu silahı sınırlı düzeyde tutmayı öğrenmesi oldu. Ve tam da burada, caydırıcılık sorusunda tamamen umutsuz durumdayız. Geliştiremediğimiz araçların caydırıcı olduğunu

düşünmüyorum. Ancak 1950’li yıllarda insanların nükleer dünyada işleyen bir caydırıcılık teorisini gündeme getirmelerinden önce uzun zaman geçti.

Henry Kissinger sanırım binadaydı o sırada. Dış politikada nükleer silahların ne anlama geleceği konusunda bir çalışma yürütmekteydi. 1957 yılında yayımladığı kitabunda bunun çerçevesini çizmişti. Ve geri döndüğümde bu kitabı yeniden okudum ve kitaba dair ciddi ciddi düşünmeye başladım. Bildiğiniz gibi, iki şey beni etkiledi: İnsanların Sovyetleri etkileyebileceklerini anlamaya başlamalarını sağlayan ve geniş halk kitlelerine ulaşan ilk kitaptı ve bu iyi bir şeydi. İkinci olarak, bu süreçte sınırlı bir nükleer savaş yürütebileceğinizi düşündü ve bu durum bazı kişileri biraz üzdü.

Dolayısıyla, 1950’li yıllarda yaptığımız şeyi yapmaya başlamalı ve caydırıcılık konusunda ciddi ciddi düşünmek üzere strateji ve teknoloji uzmanları tek bir odada toplamalıyız. Ve tüm bunlar dünya çapında bazı yerlerde gerçekleşiyor. Alex Stamos burada. Kendisi, bu konuda Facebook’ta çok fazla şey paylaşıyor. Alex de kitapta yer alıyor. Harvard’ın şu anda siber bir girişimi var ve bunu Bob Belfer –ki kendisi de burada- tüm bunları finanse ediyor ve finanse ediyor. Ve Konsey’de de bu konuda gerçek anlamda harika işler yapılıyor.

Ancak şunu söylemek isterim ki genel itibariyle dışarıda gerçekleştirilen iş, ABD hükümeti nezdinde yapılana kıyasla benim açımdan daha etkileyicidir.

NINAN: David, bu konuda bir çıkış yolu olabileceğini düşünerek umut dolu bir mesaj vermiş olalım.

Üyelerimizi bu konuda sorular yöneltmeye davet ediyoruz. İsminizi ve hangi kurumdan katıldığınızı söylemenizi rica ediyorum. Ayrıca sorularınızı ayağa kalkarak yöneltirseniz memnun olurum, zira kayıt altına alınıyor ve katılımcılar sizi görmek isteyeceklerdir.

Nereden başlamalıyız?

Evet. Mikrofon var mı? Evet. Tamam.

Q: Merhaba. İsmim Gary Sick, Kolombiya Üniversitesi’ndenim. Çok ilginç sunumunuz için hepinize teşekkür ederim.

Fark ettiğim bir şey de, ABD’nin merkezkaç güçleri İran’a soktuğu ve bunun da teknik açıdan başarılı bir operasyon olduğuydu. Ve ardından Rob, İran’ın burada bazı tesislere saldırmasından sonra harekete geçmiş olmaları gibi bir sorundan söz etti. Kimse bu ikisi arasında bağlantı kurmadı. Bir yandan, bunu İran’a yaptığımızı ve bunu alenen kabul etmeyeceğimizi söylüyoruz. Ardından, İran bize bir şey yaptığında ve bunu da açık bir şekilde misilleme olarak gerçekleştirdiğinde, ikisi arasında bağlantı

kurmuyoruz. Ve bunlardan birini diğerine bağlayamazsanız, caydırıcı bir ortamda nasıl işlerlik gösterebileceğinizi gerçekten merak ediyorum. Tıpkı karşıt-istihbarat gibi bir durum söz konusu.

NINAN: Rob?

SANGER: Bu konudan New York Times’ta söz etmeye çalıştık. Şu noktayı bence oldukça net bir şekilde ortaya koydum: İranlılar, Bank of America ve Chase’in iyi birer hedef olduğunu düşünmediler. Merkezkaç güçlerinin sürece müdahil olmalarından hemen sonra bunların iyi hedefler olduğunu düşündüler.

Ama ABD hükümetinde kimsenin ilk saldırıyı farkına varmadıkları gerçeği, bu soruya ciddi şekilde yanıt veremeyecekleri anlamına gelmektedir. Bankalarınızı bu şekilde daha kırılgan hale getirmiş olmuyor musunuz?

KNAKE: Bu konuda teorik olarak konuşmaya çalışacağım, eğer becerebilirsem. (Gülüşmeler)

Evet, bence bankalardan gelen mesajın –yani istihbarat topluluğundan tüm eski çalışma arkadaşlarımızı işe aldılar, Goldman Sachs’ta ABD Dışişleri Bakanlığı’ndakinden daha fazla siber istihbarat uzmanı var ve bu bir şaka değil, gerçeğin ta kendisi- doğru olduğunu düşünüyorum. Bunun nasıl gerçekleştiğini bildiklerini, bunu Stuxnet’in yaptığını söylemişlerdi derhal. Bu bir ulusal güvenlik endişesi. Bence verdiğimiz yanıt sertti, çünkü ulusal çıkarla ilgili bir konu olduğunda konunun gerilimini artırırız. Ve kimilerine göre, bu kızıştırma sürecinde İranlıların son sözü söylemesine de izin verdik.

NINAN: Şu anda söz konusu olan yaptırımlar sonucunda İran nükleer anlaşmasının geri çekilmesiyle birlikte, üzerlerinde, siber dünyada doğan baskıyı hissetmeleriyle birlikte bir siber saldırının bariz olduğunu, kurumlarımıza saldırılacağını düşünüyor musunuz?

KNAKE: Bu konuda Laura’ya söz hakkı vereceğim. (Gülüşmeler.)

GALANTE: Teşekkürler. Sanırım Stuxnet’e harikulade bir mesaj gönderdik- kasıtlı olsa da olmasa da. Ve Stuxnet, dünyanın geri kalanına, yoluna devam etmesi ve siber uzayı militarize etmesi konusunda bir mesaj verdi. Biz bunu yapıyoruz. Ve orduda çok fazla stratejik ve aynı zamanda teknik girişimi bu yolda seferber ettiler.

Sorunuz hakkında düşünüyorum. 2016 yılı birçok açıdan Putin’in 2011 yılında seçimlere müdahale olarak gördüğü şeylere bir yanıt idi. Ve Hillary Clinton’un “STK’lara fısıldayan adamı” ve Rusya’daki Amerikan derin devleti, seçimleri eleştirebilir bir noktaya gelmişti.

Dolayısıyla, verilen tepkilerde bir asimetri olduğunda, bu bağlantıyı görebiliriz. Bunun bir tür misilleme olduğunu anlayabiliriz. Ancak, 2011 yılında yaşananların Rusya’nın algıladığı şekilde provokatif bir eylem olduğunu sanmasak da, buna nasıl yanıt vereceğimizi düşünmek çok daha zor gelmektedir.

NINAN: Sonraki soru.

Evet beyefendi, tam şuradaki lütfen.

Q: Ben Donald Shriver. Union Theological Seminary’den katılıyorum.

Geçtiğimiz hafta David Sanger’in köşe yazısında, bir siber saldırıya karşı savunma konusunda pek fazla ilgi olmadığına dair bir notla sonlanmıştı. Ve bunun bu yönetim veya diğer yönetimlerle ilgili olup olmadığını bilmiyorum, ancak bu iddia beni şaşırttı çünkü bence ulusal savunma, birçok yönetimde önemli bir meseleydi. Ve bu durum beni birçok açıdan şaşırtıyor. Ancak, ABD’nin bir hükümetini bu konuda ulusal savunmayla ilgilenmediği konusunda suçlarken bu durumu en iyi şekilde nasıl açıklayabilirsiniz? Bu, onların dünyanın geri kalanına yönelik siyasi tavrı mıdır? Yoksa saldırı teknolojisi o kadar sofistikedir ki, savunmaya dair teknoloji geri planda mı kalıyor?

NINAN: Bu iyi bir soru.

Q: Veya ne?

NINAN: Teşekkürler beyefendi.

Bu gerçekten de iyi bir soru, David. Ne düşünüyorsunuz? Yani, yeterli şeyler yapıyor muyuz?

SANGER: Aslında bu konuda çok fazla para harcıyoruz. Yani, bunların büyük kısmı örtülü ödenekten karşılanıyor. Ne kadar para harcadığımızı tam olarak anlamak bazen zor.

İzleyiciler arasında Alyze Sebenius var. Kendisi, bu kitap hazırlanırken benim en iyi araştırma asistanımdı.

Ve Alyza ile kimin nerede ne harcadığını çözmek için çok fazla zaman harcadık.

Ve bunun sonucunda düşündüm ki, ve eğer hatalıysam beni düzeltin, ABD siber savunmaya çok fazla para harcıyor; hatta bu noktada siber savunmaya çok daha fazla harcıyor, çünkü savunma harcamalarının büyük kısmının özel sektörde yapılması gerekiyor. ABD hükümeti Con Ed’in siber savunmasına veya Goldman Sachs’ın siber savunmasına para veremez.

Öte yandan bu konuda gerçek bir tartışma var ve bu tür bir savunmadan kimin sorumlu olduğu konusunda gerçek bir kafa karışıklığı söz konusu. Bunu Snowden’in gizli belgeleri ifşa etmesi sırasında gördük. Bu konuda İç Güvenlik Bakanlığı öncelikli sorumluluğa sahip. Savunma Bakanlığı da ABD devletine karşı gerçekleştirilen büyük çaplı saldırıların durdurulması konusunda ön sırada yer alıyor.

Ancak kimse bu konuda sınırı çizmedi. Kimse sınırın nerede olduğunu tanımlamayı da gerçek anlamda istemiyor, çünkü rakiplerinizin bu konuda biraz endişelenmesini istiyorsunuz. Sorun şu ki, Savunma Bakanlığı’nda birçok kişi bu sınırın nerede olduğunu merak ediyor.

Bu adil bir durum mu, Rob?

KNAKE: Evet şunu kast ediyorum. Buradaki gerçek meydan okuma şudur: Burada sorumluluklarla ilgili çok fazla mesele yok. Konu, pratik düzeyle ilgili. Eğer JPMorgan’ın savunması Siber Kumandanlık tarafından sağlanıyorsa, bu durumda bu kişilerin JPMorgan’ın ağının içinde yer almaları gerekiyor. Bu, birçok konferansta bu yıl içerisinde en az üç kez önerildi. Bence Siber Kumandanlığın eli bu konuda oldukça güçlüdür.

Bence yanıt şu şekilde verilebilir: Özel sektörün büyük kısmı açısından, yetenekler büyük oranda ticari niteliktedir. Mandiant veya CrowdStrike ya da Cylance’tan alabileceklerinizden daha iyisi var mı?

Ardından ikinci soru, bunu gerçekten kimin ödediği. Doğru, değil mi? Eğer yanıt “bunun hükümetin sorumluluğu” olduğu doğrultusundaysa ve Siber Kumandanlığın ve İç Güvenlik Bakanlığı’nın daha iyi yeteneklere sahip olmadığını düşünüyorsanız, bu durumda yanıt belki de vergi kredileri veya hükümetin siber uzay alanındaki ulusal güvenlik için farklı ödeme yöntemleri bulmasında gizlidir.

NINAN: Bir başka soru daha. Evet, Robyn?

Q: JPMorgan’dan Robyn Meredith.

NINAN: Tam orada mikrofon var, Robyn. Evet.

Q: Özür dilerim. Bu soruya kimin yanıt verebileceğinden emin değilim; ama bir saniyeliğine Kızey Kore’ye gitmek istedim.

Dolayısıyla bir örnek olarak İran saldırısı var. Eğer kararlıysak Kuzey Kore’ye yönelik benzeri bir saldırıyı neden yapmayalım? Nükleer saldırılar bir tehlike halini aldığında neden bu şekilde davranmadık?

NINAN: Laura, bu soruya sen yanıt vermek ister misin?

GALANTE: David yanıt vermek istemez ise şayet.

NINAN: Ardından da David’e söz veririz.

GALANTE: David bu konuda bir kitap bölümü yazdı. (Gülüşmeler.)

SANGER: Bu, kitabın arka kapağında yazılı.

GALANTE: Evet.

SANGER: Dolayısıyla bunu başardık. 2014 yılı Ocak ayında Başkan Obama, Kuzey Kore füze tehdidine karşı siber faaliyette bir artış emri verdi. Ve Kuzey Koreliler Musudan ismi verilen orta menzili bir füze gönderdiğinde, yaklaşık yüzde 88 oranında başarısızlık oranı olduğunu fark etmeye başladık. Ve birçok insan bu füze programlarının erken aşamasında devreye girdi.

Dolayısıyla bu konuyu araştırmak için yaklaşık sekiz ay geçirdik ve bu tür meseleleri kapsamlı bir şekilde ele alan bir ABD programı olduğunu fark ettik. Yani, bir füze fırlatılmadan önce hangi saldırıları gerçekleştirebileceğiniz bu şekilde belirlenmiş. Bu kapsamda, kötü parçaları göndermekten, buna karşı siber ve elektronik faaliyet gerçekleştirmeye dek her şey bulunuyor.

Kim Jong-un bu programı 2016 yılı Ekim’inde askıya aldı. Bu konuda çok fazla tanıtım yapılmadı. Ardından, yeni bir füze programına adım attı ve bu program da bizi son derece korkuttu, keza kapsamında kıtalar-arası füzeler ve tamamen farklı bir teknoloji vardı. Ve burada da bir tane önemli hata yaptı.

Dolayısıyla, ABD ya bunun çok bariz bir şey olduğuna karar verdi, ya da program teknolojideki değişimlere ayak uyduramadı. Bu, benzeri siber saldırılar konusunda harekete geçerken karşınıza en

çok çıkan unsurdur. Oldukça kısa meselelerdir, çünkü bir sistemin nasıl çalıştığını ve ona nasıl saldıracağını bildiğiniz bir an söz konusudur, ancak sistem bir süre sonra değişir. Eğer bir eve orijinal parmak izleriyle girerseniz ve elektrik sistemiyle ilgili bir şey yapmaya çalışırsanız, son elli yılda farklı elektrikçilerin kabloları farklı şekilde bağladıklarını fark ederseniz. Dolayısıyla aklınızdan geçen sonuca ulaşamazsınız.

Evet, Kuzey Koreliler kendilerini yeniden yapılandırdılar. Ve bugüne değin, Kuzey Kore sistemindeki hataların hangilerinin ABD hükümetinin tutumlarının bir sonucu olduğunu anlamıyoruz. Tüm siber kişiler bunun bizden kaynaklandığını söylüyor. Doğru mu? Kimileri de Kuzey Kore’nin beceriksizliğine bağlıyor.

NINAN: Dolayısıyla bunun nasıl olduğunu bilmiyoruz—

SANGER: Nasıl olduğunu bilmiyoruz—Programın orada olduğunu biliyoruz, ancak programın ne kadar etkin olduğunu ölçmek zor.

NINAN: Evet bu bir soru işareti.

Q: Merhaba. Promontory Local Credit’den Jason Tepperman.

Geriye doğru hackerlik yapan özel sektör firmalarının dinamiklerinden biraz bahseder misiniz, özellikle de bunu terörizmle mücadele ve bazı proaktif eylemleri gerçekleştirme arzusu bağlamında incelersek... Bunun etkileri ne olur?

GALANTE: Diğer her sene bu konuyu gündeme taşıyacağım. Bu konuda hemfikir misiniz? Bu, döngüsel bir mesele. Sürekli geri dönüyor.

Bildiğiniz gibi, ABD hükümetinin geriye dönük olarak bilgisayar casusluğu yapılmasına herhangi bir şekilde onay verip vermeyeceği halen bir soru işareti. Bence burada mesele, şu anda özel sektördeki bir şirket açısından nasıl bir tepki verileceğidir.

Ve bence gerçek anlamda zor bir durum karşısındayız. Özel sektör açısından bakıldığında, ilk olarak kime gidileceği bir soru işareti. Bu tür ihlallerle karşılaştığımız durumlarda özel sektör ekiplerinin parçası olduğumda, insanlara bildirimde bulunmaktaydık. O sırada mesele SEC’e gidip bir 8-K doldurmamız gerekip gerekmediğiydi, keza paydaşlarımıza dair tüm veriler elimizdeydi. Öncelikle bununla ilgili bir form mu doldurmalıydım? Yoksa FBI’ya mı gitmeliydim? Tüm bunlar kamuoyuyla paylaşılacak mı?

Dolayısıyla, finansal veya itibari olarak verilen hasarların, ağları sağlamlığının azaltılması, şirketlerin giderek daha fazla ilgilendikleri bir meseledir. Ancak bu durumda bir adım geri gidip, bana bulaşan ve birçok şirketin peşinden gitmek istemediği, hükümetin de şirketlerin bu tür kişilerin peşinden gitmesini tercih etmediği bir saldırganı nasıl izleyeceğimi bilmem gerekiyor.

NINAN: Başka fikirlerin var mı, Rob?

KNAKE: Bence, ABD ordusunun siber uzayda şiddet konusunda tekelini koruması son derece önemli. İstediğimiz son şey, özel şirketlerin, ABD hükümeti ve ABD ordusunun sonlandırması gereken savaşları başlatmasıdır. Ve bence bu konu önemlidir.

Şu anda mesele, Ruslar ve Çinliler tarafından yıkıcı bir şekilde bile olsa hedeflenmeniz durumunda, bunu ilgili birimlere iletebilmeniz ve verilecek yanıtı ABD hükümeti ve Siber Kumandanlıkla koordine edebilmenizle alakalıdır. Daha önce hasar görmüş sistemler üzerinde – örneğin telefon hatları, elektronik postalar gibi- böyle bir şey gerçekleşmeyecek. Ve, gerçek zamanlı bir eşgüdüme sahip olabildiğimiz bir sisteminiz oldu – en azından ABD’deki yüz veya daha fazla kritik şirket ile birlikte.

NINAN: David, bu konuda konuştuğunuzda, altyapı ve şebekeler konusunda çok fazla şey biliyorum. Bu ülkede altyapı açısından korunaklı, güvenli, iyi durumda olduğumuzu ne zaman söyleyebileceğiz? Ne zaman bu noktaya varabileceğiz?

SANGER: Bu şekilde düşünmüyorum çünkü altyapı sürekli değişiyor ve bağımlı olduğumuz altyapı da değişiyor. Dolayısıyla, İç Güvenlik Bakanlığı’nın elinde, 2016 yılında kritik altyapı olarak tanımladıkları 16 alanlık birliste var ve bunların arasında elektrik şebekelerinin yanı sıra Washington Binası, Jefferson Hatıra Anıtı gibi ulusal binalar da yer alıyordu. Tamam, bunlar nasıl kritik altyapı oldu bilmiyorum, ancak onlar da listedeydi. Listede olmayan neydi? Seçim sistemi. Amerikan demokrasisinin temel dayanakları, kritik altyapı listesinde yer almıyordu.

Dolayısıyla, iç güvenlik bakanlığı Jeh Johnson’ı görmeye gittim. Ve kendisi halen bu listeye dahil olmaya çabalıyor. Dolayısıyla, bunun görece olarak kolay olacağını düşüneceksiniz. Dolayısıyla, kendisi, devletlerin sistemimizdeki seçim sistemini yönetmesinden dolayı her bir devletin dışişleri bakanlarını arıyor. Ve Georgia’dan olan dışişleri bakanı, “durum bir dakika, bunu yapmayacaksınız” dediler ve bu, seçim sisteminin federal bir şekilde devralınmasının başlangıcıdır (Gülüşmeler). Ve çok fazla vali var ve bunlar benzer bir tepki gösterdiler. Ve Obama yönetimi sona ermeden yaklaşık üç – dört yıl öncesine dek bir bildirimde bulunmaksızın bunu yapamaz.

Ve bugün tam da bu noktada duruyor kendisi.

NINAN: Bu harika bir şey.

Evet bayım, öyle.

Q: Jeff Laurenti.

Laura Galante siber güvenlik ile nükleer silah arasındaki bir benzerliğe işaret etti. Ve Hiroşima’nın ardından on beş ila yirmi yıl sonra ABD hükümeti, Sovyetlerden daima iki adım ötede kalamayacaklarını ve belki de Kennedy ve Johnson dönemlerinde Test Yasağı Antlaşması ve Silahların Yaygınlaşmasını Önleme Antlaşması ile birlikte bu silahları kontrol etmek için bir uluslararası rejim kurmaya başlamayı düşünmeye başladı. ABD, oyunun çok-taraflı kuralları konusunda düşünmesi gerekmediği sürece siber savaş konusunda diğerlerinin önünde kalabilir mi? Oyunun barış zamanlarında çok-taraflı düzeyde uzlaşılan kurallarının, kapsam dışı olması mümkün mü? Siber güvenlik alanındaki herhangi bir şeyin savaşan güçler arasında yasak bölge olması gereken bir dönemde gerçek bir çatışma, ölüm kalım mücadelesi yaşanması hangi koşullarda söz konusu olabilir?

GALANTE: Bence ABD’nin bunu sınırlandırmak konusunda biraz inandırıcılık kazanmasının tek yolu, neyi yapmayacağımız ve neye bağlı kalacağımızdır. Yani, nükleer durumda ne yaşandığını ima ediyorum. Doğru değil mi? Sınırlar konusunda uzlaşmalıyız ve ordumuzu, nükleer yeteneğimizi daha fazla kullanmayacağımız farklı antlaşmalar konusunda uzlaşmalıyız.

Dolayısıyla bence bazı konuları masadan kaldırmaya niyetleniyoruz ve David’in belirttiği gibi, masadan neyi kaldırmak gerektiği ve bunun sebebine dair bir tartışmanın yaşanması gerekiyor. Bizim açımızdan süreci ilerletmek veya diğerlerinin ellerindeki avantajları kullanmalarını veya bize karşı herhangi bir koz kullanmalarını kısıtlamak oldukça zor.

Ve bildiğiniz gibi, eğer beş-altı yıl öncesinden söz ediyor olsaydık, bu konuda bir şeyler yapabilecek ülke sayısı bir elin parmaklarını geçemezdi. Bugün ise bu sayı son derece arttı.

Ve bu yetenek karşısında her zaman için bunu geliştirmenin ne kadar hızlı ve ucuz olacağından bahsediyoruz ki bu da belli bir düzeye kadar doğru. Ancak, sürecin diğer yönüne de bakmak gerektiğini düşünüyorum. Bir yeteneğe dair temel hesaplamalar onuşunda düşünürken, tehdit karşısında niyetin yanı sıra yeteneklerin de söz konusu olduğunu görüyoruz. Ve bu denklemin “niyet” kısmına bakarsak, casusluğu kullanmak istemeyen veya bize saldıran ülkelerin sayısı azaldıkça, bu tehdit daha da artıyor; çünkü yeteneği elde etmek o kadar da zor değil. Nükleer yeteneğin geliştirilmesi ise çok daha zor.

Dolayısıyla bence orada masadan kalkmak ve bu konuda ilerleme kaydetmemek konusunda bir tercih söz konusu. İnsanlar bu konuda neler yapıyorlar? Bizim olmazsa olmazlarımız nelerdir?

NINAN: Bu konuda herhangi bir görüş paylaşmak ister misiniz?

KNAKE: Bu noktada ekleyebileceğim tek şey: Laura, Ruslarla bu deneyimin olmuştu. Bu konuda Çinlilerle bir deneyimim olmuştu – her ikisi de aynı perspektiften geliyorlar. Biz, savaş kurallarının siber uzaya uygulandığına inanıyoruz. Ne kadar basit bir nokta, değil mi? Uluslararası hukuku bu yeni alan için yeniden icat etmemize gerek yok. Ve onlar da bu konuda bize ters tepecektir.

Ve bence, hepimiz şu konuda hemfikiriz: Savaş kuralları siber uzaya uygulanıyor, doğru mu? Dolayısıyla, her şeye sıfırdan başlamaya gerek yok. Hastanelere bomba yağdırmanıza gerek olmadığı için siber uzaydaki hastaneleri hedef almayacağınızı kabul edebilirsiniz.

NINAN: İlginç.

Bir soru için daha vaktimiz var.

SANGER: Ve bu noktada çok küçük ...

NINAN: Evet, özür dilerim.

SANGER: Çok küçük bir şey söyleyebilir miyim?

Rob ve Laura’nın söylediği her şeyle hemfikirim; ancak bu alanda antlaşmaların işe yarayacağını düşünmüyorum. Her şeyden önce, teknoloji çok hızlı şekilde ilerliyor. İkinci olarak, çok fazla oyuncu var. Nükleer çağda antlaşmalara bel bağlarsanız, az sayıda nükleer oyuncu olduğunu fark edersiniz. Ve temelde bunu Sovyetler Birliği ve ardından Rusya ile yaparsanız, sürecin yüzde 90’ını kat etmiş olursunuz.

İşte, silahlar ortada. Laura’nın da belirttiği gibi, bu silahlar devletlerin veya suç örgütlerinin elinde, devlet-dışı aktörlerin, teröristlerin, gençlerin elinde. Sizi bilmem ama bizim evimize gençler geldiğinde antlaşmalara uygun davranmıyorlar (Gülüşmeler).

Dolayısıyla, sonuçta, daha geniş çaplı normlara ihtiyacımız var. Ve Microsoft’ta Brad Smith’in öne sürdüğü fikirlerden biri – ve ABD hükümetinde bu fikri sevmeyen çok kişi olduğunu da biliyorum- Cenevre Konvansiyonu’ndaki kurallar bütününe benzer bir durum yaratmak. Ve Cenevre Konvansiyonu’na dair ilginç olan konu, bunların herhangi bir hükümet tarafından değil Kızıl Haç tarafından tertiplenmiş olması.

NINAN: Bu harikulade bir tespit.

Tüm bunları toparlamadan önce son bir soru daha. Son bir soru?

Evet hanımefendi, tam da orada.

Bunu yapabilir miyiz? Tamam mı? Tamam.

Q: Teşekkürler. Kolombiya Üniversitesi’nden Joan Spero. Bu çok çarpıcı ve sarsıcı yorumlar için çok teşekkürler.

Ben özel sektördeki bir bankada çalışmaktayım. Büyük bir para-merkez bankası. Bana saldırı yapıldığında, hükümetimden yardım isteyebilecek durumda olmayı isterim.

Şu anda sanırım listedeyim, David. ABD hükümeti bana ne tür bir destek verebilir? Veya bana ne tür bir destek vermeye hazır değiller?

KNAKE: Dolayısıyla, benim ifade etmek istediğim şey, Hane Depo modelidir. Bunu yapabilirsiniz. Size bu konuda yardımcı olabiliriz. Doğru mu? Hükümet gelip sizin ağınızda güvenlik sağlayacak; söz konusu vaka konusunda tepki verecek veya ödeme yapacak, doğru mu? Dolayısıyla, hükümet de sürece dahil olacak ve sadece hükümetlerin yapabildikleri şeyi yapacak: yasa uygulama, soruşturma, diplomasi, muhtemelen yaptırımlar, muhtemelen saldırı amaçlı siber yetenek.

İç Güvenlik Bakanlığı’ndan elde edeceğiniz şey, tamamen teknik danışmanlık desteği olacak. Ancak Laura’nın eski çalışanını veya başka bir şirketi arayarak onlardan ağınızı tamir etmede yardım talep edeceksiniz. Bu, hükümetin donanımlı olduğu veya şu anda yapmak istediği bir şey değil.

Dolayısıyla, ifade etmek istediğim şey, büyük oranda kendi başınızın çaresine bakmalısınız, ancak destek görüyorsunuz. Diğer savaş türleriyle kıyaslandığında çok farklı.

SANGER: Joan, burada bankaların yaklaşımının dışına çıkalım; kea bankalar kendi risk düzeylerini anlarlar ve bunu yapmak konusunda kaynaklara sahiptirler. Ve bu konuda yatırım yapmış olan büyük bankalara dair bazı iyi modeller söz konusudur.

Ama, kaynakları olmadığını hisseden daha hassas örgütleri örnek alalım. Demokratik Ulusal Komite adlı kitaptan iyi bir örnek alalım, tamam mı? Dolayısıyla, seçim döngüsü başlamadan önce, Dick Clarke’ı devreye sokuyorlar; kendisini 9-11 günlerinden önce ve sonra anımsarsınız. Kendisi bir siber güvenlik şirketine sahipti. DNC’nin bilgisayar sistemine dair hızlı bir araştırma yapıyorlar ve geri dönüyorlar. Hepinizin umutsuz birer vaka olduğunu söylüyorlar uzun lafın kısası. Tamam mı? Sizi

anaokul düzeyine indirgiyorlar. İşte size ilerleyeceğiniz bir plan. Evet, tüm bunların maliyetini size gösterdiler. Ve tüm bunların çok fazla para olduğunu, seçim sonrasında bunun bedelinin ödeneceğini söylediler, doğru mu?

Ve ardından FBI arıyor ve şöyle söylüyor: Ruslar sizin sisteminize girdi. Üzgünüm. Bunu söyleyebilecekleri birine bağlanmak istediklerini söylemek için aradılar ve yardım masasına bağlandılar (Gülüşmeler). Hepinizin yapabileceği gibi. Ve bu hikaye inanılmaz bir hikaye. Ancak temelde telefonu cevaplandıran kişiler, bunun gerçekten FBI ajanları olduğuna inanmıyorlar. Bu konuda uzun uzadıya düşünmek için dokuz ay getiriyorlar; birbirlerini telefonla arıyorlar. Ve FBI, DNC’ye erişmek için gereken on iki blokluk yürüyüşünü asla yapmıyor. Ve bu esnada Ruslar, onların yaptığını bildiğimiz her şeyi silip yok ediyorlar.

İyi haber ise, sizin senaryonuza göre, kurum aslında bir sorun yaşadığının farkında ve yardım istiyor. Beni en çok endişelendiren şey ise; bunun için kaynakları olmayanlar veya yardıma ihtiyacı olduklarının farkında bile olmayanlar. Muhtemelen tam da bu noktadan işe başlamamız gerekiyor.

NINAN: Ve bu hususta bir not; bu kitabın harikulade olduğunu söylemek isterim. Siber dünya hakkında ne kadar az şey bildiğimi bana anımsatmış oldu.

Nüshaların online olarak da erişilebilir olduğunu söylemek isterim.

Peki David, kitapları imzalamak için biraz burada kalabilir misin?

SANGER: Elbette, burada olacağım.

NINAN: Laura, Rob ve David, hepinize çok teşekkürler.

David, kitabın için tebrikler.

SANGER: Teşekkürler. (Alkışlar.)

(SON)

https://www.cfr.org/event/cyber-conflict-evolution-warfare