Geen cyberoorlog zonder echte oorlog

Defensie bezuinigt, behalve op het cyberleger ‘Cybersoldaten’ oefenen in internationaal verband met fictieve aanvallen Een bom op de luchtafweer is niet per se nodig, de computer kan ook plat

Redacteur Technologie

Er heerst chaos op Boolea. Hulporganisaties in het door oorlog geteisterde land lijden onder cyberaanvallen op hun IT-systemen, waardoor hun pogingen de bevolking te helpen spaak lopen. Uit alle macht proberen cybersoldaten onder mandaat van de Verenigde Naties de aanval af te slaan.

Boolea is „een eilandje 800 kilometer noord-west-west van Tenerife” en werd verzonnen voor de NAVO-oefening Locked Shields. Zo wordt de Nederlandse krijgsmacht getraind in virtuele oorlogsvoering. Cybersoldaten, ondersteund door burgerspecialisten, opereren vanuit een onopvallend kantoorgebouw op de voormalige luchtmachtbasis in Soesterberg.

De aanvallen komen vanuit Tallinn in Estland, waar het red team, de vijand, zit die tien blue teams wil uitschakelen. Door systemen te hacken, backdoors (verborgen toegang tot het systeem) te installeren en websites te blokkeren verdient het red team zijn punten. De blue teams kunnen alleen scoren door zich goed te verdedigen tegen het cybergeweld.

Nederland bouwt aan zijn cyberverdediging met DefCERT, het Defensie Computer Emergency Response Team. Ook versterkt Defensie de Militaire Inlichtingen- en Veiligheidsdienst MIVD door een Defensie Cyber Commando op te richten. Vanaf volgend jaar voeren zo’n 200 specialisten militaire cyber operations uit. Ze verdedigen computers en systemen en – in geval van oorlog – proberen ze die van de vijand binnen te dringen of plat te leggen.

„Voor alle duidelijkheid: wij zijn niet de digitale brandweer van Nederland”, zegt ‘cyberkolonel’ Hans Folmer. Voor bescherming tegen bedrijfsspionage, boze ‘hacktivisten’ of blokkades van bankensites ben je bij hem aan het verkeerde loket. Folmer is verantwoordelijk voor de virtuele oorlogsvoering. De budgetten van Defensie staan zwaar onder druk maar de verdediging tegen cybergeweld krijgt wel meer geld: 50 miljoen euro tot en met 2015, daarna 21 miljoen euro per jaar.

Nederland kan ook aanvallen

Nederland opereert weliswaar in NAVO- verband, maar het budget steekt schril af bij de naar schatting 50.000 tot 100.000 cybersoldaten die China opleidt. Of met de 23 miljard dollar die de VS willen uittrekken voor cyberoorlogsvoering, inclusief de NSA (National Security Agency), dat op grote schaal internet aftapt op zoek naar aanwijzingen voor aanslagen en andere verdachte activiteiten.

De wapens die de Nederlandse cybersoldaten tot hun beschikking hebben zijn in eerste instantie gericht op verdediging van systemen, maar kunnen ook aanvallen. Ze zouden bijvoorbeeld vijandelijke luchtverdediging kunnen uitschakelen zonder een bom te gooien, door de radarsoftware onbruikbaar te maken of de communicatieapparatuur plat te leggen. Met behulp van de MIVD, de militaire inlichtingen- en veiligheidsdienst, zouden ze kunnen proberen het Facebook-account te hacken van iemand bij de luchtverdediging, om zo toegang te winnen tot gevoeliger systemen.

Defensie is spaarzaam met details. Het PRISM-afluisterschandaal ligt vers in het geheugen en de Nederlandse veiligheidsdiensten werken nauw samen met Amerikaanse partners. „De MIVD doet onderzoek in cyberspace en de gegevens van opponenten en potentiële opponenten worden preventief verzameld”, aldus Folmer. „De MIVD moet in staat zijn in te breken in systemen en informatie te verzamelen in netwerken van tegenstanders. Die kennis zullen wij gebruiken om offensieve cybercapaciteit te ontwikkelen.” De MIVD heeft toegang tot openbare bronnen, bronnen van inlichtingsdiensten van bevriende naties en Sigint, die onder meer satellietcommunicatie afluistert met grote antennes in Friesland. Het afluisteren van webverkeer is een volgende stap, die door de NSA in elk geval al is gezet.

Net een echt wapen

Voor cyberaanvallen gelden dezelfde regels als gewone militaire aanvallen, legt kolonel Paul Ducheine uit. Hij is universitair hoofddocent voor cyberoperaties aan de Nederlandse Defensieacademie. „We kunnen pas terugslaan als blijkt dat er sprake is van een staat of een ‘niet-statelijk actor’ die Nederland aanvalt, de regering bijeenkomt en concludeert dat het een ‘gewapende aanval’ betreft.”

Kortom: geen cyberoorlog zonder een echte oorlog. Ducheine vergelijkt de cyberwapens dan ook graag met traditionele wapens: zoals je vroeger probeerde de radar plat te leggen met zilverpapier of elektronische storing, probeert het leger nu de software te ontregelen.

In Nederland ligt de nadruk op verdediging tegen cyberaanvallen. Een van de cyberspecialisten, hij laat zich ‘JM’ noemen, legt uit dat terugslaan in een cyberoorlog net zo gevaarlijk is als in een ‘echte’ oorlog. „Als je een server uit de lucht haalt, kun je ook allerlei onschuldige systemen beschadigen. Die collateral damage (nevenschade) is ongewenst, vergelijk het maar met het uitschakelen van luchtafweergeschut dat bovenop een ziekenhuis is geplaatst.”

JM ziet eruit als het prototype van een alternatieve hacker – zeker geen soldaat in vers gesteven uniform. In het cyberleger maakt het niet uit hoe je eruitziet, maar hoe handig je bent met computers. De veiligheidsdiensten proberen de handigste types te ronselen voor de cyberoorlog.

Oorlogsretoriek

In Amerika wordt flink in cyberkrachten geïnvesteerd: de regering stelt een begroting voor van 23 miljard dollar en personele uitbreiding van 900 naar 4.900 mensen.

Traditionele wapenproducenten zoeken een nieuwe markt en die vinden ze bij het snel groeiende Amerikaanse cyberleger. Ducheine: „Als het gaat om cybersecurity zijn Lockheed en Boeing grote leveranciers. Vroeger maakten ze alleen bommen en vliegtuigen, nu ook wapens om systemen te verdedigen of aan te vallen.” Ook Israël is vermaard om zijn aan het leger gelieerde bedrijven die spionagesoftware maken, onder meer voor AIVD en MIVD.

De beveiligingsindustrie heeft belang bij een zeker gevoel van onbehagen bij het grote publiek. Niet voor niets regent het na elke cyberhype – bijvoorbeeld het herhaaldelijk platleggen van websites voor internetbankierders – verontrustende rapporten van beveiligingsbedrijven. Daarbij wordt oorlogsretoriek niet geschuwd, tot ergernis van Ducheine: „Hebben we het over cyberoorlog of over cybersecurity? Zo’n aanval op banken is een vorm van pesten. Maar als je het een cyberaanval noemt, suggereer je dat er een militaire link is.” Hij noemt het securitization, het op de agenda krijgen van veiligheidsonderwerpen.

Opvallend: het Nederlandse cyberleger is terughoudend met het gebruik van de term cyberoorlog. De voornaamste taak is het beschermen van de Nederlandse defensiesystemen en die zijn tot nu toe nog niet serieus bedreigd, aldus Folmer. Ducheine: „Of we hebben het niet gemerkt.”

Volgens Folmer wordt er wel „regelmatig aan de deur geklopt”. Maar het militaire netwerk, het Titaan-systeem, is goed beveiligd: „Voor onze operaties gebruiken we standaardhardware, die we ombouwen en voorzien van onze eigen software. De kabels liggen goed van elkaar gescheiden.”

Ook de eigen organisatie wordt af en toe getest op gerichte aanvallen. Zo vonden enkele Nederlandse defensiemedewerkers afgelopen voorjaar een vrolijke discobal met usb-kabel in hun postvak. Het leek een leuk cadeautje, maar de usb-stick was voorzien van kwaadwillende software die van een spion afkomstig had kunnen zijn. Ter geruststelling: alle verdachte discoballen werden ingeleverd bij de dienstdoende veiligheidsfunctionaris.

    • Marc Hijink