Voorkom wapenwedloop in cyberspace in verdrag

Wat moet je als je aangevallen wordt, zonder te weten door wie, en met welke bedoeling? Eigenlijk ieder land, en ook grote organisaties en bedrijven, moeten zich die vraag hoognodig stellen. Want aanvallen door anonieme belagers zijn aan de orde van de dag, in de schimmige wereld van computernetwerken die zo langzamerhand de basis vormt onder vrijwel ons hele bestaan.

Het Pentagon werkt volgens Amerikaanse kranten aan een formele verklaring dat een ernstige computeraanval voortaan als oorlogshandeling opgevat kan worden – en dus beantwoord mag worden met militaire middelen. Worden met een virus de computersystemen van luchthavens, ziekenhuizen of elektriciteitsbedrijven platgelegd? Dat kan levens kosten en rechtvaardigt volgens Washington dus een gewapende vergelding.

Het Pentagon hanteert al een lijst met richtlijnen voor het voeren van zo’n cyberoorlog. Zo heeft het leger toestemming van de president nodig voor het binnendringen van een buitenlands computernetwerk, bijvoorbeeld om daar een virus te planten dat later geactiveerd kan worden. Maar zulke toestemming is niet nodig voor het in kaart brengen van potentiële doelwitten in buitenlandse systemen. En een gewapende reactie op een internetaanval mag niet buitenproportioneel zijn ten opzichte van de aangerichte schade.

De volgende oorlog zal beginnen in cyberspace, zei een Amerikaanse generaal in 2009. Inmiddels staat deze generaal aan het hoofd van een nieuw commandocentrum van het Pentagon, CyberCom, speciaal gericht op oorlogsvoering via computernetwerken. Wat voor rol zijn mensen spelen in de Libië-oorlog is onbekend, zoals vrijwel alles op het digitale slagveld in nevelen gehuld is.

Naast de VS zijn ook andere landen hard bezig zich digitaal te bewapenen. Ze beseffen dat oorlogen niet meer alleen te land, ter zee, in de lucht en in de ruimte gevoerd worden, maar ook in cyberspace. Vooral China, Rusland, het Verenigd Koninkrijk, Noord- en Zuid-Korea en Israël zouden een geduchte slagkracht hebben opgebouwd.

Dat is geen overbodige luxe, want de bedreigingen zijn reëel en talrijk. De Amerikaanse denktank CSIS (Center for Strategic and International Studies) houdt een lijst bij van grote en succesvolle cyberaanvallen sinds 2006. Het is een indrukwekkende reeks – van een computerinbraak bij het State Department, het platleggen van de computers van het House of Commons en de massale sabotage van computers van banken en de overheid in Estland, tot het uitschakelen van de Syrische radarsystemen tijdens een Israëlische luchtaanval op een kerncentrale-in-aanbouw, een inbraak in de computers van de Nationale Veiligheidsadviseur van India en de verspreiding van het Stuxnet-virus, dat aanzienlijke schade toebracht aan het nucleaire programma van Iran.

Zuid-Korea kreeg in maart nog een aanval te verduren op veertig websites, van de strijdkrachten, een aantal ministeries, de grootste banken, de twee grootste zoekmachines en de toezichthouder van de financiële sector. Wie erachter zat was niet meteen duidelijk, maar aartsvijand Noord-Korea werd vanzelfsprekend meteen verdacht. De schade bleef voor zover bekend beperkt tot het tijdelijk uitvallen van de websites. Maar de ongerustheid over de kwetsbaarheid van computernetwerken groeide.

Deze week wierp de Amerikaanse firma McAfee, specialist in bestrijding van computervirussen, licht op de vraag wat er in maart precies gebeurd was. Waarschijnlijk was de aanval bedoeld, concludeert McAfee, als poging van Noord-Korea om te ontdekken hoe snel Zuid-Korea kan reageren op een grootscheepse cyberaanval, een test om later in een cyberoorlog maximale schade te kunnen aanrichten.

Maar ook McAfee kon niet met zekerheid vaststellen dat de aanval uit Noord-Korea kwam. Dat toont het probleem waarop landen stuiten bij het ontwikkelen van een militaire strategie voor cyberspace. Ook al ben je in staat om terug te slaan, wat schiet je daarmee op als je niet kan vaststellen van wie de aanval kwam? De boosdoener hoeft niet eens een staat te zijn – ook ongrijpbare, onafhankelijk opererende groeperingen kunnen op hoog niveau meekomen op het digitale slagveld. Aan klassieke middelen als vergelding en afschrikking heb je dan niet veel.

Om zich te beschermen is het belangrijk dat landen hun computersystemen goed beveiligen en een cyberstrategie opstellen om in geval van een aanval te kunnen terugslaan – met klassieke militaire, danwel digitale middelen. Maar dat is niet genoeg.

Het gevaar van een cyberoorlog tussen staten zou beheersbaar gemaakt kunnen worden met internationale afspraken over ontwikkeling en gebruik van computernetwerken als wapens. Een garantie dat er geen cyberoorlog uitbreekt levert dat niet op, net zo min als het huidige volkenrecht en de bestaande wapenbeheersingverdragen vrede garanderen. Ook helpt een verdrag niet tegen het gevaar van groepen die los van staten opereren. Maar een cyberverdrag kan wél voorkomen dat we verzeild raken in een ongeremde digitale wapenwedloop.

Juurd eijsvoogel