Profpraat | Wapenen tegen cyberoorlog
Er wordt niet alleen fysiek gevochten in Oekraïne, maar ook online is er een strijd gaande. Hoewel er nog geen grootschalige digitale aanvallen plaatsvinden, waarschuwen de Nederlandse veiligheidsdiensten dat ze momenteel ‘de digitale veiligheid van Nederland onvoldoende kunnen waarborgen’. TU/e-hoogleraar Lambèr Royakkers pleit voor een internationale aanpak en zegt dat er dringend nieuwe internationale regelgeving noodzakelijk is om de cyberveiligheid te verbeteren.
Al geruime tijd voert Rusland cyberaanvallen uit op Oekraïne, de laatste maanden met een hogere frequentie. Van een wereldwijd gevreesde intensieve cyberoorlog is momenteel nog geen sprake, maar wel dreigt er een complexe, onvoorspelbare situatie. Het Nederlandse Centrum voor Terrorismebestrijding legt uit dat hackers op grofweg drie manieren kunnen aanvallen. Een DDos-aanval kan een dienst tijdelijk uitschakelen, er kan sprake zijn van gijzelingssoftware of een zogenoemde wiper-aanval, die complete computerbestanden kan laten verdwijnen. Volgens het Nationale Cyber Security Centrum zijn er op dit moment geen concrete aanwijzingen dat dergelijke digitale aanvallen die te maken hebben met de oorlog in Oekraïne impact hebben op Nederland.
Maar, zegt Lambèr Royakkers, hoogleraar Ethiek en Techniek en voormalig hoofddocent Militaire Ethiek aan de Nederlandse Defensie Academie in Breda, een verhoogde waakzaamheid is van groot belang. “Instanties en bedrijven moeten zich er extra van bewust zijn dat hun digitale weerbaarheid op orde moet zijn. Over het algemeen laat de cyberveiligheid nog wel wat te wensen over, maar hebben we in Nederland wel veel expertise op dit gebied. Ook Oekraïne lijkt goed voorbereid te zijn, gezien het feit dat er nog niet op grote schaal systemen door de Russen zijn geïnfiltreerd en platgelegd.”
Hoewel burgers worden opgeroepen zich te verenigen in een Oekraïens cyberleger, benadrukt Royakkers dat de verhalen waarin iemand op een zolderkamertje een heel systeem kan platleggen grotendeels verleden tijd zijn. “Overheden, instanties en bedrijven hebben hun cybersecurity steeds beter op orde. Er is veel kennis en geld nodig om een geslaagde cyberaanval uit te voeren en een systeem plat te leggen. We moeten daarom meer vrezen voor staats-hackers.”
Naast de directe cyberaanvallen is het ontbreken van een open, kritische informatievoorziening een gevaarlijk probleem. “Fysieke oorlog alleen bestaat niet meer, we hebben nu te maken met een hybride oorlog. Rusland probeert met het op grote schaal verspreiden van desinformatie twijfel te zaaien en online meningen te beïnvloeden. Dat lijkt constant het Russische strijdplan: destabilisatie, met het doel de maatschappij te ontwrichten en het functioneren van de democratische rechtstaat te ondermijnen. Natuurlijk is elke dode in een fysieke oorlog er één teveel, maar de gevolgen van aantasting van de democratische rechtstaat zijn immens.”
Hybride oorlog
Wat het lastig maakt is dat een cyber- of hybride oorlog minder vastomlijnd is, en bijvoorbeeld minder duidelijk is wanneer het begint of wanneer er een einde aan komt, vertelt Royakkers. In opdracht van het Rathenau Instituut schreef hij enkele jaren geleden mee aan het rapport 'Cyberspace zonder conflict' om het maatschappelijk debat rondom internationale cyberveiligheid te stimuleren. “De grens tussen vrede en oorlog vervaagt. Tegelijkertijd is onduidelijk in hoeverre je mag terugslaan na een cyberaanval, wie exact de vijand is en welke middelen je mag gebruiken. Met het bestaande internationale recht kun je deze problemen niet aanpakken. We bevinden ons nu in een extreme situatie, met wereldwijde betrokkenheid. Maar tegelijkertijd staat nergens vastgelegd wanneer je de rode lijn overtreedt met een cyberaanval.”
Een van de belangrijkste adviezen van het Rathenau-rapport is het intensiveren van de internationale samenwerking om de cyberveiligheid te verhogen, maar ook om duidelijke, internationale regels voor cyberaanvallen op te stellen, vat Royakkers samen. “Binnen de NAVO moet dit zeker prioriteit krijgen. De huidige Oekraïne-oorlog laat zien hoe belangrijk internationale samenwerking is. Zelf het wiel uitvinden is verloren tijd en geld, door het delen van kennis kan de digitale veiligheid ineens sterk verbeteren. Vertrouwen is belangrijk, want de vraag is of je zwakke punten in je systeem durft te delen met bondgenoten. Door aangepaste regelgeving staan we bovendien minder machteloos en laten duidelijke regels zien hoe we met elkaar om moeten gaan. Die internationale tools om een land aan te spreken ontbreken nu.”
Tappen
Dat cyberveiligheid een internationale aanpak vereist, betekent niet dat we binnen Nederland geen eisen aan onze systemen mogen stellen, benadrukt Royakkers. Maar dat de Nederlandse inlichtingendiensten AIVD en MIVD pleiten voor een wetswijziging om meer bevoegdheden te krijgen en daardoor meer zicht op ‘de tegenstander’, vindt hij een zorgelijke ontwikkeling. “Ze hebben al vergaande bevoegdheden, maar moeten wel van tevoren aan een onafhankelijke instantie toestemming vragen om te mogen hacken en tappen. Zonder onafhankelijke toetsing ligt misbruik op de loer. We kunnen wel werken aan een effectiever, sneller systeem. Aangezien we bekend staan om onze bureaucratie zie ik daar zeker mogelijkheden.”
Naast internationale samenwerking en regelgeving noemt Royakkers tot besluit nog een belangrijk advies om onze digitale veiligheid te blijven waarborgen. “Bescherm de onafhankelijkheid van grote technologiebedrijven, zoals Google, Apple en Microsoft. Zij zijn cruciaal in de beveiliging van onze digitale omgeving en moeten te allen tijde geen verlengstuk worden van de overheid. Het is daarom bemoedigend om te zien dat veel grote bedrijven zich hebben aangesloten bij de ‘Paris Call for Trust and Security in Cyberspace’, waarin ze belofte hebben gedaan om overheden nooit te helpen bij cyberaanvallen tegen onschuldige burgers en bedrijven, en hun producten te beschermen tegen heimelijke beïnvloeding en sabotage. Nogmaals: vertrouwen is heel belangrijk. Voor nu in de huidige situatie, maar zeker ook om te kunnen de-escaleren. ”
Discussie