Cyberaanvallen zijn een serieus probleem. Zeker voor landen als Nederland die zich profileren als kenniseconomie. Hoeveel vrijheid heeft de overheid om te in te grijpen?
Begin jaren negentig ontstond het begrip ‘cyberoorlog’. Cyberoorlog wordt gezien als een vorm van oorlogvoering waarbij hackers uit politieke motieven natiestaten aanvallen met computer- of netwerksabotage en spionage.
Sinds de exponentiële toename van informatietechnologie is er angst voor conflicten die op digitaal niveau worden uitgevochten. Maar hoe reëel is de dreiging van een cyberoorlog?
Nationale Cyber Security Strategie
Onlangs gaf justitieminister Ivo Opstelten (VVD) te kennen dat de Nationale Cyber Security Strategie wordt geactualiseerd. Cybercriminaliteit neemt steeds krachtiger vormen aan, dus is ingrijpen noodzakelijk. Het Nationaal Cyber Security Centrum (NCSC) moet meer vrijheid krijgen om adequaat te kunnen handelen in noodsituaties. Is dit geoorloofd?
Bart Jacobs, hoogleraar computerbeveiliging aan de Radboud Universiteit Nijmegen, heeft stevige kritiek: ‘Normaal heeft de politie toestemming nodig om je huis te doorzoeken. Nu kan de politie zonder dat je het weet bij je inbreken en een microfoontje plaatsen. Dat is net alsof een digitaal microrobotje maandenlang om je heen vliegt en met je meekijkt.’
Verrassingsaanval
Toch melden media een significante toename in het aantal cyberaanvallen. Is er dan helemaal geen sprake van een op handen zijnde cyberoorlog?
Volgens dr. Arthur Benschop, socioloog aan de Universiteit van Amsterdam, ligt het gevaar op de loer. Zelfs een grootmacht als de Verenigde Staten zou niet bestendig zijn tegen een goed geconcentreerde en gecoördineerde allesvernietigende verrassingsaanval via uitsluitend digitale wegen. Hoogleraar Michel van Eeten van de TU Delft denkt dat het wel meevalt. ‘Dit is een hype. Het begrip cyberoorlog is overtrokken, een pure cyberoorlog is niet te verwachten.’
Ontwrichtend
Om te bepalen of er sprake is van een cyberoorlog dienen we paralyserende en reguliere cyberaanvallen te onderscheiden. Paralyserend zou zijn: een succesvolle aanval op een controlesysteem van een elektriciteitscentrale. Hierdoor kunnen grote black-outs ontstaan. Deze zijn wegens hun ontwrichtende karakter merkbaar voor iedereen en hebben appelleren qua karakter meer aan een daadwerkelijke oorlogssituatie.
Een tweede variant betreft de meer spionageachtige activiteiten. Hierbij is het de daders vooral om het bemachtigen van informatie te doen. Dit laatste gebeurt op grote schaal en met veel succes. Eerstgenoemde variant is niet aan de orde.
Act of war
Van oorlog is alleen sprake als twee landen militair gezien in staat van paraatheid verkeren en voornemens zijn elkaar aan te vallen. Dat is wereldwijd niet het geval, althans niet op digitaal niveau.
Volgens de Verenigde Staten kan computersabotage worden opgevat als een act of war. Het Pentagon gaf al in 2011 subtiel te kennen: ‘If you shut down our power grid, maybe we will put a missile down one of your smokestacks.’
Onvoorspelbaar
Onze eigen Algemene Inlichtingen- en Veiligheidsdienst (AIVD) stelt in haar jaarverslag 2012 dat cyberaanvallen en cyberspionage aan de orde van de dag zijn. Deze vormen worden steeds complexer en ingenieuzer en veranderen razendsnel, en zijn daardoor onvoorspelbaar. Volgens de AIVD is er steeds vaker sprake van cyberaanvallen die een bedreiging vormen voor de nationale veiligheid.
Het betreft hier echter vooral cyberspionage door andere landen. Als concurrerende kenniseconomie is Nederland een aantrekkelijk doelwit voor economische en technisch-wetenschappelijke spionage. Adequate bescherming is essentieel om onze economie en samenleving draaiend te houden, maar daadwerkelijke oorlogsdreiging lijkt niet relevant.
Gedateerde beveiliging
Het internet is sinds de jaren tachtig ontwikkeld vanuit de gedachte dat iedereen die is aangesloten op het internet, elkaar kent en vertrouwt (lees: academici in een netwerk). Destijds zijn standaarden geschreven die de kracht en dynamiek vormen van het internet zoals we dat nu kennen.
Er is bij de creatie niet nagedacht over kwade bedoelingen. Iemand die toen kwaad wilde, kon het netwerk relatief eenvoudig frustreren. Nu, twintig jaar verder, worden we geconfronteerd met een situatie waarin we nog steeds te maken hebben met diezelfde oude protocollen.
Onwaarschijnlijk
Reden is dat het aanpassen daarvan extreem lastig is; alle kernapparatuur voldoet aan deze standaarden en alles is ervan afhankelijk. Gevolg: wanneer een niet nader te noemen staat morgen het internet tijdelijk wil platleggen, is daar bijzonder weinig voor nodig. De aangerichte schade zou immens zijn.
Gelukkig zijn ook die staten afhankelijk geworden van het internet en zal een dergelijke handeling onwaarschijnlijk zijn. Een cyberoorlog lijkt in dit licht net zo onaannemelijk als een volwaardige valutaoorlog.
Serieus probleem
Feitelijk gezien is er nergens ter wereld sprake van een cyberoorlog. Cyber attacks met een maatschappelijk paralyserende werking zijn niet geïdentificeerd. Ook lijkt het onwaarschijnlijk dat er in de nabije tokomst een full cyber war komt.
In de woorden van Thomas Rid, auteur van Cyber War Will Not Take Place: ‘Cyberwar is still more hype than hazard.‘
Cyberaanvallen zijn echter een serieus probleem. Zeker voor landen als Nederland die zich profileren als kenniseconomie.
Oorlogje spelen
Beveiligen is goed, net zoals het verstandig is om uw eigen online activiteiten te beschermen.
Maar hoeveel vrijheid heeft de overheid om te in te grijpen? In lijn met wat professor Jacobs zegt, is het schenden van de privacy wat mij betreft beperkt. De hype van cyberoorlogen lijkt interveniëren te legitimeren. Nuance is echter gewenst.
Wapenen is goed. Het tamelijk unieke idee van ‘terughacken’ klinkt al beter dan een Joint Strike Fighter. Maar laten we wel realistisch blijven en de overheid geen vrijbrief geven om digitaal ‘oorlogje’ te spelen.