Vrees voor een oorlog in de vierde dimensie

Vanuit Estland houdt de NAVO zich bezig met elektronische oorlogsvoering. Cyberspace biedt een nieuwe dimensie voor oorlogen.

Kettingbotsing op een druk kruispunt in Washington DC. Detective John McClane stapt uit zijn auto, klimt op het dak, tuurt de zijstraten in en concludeert: „Alle stoplichten staan op groen.” Zo begint de cyberoorlog in Die Hard IV (2007), waarin Bruce Willis Amerika redt van een beveiligingsexpert die behalve de verkeerscentrale ook de stroomvoorziening, het 911-alarmnummer en de beurs platlegt.

Sciencefiction? Het fragment lijkt op het filmpje van het ‘Cooperative Cyber Defense Center of Excellence’ van de NAVO, dat onlangs werd geopend in de Estse hoofdstad Tallinn. Een stoplicht springt op groen, een vinger drukt een toets in op een toetsenbord, het stoplicht springt weer op rood. „Onze fysieke werkelijkheid kan worden beïnvloed vanuit de cyberspace”, meldt een commentaarstem. Daarna verschijnt het woord ‘error’ in beeld.

„Tien jaar geleden werd internet nog beschouwd als een speeltuin, niet als terrein waarop oorlogen worden uitgevochten. Maar inmiddels heeft iedereen een e-mailadres en staan we allemaal met één been in de digitale wereld. Een aanval die een deel van internet onbereikbaar maakt, is feitelijk niet anders dan een bom die afgaat op een weg”, zegt Raul Rikk, een Estse majoor in een groene legertrui, in de kantine van het NAVO-centrum waaraan hij leiding geeft. „Aan de drie dimensies land, zee en lucht, waarin tot nog toe oorlog werd gevoerd, kun je cyberspace als vierde toevoegen.”

Het nieuwe centrum, waaraan de NAVO-leden Estland, Letland, Litouwen, Duitsland, Italië, Slowakije en Spanje bijdragen (verdere uitbreiding wordt verwacht), bevindt zich in gerenoveerde bakstenen barakken uit de tsarentijd en is onderdeel van een militaire basis halverwege het vliegveld en het middeleeuwse hart van Tallinn. Dertig medewerkers uit verschillende NAVO-landen, van hackers tot wetenschappers, zullen zich hier gaan bezighouden met elektronische oorlogsvoering.

Niet toevallig is het NAVO-centrum in het kleine Estland (1,3 miljoen inwoners) gevestigd. Na het uiteenvallen van de Sovjet-Unie in 1991 omarmde Estland internet als „een onafhankelijk venster op de internationale media en gemeenschap”, in de woorden van Linnar Viik, ‘de vader van het Estse internet’. Viik zorgde er mede voor dat heel Estland in hoog tempo gratis (draadloos) internet kreeg.

In 2004 verklaarde het Estse parlement internettoegang tot mensenrecht. Als eerste EU-land gaf Estland vorig jaar al zijn burgers de mogelijkheid online te stemmen bij algemene verkiezingen. Vergaderingen van de ministerraad worden (deels) online belegd: papier wordt al jaren niet meer gebruikt. En vanuit een buitenwijk van Tallinn heeft het programma Skype voor een revolutie in internationale internettelefonie gezorgd. De bijnaam van Estland luidt dan ook: E-stonia.

Estland is ook het land dat een jaar geleden slachtoffer werd van een van de grootschaligste cyberaanvallen ooit, kort nadat de autoriteiten een sovjetmonument uit het centrum van Tallinn hadden verwijderd. De grote Russische minderheid in het land was woedend: voor haar staat de Bronzen Soldaat symbool voor de sovjetoverwinning op de fascisten in de Tweede Wereldoorlog. Op straat braken rellen uit waarbij één dode en 150 gewonden vielen. Op internet verdwenen alle websites van belangrijke banken, kranten, televisiestations en de overheid dagenlang uit de lucht.

Estland, dat de NAVO om hulp vroeg, beschuldigde het Kremlin van betrokkenheid, maar kon dat niet bewijzen. Wel kwam het onderwerp voor het eerst hoog op de NAVO-agenda.

De cyberaanval op Estland, die wel ‘Web War One’ wordt genoemd omdat zo veel belangrijke websites tegelijkertijd onder vuur werden genomen, is een van de ‘scenario’s’ die het cybercentrum op dit moment op verzoek van de NAVO analyseren, om lessen uit te trekken. Ironisch genoeg staat de Bronzen Soldaat nu op de begraafplaats achter het cybercentrum.

Het centrum fungeert vooral als denktank: bij echte computeraanval, moet een getroffen gebied zelf in actie komen. In Tallinn worden wel voorstellen voorbereid waarin wordt aangegeven hoe met computeraanvallen om te gaan. „Een vraag die bijvoorbeeld moet worden beantwoord is of een cyberaanval onder artikel 5 valt, waarin is vastgelegd dat een aanval op één lidstaat geldt als aanval op alle lidstaten”, zegt Rikk.

Deze week waarschuwde ook het hoofd van het EU-agentschap voor cyberveiligheid dat de EU serieuzer werk moet maken van cyberbedreigingen. „We willen een digitale elf september voorkomen”, aldus Andrea Pirotti van het Europese Netwerk- en Informatieveiligheidsagentschap ENISA.

En in de VS richtte het ministerie van Binnenlandse Veiligheid begin dit jaar een National Cyber Security Center op en heeft aangekondigd het budget voor cyberveiligheid komend jaar te verdrievoudigen. Sinds 2006 organiseerde het ministerie twee keer een grootschalige ‘brandoefening’ onder de naam Cyber Storm.

Bij de laatste oefening, twee maanden geleden, werd een Die Hard-achtig scenario gebruikt, waarbij niet alleen websites, maar de gehele infrastructuur van een land onder vuur kwam te liggen. Veertig bedrijven, waaronder Microsoft en McAfee, deden mee aan het weerstaan van de gesimuleerde, gecoördineerde aanval op chemische bedrijven, de transport- en communicatiesector. Of er ernstige lekken werden gevonden, is niet bekendgemaakt.

Een succesvolle, gecoördineerde aanval op de essentiële infrastructuur van een land is nog nooit uitgevoerd. Maar in de VS bestaan zorgen over bijvoorbeeld de elektriciteitscentrales: hun controlesystemen staan in directe verbinding met het wereldwijde web en kunnen in theorie dus van huis uit worden gehackt. Een team van ‘ethische hackers’ dat vorige maand door een Amerikaanse elektriciteitscentrale werd ingehuurd om de beveiliging te testen, nam naar eigen zeggen binnen een dag de controle over. „We hebben het meer dan bewezen: ze zitten diep in de nesten”, aldus de leider van het team. Of zoals detective John McClane het zou uitdrukken: „Yippee ki yay, motherfucker.”