Siber Suçtan Savaş Alanına: “Ah keşke”lerin Ötesinde Bir Tehdit

Siber güvenlik ihmali çoğu zaman cüzdana, karta, kimlik hırsızlığına indirgeniyor; oltalama, kredi kartı dolandırıcılığı, izinsiz kredi çekme gibi vakalar mağdurlar için yıkıcı olsa da toplumsal söylemde çabuk “ah keşke”ye, “hangi bankaya güvenecektik” e sıkıştırılıyor. Oysa bugün birinin banka hesabının boşaltılması neyse, yarın aynı veri zincirinin bir insanı “hedef” ilan edip ölümüne götürebilecek operasyonel bir karar sürecine dönüşme riski aynı derecede gerçektir. Bu yüzden maddi mağduriyeti küçümsemek; güvenlik kültüründe, politika yapımında ve hukuki düzenlemelerde hayati hatalara yol açıyor.

(oltalama/finansal dolandırıcılığın toplumsal minimize edilmesi yanlış güvenlik algısı yaratır — bunun sonuçları teknik ve politika düzeyinde geniştir.)

MİA’nın “12 Gün Savaşı” Raporundan Çıkarılması Gereken Öğretici Uyarı

Milli İstihbarat Akademisi’nin “12 Gün Savaşı ve Türkiye İçin Dersler” raporu, sahadaki karmaşık mücadelelerin sadece kinetik değil; aynı zamanda siber, istihbarî ve teknolojik unsurlarla kazanıldığını gösteriyor. Rapordaki tespitler, düzensiz göç ve “sığınmacı görünümlüler” meselesinin sadece insani ve güvenlik boyutu olmadığını; aynı zamanda bu insanların, sahada teknik aparatların (gözlem, hedef tespiti, lojistik bilgi akışı) dolaylı ya da doğrudan parçası hâline getirilebileceğini ima ediyor. Bu, şu an için bir “saha gerçeği” uyarısıdır: sosyal/geçim verileri, kimlik belgeleri ya da konaklama bilgilerinin kötüye kullanılması, çatışma anında sivilleri hedefe dönüştürebilecek bir hattı besleyebilir.

Veri → Etiket → Hedef: Unit 8200 Modelinin Sivil Arenaya Yansıması

Unit 8200 benzeri yapıların genç, teknik ağırlıklı ve girişimci profili; bilgi üretme, analiz etme ve bunu hızla operasyonel hale getirme kapasitesi sağlıyor. Bugün Airbnb veya benzeri platformlardan “kim burada kalıyor” bilgisiyle nokta atışı yapabiliyorsan; yarın yemek, ulaşım, sağlık veya ücretsiz mesajlaşma uygulamalarından elde edilen konum/kimlik verileriyle aynı zinciri kurmak mümkün. Bu veri zinciri şöyle işler: platform verisi → yapay zekâ destekli sınıflandırma (şüpheli/şüphe dışı) → operasyonel hedefleme (insanlı/insansız platformlar). Sıradan bir hayatı yaşayan bir insan, tek bir algoritmik etiketle “terörist” ilan edilip hedef haline gelebilir — ve bu sadece bir senaryo değil, sahada gözle görülür bir risk. Microsoft’un yakın tarihli incelemeleri ve hizmet kısıtlamaları, büyük bulut sağlayıcılarının altyapılarının askeri ve kitlesel gözetim amaçlarıyla nasıl ilişkilendirilebildiğini de gözler önüne serdi.

Otonom Sistemler ve ‘Kilitleme’ Riski: Yüz Tanıma + Konum Doğrulama = Ölümcül Kombinasyon

BM ve insan hakları örgütlerinin vurguladığı temel risklerden biri şu: otonom veya yarı-otonom saldırı platformları, hedef seçimi sürecinde insan denetimini zayıflatıyor. Yüz tanıma algoritması bir hedefi kilitlediğinde, ardından o hedefin telefonundaki ücretsiz mesajlaşma uygulamasından gelen konum teyidiyle bu kilit “doğrulanırsa”, dronelar veya silahlı otonom platformlar için geri dönüşü olmayan bir tetik hattı oluşur. Bu zincirde hata payı, veri yanlılığı veya istismarın maliyeti bir ödeme hatasından çok daha büyük — insan hayatına mal olan bir fatura. BM’de LAWS (öldürücü otonom silahlar) konusunda süregelen tartışmalar ve insan hakları örgütlerinin uyarıları bu sorumluluk (accountability) boşluğunu açıkça gösteriyor; uluslararası hukuk bu boşluğu hızla doldurmazsa, mağdurlar için adalet mekanizmaları yetersiz kalabilir.

Türkiye İçin Net Tavsiye: SGB’nin Yetki, Denetim ve Ekosistem Rolü

SGB’nin (Siber Güvenlik Başkanlığı) var oluş sebebi yalnızca “saldırı olduktan sonra müdahale etmek” değil— zaten kurumun amaçları arasında yer aldığı gibi, ulusal siber ekosistemi güçlendirmek, genç yetenekleri yetiştirmek, kamu ve özel sektör arasındaki güven bağlarını tesis etmek ve uluslararası arenada Türkiye’den dünyaya açılan siber güvenlik markalarını güçlendirmek olmalı. Bu amaçlar, doğru kurgulandığında 8200 benzeri teknik kapasiteyi sivil, şeffaf ve hukuka bağlı bir zemine çekmenin anahtarıdır.

SGB, bu hedefleri uygularken şu temel yaklaşımı benimsemeli:

• Gençlik ve AR-GE desteğini etik merkezli yürütmek. 8200 modelinin sunduğu teknik dinamizm fark edildiğine göre , bunun yanında zorunlu etik eğitimi, insan hakları modülleri ve kamu yararına projeler sunulmalı. Yani gençlere sadece “nasıl kırılır?” değil; “ne için ve kim için inşa edilir?” sorusunu öğretmeliyiz.
• Ekosistemi marka haline getirmek. SGB destekli girişimler, uluslararası arenada “Türk siber mühendisliği” olarak anılacak şekilde desteklenmeli: finansman, mentorluk, uluslararası fuarlar ve sertifikasyonlarla gençler ve startuplar global pazara çıkarılmalı. Bu, aynı zamanda Türkiye’nin teknolojik egemenliğinin yumuşak gücünü artırır.
• Sorumluluk zincirini açıkça tanımlamak. Bulut sağlayıcısından algoritma tasarımcısına, operasyondan denetime kadar kimin hangi eylemden sorumlu olduğu netleşmeli; sözleşmelere insan hakları garantileri konulmalı. Bu sayede “altyapı sağlayıcısı masumdur” söylemi çöker, şeffaf hesap verilebilirlik tesis edilir.
• Toplumsal itibar yönetimi ve ‘fısıltı gazetesi’ etkisini düzenlemek. 1071, yerel ağlar veya informel topluluklar gibi sosyal etkileşim mekanizmalarının olumlu güçleri kullanılarak, yeteneklerin görünürlüğü artırılmalı; ama bilgi akışının manipülasyona açık noktaları da hukuki ve teknik araçlarla korunmalı.
• Veri minimizasyonu ve amaç sınırlaması zorunlu kılınsın. Platformlardan toplanan verinin hangi amaçla kullanılacağı, kimler tarafından erişilebileceği ve ne kadar süre saklanacağı yasayla sınırlandırılmalı; ihlal durumunda hızlı, bağımsız soruşturma mekanizması işletilmeli.

8200’dan alınacak ders kişilere göre farklılık gösterebilir; ancak SGB’nin farkı —ve görevi— siber güvenliğin sağladığı bu önemli gücü sivil, hukuki ve hesap verebilir bir çerçeveyle birleştirip ulusal marka haline dönüştürmektir. Microsoft gibi bir şirket “biz İsrail’e hizmet veren bazı teknolojileri engelledik” diyorsa, BM de “tamam, engellediniz; peki neler olmuş, kim hangi verilere erişti, hangi karar süreçleri tetiklendi?” diye soracaktır. İşte bu noktada SGB’nin elinde sadece savunma yapacak değil; aynı zamanda uluslararası denetime, adli incelemeye ve şeffaf sorgulamaya yanıt verebilecek teknoloji ve süreçler olmalı: erişim-logları, açıklanabilirlik araçları, bağımsız denetim raporları, kırmızı-takım (red-team) test sonuçları ve veri minimizasyon taahhütleri.

Böylece SGB, “biz savaş suçuna ortak değiliz” demekle kalmaz; BM nezdinde de uygulanan yöntemlerin doğruluğunu kanıtlayacak teknolojik ve hukuki altyapıyı sunar — hem uluslararası meşruiyeti güçlenir hem de gençlerin geliştirdiği çözümler dünyaya güvenle ihraç edilebilir. Aksi durumda, bugün ihmalle geçiştirilen finansal mağduriyetler; yarın insan hayatını doğrudan hedefleyen operasyonların altyapısını hazırlamış oluruz — ve o bedel geri alınamaz.

Teknoloji Savaşında Yeni Cephe: Bulutun Etiği, Otonominin Sorumluluğu

Çin ile ABD arasındaki teknolojik hegemonya rekabeti artık sadece çip, 5G veya ticaret yaptırımlarından ibaret değil. Bulut altyapıları, yapay zekâ modelleri, veri kümeleri ve otonom sistemler —gerçek anlamda— savaş alanını, istihbaratı ve hesap verebilirliği yeniden tanımlıyor. Son günlerde Microsoft’un bazı hizmetleri İsrail’in savunma birimiyle ilişkilendirdiği işbirliklerini askıya alması, BM düzeyinde otonom silahlarla işlenen suçların sorumluluğunu tespit etme çabalarının alevlenmesi ve Unit 8200 gibi aktörlerin hem “askerî” hem “girişimci” rolleri bu yeni dönemin görünür örnekleri oldu. Microsoft’un kendi açıklaması ve bağımsız medyada çıkan soruşturmalar, bu konunun artık şirketlerin etik sınırlarını da zorladığını gösteriyor.

1. Microsoft hamlesinin anlamı — teknolojiyi sağlayan da sorumlu mudur?
   Microsoft’ın açıklaması, belirli bulut ve yapay zekâ hizmetlerinin birimsel askeri kullanımını engellemeye yönelikti; şirket “sivillerin kitlesel gözetimi” gibi kullanım biçimlerine karşı yaptırım uyguladığını bildirdi. Bu adım, bir yandan büyük teknoloji firmalarının sadece “altyapı sağlayıcısı” değil, aynı zamanda kullanımın hukuka ve insan haklarına uygunluğundan dolaylı da olsa sorumlu tutulabileceği fikrini güçlendiriyor. Medyada çıkan ayrıntılar, bazı verilerin askerî hedef belirleme ve saldırı planlamasında kullanıldığı iddialarıyla birlikte anıldı — bu da bulut hizmeti sağlayıcılarının teknik ve etik sorumluluklarını merkezi bir tartışma haline getirdi.
2. BM ve uluslararası hukuk: otonom sistemler için sorumluluk arayışı
   BM Genel Kurulu’nun ve uluslararası insan hakları örgütlerinin gündemindeki “Lethal Autonomous Weapon Systems (LAWS)” — yani öldürücü otonom silahlar — konusu, yalnızca gelecekteki robot-savaşçıların yasaklanmasından ibaret değil. Tartışma, sorumluluğun kimde olduğu “algoritmanın hatası” ile “operasyonel karar” arasındaki ayrımı nasıl kuracağımız ve savaş suçu işlendiğinde kimin hesap vereceği sorusuna kilitleniyor. İnsan Hakları İzleme Örgütü (HRW) ve benzeri kurumlar, otonom karar mekanizmalarının insan hakları ihlallerine yol açma riskini vurguluyor ve uluslararası hukuki bir çerçevenin hızla oluşturulmasını istiyor. Bu alan, gerçek anlamda bir “hesap verme” mücadelesine dönüşüyor; şirketler, ordular ve siyasî aktörler arasındaki sorumluluk boşlukları kapatılmazsa hukuki ve etik kaosla karşılaşabiliriz.  Platformlar ve algoritmalar: Airbnb’den Instagram’a, verinin “hedefe dönüşmesi”
   Burada ele alacağımız asıl tehlike, günlük hayatımızda kullandığımız platformların —kasıtlı ya da istemeden— kişileri “hedef” haline getirebilecek bilgi zeminleri üretmesi. Günümüzde bir platform (ör. Airbnb) aracılığıyla kimlerin nerede konakladığı, hangi profillerin kime ait olduğu, yönlendirilmiş veri analitiği ve yapay zekâ filtreleriyle analiz edilerek “şüpheli” kategorilerine sokuluyor; bunu yapan sistemler ile operasyonel karar alıcılar (insanlı/insansız) birleştiğinde kişilerin yaşamı doğrudan risk altında kalıyor. Bu risk, kadın, çocuk, yaşlı veya sivil fark etmeksizin herkesi kapsıyor — “terörist” damgası; otomatik etiketleme ve hedefleme zincirinde ölümcül bir nihai sonuç yaratabilir. Uluslararası deneyimler ve raporlar gösteriyor ki otonom hedef seçimi ve veri temelli karar destekleri, sivillerin hayatına doğrudan etki edebiliyor; buna karşı hukuki ve teknik önlemler alınmazsa sonuçları felaket olabilir.
3. Unit 8200: genç kadrolar, teknoloji transferleri ve “startup ekosistemi”
   Unit 8200’ın yapısı, genç ve yetenekli teknisyenlerden oluşan bir rezervuar oluşturuyor; mezunları sıklıkla girişimciliğe atılıyor, startuplar kuruyor ve küresel sermayeyle bağlar kuruyorlar. Bu model, askeri uygulamalarda kazanılan teknik bilgi ve hızın sivil teknolojiye —ve tersi— akmasını sağlıyor. Dolayısıyla birimlerin hem savunma hem de ticari dünyaya sağladığı teknoloji-örüntüsü, etik sorumlulukların yeniden tartışılmasını gerekli kılıyor: askeri amaçlarla geliştirilen araçların sivil hayata aktarımı ve platformların hedefe yönelik kullanımı nasıl denetlenecek? Unit 8200’ın “teknoloji ve girişimcilik” rolü, aynı zamanda devletin siber politika tercihleri ile özel sektörün küresel ilişki ağları arasında yeni sorumluluk düğümleri oluşturuyor.
4. Türkiye bağlamı — SGB (Siber Güvenlik Başkanlığı) ve olası iz düşümü
   Türkiye’deki sivil siber yapıların —örneğin bir “Siber Güvenlik Başkanlığı” (SGB)— sorumluluk çerçevesi, hem iç güvenlik hem de uluslararası yükümlülükler bakımından yeniden düşünülmeli. İsrail örneğinde gördüğümüz gibi, devlet aktörlerinin teknik ihtiyaçları ile küresel tedarikçiler arasındaki ilişki, hukuki ve etik sorumluluk sorularını doğuruyor. Türkiye açısından şu çıkarımlar mantıklı ve acil:

• SGB’nin görev, yetki ve denetim mekanizmaları açık, şeffaf ve hukukî olmalı; sivil denetim imkânları güçlendirilmeli.
• Bulut ve yapay zekâ hizmetleriyle yapılan askeri/savunma entegrasyonlarında üçüncü taraf tedarikçilerin sözleşme ve uyum yükümlülükleri sıkılaştırılmalı (özellikle gizlilik, veri işleme, askeri amaçlar için kullanım sınırlamaları).
• Gerekirse “etik değerlendirme kurulları” ve bağımsız insan hakları gözetimi devreye sokulmalı; LİSANS ve denetim mekanizmaları ile “otomasyonla ölüm” riskleri azaltılmalı.
• Gençlere yönelik teknik eğitim ve yetenek geliştirme politikaları, yalnızca savunma kapasiteleri geliştirmek için değil, aynı zamanda etik teknoloji üretimi ve kamu-yararı projelerine yönlendirilmelidir.

6. Tehdit modelleri: bugün Airbnb, yarın yemek/ulaşım uygulamaları
   Aslında asıl tehlike çok net: bugün konaklama bilgileri üzerinden hedef gösterme yapılabiliyorsa, yarın yemek siparişi, ulaşım veya sağlık uygulamalarından elde edilen veriler aynı işlevi görebilir. Konum, kimlik doğrulama verileri, sosyal graf ve davranış verisi birleştiğinde —yeterli motivasyon ve uygun teknik altyapı varsa— hemen herkes “hedef” haline getirilebilir. Bu yüzden veri minimizasyonu, amaç sınırlaması, güçlü anonimleştirme ve en önemlisi hukuki garantiler olmazsa olmaz hale geliyor.
7. Ne yapılmalı? Somut öneriler — kısa vadede ve uzun vadede
   Kısa vadede:

• Bulut ve yapay zekâ sözleşmelerinde insan hakları uyum yükümlülüğü şart koşulsun; denetim mekanizmaları oluşturulsun. (Sağlayıcılarla yapılan anlaşmalarda “kullanım koşulu ihlali” için otomatik durdurma ve açıklama mekanizmaları bulunmalı. https://blogs.microsoft.com/on-the-issues/2025/09/25/update-on-ongoing-microsoft-review/
• Otonom sistemleri kullanma ve test etme süreçlerinde herkese açık raporlama zorunluluğu getirilsin; sivillerin korunması öncelikli kılınsın.

Orta-uzun vadede:

• Ulusal ve uluslararası düzeyde “sorumluluk zinciri” (accountability chain) oluşturulsun: donanım tasarımcısından operasyona kadar kimin hangi eylemden sorumlu olduğuna dair net hukuki normlar geliştirilsin.
• Genç yetenek programları, askeri-teknik yetiştirmeyi desteklerken aynı zamanda etik teknoloji ve insan hakları eğitimi içermeli; böylece mezunlar hem teknik hem de etik bakımdan donanımlı hale gelsin. Unit 8200’ın girişimcilik rolü bu açıdan ders verici; benzer modeller sivil çerçevede, şeffaflık ve denetime dayalı olarak işletilebilir.

Uyanık, hazırlıklı ve insan merkezli bir yaklaşım şart
Teknoloji, irademiz dışında bizi bir silaha dönüştürebilir ya da tam tersine hayatı kurtaran bir araç haline gelebilir. Microsoft’un son hareketi, BM’deki otonom silahlar tartışması ve Unit 8200’ın hem askerî hem girişimci yüzü bize şunu söylüyor: teknoloji yalnızca teknik değil, aynı zamanda etik, hukuki ve siyasal bir meseledir. Türkiye’nin sivil siber kurumları (SGB gibi) bu gerçeği göz önünde bulundurarak hem gençleri yeteneklendirmeli hem de uluslararası hukuka ve insan haklarına saygıyı koruyacak denetim mekanizmalarını ivedilikle kurmalıdır.

“Ah keşke” dememek için bugün harekete geçelim

Siber güvenlik ihmali sadece bireysel bir cepten kayıp değil; ilerleyen teknoloji, ihmal edildiğinde toplumsal ve hatta varoluşsal risklere dönüşebilir. MİA raporu bize bölgesel dinamiklerin ve sahadaki melez tehditlerin ne kadar çabuk tırmanabileceğini gösterdi. Microsoft/medya vakaları ve BM süreçleri bize sorumluluk zincirindeki boşlukları işaret ediyor. Bunları görmezden gelmek, yarın bir gün kapımıza gelen “teknolojik ölüm” çağrısına sessizce kapıyı açmakla eşdeğer olabilir. Şimdi yapılacak işler var: hukuki düzenleme, denetim, etik eğitim, sağlayıcı sözleşmelerinde insan hakları yükümlülüğü ve şeffaf hesap verilebilirlik.

https://blogs.microsoft.com/on-the-issues/2025/09/25/update-on-ongoing-microsoft-review/

https://mia.edu.tr/uploads/f/01082025_1.pdf

https://www.theguardian.com/world/2025/aug/06/microsoft-israeli-military-palestinian-phone-calls-cloud?

https://www.reuters.com/world/middle-east/hezbollah-pager-attack-puts-spotlight-israels-cyber-warfare-unit-8200-2024-09-18/

https://www.hrw.org/report/2025/04/28/hazard-human-rights/autonomous-weapons-systems-and-digital-decision-making?

https://www.resmigazete.gov.tr/eskiler/2025/01/20250108-1.pdf

https://impact.8200.org.il