Waaruit bestaat deze bedreiging dan precies?

De afgelopen week zijn er meerdere media-uitingen geweest over hoe kwetsbaar Nederland nu eigenlijk is voor cyberaanvallen door vreemde mogelijkheden. Minister Grapperhaus (BZK) heeft het in de meest recente Cyberagenda van zijn departement aangegeven dat de bedreiging acuut en directe actie geboden is. Maar waaruit bestaat deze bedreiging dan precies?

Oorlogvoering is één van de oudste georganiseerde bezigheden van de mensheid en tot in de puntjes beschreven door allerlei geleerden, strategen en filosofen. Door de geschiedenis zien we telkens weer dat nieuwe technologische ontwikkelingen in zéér korte tijd geschikt gemaakt voor, en ingezet worden op het slagveld:

  • De eerste ballonvlucht van de gebroeders Montgolfier vond plaats in 1783. De eerste militaire inzet van observatieballonnen volgde krap 11 jaar later bij de slag van Fleurus (1794);
  • De gebroeders Wright wisten in december 1903 met de Flyer een van 37 meter te maken. Nog geen 9 jaar later gebruikten de Italianen “Etrich Taube” bommenwerpers in de Italiaans-Turkse oorlog;
  • In 1932 beschreef de Duitse wetenschapper de manier waarop sommige organofosfaten de overdracht van zenuwprikkels kunnen verstoren, een zéér effectieve manier om plaagdieren te vergiftigen. Binnen 2 (!) jaar had het Nazi-regime door dat dit ook gebruikt kon worden als gifgas voor oorlogvoering en werd het zenuwgif Sarin ontwikkeld (en in enorme hoeveelheden geproduceerd)…

Oorlogvoering op het digitale slagveld is wezenlijk anders

Met de verder- en verdergaande digitalisering van de samenleving is het dan ook logisch dat ook dit terrein deel is gaan uitmaken van het slagveld. Maar oorlogvoering op het digitale slagveld is wezenlijk anders dan conventionele oorlogvoering, en hier zijn drie hoofdredenen voor aan te wijzen:

  1. Cyber Warfare is zeér precies. Hiermee bedoelen we dat dit type oorlogvoering bijzonder veel schade kan aanrichten aan het beoogde doelwit met relatief weinig schade aan onbedoelde systemen – het zogenaamd “Collateral Damage”. Vergelijk de bombardeercampagnes tegen de productiecapaciteiten van nazi-Duitsland maar eens met de gerichte “Smart Weapons” die zijn ingezet bij de bombardementen tegen Servische doelwitten in 1999: in Keulen, Hamburg en Wesel zijn (opgeteld) meer dan tweehonderdduizend mensen omgekomen terwijl het dodental van de NATO-aanvallen op Servië rond de 1100 ligt. Dit klinkt als een voordeel, maar het maakt het óók eenvoudiger om dit wapen in te zetten – er zal minder weerstand onder de eigen bevolking zijn en de internationale gemeenschap zal ook minder geneigd zijn met militaire middelen te reageren;
  2. Cyberaanvallen zijn “assymmetrisch” van aard. Rusland, Noord-Korea en China hebben weliswaar grote legers inclusief massavernietigingswapens, maar in een openlijk conflict met de NATO of zelfs maar de VS alleen zouden ze, zelfs gezamenlijk, enorme verliezen lijden. Maar voor cyberaanvallen is weinig meer nodig dan een stel goede hackers, laptops en een internetverbinding. En zeker door deze hackers te integreren kunnen ze wat in het militaire jargon een “Force Multiplier” vormen. Door de luchtverdedigingssystemen van de vijand lam te leggen worden de eigen luchtstrijdkrachten vele malen krachtiger, bijvoorbeeld;
  3. De daders zijn gemakkelijker in staat om hun sporen te verhullen of te vervalsen. Dit maakt “Plausible Deniability” mogelijk: de dader kan ontkennen verantwoordelijk te zijn voor een aanval, wat bij een openlijke militaire aanval véél lastiger is. Vergelijk het Israëlische bombardement op de Irakese Osirak-reactor in 1980 maar eens met de Stuxnet-cyberaanval op het Iraanse nucleaire programma. De oorsprong van zwaarbewapende F-16’s is lastiger te verbergen dan die van een computervirus!

Cyber-Warfare

Al met al wordt cyber-warfare dus gezien als “low-cost, low-risk, high-impact” optie voor oorlogvoering. Het is dus niet verbazingwekkend dat ieder zichzelf respecterend land inmiddels één of meerdere militaire digitale eenheden inzetbaar heeft. Deze eenheden worden meestal gelijkgesteld met de cyber-eenheden van inlichtingendiensten en dan “Advanced Persistent Threats” (APTs) of State-Actors genoemd. Dit is echter discutabel, daar eenheden van het militaire type duidelijk gericht zijn op het ondersteunen van conventionele (niet-digitale) militaire acties, de zogenaamde “Counter Force”-inzet waarbij actief wordt ingegrepen in systemen en netwerken van strategische doelwitten van de vijand om deze de mogelijkheid tot zelfverdediging te ontnemen. Inlichtingendiensten daarentegen richten zich veel meer op het vergaren van informatie, waarbij actieve disruptie eerder een ongewenst neveneffect is dan een doel op zich – “the quieter you are, the more you hear”. Het is dus raadzaam om dit verschil voor ogen te houden bij het definieren van tegenmaatregelen!
Het probleem is dat aanname dat cyber-warfare “low-cost, low-risk, high-impact” zou zijn aantoonbaar onjuist is! De directe kosten zijn misschien laag, maar het onderhouden van een grote groep hackers in militair verband stelt nogal wat eisen aan de logistiek (en dan doel ik niet alleen op het onderhouden van de voorraden Club Mate op de kazerne). Digitale strijders verschillen zodanig van hun broeders en zusters in het veld dat er alleen al op HRM-gebied (lichamelijke conditie, etc) behoorlijk wat hordes genomen moeten worden, om over commandostructuren nog maar te zwijgen. Operationeel hebben cyber-eenheden nogal wat gemeen met Special Forces, eenheden die bekend staan om de zéér hoge kosten die ermee gemoeid gaan.
De “Low-Risk” valt bij nader inzien ook tegen. Zie ook nu weer Stuxnet: iedereen wéét dat het de Israeli’s en Amerikanen geweest zijn, alleen kan het (nog) niet bewezen worden. Shamoom (een virusaanval in 2012) is in verband gebracht met Iran, en wanneer iemand als Edward Snowden of Chelsea Manning uit de school klapt ligt alle vuiligheid zéker op straat. Daarnaast, “Plausible Deniability” mag goed werken op het internationale toneel of in de rechtbank, in een wereld van Instagram, Twitter en FaceBook- waar de publieke opinie belangrijker is dan debat en beredenering – zijn de risico’s voor de aanvaller een stuk groter. Als je de schijn tegen hebt zal de massa volgen.
En de potentiële impact neemt ook zienderogen af. In Nederland – waar we tóch altijd een beetje achterlopen op defensiegebied, in ieder geval ten opzichte van onze NATO-collega’s – beschikt Defensie al over een compleet gescheiden en uitstekend beveiligd netwerk (met dank aan onder meer Fox-IT), samenwerkingsverbanden en grote hoeveelheden getrainde mensen. Het is mogelijk, maar niet eenvoudig om Nederland “volledig lam te leggen”, en dan nóg zou dit voor onze strijdkrachten alleen maar vervelend zijn. Internet of geen Internet, de Zr. Ms. “De Zeven Provinciën” zal nog steeds vijandige vliegtuigen op een afstand van 150 kilometer neer kunnen schieten met haar Standard SM-2-geleidewapens. We moeten de dreiging dus niet overschatten!

Dus, hoe zit het nu met Grapperhaus’ uitspraken over de kwetsbaarheid van Nederland voor dit soort aanvallen? Om te beginnen doen we er goed aan om Carl von Clausewitz’ stelling te onthouden:

“Krieg ist die Fortsetzung der Politik mit anderen Mitteln”
(vertaling; “Oorlog is de voortzetting van politiek met andere middelen”)

Deze stelling gold ten tijde van de Frans-Pruisische oorlog en ook in de moderne cyber-arena is ze van kracht. Door conflicten op het politieke toneel uit te vechten en te blijven overleggen is een “fysieke” krachtmeting op het (cyber-)slagveld onnodig. Immers, cyber-oorlog is óók oorlog en moet dus koste wat kost voorkomen worden. Internationale organisaties als de VN, NATO en EU zouden er goed aan doen om cyberaanvallen gelijk te stellen aan conventioneel militair ingrijpen, teneinde de potentiële kosten van een dergelijke aanval onacceptabel hoog te maken voor de agressor.
In de tweede plaats dienen we uit te kijken voor een wapenwedloop. In de jaren ’50-’80 was de wereld in greep van de Koude Oorlog, waarin de doctrine van MAD (“Mutually Assured Destruction”, een ironische en zéér terechte afkorting voor een begrip dat “Wederzijds Gegarandeerde Vernietiging” betekent) de supermachten in evenwicht moest houden. Op een zeker moment waren er genoeg kernwapens om 5 wereldoorlogen tegelijk uit te vechten!
In de derde plaats moet Nederland in haar geheel doordrongen raken van onze belangen en de risico’s die we, wederom als geheel, lopen op dit front. Er zijn vele organisaties en bedrijven die, zonder het zelf te weten, van vitaal belang zijn op het gebied van nationale veiligheid. Denk hierbij niet direct aan vitale infrastructuur, daar zijn we al een paar jaar mee bezig. Nee, kijk ook eens naar onze grote werkgevers en de kurk waar onze economie op drijft: het MKB. Lees “Debt of Honour” van Tom Clancy voor een schrikwekkend scenario waarin een computervirus wordt gebruikt om de landelijke economie van een groot land te destabiliseren voor geo-politiek gewin en je zult begrijpen wat Von Clausewitz bedoelde met zijn stelling.

De door Minister Grapperhaus geponeerde stelling is derhalve correct, maar deze richt zich enkel op het laatste probleem: verdediging tegen de aanvallen zelf, waarbij de verantwoordelijkheid te zeer bij ondernemers en het publiek wordt gelegd. Een begrijpelijk standpunt, maar hoe kan een kleine defensie-toeleverancier zich wapenen tegen een complete brigade aan Noord-Koreaanse, Russische, Chinese, Israelische, Amerikaanse of voor-mijn-part Togolese leger-hackers? Het antwoord is “niet”. We moeten dus voorkomen dat het tot conflicten komt, waarin de internationale politiek het voortouw dient te nemen. Door in te zien wat de werkelijke kosten en gevaren van cyber-oorlogvoering zijn, ontdekken we vanzelf dat we nu dreigen in een vernieuwde MAD-situatie terecht te komen, een situatie die we in de jaren ’70 al als ongewenst begonnen te beschouwen.

Bas Kemp
Senior Consultant

Menu