Geen cyberoorlog zonder echte oorlog

Terwijl het budget van de Nederlandse defensie wordt beknot, krijgt één tak van de krijgsmacht meer geld: het digitale leger. Cybersoldaten bereiden zich voor op de virtuele oorlog.

Illustratie Rhonald Blommestijn

Er heerst chaos op Boolea. Hulporganisaties in het door oorlog geteisterde land lijden onder cyberaanvallen op hun IT-systemen, waardoor hun pogingen de bevolking te helpen spaak lopen. Uit alle macht proberen cybersoldaten onder mandaat van de Verenigde Naties de aanval af te slaan.

Boolea is „een eilandje 800 kilometer noord-west-west van Tenerife” en werd verzonnen voor de NAVO-oefening Locked Shields. Zo wordt de Nederlandse krijgsmacht getraind in virtuele oorlogsvoering. Cybersoldaten, ondersteund door burgerspecialisten, opereren vanuit een onopvallend kantoorgebouw op de voormalige luchtmachtbasis in Soesterberg.

De aanvallen komen vanuit Tallinn in Estland, waar het red team, de vijand, zit die tien blue teams wil uitschakelen. Door systemen te hacken, backdoors (verborgen toegang tot het systeem) te installeren en websites te blokkeren verdient het red team zijn punten. De blue teams kunnen alleen scoren door zich goed te verdedigen tegen het cybergeweld.

Het lijkt een computerspelletje – het Nederlandse team wordt uiteindelijk derde bij de oefening –, maar dit soort scenario’s is al lang werkelijkheid. Computeraanvallen werden gebruikt tegen Estland en in de oorlog tussen Rusland en Georgië, door Russische veiligheidsdiensten of patriottistische hackers.

In 2007 voerde Israël een cyberaanval op de Syrische luchtverdediging uit als onderdeel van een aanval op een nucleaire faciliteit. Landen als China en de VS bespioneren elkaar intensief. En het meest tot de verbeelding sprekende cyberwapen was Stuxnet: het computervirus dat vermoedelijk door de VS en Israël werd ontwikkeld om het Iraanse kernenergieprogramma te ontregelen.

Stuxnet drong door in een industrieel complex en richtte fysieke schade aan. Maar omdat Stuxnet uitlekte is het nu wachten op varianten van ‘cyberterroristen’. Er ontstaat een boemerangeffect, zegt Eugene Kaspersky van het gelijknamige beveiligingsbedrijf, als geavanceerde cyberwapens in het wild terechtkomen en bij kwaadwillenden belanden.

Nederland bouwt aan zijn cyberverdediging met DefCERT, het Defensie Computer Emergency Response Team. Ook versterkt Defensie de cyberinlichtingencapaciteit van de Militaire Inlichtingen- en Veiligheidsdienst MIVD en richt het een Defensie Cyber Commando op. Vanaf volgend jaar voere n zo’n 200 specialisten militaire cyber operations uit. Ze verdedigen computers en systemen en – in geval van oorlog – proberen ze die van de vijand binnen te dringen of plat te leggen.

„Voor alle duidelijkheid: wij zijn niet de digitale brandweer van Nederland”, zegt ‘cyberkolonel’ Hans Folmer. Voor bescherming tegen bedrijfsspionage, boze ‘hacktivisten’ of blokkades van bankensites ben je bij hem aan het verkeerde loket.

Folmer is verantwoordelijk voor de virtuele oorlogsvoering. De budgetten van Defensie staan zwaar onder druk maar de verdediging tegen cybergeweld krijgt wel meer geld: 50 miljoen euro tot en met 2015, daarna 21 miljoen euro per jaar.

Nederland opereert weliswaar in NAVO-verband, maar het budget steekt schril af bij de naar schatting 50.000 tot 100.000 cybersoldaten die China opleidt. Of met de 23 miljard dollar die de VS willen uittrekken voor cyberoorlogsvoering, inclusief de NSA (National Security Agency), dat op grote schaal internet aftapt op zoek naar aanwijzingen voor aanslagen en andere verdachte activiteiten.

Preventie

Het PRISM-afluisterschandaal ligt vers in het geheugen. Defensie wil er niets kwijt, hoewel de Nederlandse veiligheidsdiensten nauw samenwerken met Amerikaanse partners. „De MIVD, de militaire inlichtingen- en veiligheidsdienst, doet onderzoek in cyberspace en de gegevens van opponenten en potentiële opponenten worden preventief verzameld”, aldus Folmer. „De MIVD moet in staat zijn in te breken in systemen en informatie te verzamelen in netwerken van tegenstanders. Die kennis zullen wij gebruiken om offensieve cybercapaciteit te ontwikkelen.”

Je zou bijvoorbeeld de vijandelijke luchtverdediging kunnen uitschakelen zonder een bom te gooien, door de radarsoftware onbruikbaar te maken of de communicatieapparatuur plat te leggen. De MIVD zou kunnen proberen het Facebook-account te hacken van iemand bij de luchtverdediging, om zo toegang te winnen tot gevoeliger systemen.

Volgens Folmer wordt trucs die de MIVD gebruikt om binnen te dringen in een computer, ook toegepast bij een aanval. „Het gaat om het bereiken van een hoger niveau, je wilt admin (beheerder) worden.”

En de MIVD stelt vervolgens een lijstje wachtwoorden ter beschikking aan de strijdkrachten? Folmer: „We krijgen antwoorden op de vragen die we stellen. Maar we krijgen nooit te horen hoe de MIVD aan die informatie kwam.”

De MIVD heeft toegang tot openbare bronnen, bronnen van inlichtingsdiensten van bevriende naties en Sigint, die onder meer satellietcommunicatie afluistert met grote antennes in Friesland. Het afluisteren van webverkeer is een volgende stap, die door de NSA in elk geval al is gezet.

Voor cyberaanvallen gelden dezelfde regels als gewone militaire aanvallen, legt kolonel Paul Ducheine uit. Hij is universitair hoofddocent voor cyberoperaties aan de Nederlandse Defensieacademie. „We kunnen pas terugslaan als blijkt dat er sprake is van een staat of een ‘niet-statelijk actor’ die Nederland aanvalt, de regering bijeenkomt en concludeert dat het een ‘gewapende aanval’ betreft.”

Kortom: geen cyberoorlog zonder een echte oorlog. Ducheine vergelijkt de cyberwapens dan ook graag met traditionele wapens: zoals je vroeger probeerde de radar plat te leggen met zilverpapier of elektronische storing, probeert het leger nu de software te ontregelen. Het transportmiddel voor wapens is niet de zee of het luchtruim, maar internet.

In Nederland ligt de nadruk op verdediging tegen cyberaanvallen.Een van de cyberspecialisten, hij laat zich ‘JM’ noemen, legt uit dat terugslaan in een cyberoorlog net zo gevaarlijk is als in een ‘echte’ oorlog. „Als je een server uit de lucht haalt, kun je ook allerlei onschuldige systemen beschadigen. Die collateral damage (nevenschade) is ongewenst, vergelijk het maar met het uitschakelen van luchtafweergeschut dat bovenop een ziekenhuis is geplaatst.”

Specialistische kennis

JM ziet eruit als het prototype van een alternatieve hacker – zeker geen soldaat in vers gesteven uniform. In het cyberleger maakt het niet uit hoe je eruit ziet, maar hoe handig je bent met computers. De veiligheidsdiensten proberen de handigste types te ronselen voor de cyberoorlog.

Afgelopen zomer riep de Amerikaanse cybergeneraal Keith Alexander (directeur van NSA) nog hackers op om de NSA te steunen. Het US Cyber Command is zoekt naar specialistische kennis over fouten gaten in software (exploits), die gebruikt worden om binnen te dringen in systemen. Volgende week spreekt Alexander op een besloten congres van KPN.

Ducheine en Folmer zijn geïmponeerd door de expansiedrift van de Amerikaanse cyberkrachten: een voorgestelde begroting van 23 miljard dollar en personele uitbreiding van 900 naar 4.900 mensen. Paul Ducheine: „De defensiemarkt verandert nu het Amerikaanse leger zich heeft teruggetrokken uit Irak en Afghanistan en de zorgen over terroristische aanslagen na 9/11 afnemen. Het gevoel van dreiging wordt mede gecreëerd door de firma’s die militaire producten verkopen. Een nieuwe dreiging betekent: nieuw geld.”

Traditionele wapenproducenten zoeken een nieuwe markt. Ducheine: „Als het gaat om cybersecurity zijn Lockheed en Boeing grote leveranciers. Vroeger maakten ze alleen bommen en vliegtuigen, nu ook wapens om systemen te verdedigen of aan te vallen.” Ook Israël is vermaard om zijn aan het leger gelieerde bedrijven die spionagesoftware maken, onder meer voor AIVD en MIVD.

Onbehagen

De beveiligingsindustrie heeft belang bij een zeker gevoel van onbehagen bij het grote publiek. Niet voor niets regent na elke cyberhype – bijvoorbeeld het herhaalde platleggen van websites voor internetbankierders – verontrustende rapporten van beveiligingsbedrijven.

Daarbij wordt oorlogsretoriek niet geschuwd, tot ergernis van Ducheine: „Hebben we het over cyberoorlog of over cybersecurity? Zo’n ddos-aanval op banken is een vorm van pesten. Maar als je het een cyberaanval noemt, suggereer je dat er een militaire link is.” Hij noemt het securitization, het op de agenda krijgen van veiligheidsonderwerpen. De Nederlandse defensieorganisatie zegt zelf nog geen serieuze bedreiging te hebben ervaren. Ducheine: „Of we hebben het niet gemerkt.”

Volgens Folmer wordt er wel „regelmatig aan de deur geklopt”. Maar het militaire netwerk, het Titaan-systeem, is goed beveiligd: „Voor onze operaties gebruiken we standaardhardware, die we ombouwen en voorzien van onze eigen software. De kabels liggen goed van elkaar gescheiden.”

Ook de eigen organisatie af en toe getest wordt op gerichte aanvallen. Zo vonden enkele Nederlandse defensiemedewerkers afgelopen voorjaar een vrolijke discobal met USB-kabel in hun postvak. Het leek een leuk cadeautje, maar de USB-stick was voorzien van kwaadwillende software die van een spion afkomstig had kunnen zijn.

Ter geruststelling: alle verdachte discoballen werden ingeleverd bij de dienstdoende veiligheidsfunctionaris.