Hackaanvallen zijn zo langzamerhand niets nieuws meer. Staatsinmenging lijkt wel een nieuwe factor. Daarbij valt – meestal onterecht – het woord cyberwar. Wat is cyberwar en waar is het goed voor? Cybergeneraal Hans Folmer van het Nederlandse Ministerie van Defensie legt uit.
Nederland heeft een heuse cybergeneraal, een militair die eerst cyberkolonel was. “De titel is verzonnen door de media”, prikt brigadegeneraal Folmer meteen een mythe door. Hij is formeel commandant van het Defensie Cyber Commando, en daar zijn gewoon de reguliere rangen van toepassing. “Het mooie is dat ik dat commando mocht inrichten, dus nu word ik geconfronteerd met mijn eigen beslissingen”, zegt hij relativerend.
Nieuw werkgebied
Niet alleen reguliere rangen houden stand, ook de verweving van het nieuwe in de reguliere legeronderdelen blijft bij het oude. Terwijl cyberspace wel het vijfde werkgebied is van de Nederlandse krijgsmacht, is het geen apart legeronderdeel. Het is geïntegreerd in de landmacht. Dus naast zee, land, lucht en ruimte staat cyber, maar toch niet als op zichzelf staand terrein. Waarom eigenlijk niet?
“Cyber, het digitale, is niet tastbaar”, legt Folmer uit. “Het is ondersteunend aan alle andere domeinen. En wel om drie redenen. Eén: iedereen en alles is gedigitaliseerd en maakt gebruik van cyberspace. Twee: alles wat we doen – en laten! – is gebaseerd op besluitvorming die wordt gedaan op basis van informatie; informatie die we delen in cyberspace. En drie: uit punt twee volgt dat je dus in het cyberdomein moet kunnen opereren.”
Cyberwar concreet
Cyberoorlogsvoering klinkt als term nogal futuristisch, maar het kan heel concreet zijn. Het gaat, zo vertelt de generaal, om het ontzeggen van capaciteiten aan de vijand en jezelf beschermen tegen dergelijke ontzegging vanuit een vijand. Cyber speelt daarbij een rol, maar doet dat niet op zichzelf en staat ook niet boven andere domeinen. Ondanks de diepe doordringing van ICT en de grote afhankelijkheid van het digitale kunnen de andere militaire domeinen zeker niet afgeschaft worden, argumenteert Folmer. “Elk domein gebruikt ook auto’s, maar Defensie heeft geen apart onderdeel daarvoor.”
Kernpunt is om niet uit het oog te verliezen wat de ‘kernactiviteit’ van een organisatie, onderdeel of afdeling is. Het label cyber wordt maar al te vaak ten onrechte op dingen geplakt. Dit gebeurt ook veelvuldig met cybercrime. “Als ik iets koop op Marktplaats en het wordt niet geleverd, dan is dat gewoon oplichting en geen cybercrime. Als ik in een banksysteem inbreek, of een geldautomaat geld laat uitspuwen, dan is het wél cybercrime.”
Breed fenomeen
Folmers definitie is: zonder toestemming inbreken in digitale systemen. Hij erkent direct dat dit een brede definitie is. Het kan bijvoorbeeld ook de hoogtemeter van een vliegtuig omvatten, zoals gebruikt in de actiefilm Die Hard 2 uit de jaren negentig. Dergelijke fictie wordt echter steeds meer realiteit. Kijk maar naar de opzienbarende hack afgelopen zomer van de Jeep Cherokee. Die auto en bepaalde andere modellen van fabrikant Chrysler bleken dankzij hacking te kapen. De ingang was de wifi voor het ingebouwde multimediasysteem, maar uiteindelijk waren het stuur, de versnellingsbak en de remmen te manipuleren.
Het is duidelijk: de verweving van diverse apparaten en systemen zorgt voor nieuwe kwetsbaarheden. Folmer merkt op dat strikte scheiding niet meer mogelijk is. De afhankelijkheid voor correcte werking van het gehele systeem is simpelweg te groot. In het voorbeeld van auto’s wordt de benodigde remkracht mede bepaald door de schokdemper die immers iets ‘zegt’ over het wegdek. Op hoger niveau speelt een dergelijke afhankelijkheidsketen ook voor onze samenleving. “We zijn zó afhankelijk: van stroom, van internet, van correcte saldo’s.”
Vermoedens en verwarring
Cyberwar lijkt dus een logisch gevolg van deze digitalisering en afhankelijkheid. Toch is er officieel nog altijd geen sprake geweest van cyberwar. Vanuit analisten en ict-experts zijn er echter genoeg vermoedens en speculatie. Zoals bij de eind 2009 geopenbaarde grote Aurora-aanval op Google. Of de verbijsterend geavanceerde Stuxnet-malware in Iran anno 2010. Of de geruchtmakende cyberinbraak bij Sony Pictures in 2014, de Zuid-Koreaanse beschuldiging van Noord-Koreaanse hackaanvallen in januari dit jaar of de inzet van omgebouwde crimeware in diezelfde maand om een grote stroomstoring in Oekraïne te veroorzaken.
Naast vermoedens is er ook veel verwarring. Zo was de berichtgeving eind januari over een vermeende cyberaanval op het elektriciteitsnet in Israël zwaar overtrokken. Het bleek een gewone malwarebesmetting te zijn die is uitgevoerd met een phishing-campagne, waarbij slechts de pc’s van een toezichthouder (de Israeli Electric Authority) zijn besmet. Systemen van het eigenlijke stroomnet waren dus niet eens geraakt.
Criteria voor ‘oorlog’
“Er is eigenlijk nog geen cyberwar geweest”, stelt Folmer. Hij legt uit dat er voor het opplakken van het etiket ‘oorlog’ aan een aantal voorwaarden moet worden voldaan. “We spreken alleen van een wapenaanval in cyberspace als het gelijkgetrokken kan worden met een traditionele aanval. Zo moet er sprake zijn van slachtoffers en maatschappelijke ontregeling.” Sommigen zeggen dat Stuxnet toch al wel een daad van cyberwar was, stipt Folmer aan. Die geavanceerde worm heeft immers fysieke schade aangericht door centrifuges voor uraniumverrijking te saboteren.
Bij Stuxnet zijn echter geen slachtoffers gevallen en was er geen sprake van ontwrichting van de samenleving. Naast fysieke schade zijn dit volgens de Adviesraad Internationale Vraagstukken (AIV) voorwaarden om een cyberaanval te zien als gewapende aanval. Verder zijn er nog aanvullende voorwaarden voordat een cyberaanval echt als cyberwar gezien mag worden. Folmer: “Dan moet er nog bewezen worden dat er een statelijke actor achter zit, of een organisatie die aan een staat is gelieerd.” Deze bewijslast is een taak voor de inlichtingendiensten. Vervolgens is het aan de regering om te besluiten of er sprake is van oorlog. Defensie is hierin geen beslissende partij, maar slechts een ‘uitvoerende’ partij.
Deze uitvoerende taak is geen gemakkelijke. “Defensie heeft verschillende rollen, die uiteenlopen van beschermen en verdedigen, tot verkennen, verstoren en verslaan”, legt de generaal uit. “Dit in tegenstelling tot een bedrijf dat puur zichzelf hoeft te beschermen.” Bovendien verdedigt Defensie alleen de eigen systemen. “Wij zijn niet de firewall van Nederland.” De cybertaken van Defensie zijn duidelijk anders dan de taken van het Ministerie van Veiligheid en Justitie, waaronder het Nationaal Cyber Security Centrum (NCSC) valt.
Continue leercurve
Folmer bevestigt dat er bij cybersecurity sprake is van verschuivende grenzen. “Er zijn continu ontwikkelingen, er is een continue leercurve”, knikt hij. “We staan nog maar aan het begin.” Hij wijst erop dat de tegenwoordig zo gewone iPhone in 2007 op de markt is gekomen en in die paar jaar flinke veranderingen teweeg heeft gebracht. “Ons sociale en economische leven is flink veranderd.” De moraal is daardoor ook veranderd, voegt hij toe. De wereld is door mobiele internettoegang, social media en steeds betaalbaardere smartphones meer verbonden, lijkt daardoor kleiner geworden en dit maakt heel nieuwe toepassingen mogelijk. “De exponentiële veranderingen gaan gewoon door.”
