Het cyberleger kan en mag nog weinig

Cyberveiligheid

Vier jaar na de feestelijke presentatie is het Nederlandse cybercommando DCC onzichtbaar, vinden critici. De baas van het DCC is het er deels mee eens: „We hebben geduld en tijd nodig. Die moeten ons gegund worden.”

Commandant der Strijdkrachten Luitenant-admiraal R.P. Bauer draagt het vaandel van Defensie Cyber Commando in het militair Complex Brasserskade.
Commandant der Strijdkrachten Luitenant-admiraal R.P. Bauer draagt het vaandel van Defensie Cyber Commando in het militair Complex Brasserskade. Foto Jerry Lampen/ANP

Ontspannen leunt Pieter Cobelens achterover. De generaal-majoor buiten dienst laat in zijn favoriete golfclub in Breda zijn fantasie de vrije loop. Terwijl een tafel verderop glorieuze hole-in-ones worden besproken, zegt de voormalig chef van de militaire inlichtingendienst: „Weet je wat we na die Russische hackpoging op de OPCW [de Organisatie voor het Verbod op Chemische Wapens] in Den Haag hadden moeten doen? Gewoon een kwartier het licht uitzetten in de badkamer van Vladimir Poetin. En als hij de volgende keer nog iets vervelenders doet, heel Moskou zonder spanning zetten. Terughacken dus!”

Cobelens fantaseert. Maar het is een relevante fantasie. Ze toont het ongeduld binnen het defensie-establishment over het groeiend aantal Russische hacks en hackpogingen. De Nederlandse houding zou „offensiever” moeten worden, zoals het in de laatste cybernota uit oktober van het ministerie van Defensie heet.

Lees hier een reconstructie over de hack op de OPCW

Maar kan en wil Nederland de Russen pijn doen als het erop aankomt?

Voor een antwoord op die vraag moeten we naar de Koningin Beatrixkazerne aan de Van Alkemadelaan in Den Haag. Daar huist het vier jaar oude cyberleger: het Defensie Cyber Commando (DCC). Het in 2014 officieel opgerichte DCC zou dingen mogen ‘stukmaken’ bij de vijand. De brandstoftoevoer van luchtafweergeschut verstoren, bijvoorbeeld. Of de radar van een raket beïnvloeden.

De verwachtingen waren hoog. In een tijd van bezuinigingen maakte toenmalig minister Hans Hillen (CDA) er in 2012 tientallen miljoenen euro’s voor vrij, maar de exacte uitgaven bleven geheim. Vrijdag kondigde het kabinet aan extra geld vrij te maken voor deze cyberpoot van defensie, maar het exacte bedrag blijft wederom geheim .

De eenheid had de afgelopen jaren moeten groeien naar zo’n tweehonderd hooggespecialiseerde hackers, ontwikkelaars en andere IT-specialisten. Ze kreeg een eigen commandant en eigen vaandel, een eigen plek op de kazerne. „Een nieuwe eenheid, manier van optreden en doctrine”, zei toenmalig minister Jeanine Hennis in september 2014 bij de officiële oprichting. „Om naast land, water, lucht en de ruimte, ook het militair optreden in het cyberdomein verder te verankeren.”

Weinig feestvreugde over

Vier jaar en tientallen cyberaanvallen van Rusland, Iran, en Noord-Korea later is er niet veel over van de feestvreugde, zo blijkt uit een rondgang van NRC langs experts binnen en buiten het DCC. Er zijn steeds meer twijfels over wat het commando precies kan, mag en wil. In plaats van de nagestreefde tweehonderd man/vrouw, kwam de eenheid niet verder dan tachtig tot honderd. De beloofde tientallen miljoenen belandden lang niet allemaal bij het cybercommando.

Maar het belangrijkste: in plaats van zich te ontwikkelen tot offensieve organisatie die bij de vijand respect afdwingt, is het DCC, zo erkent de huidige commandant Elanor Boekholt-O’Sullivan, veranderd in een nog wat zoekende „uitzendorganisatie”. Haar doel nu: inlichtingendiensten of andere defensieonderdelen zoals marechaussee en landmacht ter zijde staan met IT-kennis. De soldaten van cyberleger kunnen hun prestaties niet in het openbaar tonen, zoals bijvoorbeeld F-16-vliegers dat met hun bombardementen op IS wel kunnen. Ook heeft het cyberleger nog niet zelfstandig offensieve acties ondernomen, bevestigt Boekholt-O’Sullivan.

Dit is een probleem, want als de vijand niet ziet wat het commando kan, zal hij daar weinig geïmponeerd door zijn, zegt Defensieambtenaar Hugo Vijver. Hij studeerde aan de Nederlandse Defensie Academie in Breda af op ‘cyberafschrikking’. „Goede afschrikking”, zegt Vijver, „draait om zichtbare, geloofwaardige en offensieve capaciteit. Verdediging op zichzelf is geen afschrikking. Er zijn niet voor niets militaire parades op het Rode Plein of de Champs-Élysées. Zoiets zou op het gebied van cyber ook moeten.”

Kunnen ze meer?

Kunnen de cybersoldaten misschien meer dan ze laten zien? Ook daarover bestaat grote twijfel, blijkt uit kritische stukken in het vakblad Atlantisch Perspectief. Volgens Sergei Boeke, oud-MIVD’er en onderzoeker bij de Universiteit Leiden, is het vermogen om hoogwaardige doelen uit te schakelen „nog niet aanwezig”. Max Smeets, docent cyberveiligheid aan de Amerikaanse Stanford University, rept van personeelstekorten en tekortschietende budgetten bij het commando.

Opvallend genoeg zegt Boekholt-O’Sullivan, die een half jaar geleden de baas van van het cybercommando werd, haar critici te begrijpen. „Ik ben het er deels mee eens”, zegt ze tijdens een gesprek op de Haagse Beatrixkazerne. ,,Het kost tijd om te kunnen wat je zou willen, voordat je zulke systemen in bent. We hebben geduld en tijd nodig. Die moeten ons gegund worden.”

In de praktijk mogen cybersoldaten weinig. Ze zijn juridisch strak ingesnoerd. Oefenen mag, maar daadwerkelijk inbreken of iets stukmaken mag niet. Ook niet tijdelijk, zoals het licht uitzetten in de badkamer van Poetin. Dat geldt als oorlogsdaad of kan als zodanig worden opgevat door de Russen. Er is eerst een besluit voor nodig van de regering, of de NAVO. „Ik heb sinds mijn aanstelling geen politieke opdracht gekregen om ergens binnen te dringen”, zegt Boekholt-O’Sullivan.

Oud-MIVD-baas Cobelens, vanaf het begin betrokken bij de ontwikkeling van het cybercommando, ziet het met stijgende irritatie aan. Hij ziet „vooral regeltjes”. Typisch Nederland om alles keurig via wettelijke kaders te willen doen, zegt hij. De cyberwereld is nu eenmaal een beetje ‘wild west’. „Andere landen zoals de VS begrijpen dat. Ze gaan soepeler met wetgeving om en durven meer.” Zo haalde het Amerikaanse cybercommando websites van terreurorganisatie IS met propagandamateriaal weg. Ook blokkeerde het de toegang van cyberpropagandisten van IS tot socialmediaaccounts.

Lees ook: ‘Cyberleger’ moet inbrekers afschrikken

Uitzendorganisatie

De DCC als ‘uitzendorganisatie’ moet een uitweg bieden. Om te voorkomen dat de cybersoldaten vooral op hun handen blijven zitten, worden velen elders gedetacheerd. Bij de MIVD bijvoorbeeld, die actief is bij de Nederlandse militaire missie in Mali. DCC’ers vallen dan onder de nieuwe inlichtingenwet Wiv.

Samenwerking tussen hackers van AIVD, MIVD en DCC biedt nog een ander voordeel. Aan het digitaal inbreken in een vijandelijk systeem gaan maanden aan voorbereidingen vooraf. Juist in dat laatste zijn hackers van de diensten weer goed, schrijft onderzoeker Sergei Boeke in zijn artikel. Het voorzichtig aftasten van zwakke plekken in de kritische infrastructuur van tegenstanders en het onopgemerkt naar binnensluipen om daar malware te verstoppen, is iets dat experts van AIVD en MIVD wel kunnen.

Een andere uitweg uit het juridische probleem had de traditionele verdedigingstaak kunnen zijn. Laat het cybercommando een rol spelen bij de bescherming van de Rotterdamse haven, de digitale bescherming van kerncentrales en andere mogelijke doelwitten, vond Hans Folmer, de eerste DCC-commandant. Hij verloor die strijd. Bedrijven zoals Fox-IT liepen voorop bij het ophogen van de digitale dijken. Zij hebben ervaring en kennis en de reputatie om aanvallen af te slaan.

Mede hierdoor werd het moeilijker voor het DCC om genoeg goede mensen aan te trekken. Ze miste het geheimzinnig avontuur van de inlichtingendiensten, het aantrekkelijk salaris van bedrijven, de relevantie bij de verdediging tegen aanvallen.

‘Normale’ militairen

Veel DCC’ers waren ooit ‘normale’ militairen. Ze kwamen bovendrijven omdat ze bovengemiddelde kennis hadden van ICT, zoals een oud-systeembeheerder bij een bibliotheek en een afgezwaaide Apache-piloot die met ingewikkelde systemen moest vliegen. Na een training bij Fox-IT werden de opgeleide hackers een jaar geplaatst bij een organisatie in de private sector om praktische ervaring op te doen. Het DCC heeft samenwerkingsverbanden met bedrijven als Thales, KPN en Certified Secure. Toch is lang niet zeker of de daar opgedane kennis goed kan worden benut binnen de Beatrixkazerne. Onderzoeker Max Smeets schrijft: ,,Het is veel moeilijker dan vaak wordt erkend om deze expertise efficiënt toe te passen [binnen het DCC].”

Maar er is ook goed nieuws. „Er zijn tegenwoordig virtueel heel realistische oefenscenario’s te maken”, zegt Boekholt-O’Sullivan. Recent nog oefende de eenheid een scenario met ontspoorde treinen, gehackte waterzuiveringsinstallaties, en verontreinigd water. Ambtenaar Hugo Vijver ziet een „groeiende politieke wil” om landen openlijk aan te wijzen als dader van cyberaanvallen.

Commandant Boekholt-O’Sullivan lijkt zich met de dienstverlenende rol van het DCC verzoend te hebben. Blijmoedig zegt ze: „Mijn mensen zijn out there bezig, met de diensten of met andere organisaties. Word je daarmee als eenheid irrelevant? Geenszins. Is dat werk belangrijk? Jazeker. Is het erg dat ik voor een uitzendorganisatie werk? I don’t care!”

    • Liza van Lonkhuyzen
    • Kees Versteegh