In november is in de VS een officieel Cyber Commando operationeel gegaan. De NAVO beschouwt cyberveiligheid als een strategische prioriteit. Het hoofd van het Britse leger zei onlangs dat extra cybergeschut een hoge prioriteit geniet. China is al bezig met een flink aantal acties op gebied van cyberspionage tegen het westen. Hoe houden we een digitale wapenwedloop nog tegen?
Lees ook:
WikiLeaks-fans vernederen beveiliger
We hebben misschien al voorlopers van cyberoorlogen gezien in Estland en Georgië, waar Rusland waarschijnlijk verantwoordelijk voor is geweest. Het is moeilijk te zeggen, niet alleen omdat de bron van een aanval soms onmogelijk te achterhalen valt, maar ook omdat we geen heldere definitie van een cyberoorlog hebben.
Telt de aanval uit 2007 tegen Estland, waarbij een jonge Rus in Talinn werd gearresteerd mee? En wat te denken van het mysterieuze Stuxnet dat puur gericht zou zijn op Iraanse nucleaire installaties? En wat betekent die spionage vanuit China, waarbij moeilijk aangetoond kan worden dat het wordt aangestuurd door de nationale overheid? Om zulke vragen te beantwoorden moet je weten wanneer een cyberoorlog begint en wanneer het eindigt. Wanneer zelfs securityexperts deze vragen niet kunnen beantwoorden, wordt het wel heel moeilijk voor beleidsmakers om maatregelen te treffen.
De inzet van cyberspionnen door naties
We kunnen grenzen stellen. Het is geen oorlogshandeling om digitale wapens gericht op andere landen te ontwikkelen. Het inzetten van cyberaanvallen om andere landen te bespioneren is nog een grijs gebied, dat steeds grijzer wordt wanneer een land informatienetwerken binnendringt of zelfs enkel bekijkt of dit mogelijk is. Het penetreren van een netwerk en een backdoor open laten of iets achterlaten wat later nog gebruikt kan worden, maakt het nog lastiger - toch zijn zowel de Verenigde Staten als China hier op dit mee bezig.
En wat te denken van wat er gebeurt als een land met opzet de economie van een ander land schade toebrengt? Een voorbeeld hiervan zijn de Wikileaks cables die onthulden dat een medewerker van de Chinese overheid Google in januari 2010 had gekraakt. Definities en regels hiervoor zijn niet ingewikkeld omdat het oorlogsmaterieel is veranderd, maar omdat het internet dit materieel in meer handen geeft. Voorheen had alleen het leger de beschikking over wapens. Nu kan iedereen met enige computerkennis het lot in eigen hand nemen.
Er zijn daarnaast praktische problemen. Als een land tijdens een 'normaal' conflict wordt aangevallen, lokt dit reactie uit bij verschillende militaire en burgerlijke instituten. Het juridisch raamwerk hierachter leunt op twee zaken: de aanvaller en het motief achter de aanval. Als je op internet wordt aangevallen, zijn dit juist de twee dingen die je niet weet. We weten niet of Georgië is aanvallen door de Russische overheid, of dat het slechts een paar hackers waren die 'toevallig' in Rusland verbleven. Nog steeds weten we niet de echte herkomst en het doelwit van Stuxnet. Ook weten we niet vanaf welke computers de aanvallen van 4 juli 2009 op de VS en Zuid-Korea kwamen.
Wanneer je iets niet weet, is het eenvoudig om fouten te maken en je tegen de verkeerde entiteit om een verkeerde reden te wreken. Dit betekent dat zo'n aanval gemakkelijk uit de hand kan lopen.
Als het legitiem is voor landen om zowel offensieve als defensieve cyberwar-maatregelen te treffen, moeten we nu nadenken hoe we de risico's van een allesvernietigende cyberoorlog kunnen indammen.
Voorzorgsmaatregelen
De eerste stap zou het instellen van een hotline tussen cyber commando's zijn, vergelijkbaar met de communicatielijnen die er nu tussen nucleaire mogendheden liggen. Dit stelt overheden in staat om met elkaar te praten, in plaats van alleen te gokken waar de aanval vandaan kwam. Lastiger, maar nog belangrijker, is het instellen van cyberoorlog-verdragen. Deze kunnen bepalen dat landen geen oorlog mogen starten en te destructieve en/of gevaarlijke wapens worden verboden. De Geneefse conventies zullen herzien moeten worden.
Cyberwapens zijn aanlokkelijk om te gebruiken, dus er moet een limiet aan opslag ervan komen en een beperking in toegestane tactieken. Zo zal de internationale financiële ontzien moeten worden. Hoe zo'n verdrag er ook precies uit komt te zien, het is echt nodig. Handhaving zal lastig zijn, maar er is geen reden te bedenken waarom het niet geprobeerd zou moeten worden. Het is niet te laat om de cyber wapenwedloop een halt toe te roepen. Anders is het slechts een kwestie van tijd voordat er iets catastrofaals gebeurt: misschien een rare actie van een laaggeplaatste cybermilitair, misschien een onbezonnen daad van een burger of een ordinair ongeluk. Als een land besluit te reageren, kan de eerste echte cyberoorlog een feit zijn.
Bruce Schneier (1963) is een internationaal vermaard cryptograaf en internet veiligheidsdeskundige. Hij schreef diverse boeken over cybersecurity en cryptografie en was oprichter en CTO van BT Counterpane. Deze blog verscheen eerder op de website van Cipher.co.uk
Reageer
Preview