​​Siber Alanın Stratejik Enstrüman Rolü

posted in Güvenlik & Teknoloji Raporları, Haberler & Güvenlik Olayları on by

İsrail ve ABD’nin İran’a yönelik hava saldırılarının başladığı saatlerde, milyonlarca İranlının telefonuna beklenmedik bir bildirim ulaştı. Kaynağı bir devlet kurumu değil; milyonlarca kullanıcısı bulunan bir namaz vakti uygulamasıydı. Mesajın başlığı netti: “Help is on the way.” İçeriği ise İranlı askerleri silah bırakmaya ve teslim olmaya çağırıyordu.

Bu olay, siber alanın modern çatışmalarda nasıl bir stratejik işlev üstlendiğini açık biçimde ortaya koymaktadır. Burada belirleyici olan, tekil bir uygulamanın ele geçirilmesi değil; önceden erişim sağlanmış bir dijital varlığın, kinetik saldırılarla eş zamanlı ve belirli bir hedef kitleyi etkilemek üzere aktive edilmesidir. Bu tür operasyonlar anlık refleksler değil, kriz anı için hazırlanmış ön konuşlanma stratejilerinin parçasıdır.

Konvansiyonel siber savaşlar, tam da bu tür operasyonel örnekler üzerinden şekillenmektedir. Bu çatışma biçiminde siber alan, bağımsız bir savaş sahası olmaktan ziyade; kriz öncesi hazırlık, çatışma anında baskı üretme ve çatışma sonrası dengeyi şekillendirme aracı olarak kullanılmaktadır. Çoğu zaman görünmez kalan bu operasyonların etkisi, konvansiyonel askerî kapasitenin etkinliğini doğrudan belirlemektedir.

Bu yaklaşımın sahadaki en görünür örneklerinden biri, Çin ve Tayvan arasında yaşanan gerilimlerde ortaya çıkmaktadır. Çin tarafından Tayvan’ın kritik altyapısına yönelik siber saldırılar düzenli ve süreklilik arz eden bir biçimde gerçekleştirilmektedir:

  • Donanım ve yazılım zafiyetlerinin sistematik exploitation’ı,
  • DDoS saldırıları ile service disruption ve service denial,
  • Hedefli social engineering kampanyaları (phishing ve “ClickFix” benzeri deception teknikleri),
  • Supply chain operasyonları.

Telekom ve ağ ekipmanları, 2025 itibarıyla siber casusluk ve ön konuşlanma faaliyetlerinde stratejik bir ara katman hâline gelmiştir. Bu altyapılar, yalnızca veri taşımakla kalmamakta; aynı zamanda uzun vadeli erişim, gözetleme ve kriz anında müdahale kapasitesi sunmaktadır.

Çin bağlantılı aktörlerin router ve ağ cihazı konfigürasyonlarını hedef alması, bu alanın neden yüksek stratejik değere sahip olduğunu göstermektedir. Bu tür erişimler, tekil bir saldırıdan ziyade; gerektiğinde aktive edilebilecek sessiz bir baskı mekanizması oluşturur.

İran’da ise, 2024–2025 dönemine ait teknik raporlar; sofistike zero-day exploit’lerden ziyade siber hijyen zafiyetlerinin sistematik biçimde istismar edildiğini göstermektedir. Öne çıkan teknikler arasında password spraying, password hash cracking, default credentials kullanımı yoluyla kullanıcı onay mekanizmasının aşılması ve elde edilen erişimin kalıcı hâle getirilerek (establishing persistence) hareket edilmektedir.

2025 Yılında Devlet Destekli Siber Operasyonların Analizi

Çin Halk Cumhuriyeti

2025 yılı itibarıyla Çin’in siber faaliyetleri, özellikle yakın çevresindeki jeopolitik alanlara odaklanmaktadır. Tayvan’ın resmî ulusal güvenlik değerlendirmesine göre Çin, Tayvan’ın kritik altyapısına dokuz farklı sektörde günde ortalama 2,63 milyon izinsiz erişim denemesi gerçekleştirmiştir. Bu veri, bir önceki yıla kıyasla artış eğilimine işaret etmektedir. Aynı değerlendirme, Çin kaynaklı siber faaliyetlerin askerî “combat readiness” devriyeleriyle zaman zaman korelasyon gösterdiğini; yıl içinde icra edilen devriyelere paralel olarak siber aktivitede tırmanış gözlemlendiğini ortaya koymaktadır.

Küresel ölçekte yayımlanan ortak Cybersecurity Advisory (CSA) dokümanlarında, Çin bağlantılı state-sponsored aktörlerin telekom altyapısı üzerinde kalıcılık elde etmeyi hedeflediği belirtilmektedir. Bu erişimin, Çin istihbarat servisleri açısından küresel ölçekte iletişim ve hareket takibi kapasitesi sağlayabilecek stratejik bir amaç oluşturduğu değerlendirilmektedir.

Avrupa bağlamında ise Çekya resmî makamları, Dışişleri Bakanlığı altyapısını hedef alan bir siber kampanyayı Çin bağlantılı bir aktöre atfetmiştir. Bu atıf, NATO ve Avrupa Birliği tarafından yayımlanan dayanışma açıklamalarıyla siyasî düzlemde desteklenmiştir.

Amerika Birleşik Devletleri

ABD’nin yaklaşımı iki katmanlıdır: bir yanda askerî ve istihbarî kapasite, diğer yanda sivil kritik altyapının korunmasına yönelik savunma mekanizmaları yer almaktadır. Volt Typhoon’a ilişkin yayımlanan raporlar, Çin bağlantılı aktörlerin olası bir kriz veya çatışma durumunda bozucu/yıkıcı etki yaratmak amacıyla ABD kritik altyapısında ön konuşlanma (pre-positioning) faaliyetleri yürüttüğünü ortaya koymaktadır. Hedeflerin özellikle iletişim, enerji, ulaşım ve su sektörlerinde yoğunlaştığı; operasyonel davranış kalıbının klasik istihbarat toplama faaliyetlerinden farklılaştığı vurgulanmaktadır.

Kurumsal koordinasyon boyutu ise sivil siber savunma kapasitesinin sürdürülebilirliği açısından önem taşımaktadır. Resmî nitelik taşımamakla birlikte kamuoyundaki bazı değerlendirmeler, sivil siber savunma birimlerinde yaşanan personel kayıplarının risk yönetimi üzerinde olumsuz etkiler doğurabileceğini tartışmaktadır. DarkReading’de yayımlanan bir analiz, bu durumu “tehlikeli bir dünyada riskli bir tercih” şeklinde değerlendirerek, özellikle DHS seviyesindeki işten çıkarmaların CISA’nın operasyonel kapasitesini etkileyebileceğine dikkat çekmektedir.

Rusya Federasyonu

Rusya’nın siber faaliyet profili, Avrupa’nın “hibrit tehdit” deneyimi bağlamında değerlendirilmektedir. AB Konseyi, Rusya’nın APT28’i kullanarak AB ve ortaklarına yönelik kötü niyetli siber faaliyetler yürüttüğünü; bu davranışın sorumlu devlet davranışı normlarıyla çeliştiğini ve özellikle Ukrayna başta olmak üzere çeşitli hedefler üzerinde baskı oluşturduğunu belirtmektedir.

Almanya’nın belgesi, APT28’in bir siyasî parti altyapısını hedef alan kampanyasını kayda geçirmiştir. NATO ise Almanya ve Çekya ile dayanışma pozisyonu alarak bu değerlendirmeyi siyasi olarak desteklemiştir.

Teknik çerçevede yayımlanan ortak advisory’ler, GRU’ya bağlı bir birimin (Unit 29155) casusluk, sabotaj ve itibar zedeleme (influence / disinformation support) amaçlı operasyonlar yürüttüğünü ortaya koymaktadır. Yıkıcı amaçla kullanılan WhisperGate malware’i ise tarihsel bir eşik olarak değerlendirilmektedir. Bu durum, Rusya’nın bu kapasiteyi yalnızca teorik değil, operasyonel olarak da uyguladığını göstermektedir.

İran İslam Cumhuriyeti

İran’ın siber operasyonel yaklaşımı, devlet bağlantılı aktörler ile devletle örtüşen veya devlet tarafından yönlendirildiği değerlendirilen hacktivist grupların iç içe geçtiği bir yapı olarak tanımlanmaktadır. Bu modelde resmî istihbarat unsurları ile ideolojik motivasyonlu ancak stratejik hedeflerle uyumlu siber gruplar arasında operasyonel paralellik gözlemlenmektedir.

İran Devrim Muhafızları bağlantılı aktörlere ilişkin yayımlanan rapor, özellikle su ve atık su sektöründe yaygın olarak kullanılan PLC ve HMI cihazlarının hedef alındığını belirtmektedir. Kampanyanın çoklu sektör ve çoklu ülkeyi etkilediği; bu nedenle siber-fiziksel etki (cyber-physical impact) riskini artırdığı değerlendirilmektedir.

2025 yılının ortasında yayımlanan ortak resmî değerlendirme belgesi, mevcut jeopolitik ortam nedeniyle İran bağlantılı aktörlerin yanlış yapılandırılmış (misconfigured) ağlara yönelmeye devam edebileceğini ortaya koymaktadır. Ayrıca hack-and-leak operasyonlarının ve DDoS temelli baskı faaliyetlerinin artabileceği; bazı vakalarda ransomware ekosistemiyle doğrudan veya dolaylı iş birliği görülebildiği vurgulanmaktadır.

Bu resmî çerçeve, ABD’de yayımlanan bir sağlık sektörü bilgilendirme notundaki değerlendirmelerle de örtüşmektedir. İlgili belgede, İran bağlantılı access broker aktörlerin ransomware saldırılarını kolaylaştırabildiği ve initial access aşamasında rol oynayabildiği belirtilmektedir.

Kurumsal Rol ve Kapasite Tartışmaları

Siber güvenlikte kurumsal kapasite, en az tehdit aktörlerinin yetenekleri kadar belirleyicidir. Savunma mimarisindeki zayıflıklar, en gelişmiş tehditlere dahi gerek kalmadan risk üretir.

ABD’de sivil siber savunma mimarisinin temel aktörlerinden biri olan Cybersecurity and Infrastructure Security Agency (CISA), sistemik risk yönetimine odaklanmaktadır. Kurum; Known Exploited Vulnerabilities (KEV) kataloğu, “Secure by Design” yaklaşımı ve ransomware ile mücadeleye yönelik merkezi rehberlik mekanizmalarıyla kritik altyapıların dayanıklılığını artırmayı hedeflemektedir.

Kamu-özel sektör eşgüdümünün merkezinde yer alan Joint Cyber Defense Collaborative (JCDC) ise ulusal düzeyde siber olay müdahalesini senkronize etmeyi amaçlayan bir yapı olarak konumlanmıştır. Bu çerçevede, özellikle yeni nesil teknolojiler ve yapay zekâ sistemleriyle ilişkili güvenlik risklerine yönelik ortak müdahale mekanizmaları geliştirilmektedir.

Bununla birlikte, sivil siber savunma kapasitesinde yaşanabilecek personel azalması gibi faktörlerin; kurumsal hafıza, olay koordinasyonu ve kamu-özel sektör arasındaki güven ilişkisi üzerinde etkiler doğurabileceği tartışılmaktadır. Operasyonel kapasitenin sürdürülebilirliği, kritik altyapı risk yönetiminin önemli bir bileşeni olarak değerlendirilmektedir.

Birleşik Krallık’ta National Cyber Security Centre (NCSC), yıllık değerlendirmelerinde devlet destekli aktörlerin ve yapay zekâ destekli sızma girişimlerinin arttığını; kritik ulusal altyapının hem suç grupları hem de devlet bağlantılı aktörler tarafından hedef alındığını vurgulamaktadır.

Avrupa Birliği kurumlarına siber güvenlik hizmeti sağlayan CERT-EU ise tehdit aktörlerinin motivasyonlarını, teknik yeteneklerini ve sektör bazlı hedefleme eğilimlerini analiz ederek özellikle servis sağlayıcılar ve tedarik zinciri üzerindeki yapısal risklere dikkat çekmektedir.

İttifak düzeyinde NATO, siber uzayı barış, kriz ve çatışma dönemlerinde operasyonel bir alan olarak ele almakta; entegre siber savunma kapasitesini güçlendirmeye yönelik kurumsal yapılanmalar geliştirmektedir.

2026 Yılı Devletler Arası Siber Savaş Senaryoları

2026 yılı itibarıyla devletler arası siber rekabetin temel ekseni, kritik altyapılar üzerinde kalıcı erişim kurma ve bu erişimi kriz anında stratejik kaldıraç olarak kullanma yaklaşımı etrafında şekillenmektedir.

Çin’in uzun vadeli sızma ve ön konuşlanma stratejisini sürdürmesi; enerji, telekom ve savunma iletişim ağlarında sessiz fakat sürekli bir varlık oluşturma hedefiyle uyumludur. Bu yaklaşım, doğrudan yıkımdan ziyade belirsizlik, baskı ve caydırıcılık üretmeyi amaçlamaktadır.

Rusya, hibrit harp doktrinini derinleştirerek siber operasyonları konvansiyonel askerî hamlelerle entegre biçimde kullanmaya devam edecektir. Enerji ve lojistik altyapıları üzerindeki erişimler, yalnızca istihbarat toplama değil; gerektiğinde hızlı şekilde aktive edilebilecek operasyonel etki alanları olarak konumlanmaktadır.

ABD açısından öncelik, rakip aktörlerin bu sessiz erişimlerini erken aşamada tespit etmek ve kritik altyapı dayanıklılığını artırmaktır. Kamu-özel sektör koordinasyonu, yapay zekâ destekli tehditlere hazırlık ve siber alanın konvansiyonel caydırıcılıkla entegrasyonu, bu stratejinin temel bileşenleri olacaktır.

İran ise bölgesel gerilimler bağlamında, vekil gruplar ve dolaylı operasyonel yapılar üzerinden siber casusluk ve sabotaj kapasitesini koruyacaktır. Doğrudan çatışma riskinin artması hâlinde, daha yıkıcı ve görünür siber operasyonlara yönelme ihtimali güçlenmektedir.

Bu eğilimler, siber alanın devletler arası rekabette ikincil değil, belirleyici bir katman hâline geldiğini göstermektedir.

Bu tablo, siber alanın artık “savaşın kendisi” olmaktan çok; kriz yönetimi, caydırıcılık ve stratejik baskı üretme aracı olarak konumlandığını ortaya koymaktadır. 2026 itibarıyla belirleyici olan unsur, en yıkıcı saldırıyı kimin gerçekleştirebildiği değil; kimin daha uzun süre fark edilmeden erişim tutabildiği ve bu erişimi ne zaman aktive etmeyi tercih ettiği olacaktır. Bu durum, siber güvenliği teknik bir savunma problemi olmaktan çıkararak, doğrudan ulusal güvenlik ve stratejik karar alma meselesi hâline getirmektedir.

Yazar Hakkında

Related posts:

  1. Blockchain Güvenliği: Cüzdan Saldırıları, Protokol Açıkları ve Denetim Eksiklikleri
  2. Sanal Fasulye Sırığı ve Gizli Tehlikeler: 11 Şubat Safer Internet Day (Güvenli İnternet Günü)
  3. Ekim Bitti, Peki Farkındalığımız Devam Ediyor mu?
  4. 2976’ya Hoş Geldik: Aynı Takvimde Değiliz