Deprem ve Amerikan yaptırım tehditleri, ülkemiz açısından önemli olduğundan daha fazlasıyla, bilişim-telekom sektörü açısından önemli. Çünkü ekonominin ya da yaşamın sürdürülebilmesi için bilişim - telekomünikasyon sistemlerinin de yürümesi lazım. En basitinden bir çok firmanın kurumsal olarak da kullandığı GMAIL altyapısı. Bu konuda, "ABD Bilişime Yaptırım Uygularsa, Siz Hazır mısınız?" demiştik. Çünkü daha önce SAP, Oracle, GitHub ve son olarak da Adobe'nin bu tür hareketlerini gördük. Bu konuları aynı zamanda Telkoder'in avukatı olan Gökhan Candoğan'a bu soruyu, hukuki değil ama beyin fırtınası şeklinde daha farklı ayrıntılar üzerinden sorduk. Umarım bu konuyu sizler de tartışıyorsunuzdur. Biz ancak bir kısmını konuşabildik çünkü.

Biz felaket planlaması dediğimizde, deprem olacak, yangın olacak bunlara karşı verilerimizi koruyalım diye düşünerek yapıyoruz. Yani farklı bir lokasyonda aynı sistemi kuruyoruz. Burada bir afet/beklenmedik durum olsa bile, aynı sistem orada var. Kaldığı yerden devam ediyor. Ama şimdi olay değişiyor. Diyelim ki, Amerikan yaptırımı ve hatta daha kötüsü savaş geldi. Yazılım, donanım ya da bulut.. Nasıl bir dünya bekler bizi?

Son dönemde ardı ardına gerçekleşen iki olay “felaket planlaması” konusunda ne durumda olduğumuza dair önemli dersler vermeli. İlki, deprem ülkesi olduğumuzu unuttuğumuz anda gerçekleşen görece küçük bir deprem, birden alarm zilleri çaldırdı. Ne oldu? Cep telefonları ile iletişim kurulamadı bir süre. Hatta işletmecinin birisinde oldukça zaman aldı iyileşme. Neden, diye sormaya başladık. Can kaybına neden olmayan, bina yıkılmayan bir süreçte ne oldu da iletişim kesildi, aksadı? [1]

Diğeri de 9 Ekim çarşamba günü 16:00’da başlayan "Barış Pınarı" Harekatı nedeniyle ABD ile gerilen ilişkiler, bizzat ABD Başkanı tarafından alenen savrulan “ekonomik yıkım” tehdidi ve tam da bu sırada Venezuela ile ilgili genişletilen yaptırımlar sonucunda Adobe ürünlerinin Venezuela ve ilişkili kişi/kurumlar tarafından kullanımının bloklanması, engellenmesi süreci oldu[2]. Evvelki yıllarda Oracle'ın Rus kullanıcılara yönelik Java bloklamasını duymuştuk [3]. Temmuz ayında da GitHub Kırım, Suriye ve İran''daki geliştiricileri engellemişti [4].

Sizin sitede yer alan haberler ile olayın derinliği bir anlamda ortaya çıktı. Bu nasıl bir tehditti? Ekonomik yıkıma uğratılmanın sınırı, ölçüsü neydi, ne olabilirdi? [5]

Deprem yeterince konuşuldu. İşin özü, neredeyse on yıldır altyapı yatırımlarını engellenmesi nedeniyle İstanbul’da iletişim altyapısının çökme noktasına gelmiş olmasıdır. Yönetimdeki siyasi iradenin kontrolünde olan Türk Telekom ve Turkcell ile sektörün önünü açma noktasında çalışması olmayan Bilgi Teknolojileri ve İletişim Kurumu’nun da (BTK) bu olumsuz sürecin düzelmesi için müdahil olmamaları sonucunda [6][11], felaket anında İstanbul’un ve dolayısıyla Türkiye’nin iletişimine, özellikle elimizin altındaki cep telefonu iletişimine bel bağlamak imkansız hale gelmiştir. Umarız ki yerel yönetim-merkezi yönetim ikiliği, dengelemesi ile İstanbul için yeni bir süreç başlar ve olumlu adımlar atılmaya başlanır.

Diğeri ise daha karmaşık bir durum. Yaşanan teknolojik gelişmeler ışığında, geldiğimiz noktayı anlayabilmek gerekiyor. Gerçek dünya ile iç içe geçmiş bir sanal dünya var. Bildiğimiz şeylerin tümü değişiyor, biz fark etsek de etmesek de. Deyim yerindeyse, sadece tohumlar değil, hukuk da, savaş da, kurumlar da hizmet de hibritleşti.

Bugün Türkiye’de çok geniş yelpazede kamu hizmetlerine e-devlet üzerinden online olarak erişebiliyorsunuz. Gün gün yenisi eklenen bu hizmetler ile fiziki olarak bir yere gidip beklemeksizin işlemlerinizi halledebiliyor, dava açabiliyor, vergi ödeyebiliyor, sorgulama yapabiliyorsunuz. Elbette buna imkan veren bir teknoloji var ve ne yazık ki bu teknolojinin temeli bize ait değil. Sanal dünyada kullanılan cihaz, yazılım ve bilginin çok azına doğrudan biz sahibiz.

Yazılım ve donanım alanında önde olan ülke ABD (Son dönemde öne çıkan Çin, genellikle taklit etme noktasında olduğu için ABD’ye -yakın zamanda- rakip olması beklenmiyor). Ülkemiz bilgisayarlarının neredeyse tamamında işletim sistemi olarak Microsoft ürünlerinin kullanılması, ötesinde ağ güvenliği gibi daha önemli uygulamaların bile neredeyse tümüyle Microsoft tabanlı ürünlere dayalı olması, bağımlılığın ölçüsünü ortaya koyuyor.

ABD’nin gücü ve -ileride açıklanacak sebeplerle- zayıflığının göstergesi olan bu mevcut durum, küresel ilişkilerin siyasi arenasında bambaşka durumların ortaya çıkmasına neden oluyor artık.

Biz çok farkında olmasak da, bugün savaşların önemli bir kısmı sanal dünyada gerçekleşiyor. Özellikle ABD önderliğindeki batı dünyası ile mücadele halinde olan ülkeler, sanal dünyada etkin olmanın ne denli önemli olduğunu hızla kavradılar. Örneğin kendini dışarıya kapatmış ve yıllardan bu yana ABD yaptırımlarına maruz kalan Kuzey Kore, ABD’yi dize getirebileceği ve bir anlamda eşit mücadele edebileceği bir savaş alanı olarak sanal dünyayı seçmiş durumda.

Kuzey Kore’nin sanal dünyada devlet hackerlığı ile başlayan öğrenme süreci inanılmaz boyutlara ulaşmış durumda. Eylül 2018’de ABD Adalet Bakanlığı tarafından yapılan açıklamaya göre, bir Kuzey Kore vatandaşı 2014 yılındaki Sony saldırısı, 2016’da bir Bangladeş Bankası’ndan 81 milyon ABD Doları çalınması ve 2017’deki meşhur Wannacry saldırılarından sorumlu gösterilerek suçlandı. Bireysel suçlamanın yanı sıra Kuzey Kore devletinin de sorumlu tutulduğu bu soruşturma sanal dünyada işlerin nerelere gittiğini de gösteriyor [7].

Sonuçta, ülke olarak yaptırıma maruz kalan Kuzey Kore, İran ile başta Çin olmak üzere kendi ayakları üzerinde durmak isteyen devletler büyük bir hızla elektronik haberleşme sektörü ile bilişim alanına yatırım yapıyorlar. Sanal dünyanın anahtarı olan donanım ve yazılımların ucu sizde olmadıkça, her an bireysel ve sistematik saldırıların hedefi olabilirsiniz.

Bu nedenle, bağımsızlık vurgusunun en önemli adımlarından birisi de kendi bilişim altyapısına sahip olmaktır bugün. Bu noktadan baktığımızda, ülke olarak bu konuda bir hedef ve programdan yoksun olduğumuz, daha da acısı farkındalık açısından bile çok geride bulunduğumuz gerçeği ortada.

Bugün kamuda pek çok yerde ısrarla microsoft ürünleri kullanılmaya devam ediyor. Oysa Tübitak tarafından Türkiye’ye özgü olarak geliştirilen Pardus işletim sistemi var. Sessiz sedasız ve desteksiz bir şekilde çalışmaya devam eden Pardus kamuda hala üvey evlat. Yabancı kaynaklı yazılımlara hem para ödüyoruz, hem de bilgilerimizi uluslararası düzeyde dileyenin kullanımına açmış oluyoruz.

Örneğin, çok merak ediyorum; siber güvenlikle ilgili ciddi sorumluluğu ve görevleri olan BTK’da hangi işletim sistemi kullanılıyor? Pardus mu? Hiç sanmıyorum. Diğer pek çok önemli kamu kurumunda (TBMM de mesela) olduğu gibi BTK’da kullanılan bilgisayarların belki de tamamında Microsoft ürünlerinin kullanıldığını tahmin etmek zor değil [8].

Büyükşehir Belediye başkanlarının kendi aralarında haberleşebilmek için “whatsapp” grubu kurmak zorunda olmaları bile bir şeyler söylemiyor mu, sanal dünya felaketlerine ne kadar hazırlıklı olduğumuz konusunda? [9]

Kendisine bağlı işletmecileri “şebeke ve bilgi güvenliği” denetimleri adı altında sürekli kontrol altında tutan ve tuhaf tuhaf gerekçelerle sürekli ceza veren BTK, ülkenin sanal güvenliği konusunda işe yarar tek bir çözüm bile üretemediği için sorumlu değil mi?[6]

Bugün teröre karşı sınır aşan operasyonlar yapabiliyorsak bunda kendi silahlarımızı, kendi İHA ve SİHA’larımızı üretebilmenin ne denli önemli olduğunu görüyoruz. Aynı mantıkla, ülke yararı için başlatılan süreçlerin, güçlü devletlerin işine gelmediği noktada karşılaşabileceğimizi sanal dünya tehditlerini boşa çıkarmak için de çalışmamız, bilgileri ülke içinde tutmamız, kendi donanım ve yazılımlarımızı üretmemiz ve kullanmamız, buna dayanan bir eko sistem kurmamız gerektiği açık.

Bunun için de devletin sektörde inovasyon ve yaratıcılığı teşvik etmesi, işletmecileri bezdiren bekçi murtaza mantığıyla çalışan bürokratları geri plana çekmesi, engel çıkarmak ve olur olmaz cezalandırmak yerine destek olmak mantığını benimsemesi gerekiyor. Çok da zor şeyler değil.

Karşılığında, sektörün kendi insiyatifiyle de yapabileceği işler olduğunu görmemiz gerek. Örneğin, veri merkezi işletmecileri tekel konumunda olan Microsoft ne derse, nasıl bir sözleşme uzatırsa imzalamak zorunda kalmalarına rağmen, açık kaynak kodlu, alternatif yazılımlar üzerine ortak bir çalışma yapamıyor. Ortak bir kaynak tahsisi ile alternatif yazılım, donanım ve insan gücü elde etmek mümkün oysa. Teknokentler var değil mi? Erişim engelleme gibi yasal yükümlülükleri yerine getirmek için yerli yazılım bile neredeyse yok. Oysa işletmeciler çeşitli şekillerde bir araya gelerek bu süreçleri oluşturabilirler.

Peki ya işin hukuk boyutu. Nedir bu yaptırımların hukuki dayanağı?

ABD tarafından ilan edilen yaptırımlar, teknik olarak bir “iç hukuk” meselesi. ABD Hazine Bakanlığı’na bağlı Yabancı Varlıkların Kontrolü Ofisi (OFAC) tarafından belirlenen ve takip edilen yaptırımlar ülke veya kişi/kurum bazında oluyor. Ülke bazında yaptırımlara konu olan altı (6) ülke var; İran, Kuzey Kore, Suriye, Sudan, Küba ve Venezuela.

Bireysel olarak ise, ilgili kişilerin ABD’deki malvarlıklarının dondurulması, bu kişilerle ABD’li kişi/şirketlerin iş yapmalarının yasaklanması, ülkeye girişlerinin yasaklanması şeklinde kararlar alınabiliyor. Yaptırımlarla ilgili detaylara OFAC web sayfasından (Office of Foreign Assets Control - Sanctions Programs and Information) ulaşmak mümkün.

Yakın zamanda, ABD’li rahip Brunson’un tutukluluğu sürecinde İçişleri Bakanı Süleyman Soylu ile Adalet Bakanı Abdülhamit Gül’e uygulanan yaptırım kararlarıyla tartıştığımız bu konu, anlaşıldığı kadarıyla gündemde kalmaya devam edecek. Belirttiğimiz gibi, bu yaptırımların teknik ve hukuki olarak “uluslararası bir etkisi olmamalı”. Zira, salt ABD tarafından, kendi hukukuna göre alınmış kararlar. Yani ortada bir Birleşmiş Milletler kararı yok ise uluslararası hukuk açısından geçerli bir karar/yaptırımdan söz edemeyiz.

Ancak, elbette dünya böyle işlemiyor. Bugün ABD tarafından alınan yaptırım kararları gerek ülke gerekse de kişi bazında ciddi sonuçlar doğuruyor. Bir anlamda bilinen dünyanın dışına itiliyorsunuz. Diğer ülke ve kurumlar açısından bağlayıcılığı olmasa da fiili olarak dikkate alınıyor. ABD’nin doğrudan tepkisini çekmek kimsenin işine gelmediğinden, ABD kararları fiili bağlayıcılığa kavuşuyor neredeyse.

Çinli dev şirket Huawei’nin sahibinin kızının, İran ile ilgili olarak alınan yaptırım kararını deldiği iddiasıyla ABD Adalet Bakanlığı tarafından başlatılan soruşturma kapsamında Kanada’da tutuklanması, aynı şekilde yine İran ile ilgili yaptırım kararını ihlal ettiği iddiasıyla 2017’de ABD’ye girişinde tutuklanıp hapis cezası alan Halkbank Genel Müdür Yardımcısı Mehmet Hakan Atilla’nın durumunu anımsadığımızda, yaptırımların fiili gücünü anlayabiliriz.

Ötesinde, iş ABD’li şirketlere geldiğinde, bu şirketlerin ancak bir mahkeme kararı olursa ABD otoritesinin yaptırım kararlarına uymaması söz konusu olabilir. Küresel olarak faaliyette bulunan bu şirketler, ticari faaliyetlerinin devamı için en azından aleni olarak ABD yönetiminden gelen bu tür talepleri kolaylıkla uygulamama eğilimindeler. Ama bir kez OFAC karar verirse, kararı hukuka aykırı bulan bir yargı kararı alınmadıkça, karara uymaları zorunlu.

Adobe örneği. PDF’in yaratıcısı, diğer pek çok yoğun kullanılan programın üreticisi olan bu şirket, ABD Hazine Bakanlığı’nın 5 Ağustos 2019 tarih ve 13884 sayılı emri ile genişleyen yaptırım kararı doğrultusunda Venezuela hükümetini neredeyse bloklamış durumda. Düşünsenize, pdf kullanamıyorsunuz! [2]

Dolayısıyla zamanında fiziki silahlar üzerinde uygulanan yaptırım ve ambargo işlemleri bugün çok daha incelikli bir şekilde sanal dünya araçları, donanım ve yazılımlar üzerinden yapılabilir hale geldi. Kıbrıs’a ilk çıkarma yapılacağı zaman “bizden aldığınız silah ve araçları kullanamazsınız” diyen ABD, bugün yaptırım uyguladığı ülkelerin sadece savaşma yeteneklerini değil gündelik yaşamlarını sürdürme yeteneklerini dahi kısıtlama olanağına sahip.

Yazılım açısından, açık kaynak size ne ifade ediyor? Yani hukuki açıdan “açık kaynak aldım” beni yaptırım maptırım ilgilendirmez denilebilir mi? Özellikle de en büyük açık kaynak kod deposu GitHub’ı Microsoft satın almışken. GitHub da, gidip Kırım, İran ve Suriye'deki geliştiricileri bloklamışken [3].

Açık kaynak, en azından başlangıç için iyi. Burada önemli olan nokta, bir firmanın üzerinde fikri mülkiyet veya telif hakkı talebinde bulunamayacağı bir ürün olması. Örneğin Pardus, bu açıdan çok önemli. Sadece linux temelli olması değil Türkiye için geliştirilmiş olması, bu ürünle ilgili hakların bizde olduğunu gösteriyor. Bu kullandıkça, yaygınlaştıkça genişleyecek bir eko sistem. Belirli bir noktaya geldiğinde bütün altyapılar üretilebilir hale gelebilir. Ama sanal dünya ve geldiği nokta gözönüne alındığından, kökü, kodu, güncellemesi size bağlı olmayan bir ürün güvenilir sayılamaz. Sanal dünya araçları, donanım ve yazılımlar gün geldiğinde birer savaş aletine dönüşebilir, anlaşılması gereken, farkında olunması gereken konu bu.

Bir başka adıma bakalım; SAP’nin yaptığı gibi, “bu yazılımı İran’a mal satmak için kullanamazsın” demek.. Adeta, sana sattığım kamyonla domates satamazsın demeye benziyor. Ama buradaki fark şu;

1. Bu yazılımın —özellikle güvenlik açısından bakıldığında— devamlı güncellenmesi yani bakımı lazım.
2. Bu tür bir durum düşünülerek, yazılımın içine zaman bombası (yani belli bir zamanda yazılımın bozulması — ki Apple’ın yeni iPhone çıkardığında, satın almanız için eskisinin pillerini yavaşlatmasını hatırlayın--[10]

Olması mümkün. Acaba bu söylediklerim sizde ne tür düşünceler uyandırıyor?

Gücün etkinliğinde olan bir dünyada, uluslararası hukuk geçerli kılınamıyor. Bu da tek taraflı kararların fiilen yaptırım gücüne sahip olmasına neden oluyor. Oysa, bir ticari ilişkinin iki tarafı olarak baktığınızda, ürüne para veren kişinin sorunsuz bir kullanıma sahip olması gerekmez mi? Tüm güçlük, doğru hukuki argümanlarınız olsa bile fiili olarak davanızı ileri sürmenin çoğu durumda mümkün olmaması. Microsoft ürünlerini kullanıyoruz ama online imzalanan sözleşme şirketin vergi cennetlerinden birisinde kurduğu şirketle yapılmış. Para Türkiye’de kazanılıyor, faaliyet burada gerçekleşiyor ama sorun olunca Türkiye’de dava açıp hakkınızı arayamıyorsunuz.Bu bizi güncel bir tartışmaya götürüyor.

Son zamanda Netflix tartışması ile de gündeme geldi. Netflix’i Türkiye’de şirket kurmaya, lisans almaya zorlayan düzenleme “sansür geliyor” nidalarıyla karşılandı. Tamam, bu yönde de kullanımı olabilir ama küresel düzeyde faaliyette bulunan ama herhangi bir mesele konusunda yerel sorumluluğu kabul etmeyen bu şirketlerin durumunu nasıl çözeceğiz? Burada hizmet sunuyor, burada para kazanıyor ama sorun çıkınca burada bir şey yapamıyorsunuz? En azından tüketici hakları açısından bile baksanız bu bir sorun değil mi?

Nihayetinde, küresel faaliyette bulunan bu şirketlerin hizmet verdikleri her ülkede bir muhatap kurum oluşturmaları, hizmet verdikleri ülkenin hukukuna göre sorumluluk üstlenmeleri, sanal dünya gerçekleri açısından da önemli bir mesele. Örneğin, adobe ve/veya microsoft aynı zamanda Türkiye’de kurulu şirketleri üzerinden bütün hukuki işlemlerini yapsalar, bir yaptırım kararı çıktığında salt ABD penceresinden değil aynı zamanda Türkiye penceresinden de bakmak zorunda kalırlar ve bu da çok şeyi değiştirir.

Peki daha basit ve aptal bir şey düşünelim; bütün kamu kuruluşlarınızda Oracle, Microsoft ve benzeri yazılım, donanım cihazları var. Siz olsanız, bir gün bu ülkenin karşı safa geçmesi olasılığına karşı, bunları nasıl değerlendirirsiniz?

Mesela elinizde ülkenin tüm devlet memurlarının maaşlarının olduğu veri tabanı var. Maaşını nasıl alıyor, sıkışık mı biliyorsunuz. Ya da elinizde ülkenin ihracat yapan, teklifler veren büyük firmalarının sistemleri var. Bunlar “centilmenlik” düzeyinde mi kalır? Kullanılabilir mi?

Elbette kullanılabilir ve şu anda kullanılmadığı ne malum?

ABD’de Microsoft tarafından hükümete açılan bir dava vardı. ABD hükümeti, mahkeme kararları ile microsoft bulut ve diğer hizmetlerinden yararlanan kişilerin bilgilerine erişim izni istiyor ve yine mahkemeye başvururken, verilen bu erişim izninden ilgiliye kişiye haber verilmemesine dair de bir ek gizlilik kararı talep ediyor. Örneğin, siz microsoft bulut hizmetlerinden yararlanıyorsunuz. ABD hükümeti bir gerekçeyle sizin bulutta saklanan verilerinize erişmek istiyor. Mahkemeye gidiyor, karar alıyor, bir de gizlilik ek kararı ile sizin bu erişimden haberinizin olmamasını sağlıyor. Microsoft müşterilerine karşı zor durumda kaldığı için bu uygulamanın durdurulmasını talep ediyor mahkemeden. Sonuç; bildiğim kadarıyla süreç devam ediyor ama çok vahim değil mi?

Burada bilgi ve kaynakların ülke düzeyinde yerelleştirilmesinin önemi gözler önüne seriliyor. Kullandığımız yazılım ve donanımlar kullanılarak sürekli verilerimize erişim sağlanması mümkün. Bu bu kadar kolay olmamalı. Bunun için de bir yandan teknolojik gelişimimizi hızlandırmak ve kendi yazılım ve donanımlarımızı üretmek, diğer yandan da teknolojinin mevcut hukuku işlemez hale getiren yönünü çalışarak, yeni ve etkili hukuk araçlarıyla uluslararası çözümler üretmemiz gerekiyor.

BTK gibi üst kurulların, operatörlere nedenleri kolayca anlaşılamayan cezalar kesmesi yerine, bu tür politikaların üretildiği bir kurul olması gerekmez mi? Çünkü bu da bir siber güvenlik konusu. Düşünün ki, bu tür ambargoların, bugünlerde çok moda olan "Fidye Saldırıları"ndan bir farkı yok.

Bilişim Yaptırımlarını Konu alan Yazılarımızı Toplu Olarak "Bilişim Yaptırım ve Ambargoları" dosyasından okuyabilirsiniz[12].

---

Yazıda geçen linkler

[1] İnternet Neden Önemli; Depremde Telefonlarla Değil, Veri Yoluyla Haberleştik

[2] Adobe, Paralı ya da Parasız Tüm Venezüela Hesaplarını İptal Etti

[3] Oracle, Java’yı Rus Kullanıcılar için Engelliyor mu?

[4] GitHub İran, Suriye ve Kırım’daki Geliştiricileri Engellediğini Doğruladı

[5] ABD Bilişime Yaptırım Uygularsa, Siz Hazır mısınız?

[6] Depremde Telefonların Çalışmamasının Esas Sorumluları BTK ve Ulaştırma Bakanlığı

[7] ABD WannaCry için Resmi Olarak Kuzey Kore'yi Suçladı

[8] Pardus’a Geçemeyen TBMM Lisans Bedellerine 1 Milyon Lira Ödedi

[9] Cumhurbaşkanlığı Whatsapp Kararı ile Kendi Genelgesiyle Çelişkiye Düştü

[10] Apple Eski iPhone’ları Bilerek Yavaşlatıyormuş

[11] Deprem ve Haberleşme Dosyası

[12] Bilişimde Ambargo ve Yaptırımlar Dosyası