Arama yapmak için lütfen yukarıdaki kutulardan birine aramak istediğiniz terimi girin.

Uluslararası Hukukta Yeni Bir Kavram Veri Elçiliği: Ütopya ve Gerçeklik

A New Concept in International Law Data Embassy: Utopia and Reality

Berkant AKKUŞ

Bu makale, uluslararası kamu hukuku çerçevesinde veri elçiliği kavramını incelemektedir. Veri elçiliği terimi, hassas dijital bilgilerin korunması ve yönetilmesi temel amacıyla, geleneksel bir elçiliğe benzer şekilde, yabancı bir yargı alanında bulunan güvenli ve egemen veri depolama tesislerinin kurulmasını ifade eder. Uluslararası hukuk ilkelerine dayanan bu makale, veri elçiliklerinin diplomatik misyonlara benzer şekilde ayrı bir hukuki statüye sahip kuruluşlar olarak tanınmasının fizibilitesini değerlendirmekte ve faaliyetlerini yönetmek için teamül ve andlaşma temelli normların uygulanmasını araştırmaktadır. Makale ayrıca, ev sahibi devletlerin veri elçiliklerini kendi hukuk sistemleri içinde barındırmadaki rolünü ve gönderen ve kabul eden devletler arasındaki ilişkileri düzenlemek için ikili veya çok taraflı anlaşmaların potansiyelini değerlendirmektedir. Bu makale, veri elçiliklerini çevreleyen yasal çerçeveye ilişkin gelişen söyleme katkıda bulunmayı amaçlamaktadır. Nihayetinde, giderek daha fazla birbirine bağlanan ve veriye bağımlı hale gelen küresel ortamda veri güvenliği, egemenlik ve diplomatik ilişkilerin zorunluluklarını dengeleyen tutarlı ve uluslararası kabul görmüş bir yasal çerçevenin geliştirilmesine yönelik içgörü sağlamayı amaçlamaktadır.

Siber Saldırı, Veri Elçiliği, Dijital Diplomasi, Diplomatik Dokunulmazlık.

This paper examines the concept of data embassy within the framework of public international law. The term data embassy refers to the establishment of secure and sovereign data storage facilities located in a foreign jurisdiction, akin to a traditional embassy, with the primary objective of safeguarding and managing sensitive digital information. Based on principles of international law, this paper evaluates the feasibility of recognizing data embassies as entities with a distinct legal status, akin to diplomatic missions, and explores the application of customary and treaty-based norms to govern their operations. Furthermore, the article considers the role of host states in accommodating data embassies within their legal frameworks and the potential for bilateral or multilateral agreements to regulate the relationships between the sender and receiver states. This paper aims to provide contribution to the evolving discourse on the legal framework surrounding data embassies. Ultimately, it seeks to provide insights into the development of a coherent and internationally accepted legal framework that balances the imperatives of data security, sovereignty, and diplomatic relations in an increasingly interconnected and data-dependent global landscape.

Cyber Attack, Data Embassy, Digital Diplomacy, Diplomatic Immunity.

I. Giriş

Siber terörizm, 21. yüzyılda küresel güvenlik ve bilgi için büyük bir tehdit oluşturmaktadır.1 2007 yılında Estonya, hükümet hizmetlerini ve bankacılık sistemini durma noktasına getiren bilgisayar korsanlarının ana hedefi olmuştur.2 Estonya kabinesi ulusal veri kaybının farkındadır. Örneğin: Bankaların, devlet kurumlarının ve başkanlık ofisinin kilit internet sunucuları saldırılara yenik düşmüştür. Bilgisayar korsanları tarafından parlamento üyelerinin kişisel mesajlarının ve özel banka hesaplarının ayrıntılarının kamuya açık hale getirileceği tehdidinde bulunulmuştur. Sonuç olarak siber saldırı sürecinde Estonya’daki bankalar neredeyse kapanmak üzeredir. Bu durum uluslararası bankacılığı etkilemiştir, finansal işlemleri yavaşlatmıştır ve büyük parasal maliyetlere yol açmıştır.3 Bu saldırı, tarihteki en büyük siber saldırılardan birisidir. İlk dağıtık hizmet reddi (DDoS) saldırısı 27 Nisan 2007’de başlayıp 18 Mayıs 2007’de sona ermiştir. Saldırının sonuna doğru bilgisayar korsanları tüm kamu sektörü veri iletişim ağının işleyişini durdurmaya çalışmıştır.4 Estonya Cumhuriyeti Dışişleri Bakanı saldırıyı aynı anda hem sanal, hem psikolojik, hem de gerçek olarak tanımlamıştır. Estonya Cumhurbaşkanı Toomas Hendrik Ilves, bugün altyapıyı yok etmek için füzelere ihtiyacımız olmadığını belirtmiştir. Saldırılar artık herkes tarafından yapılabilmektedir, ancak belirli koşullar altında çevrimiçi olmak yeterlidir.5

2008 ve 2009 yıllarında daha fazla siber saldırı gerçekleştirilmiştir. Bilgisayar korsanları Belarus’taki Özgür Avrupa Radyosu’na, Litvanya internet sitelerine ve Gürcistan Cumhurbaşkanı Mikhael Saakashvili’nin internet sitesine saldırmıştır.6 Ancak bu saldırılar 2007 yılında Estonya’yı hedef alan saldırılardan daha az zarar vericidir. Birleşmiş Milletler Genel Kurulu’nun 62. oturumunda Estonya Cumhurbaşkanı, 2007 yılının Nisan ve Mayıs aylarında Estonya’nın kapsamlı bir siber saldırıyla başarılı bir şekilde başa çıktığını ve edindikleri bilgi birikimini diğer ülkelerle paylaşmaya hazır olduklarını ifade etmiştir.7 Estonya Cumhurbaşkanının uluslararası toplumu siber güvenlikle ilgili konularda, yasal konularda iş birliği yapmaya, uygun bir yasal alan oluşturmaya ve Avrupa Konseyi Siber Suç Sözleşmesi’ne katılmaya teşvik ettiği anlaşılmaktadır. Uluslararası toplum bu sesin önemini kabul etmiştir. Siber suçlarla ilgili olarak köklü değişiklikler meydana gelmiştir. 36 devlet Siber Suç Sözleşmesi’ni onaylamıştır, Estonya ise ulusal mevzuatını değiştirmiştir ve artık siber suçları cezalandırmaktadır.8

Mayıs 2008’de Estonya Savunma Bakanlığı, Eğitim ve Araştırma Bakanlığı, Adalet Bakanlığı, Ekonomik İşler ve İletişim Bakanlığı, İçişleri Bakanlığı ve Dışişleri Bakanlığı ile iş birliği içinde 2008-2013 Siber Güvenlik Stratejisi başlıklı belgeyi Estonya Hükümetine sunmuştur. Bu strateji belgesi, bir bütün olarak ülkenin siber uzayın doğasında var olan güvenlik açıklarını azaltmayı amaçlamıştır.9 Ayrıca 2013 yılında Estonya Hükümeti, e-devlete yönelik yenilikçi yaklaşımını ve ne olursa olsun ulusal dijital sürekliliği sağlama ihtiyacını yansıtan veri elçiliği girişimi başlıklı bir proje başlatmıştır. Bu adımlar Estonya’da siber suç sorununu önlemek için daha güçlü tedbirler alınmasıyla sonuçlanmıştır. Bu stratejinin sonuçlarından biri de Estonya’nın kritik altyapısının tanımlanması olmuştur.10

Dört yıl sonra, 20 Haziran 2017 tarihinde Lüksemburg’da Estonya Bakanlar Kurulu, Lüksemburg Büyük Dükalığı ile veri ve bilgi sistemlerinin barındırılmasına ilişkin bir anlaşma imzalamaya karar vermiştir.11 Bu anlaşma, Estonya verilerinin barındırılacağı veri merkezi olan veri elçiliğini, yani veri ve bilgi sistemleri, ekipman ve lisanslar ile telekomünikasyon ve depolama sistemleri gibi ilgili bileşenleri belirlemektedir.12

Estonya dünyanın dijital açıdan en gelişmiş toplumlarından biridir. Estonyalılar neredeyse tüm kamu ve özel sektör işlemlerini dijital ortamda gerçekleştirebilmektedirler.13 Veri elçiliği kurumu, modern ve güvenli bir e-devlet sistemi yaratmaya yönelik bu modele uygundur.14

Avrupa Patent Örgütü ve Lüksemburg Büyük Dükalığı’nın 5 Mart 2018 tarihinde Lüksemburg’da Avrupa Patent Örgütü arşivlerinin dokunulmazlığına ilişkin Tamamlayıcı Anlaşmayı imzaladıklarını belirtmek gerekir. Tamamlayıcı anlaşma 25 Temmuz 2018 tarihinde yürürlüğe girmiştir.15 Bu anlaşma, Avrupa Patent Örgütü’ne ait olan veya Avrupa Patent Örgütü tarafından tutulan tüm arşivlerin, yazışmaların, belgelerin, el yazmalarının, fotoğrafların, filmlerin, kayıtların, bilgisayar ve medya verilerinin, veri taşıyıcılarının ve diğer benzer materyallerin barındırılacağı bir yer oluşturan dünyadaki ikinci düzenlemedir.16

Bu makalenin amaçlarından biri, veri elçiliğinin uluslararası kamu hukuku kapsamında yeni bir kurum olup olmadığı sorusuna cevap vermektir. Ayrıca, veri elçiliğinin siber suçlarla mücadele konusunda uluslararası kamu hukukunun geliştirilmesi üzerinde önemli bir etkisi olup olmadığı sorusu ortaya çıkmaktadır. Makale ayrıca, diplomatik misyon binaları veya konsolosluk binaları ile karşılaştırıldığında veri elçiliği binalarının hukuki statüsüne ilişkin soruyu da yanıtlamaya çalışmaktadır. Makale, Diplomatik ve Konsolosluk İlişkileri Hakkında Viyana Sözleşmeleri’nin hükümlerini dikkate alarak 20 Haziran 2017 tarihli anlaşmanın hükümlerini karşılaştırmaktadır.

II. 21’inci Yüzyılda Avrupa’da Siber Saldırılar: Estonya Örneği

Siber saldırının nedeninin muhtemelen 1947 yılında Sovyet ordusunun Nazilere karşı kazandığı zaferin bir sembolü olarak Tallinn’de dikilen Bronz Asker adlı Sovyet anıtının yerinin değiştirilmesi kararı olduğu öne sürülmüştür. Rus Hükümeti bu karara itiraz etmiştir.17 Etnik Ruslar Estonyalı yetkililere karşı ayaklanmalar düzenlemiştir, ancak tek sonuç bu değildir. Moskova’da Estonya’nın ulusal bayrağı elçilik binasında yırtılmıştır. Estonya Cumhuriyeti Dışişleri Bakanı, tüm bunların Diplomatik İlişkiler Hakkında Viyana Sözleşmesi’ni ihlal ettiğini belirtmiştir. Göstericiler Estonya büyükelçiliğindeki Estonya bayrağını yırtmakla kalmamış, aynı zamanda bayrağı binanın önünde yakmışlardır. Dahası, Moskova’daki Estonya büyükelçiliğinin normal işleyişini engelleyerek, misyon şefi de dahil olmak üzere birkaç diplomata fiziksel saldırıda bulunmuşlardır.18 27 Nisan 2007 tarihinde Estonya’nın bilgi işlem ve ağ altyapısı, DDoS saldırısı olarak bilinen bir şekilde, sunucularına büyük miktarlarda veri gönderilerek durdurulmuştur ve etkili bir şekilde felce uğratılmıştır.19

Estonya Cumhuriyeti Dışişleri Bakanı, Rus Hükümetini ülkesine karşı siber suç faaliyetlerini koordine etmekle suçlamıştır. Rusya saldırılarla herhangi bir ilgisi olduğunu ya da Estonya’nın güvenliği ve egemenliğine karşı saldırganlarla herhangi bir şekilde iş birliği yaptığını reddetmiştir.20 Siber saldırıların ilk birkaç gününde yerel toplum tamamen aciz durumdadır. Siber saldırıların ana hedefleri şunlardır: Estonya internet altyapısından sorumlu kurumların sunucuları, hükümet ile siyasi hedefler, özel sektör tarafından sağlanan hizmetler, kişisel ve rastgele hedefler olmuştur.21 Dahası, saldırıları koordine etmek için kamu propagandası ve saldırı talimatlarının yayılması kullanılmıştır. Estonya’nın siber bomba tarafından taş devrine sürüklendiğini kabul edilmektedir.22 1 Mayıs 2007’de saldırılar artmış ve ağırlıklı olarak devlet kurumlarının web ve isim sunucularını hedef almıştır. Bir hafta sonra, 9 Mayıs 2007’de, siber saldırıların Estonya’yı siber abluka altına almaya çalıştığı görülmüştür.23 Estonya, siber saldırıların ardından üçüncü bir eylem aşaması olan sunucu altyapısını güçlendirmeyi kullandığı için saldırıları başarıyla savuşturmuştur. Sonuç olarak, saldırılar 18 Mayıs 2007 tarihinde sona ermiştir, ancak bankalar bu tarihten sonra bile azalan düzeyde kesintiler yaşamaya devam etmiştir.24 10 Mayıs 2007 tarihinde Avrupa Parlamentosu, 18 Mayıs 2007 tarihinde Samara’da gerçekleştirilecek olan AB-Rusya Zirvesi ile ilgili olarak, Avrupa Birliği’ni Estonya ile dayanışma göstermeye ve Tallinn’deki son olaylar bağlamında Rusya’ya tek sesle seslenmeye çağıran bir karar almıştır. Ayrıca Rusya’ya, yabancı diplomatların korunmasını ve yabancı elçiliklerin normal işleyişini garanti altına almak suretiyle Diplomatik İlişkiler Hakkında Viyana Sözleşmesi kapsamındaki yükümlülüklerine tam olarak riayet etmesi çağrısında bulunmuştur.25

24 Mayıs 2007 tarihinde Avrupa Parlamentosu, resmi iletişim hatlarını ve Estonya yönetiminin web sitelerini engellemek amacıyla, çoğunlukla Estonya dışından sistematik siber saldırılar düzenlendiğini teyit eden bir başka kararı kabul etmiştir.26 Dahası, bu saldırıların Rus yönetiminin IP adreslerinden geldiği gerçeği de yeniden teyit edilmiştir. Dahası, saldırılar yoğun propaganda saldırıları niteliğine sahiptir ve silahlı direniş ile daha fazla şiddet çağrısı yapan internet ya da cep telefonu mesajları yoluyla devam etmiştir.

Avrupa Parlamentosu, Estonya’nın tüm sakinleri için düzen, istikrar ve hukukun üstünlüğünü sağlama çabalarında demokratik yollarla seçilmiş Estonya Hükümetini desteklediğini ve onunla dayanışma içerisinde olduğunu ifade etmiştir. Ayrıca, AB’nin en küçük üye devletlerinden birini hedef alan saldırıların Avrupa Birliği’nin dayanışması açısından bir sınav niteliğinde olduğunu ifade edilmiştir. Buna ek olarak Avrupa Parlamentosu, Avrupa Komisyonu ve tüm üye devletleri Estonya internet sitelerine yönelik siber saldırıların analizine yardımcı olmaya çağırmıştır. Ayrıca, Avrupa Parlamentosu bu tür saldırı ve tehditlerin AB düzeyinde nasıl ele alınabileceğine ilişkin bir çalışma yapılmasını istemiştir ve Rusya’yı bu soruşturmalara tam olarak yardımcı olmaya çağırmıştır.27

Siber saldırının sonuçları Estonyalıların, doğrudan ekonomik ve daha geniş toplumsal etkileri göz önüne alındığında, gelecekte saldırıları önlemek için özel tedbirler alınması gerektiğinin farkına varmalarını sağlamıştır. Estonya, siber suçları cezalandırarak ve 2008-2013 Siber Güvenlik Stratejisini kabul ederek hukuk sistemini değiştirmiştir. Lüksemburg Büyük Dükalığı ile Estonya Cumhuriyeti arasında imzalanan anlaşma, Estonya’da siber güvenliğin geliştirilmesine yönelik bu sürecin doruk noktası olmuştur.

III. Veri Elçiliği ve Uluslararası Kamu Hukuku

Estonya Cumhuriyeti veri elçiliği ve Avrupa Patent Örgütü veri elçiliği Lüksemburg Büyük Dükalığı tarafından sağlanan binalarda yer alacaktır.28 Tüm Estonya ve Avrupa Patent Örgütü verileri burada barındırılacağından, tesislerin özel korumadan yararlanması gerektiği tartışmasızdır. Bu nedenle, bu binaların yasal statüsü ve diplomatik misyon binaları veya konsolosluk binaları ile aynı düzeyde uluslararası korumaya sahip olup olmamaları gerektiği sorusu ortaya çıkmaktadır.