“Eğer öyleyse, o zaman sadece sorumlu bir şekilde!” Yeni Sorumluluk Vakfı’nın (SNV) siber güvenlik politikası başkanı Sven Herpig, “aktif siber savunma”ya yönelik dokuz operasyonel standart için Salı günü yayınlanan bir makaleye atıfta bulunuyor. Genellikle hackback’lerle eşanlamlı olarak anılan araç tartışmalıdır çünkü aksilikler daha geniş bir siber savaşı tetikleyebilir. Bununla birlikte, SNV’ye göre giderek daha fazla sayıda hükümet siyasi tartışmalarda veya pratikte bu araca güveniyor. Bu nedenle, aynı zamanda en azından yurt içi ve yurt dışında BT sistemlerine karşı alınacak önlemlere hangi standartların uygulanması gerektiği konusundaki tartışmanın da ilerletilmesi tavsiye edilmektedir.
Reklamcılık
Eylem önerisine göre ABD, İngiltere, Avustralya ve Çin gibi birçok ülke halihazırda aktif siber savunma için siyasi çerçeve oluşturmuş veya operasyonlar yürütmüş durumda. Federal hükümet, koalisyon anlaşmasına uygun ulusal güvenlik stratejisinde, siber savunma aracı olarak hackback’leri temel olarak reddediyor. Ancak aynı zamanda “Temel Kanun’u değiştirerek yurt içi ve yurt dışından ciddi siber saldırılar durumunda tehditleri önleyecek federal yetki oluşturmayı” hedefliyor. “Devam eden veya yakın” bir çevrimiçi saldırıya verilen yanıta dayanmaktadır. Hükümet ayrıca, uluslararası hukuk kapsamındaki yükümlülüklere ve “siber uzayda sorumlu devlet davranışı normlarına” uygun olarak araçların kullanımına ilişkin standartlar geliştirmek istiyor.
Cevap verin, misilleme yapmayın
SNV şimdi bu konuda yardımcı olmak istiyor. Sivil toplum örgütünün politikalarına göre şu ana kadar “operasyonel düzeyde sorumlu davranışın ne olduğu” konusunda netlik sağlanamadı. Temel amaç “ikincil hasar ve diplomatik gerilimin tırmanması riskini” azaltmaktır. Bu nedenle SNV teklifinin ilk ilkesi şudur: “Karşılık verin, misilleme yapmayın.” Bu nedenle aktif siber savunma önlemleri, BT güvenlik açıklarının istismar edilmesi, bunların etkisiz hale getirilmesi veya zayıflatılması ve başlangıçta zor kabul edilen şeyin açıkça rakibe atanması gibi kötü niyetli bilgisayar korsanlığı faaliyetlerine karşı her zaman bir tepki olmalıdır.
Genel olarak aktif siber savunma, başka bir kurala göre yalnızca “son çare” olarak kullanılabilir. Hükümetler, daha derin bir operasyonun “büyük olasılıkla kaynak yoğun, tek seferlik bir faaliyet olacağının ve genel ulusal siber güvenlik veya dayanıklılık düzeyini sürdürülebilir bir şekilde iyileştirmeyeceğinin” farkında olmalıdır. Bu nedenle operasyonel alanlara öncelik vermeniz ve kendi hukuki sorumluluk alanlarınıza yoğunlaşmanız gerekiyor. Müttefiklerle iletişim önceden yapılmalıdır. İlgili olmayan taraflara yönelik saldırılardan kaçınılmalıdır. Siyaset öncelikle etki değerlendirmesi ve şeffaflığa odaklanan bir “siyasi, yasal ve düzenleyici çerçeve” oluşturmalıdır.
Yetkililerin yapması gerekenler
SNV, operasyonel otoritenin gerekliliklerini “teknik mükemmellik, operasyonel uzmanlık ve merkezi bir otorite altında katı çerçeve koşullarına uyma isteği” olarak sıralıyor. Düşmanın çalışma ortamına ilişkin derin bir teknik anlayış da aynı derecede önemlidir. Hassas saldırılar gerekli: “Operasyonel alan ne olursa olsun, önlemler mümkün olduğunca sınırlı olmalı ve üçüncü tarafları, özellikle de tedarik zincirlerini ve kritik altyapıyı hedef almaktan kaçınılmalıdır.” Bu anlamda eylemlerin “verimliliğini, etkinliğini ve orantılılığını sağlamak için” dikkatli bir şekilde planlamak, önceden test etmek ve kendi yeteneklerini sürekli optimize etmek gerekir.
(mki)
Haberin Sonu
Reklamcılık
Eylem önerisine göre ABD, İngiltere, Avustralya ve Çin gibi birçok ülke halihazırda aktif siber savunma için siyasi çerçeve oluşturmuş veya operasyonlar yürütmüş durumda. Federal hükümet, koalisyon anlaşmasına uygun ulusal güvenlik stratejisinde, siber savunma aracı olarak hackback’leri temel olarak reddediyor. Ancak aynı zamanda “Temel Kanun’u değiştirerek yurt içi ve yurt dışından ciddi siber saldırılar durumunda tehditleri önleyecek federal yetki oluşturmayı” hedefliyor. “Devam eden veya yakın” bir çevrimiçi saldırıya verilen yanıta dayanmaktadır. Hükümet ayrıca, uluslararası hukuk kapsamındaki yükümlülüklere ve “siber uzayda sorumlu devlet davranışı normlarına” uygun olarak araçların kullanımına ilişkin standartlar geliştirmek istiyor.
Cevap verin, misilleme yapmayın
SNV şimdi bu konuda yardımcı olmak istiyor. Sivil toplum örgütünün politikalarına göre şu ana kadar “operasyonel düzeyde sorumlu davranışın ne olduğu” konusunda netlik sağlanamadı. Temel amaç “ikincil hasar ve diplomatik gerilimin tırmanması riskini” azaltmaktır. Bu nedenle SNV teklifinin ilk ilkesi şudur: “Karşılık verin, misilleme yapmayın.” Bu nedenle aktif siber savunma önlemleri, BT güvenlik açıklarının istismar edilmesi, bunların etkisiz hale getirilmesi veya zayıflatılması ve başlangıçta zor kabul edilen şeyin açıkça rakibe atanması gibi kötü niyetli bilgisayar korsanlığı faaliyetlerine karşı her zaman bir tepki olmalıdır.
Genel olarak aktif siber savunma, başka bir kurala göre yalnızca “son çare” olarak kullanılabilir. Hükümetler, daha derin bir operasyonun “büyük olasılıkla kaynak yoğun, tek seferlik bir faaliyet olacağının ve genel ulusal siber güvenlik veya dayanıklılık düzeyini sürdürülebilir bir şekilde iyileştirmeyeceğinin” farkında olmalıdır. Bu nedenle operasyonel alanlara öncelik vermeniz ve kendi hukuki sorumluluk alanlarınıza yoğunlaşmanız gerekiyor. Müttefiklerle iletişim önceden yapılmalıdır. İlgili olmayan taraflara yönelik saldırılardan kaçınılmalıdır. Siyaset öncelikle etki değerlendirmesi ve şeffaflığa odaklanan bir “siyasi, yasal ve düzenleyici çerçeve” oluşturmalıdır.
Yetkililerin yapması gerekenler
SNV, operasyonel otoritenin gerekliliklerini “teknik mükemmellik, operasyonel uzmanlık ve merkezi bir otorite altında katı çerçeve koşullarına uyma isteği” olarak sıralıyor. Düşmanın çalışma ortamına ilişkin derin bir teknik anlayış da aynı derecede önemlidir. Hassas saldırılar gerekli: “Operasyonel alan ne olursa olsun, önlemler mümkün olduğunca sınırlı olmalı ve üçüncü tarafları, özellikle de tedarik zincirlerini ve kritik altyapıyı hedef almaktan kaçınılmalıdır.” Bu anlamda eylemlerin “verimliliğini, etkinliğini ve orantılılığını sağlamak için” dikkatli bir şekilde planlamak, önceden test etmek ve kendi yeteneklerini sürekli optimize etmek gerekir.
(mki)
Haberin Sonu