Opinie

Op alle fronten rukken de schimmen op

Het was een spectaculaire overval, al duurde het een tijdje voor de slachtoffers het in de gaten hadden. Maandenlang konden computerhackers naar hartelust persoonlijke gegevens over miljoenen Amerikaanse ambtenaren, gepensioneerde ambtenaren en veteranen wegsluizen uit het computernetwerk van een overheidsdienst – het Office of Personnel Management (OPM).

Het ging behalve om namen, adressen, geboortedata, financiële gegevens en Social Security numbers (een soort burgerservicenummer), vermoedelijk ook om het soort gevoelige informatie dat de overheid verzamelt over werknemers die vertrouwelijke stukken mogen inzien: wie hun vrienden zijn, hun partners en ex-partners, contacten in het buitenland, of ze schulden hebben of psychologische problemen en ga zo maar door.

Toen dit nieuws begin deze maand bekend werd, leken vier miljoen mensen door deze hack te zijn getroffen. Maar deze week bleek dat de FBI ervan uitgaat dat het aantal vermoedelijk meer dan vier keer zo groot is, zo’n 18 miljoen. Daarmee zou het een van de grootste diefstallen van overheidsinformatie in de Amerikaanse geschiedenis zijn. De daders legden „een elektronische pijpleiding” aan om al die informatie naar China te laten stromen, schreef The New York Times.

Maar wie er precies achter zat, bleek moeilijk vast te stellen. Bij cyberaanvallen is dat een berucht probleem: slimme hackers kunnen hun inbrekerswerk uitvoeren via een reeks van computers van anderen, die zich soms van geen kwaad bewust zijn. Dus wie geef je dan de schuld? Tegen wie tref je tegenmaatregelen, of vergelding, om toekomstige daders af te schrikken? Tegen een schim begin je weinig.

Nu maken de Amerikanen zich weinig illusies: de aanval kwam uit China en anonieme functionarissen in Washington zeggen dat ze er „steeds meer van overtuigd” zijn dat de Chinese regering erachter zit. Maar harde bewijzen ontbreken en tot een openlijke beschuldiging, laat staan vergelding, is het niet gekomen. China ontkent verontwaardigd dat het iets met de diefstal te maken heeft. En waarom zouden het geen gewone criminelen kunnen zijn?

Het is een probleem dat zich ook op andere terreinen voordoet, bij terrorisme bijvoorbeeld en bij zogeheten hybride oorlogvoering. Als de Talibaan een aanslag opeisen, blijft de vraag of niet hun beschermheren bij de Pakistaanse inlichtingendienst eigenlijk aan de touwtjes trekken. Als Russische militairen blijken mee te vechten in Oekraïne, dan speelt Poetin de vermoorde onschuld door te zeggen dat het vrijwilligers zijn die in hun vrije tijd hun eigen ding doen – spreek ons er niet op aan.

Op alle fronten rukken zo de schimmen op. De tijd dat de internationale politiek louter een zaak was tussen staten is al lang en breed voorbij. Op het wereldtoneel manifesteren zich ook allerlei andere spelers, van niet-gouvernementele organisaties tot multinationals, van religieuze groepen tot opstandelingen, en van de georganiseerde misdaad tot terreurbewegingen – en hackers.

Dat gaat allemaal ten koste van de macht van staten. Maar staten kunnen die nieuwe spelers ook naar voren schuiven, bijvoorbeeld om ze digitaal te laten spioneren of een een land gewapenderhand te destabiliseren. Zo kun je niet alleen de klus, maar ook de politieke aansprakelijkheid uitbesteden.

Een land dat zich tegen zulk schimmenspel wil verdedigen, kan moeilijk terugvallen op ouderwetse afschrikking, waarbij aanvallers op een geloofwaardige manier met vergelding worden bedreigd. Want wie zijn de aanvallers? En voor wie werken ze? Een mooi werkterrein voor de spion van de 21ste eeuw.