...en ook digitaal is Nederland paraat

Sinds gisteren heeft Nederland een ‘Cyber Commando’. Daarmee kan IS ook digitaal worden aangevallen.

Via welk kanaal zaait Islamitische Staat terreur en werft het zijn aanhangers? Juist, vooral via internet. Hoe logisch zou het dan niet zijn om de moslimextremisten ook digitaal onder vuur te nemen? Sinds gisteren beschikt het Nederlandse leger officieel over de capaciteit om dat te doen. In Den Haag presenteerde minister Hennis-Plasschaert (Defensie, VVD) het ‘Defensie Cyber Commando’. Daarin werken digitale experts van alle krijgsmachtsonderdelen samen met medewerkers van beveiligingsbedrijf Fox-IT.

De krijgsmacht had al IT’ers in dienst die de eigen digitale systemen moesten beschermen tegen cyberaanvallen van buitenaf. Dat is essentieel in een oorlogssituatie, aangezien veel wapensystemen door computers worden aangestuurd. Sinds gisteren is daar de mogelijkheid bijgekomen om ook zelf vijandelijke ict-systemen te ontregelen.

Wat kan dat in de praktijk betekenen? Tijdens de presentatie gisteren werd een denkbeeldig scenario geschetst waarin Nederland tijdens een VN-missie moet bijdragen aan het herstellen van het centrale gezag in een land. Opstandelingen daar filmden met een drone de Nederlandse troepenbewegingen. De beelden plaatsten ze op een propagandistische website die opriep tot verzet tegen de buitenlandse troepen. Opdracht voor het nieuwe cybercommando: leg de site plat en haal de drone, er vloog er gisteren ook een door de zaal, uit de lucht.

Dat laatste gebeurde niet door hem neer te schieten, maar door op afstand de besturing over te nemen. Daarna werd de site van de opstandelingen gehackt en de server waarop die draaide onklaar gemaakt.

Gaat Nederland dit bij Islamitische Staat nu ook doen? „Dat zal dan in ieder geval niet in het geheim gebeuren”, zegt ‘cyberkolonel’ Hans Folmer. „Voor offensieve cyberoperaties gelden dezelfde regels als voor de inzet van reguliere wapens. Eerst moet het parlement worden geïnformeerd.” Er zijn nu nog geen plannen om IS digitaal aan te vallen, maar dat kan volgens een defensiewoordvoerder nog veranderen.

Heftiger dan het klinkt

Offensieve cyberoperaties kunnen ook een stuk verder gaan dan het neerhalen van wat sites. Het woord ‘cyberoperatie’ klinkt misschien vredig, maar de gevolgen kunnen verstrekkend zijn. Voorafgaand aan de Russische inval in Georgië in 2008 legden Russische hackers het internetverkeer en militaire communicatiesystemen in het buurland plat. Dat maakte de invasie een stuk eenvoudiger. Een jaar eerder maakte Israël via een cyberaanval eerst de Syrische luchtafweer onklaar, waarna gevechtsvliegtuigen ongehinderd een nucleaire installatie konden bombarderen.

Het zijn dit soort militaire voordelen waardoor deskundigen de inzet van cyberwapens volstrekt logisch vinden. „Een moderne krijgsmacht kan niet zonder. Er zijn heel wat westerse landen een stuk minder ver dan Nederland op dit gebied. Die nemen daarmee een behoorlijk risico”, zegt defensiedeskundige Kees Homan van Instituut Clingendael.

Dat wil niet zeggen dat er geen haken en ogen zitten aan dit soort cyberwapens. Er zijn allerlei scenario’s denkbaar waarin onduidelijk is wat juridisch is toegestaan. Stel dat Nederland een website van IS uit de lucht wil halen, terwijl de server waarop die draait in Rusland staat. Mag Nederland daar dan op inbreken? „Ik vind van wel”, zegt Arno Lodder, hoogleraar internetrecht aan de Vrije Universiteit in Amsterdam. „Maar daar zullen veel juristen, en niet te vergeten de Russen, waarschijnlijk heel anders over denken.”

Een rechtshulpverzoek aan een ander land om zo’n site uit de lucht te halen kan lang duren en werkt niet bij landen waarmee de betrekkingen slecht zijn. Wat doe je in zo’n geval? Dat is nu nog onduidelijk.

Een andere vraag is in hoeverre medewerkers van Fox-IT, burgers dus, mee mogen werken aan offensieve cyberoperaties. Cyberkolonel Folmer erkent dat dit een juridische vraag is. „De inzet van wapens gebeurt altijd door militairen”, voegt hij eraan toe. Zo is het denkbaar dat de software voor een hack door Fox-IT wordt geschreven en het activeren ervan door militairen gebeurt. Maar wat als er daarbij problemen ontstaan en het IT-bedrijf moet bijspringen? Dat is juridisch gezien nog onontgonnen terrein.