Cyberoorlog in schemerzone

Estland noemt de recente elektronische aanval op zijn informatiesystemen een oorlogshandeling. Een teken van een verschuiving in het oorlogsrecht.

Estland prijst zichzelf graag aan als ‘E-stonia’, naar de e van de moderne elektronica. Het is trots op e-verkiezingen als onderdeel van zijn ‘e-government’. Bij interactieve dienstverlening staat het Baltische staatje in de top vier van EU-landen. Speerpunten zijn financiële en medische informatie, rapporteerde het vorig jaar op een conferentie in Ljubljana. Deze maand bleek de keerzijde: een serie DoS-aanvallen (Denial of Service) zorgde voor een ernstige verstoring van het openbare leven.

DoS-aanvallen zijn een vorm van ‘cybercrime’, onderwerp van een speciaal verdrag van de Raad van Europa (plus Amerika en Japan) dat op 1 maart in werking is getreden. De regering in Talinn gaf echter een bijzondere dimensie aan de aanvallen door te spreken van een „oorlogshandeling” met als motief wraak voor de verplaatsing van een Russisch oorlogsmonument in de Estse hoofdstad.

Er zaten Russische vingerafdrukken op de aanvallen. Dat zegt nog niet alles, zoals Marie-José Klaver 22 mei op de Mediapagina van deze krant uiteenzette. De NAVO – een militair bondgenootschap – vond het in elk geval nodig om experts naar Talinn te sturen. Dit herinnert eraan dat niet alleen het strafrecht maar ook het oorlogsrecht onder druk staat door de moderne informatie- en communicatietechnologie.

Specialisten spreken al van ,,strategic information war” (SIW). Informatie en informatiesystemen spelen in iedere oorlog een rol, maar bij SIW vormen ze de kern van de strijd. De tegenstander wordt niet verslagen met bommen en granaten maar met logische bommen. SIW behelst niet minder dan „een herdefiniëring van internationale conflicten”, werd in 1994 gewaarschuwd in het Harvard International Law Journal.

De voornaamste juridische vraag is waar de drempel van het internationale geweldsverbod, dat is vastgelegd in het Handvest van de Verenigde Naties, ligt bij informationeel geweld. Het geweldsverbod is toch al netelig. „Inter bellum et pacem nihil est medium”, zei Hugo de Groot: er is geen midden tussen oorlog en vrede. Maar in werkelijkheid zijn er allerlei soorten ‘oorlog in vermomming’. Toch is er één houvast: agressie is fysiek van aard. Informatieoorlog dreigt dat criterium onderuit te halen.

Dit heeft vooral gevolgen voor het recht op zelfverdediging. Volgens het VN-Handvest is dat een „inherente” (zij het weerbarstige) uitzondering op het geweldsverbod. Het precedent vormt nog steeds de zaak-Caroline (1837), genoemd naar een schip in een Amerikaanse haven dat werd vernietigd door Britse onderdanen, omdat het Amerikanen had vervoerd die overvallen uitvoerden op Canadees (Brits) grondgebied. Dit werd gerechtvaardigd door „een directe, overstelpende noodzaak die geen ruimte laat voor nader beraad”. Zelfverdediging moet ook in overeenstemming met het gevaar zijn. Vergelding en represailles zijn op zichzelf al verdachte doeleinden.

De vorige Nederlandse minister van Buitenlandse Zaken, Bot, waarschuwde „dat het door gewijzigde omstandigheden niet uitgesloten is dat de Caroline-criteria de komende tijd verfijning behoeven”. Hij dacht daarbij speciaal aan aanvallen op essentiële computersystemen. Hoe ver kan een land gaan om deze te voorkomen, als tastbare aanwijzingen zoals het samentrekken van troepen aan de grens of gerichte raketten ontbreken? Deze vraag ligt toch al gevoelig sinds Amerika een doctrine lanceerde van ‘preventieve actie’ om niet alleen een direct ophanden zijnde aanval maar ook voor vagere mogelijke bedreigingen vóór te kunnen zijn.

SIW zet ook de klassieke notie van ‘militaire noodzaak’ als normerend beginsel (verder) op tilt. Typerend voor objecten van een cyberaanval is dat zij zowel voor militaire als voor burgerdoeleinden kunnen worden gebruikt. De eerste categorie vormt een legitiem doelwit in een oorlog, maar de tweede is al gauw beschermd. Het wordt nog ingewikkelder doordat informatiesystemen in de moderne netwerkwereld zowel voor aanvallende als verdedigende doeleinden kunnen worden ingezet.

Er bestaat op dit moment geen specifiek internationaal verbod van ‘cyberoorlog’. Dat is lastig, omdat dan al gauw geldt: wat niet expliciet wordt verboden is toegestaan. Zeker tussen soevereine staten. Er is ‘wiggle room’, noteerden de Amerikaanse juristen Joyner en Lotrionte (de laatste verbonden aan de CIA) in het European Journal of International Law (2001). Krijgslisten zijn zo oud als de wereld, zoals het Paard van Troje leert. Dat zou ook kunnen gelden voor de gelijknamige softwarevariant.

Rusland drong in 1999 bij de Verenigde Naties aan op een internationaal verbodsregiem. Volgens een waarnemer vooral omdat het over onvoldoende middelen beschikte om vijandelijke ‘bugs’ in zijn eigen systemen onschadelijk te maken. Maar het cybercrimeverdrag heeft Rusland – lid van de Raad van Europa – tot nu toe niet aanvaard.

Frank Kuitenbrouwer is medewerker van NRC Handelsblad.

kuitenbrouwer@nrc.nl