Leger mag cyberaanval met geweld bestrijden

Cyberaanval op Nederland? Geen reden voor paniek, zegt generaal Urlings. Maar goede voorbereiding is wel nodig. Er moet meer IT-kennis in huis worden gehaald.

Stel dat Nederland doelwit wordt van een grootschalige cyberaanval. In een apocalyptisch filmscenario zou de ontwrichting van de samenleving er zo uit kunnen zien: het bankverkeer is ontregeld, mobiele telefoons werken niet meer, het complete .nl-domein is gekaapt met kwaadaardige software. Er vallen doden omdat ziekenhuizen niet meer functioneren, de waterzuivering is uitgeschakeld en vliegtuigen vallen uit de lucht. Bij chemische fabrieken komen giftige chloorwolken vrij, de kerncentrale in Borssele is digitaal geïnfiltreerd en de aansturing van de wapensystemen van defensie is overgenomen door hackers.

Wat moet Defensie dan doen, terwijl er geen schot gelost is en geen vijand het land is binnengedrongen? „Tot nu toe was niet duidelijk hoe Nederland in geval van zo’n cyberaanval zou mogen reageren”, zegt generaal buiten dienst Marcel Urlings. Daarom vroeg het kabinet afgelopen zomer advies aan de Adviesraad Internationale Vraagstukken en de Commissie van Advies inzake Volkenrechtelijke Vraagstukken „om de kaders te schetsen waarbinnen Defensie mag optreden”.

Vandaag presenteert Urlings, die als voorzitter optrad, de bevindingen van beide organisaties. Zij stellen dat Nederland zich met geweld mag verdedigen tegen cyberbelagers. „Het internationaal recht is dan net zo goed van toepassing als bij een aanval met conventionele wapens. Een land mag dan niet alleen terugslaan met cyberwapens, maar ook met klassieke gevechtswapens. Onder juristen is daar al redelijke consensus over, maar politiek nog niet.”

Maar, zegt Urlings, voormalig bevelhebber van de landmacht, „zo’n cyberoorlog heeft nog nergens ter wereld plaatsgevonden en de kans dat het ooit zal gebeuren, is bijzonder klein. De drempel waarbij het oorlogsrecht in werking treedt – als er een aanmerkelijk aantal slachtoffers valt of de samenleving ernstig is ontwricht – is erg hoog. En zelfs dan is militair ingrijpen de laatste optie. Na diplomatieke maatregelen, sancties en strafrechtelijk optreden.”

De belangrijkste boodschap van het advies is dan ook dat er geen reden is voor paniek. „We moeten verre blijven van cyberhysterie en sciencefictionachtige doemscenario’s”, zegt Urlings. Zelfs de wekenlange ontregeling van al het digitale verkeer in Estland in 2007 en de Stuxnet-computerworm die in 2010 het nucleaire programma van Iran saboteerde, waren volgens hem niet ontwrichtend genoeg om het recht op zelfverdediging te doen gelden.

Waarom is het dan belangrijk dat defensie zich hierop voorbereidt?

„Het is zeer onwaarschijnlijk dat er een oorlog zal uitbreken die alleen in cyberspace wordt uitgevochten, maar digitale wapens zullen in elk toekomstig militair conflict een rol spelen. Met dit advies kan Defensie zich daar op voorbereiden.

„Maar veel belangrijker is dat ze de eigen netwerken beveiligt tegen verstoringen en spionage en inlichtingen op digitaal gebied verbetert.

„De meeste cyberaanvallen zijn niet militair, maar crimineel van aard. De krijgsmacht moet geen capaciteiten gaan ontwikkelen die primair de verantwoordelijkheid zijn van de civiele autoriteiten. Defensie kan bijspringen als er een dijkdoorbraak dreigt, maar het is niet aan militairen om nu al te controleren of Rijkswaterstaat de beveiliging van de sluisdeuren voor elkaar heeft.”

Wat een cyberaanval complex maakt, is dat onduidelijk is wie ‘de vijand’ is.

„Attributie is een groot probleem in het cyberdomein. Zelfverdediging mag alleen worden toegepast als duidelijk is wie de dader is. Dat een aanval via computers in Rusland wordt uitgevoerd, betekent niet dat de staat erachter zit. Maar als een land niet in staat is een aanval vanaf zijn grondgebied tegen te gaan, zou het de aangevallen partij toestemming moeten verlenen om op te treden.”

Cyberwapens werken alleen als ze geheim blijven. Hoe kunnen organisaties als de NAVO functioneren als bondgenoten niet willen vertellen wat ze in huis hebben?

„Volgens berichten hebben de Verenigde Staten overwogen om de Libische luchtverdediging uit te schakelen met een cyberaanval. Een belangrijke reden waarom ze dat niet gedaan zouden hebben, was dat ze dan het wapen zouden prijsgeven dat ze heimelijk hebben ontwikkeld.

„De kracht van een cyberwapen is dat niemand weet dat je het hebt en wat je precies hebt. Iedereen houdt zijn kaarten heel dicht aan de borst. Tussen bondgenoten is het daarom essentieel dat landen elkaar vertrouwen en steunen, bijvoorbeeld om hun eigen systemen te beschermen.”

Heeft Defensie wel de juiste mensen in huis om deze strijd aan te gaan?

„Heel veel bedrijven, en zeker ook de overheid, azen op specialisten die de kennis en kunde hebben om dit werk te doen. Het zijn niet alleen de financiële arbeidsvoorwaarden van de publieke sector die het lastig maken om IT-specialisten en hackers te werven, maar ook de hiërarchische structuur en bedrijfscultuur van defensie.

„Defensie wil inzetten op het werven van cyberreservisten, die in tijden van crisis kunnen worden opgeroepen. Dat is een sympathiek idee. Je moet je wel afvragen of er voldoende animo voor is.

„Hoe dit wordt opgelost, laat ik graag aan Defensie over. Het is in ieder geval wezenlijk dat ze meer kennis over cyber in huis halen als we een innovatieve, hoogwaardige krijgsmacht willen hebben.”