Son aylarda çeşitli Avrupa ülkelerinde devlet kurumları ve özel sektör kuruluşlarının siber saldırılara maruz kaldığını; özellikle enerji, sağlık, iletişim ve kritik altyapı tesislerinin hedef alındığını, ayrıca çok sayıda vatandaşın kişisel verilerinin de ele geçirildiğini hatırlatmıştır.

Bu gelişmeler, devletlerin ve devlet dışı aktörlerin siber kapasitesini sistematik biçimde artırdığını, hibrit tehditlerin ise giderek daha karmaşık ve çok boyutlu hâle geldiğini açıkça ortaya koymaktadır.

Bölgemizde yaşanan çatışmalarda; siber saldırı, elektronik harp, bilgi destek ve psikolojik harekât unsurlarının birbirini tamamlayacak şekilde kullanıldığı görülmektedir.

İspanya’da kısa bir süre içerisinde meydana gelen en az dört tren kazası da kamuoyunda endişe yaratmıştır. İlk resmî açıklamalarda kazalar; altyapı sorunları, hava koşulları ve insan hatası gibi farklı nedenlerle ilişkilendirilmiştir. Mevcut açık kaynak temelli teknik bulgular, bu kazaların doğrudan bir siber saldırı sonucu gerçekleştiğine işaret etmemektedir. Eş zamanlı sinyalizasyon çökmesi, merkezi kontrol kaybı ya da emniyet sistemlerinin devre dışı kaldığına dair somut bir veri bulunmamaktadır.

Ayrıca, yakın dönemde Yunanistan’da hava trafik kontrol sisteminin bilinmeyen bir nedenle devre dışı kalması, kritik ulaşım altyapılarının hibrit tehdit ortamında ne denli kırılgan olabildiğini göstermiştir.

Her iki örnek de doğrudan bir siber saldırı tespiti yapılmamış olsa dahi, ulaştırma altyapılarının yüksek riskli ve stratejik nitelikte olduğunu ortaya koymaktadır. Bu tablo, demiryolu ve havacılık altyapılarının hibrit tehdit ortamında kritik öneme sahip olduğu gerçeğini bir kez daha vurgulamaktadır.

Bu çerçevede, yeni kurulan Siber Güvenlik Başkanlığı’nın yalnızca olaylara tepki veren bir yapı olmaktan çıkıp; önleyici, sürekli ve bütüncül bir siber savunma yaklaşımıyla hareket etmesi hayati önem taşımaktadır. Finans, enerji, sağlık, ulaştırma ve iletişim gibi kritik sektörlerde başlayacak; kamu, özel sektör, Türk Silahlı Kuvvetleri ve akademik yapıları kapsayan ulusal siber savunma tatbikatlarının vakit kaybetmeden hayata geçirilmesi gerekmektedir.

Ayrıca, Siber tehditleri ulusal güvenlik meselesi olarak ele alan, mevcut dağınık mevzuatı tek çatı altında birleştiren, devletin yetki ve sorumluluklarını netleştiren ve vatandaşları koruyan bir Siber Savunma Kanunu’na ihtiyaç vardır.

Burada özellikle altı çizilmesi gereken husus, siber savunma ile siber emniyet kavramlarının birlikte ele alınması gerekliliğidir. Siber savunma, kasıtlı ve düşmanca saldırılara karşı caydırıcılık ve karşılık verme kapasitesini ifade ederken; siber emniyet ise, sistemlerin kaza, ihmal, teknik arıza ve zincirleme hatalara karşı dayanıklılığını kapsamaktadır.

Ulaştırma, enerji, sağlık, iletişim ve finans gibi kritik alanlarda hem siber savunma hem de siber emniyet perspektifiyle denetimlerin artırılması, senaryo temelli stres testlerinin yapılması ve kurumsal sorumluluk zincirlerinin net biçimde tanımlanması artık bir tercih değil, doğrudan ulusal güvenlik zorunluluğudur.