Controlekamer van de cybercommando’s van defensie. Nederland doet ook aan cyberoorlogvoering. De krijgsmacht heeft daarvoor een cybercommando, dat behalve defensief ook offensief mag opereren.

Foto Bas Czerwinski

Cyberspecialist Jelle van Haaster: ‘Vuur geen dure raket af na een internetdreiging’

Cyberwapens Reageer niet fysiek op cyberdreiging, zegt Jelle van Haaster, die recent promoveerde op de rol van digitale techniek in oorlogvoering. „Ik wil dat cyberwapens als volwaardig onderdeel van ons arsenaal worden gezien.”

„Twee explosies in het Witte Huis, Barack Obama gewond.” In de ochtend van 23 april 2013, verspreidde de Twitteraccount van het vooraanstaande persbureau Associated Press deze alarmerende tekst. De Amerikaanse effectenbeurs verloor onmiddellijk 136,5 miljard dollar aan marktwaarde. Pas nadat het Witte Huis had laten weten, eveneens via Twitter, dat er niets aan de hand was, en dat de Amerikaanse president in goede gezondheid verkeerde, schoot de koers van de beurs weer omhoog.

„Zo gemakkelijk en zo goedkoop kan dus paniek worden gezaaid”, zei Jelle van Haaster vorige week bij zijn promotie tegen een gehoor van tientallen militairen en studenten van onder meer de Defensie Academie. Van Haaster, werkzaam bij het ministerie van Defensie, schreef een proefschrift over de rol van social media, hacken en andere cybertechnieken in moderne oorlogvoering.

De paniek op Wall Street is volgens hem een van de vele varianten van cyber warfare. Het Twitteraccount van AP bleek namelijk te zijn gehackt door een groep die de Syrische dictator Assad steunde.

Nederland doet ook aan cyberoorlogvoering. De krijgsmacht heeft daarvoor een cybercommando, dat behalve defensief ook offensief mag opereren. En onlangs trok het kabinet extra geld uit voor het ‘cyberdomein’. Nederland kan dus een cyberoorlog voeren – net zoals de Syrische hackersgroep, of het Amerikaanse leger dat volgens recente berichtgeving in The New York Times Russische energiecentrales heeft gehackt.

Nederland doet dit alleen te weinig, vertelt Van Haaster in de brasserie op Amsterdam CS, een dag voor zijn promotie. In zijn proefschrift On Cyber beschrijft Van Haaster nauwgezet wat er allemaal komt kijken bij cyberoorlogvoering, van een gereedschapskist vol cyberwapens tot de uitgebreide regelgeving voor het gebruik daarvan.

Zijn belangrijkste boodschap luidt: „Ik wil graag dat bij ons, net als bij onze tegenstanders, cyberwapens als volwaardig onderdeel van ons arsenaal worden gezien en in de militaire besluitvorming worden betrokken. Dat gebeurt nu niet of onvoldoende.”

Lees ook Het cyberleger kan en mag nog weinig

Waaruit blijkt dat?

„Neem onze missie in Mali. Daarbij moesten onze militairen inlichtingen verzamelen over onze tegenstanders. We hadden daar alleen nauwelijks cyberspecialisten, die sociale media konden volgen. Ook werd vanuit Nederland vrij weinig gedaan om bewegingen op internet door de tegenstanders in en rond Mali te volgen. Een gemiste kans. Een groot voordeel van internet is juist, dat je soms helemaal niet ter plekke hoeft te zijn om toch inlichtingen te verzamelen. Dat is minder riskant en sowieso goedkoper.

„Een ander voorbeeld biedt de coalitie waarin Nederland meevocht tegen Islamitische Staat. Het hoofd propaganda van IS leidde een vijandig internetkanaal dat propaganda bedreef en aanhangers in het Westen probeerde te mobiliseren. Hij kreeg van de Britten een Hellfire-raket van 112.000 euro op zijn hoofd. Dat is echt te klassiek-militair gedacht. Want het internetkanaal van IS, dat een paar tientjes kost, functioneerde gewoon verder. Je moet niet fysiek – in dit geval met een dure raket – reageren op een niet-fysieke informatiedreiging.”

Hoe dan wel?

„Om te beginnen moet je doen wat nu niet gebeurt: eerst de dreiging goed analyseren, en dan systematisch kijken welk wapen het best past. Dan kun je vervolgens bijvoorbeeld doen wat de Amerikanen ook hebben gedaan: een batterij Twitter-accounts uitschakelen en ervoor zorgen dat mensen van IS ook niet zomaar een account konden opstarten. Toch bleken die accounts uiteindelijk ook te repareren.”

En wat doe je daarmee dan?

„Verder nadenken. Dan kom je bijvoorbeeld uit bij wat we bij de militaire missie in Afghanistan probeerden: het beïnvloeden van de hearts and minds van de bevolking – zorgen dat mensen een radicale leider niet meer gaan volgen, bijvoorbeeld met naming and shaming via digitale middelen. Stel dat zo’n leider zegt dat hij het beste met de lokale bevolking voor heeft, maar intussen zijn vrouw in Londen dure Gucci-spullen laat kopen. Dan kun je dáárover informatie verspreiden via internet. Dat hoeft niet ter plekke, dat kan ook vanuit Nederland.”

Afghanistan geldt toch niet bepaald als een geslaagd voorbeeld van een militaire interventie?

„Daar zie je inderdaad de beperkingen van de klassieke oorlogvoering. Als je ziet hoe sterk de Talibaan nu zijn en dat afzet tegen de hoeveelheid geld die we eraan hebben uitgegeven – conservatief geschat zo’n 850.000 euro per dag – dan moet je concluderen dat er betere en goedkopere wapens te vinden moeten zijn, zoals cyberwapens dus.”

Hoe kun je die inzetten in Syrië, waar Nederland misschien toch weer helpt interveniëren om de groeiende IS-dreiging het hoofd te bieden?

„We weten van missies zoals in Afghanistan en Mali dat het heel moeilijk is om een land effectief te stabiliseren. Ga dus niet klassiek-militair kijken welke terroristische dreiging er is, met het doel om die fysiek uit te schakelen. Maar achterhaal eerst, met behulp van een multidisciplinair team met bijvoorbeeld cultureel antropologen, wat er ter plekke speelt en hoe je mensen daar kunt beïnvloeden.

„Vervolgens leg je online contact met mensen daar, dus via sociale media en websites. Probeer dan om hun belangrijkste zorgen te achterhalen, bijvoorbeeld over corruptie. Identificeer de personen die buitenproportioneel veel invloed hebben op – in dit voorbeeld – de discussie over corruptie, zoals een stamhoofd of een radicale imam. Vervolgens vraag je je af: gooi ik een Hellfire-raket op zijn hoofd of maak ik zijn internet-account kapot? Maar ook: wat kan ik doen om te zorgen dat mensen minder achter zo iemand aanlopen?”

Nederlandse militairen zijn sinds 2016 met militairen uit andere Europese NAVO-landen aanwezig in de Baltische staten. Deze zogeheten Enhanced Forward Presence van de NAVO is bedoeld ter afschrikking van Rusland, dat in 2014 de Krim innam en daarna begon met het versterken van zijn troepen langs de grenzen van Estland, Letland en Litouwen. Hoewel er ook cyberexperts bij zitten, vooral om Russische cyberpesterijen te neutraliseren, zijn klassieke militairen met hun voertuigen in de meerderheid. „Een traditionele benadering, namelijk het neerzetten van poppetjes”, zegt Van Haaster, „maar als je daar een cyberteam neerzet, of vanuit Nederland cyberactiviteiten onderneemt, kan dat ook afschrikking zijn. Dat is tot nu toe nooit gebeurd.”

Stel dat je het wel doet, welke stappen moet je dan zetten?

„Heel simpel. Net als bij een klassieke inzet van militairen stuurt het kabinet een brief aan de Tweede Kamer, waarin staat dat wij nu een cyberinbreng hebben in zo’n missie. En dan gaat het cyberteam aan het werk, in allerlei ‘lagen’. Je begint met de sociale media, waar je ontzettend veel van hebt in Rusland; alles wat wij hebben, hebben zij ook. De vraag is dan: hoe ga je ervoor zorgen dat ons afschrikkingssignaal doorkomt bij de gebruikers? Een probleem is wel dat hun sociale netwerken veel meer onder staatscontrole staan dan de onze; dat maakt het lastiger om een bevolking te beïnvloeden.

„Je kan ook gebruikmaken van het feit dat alle netwerkapparatuur een fysieke locatie heeft. Staten hebben in 2000 gezegd dat zij jurisdictie hebben over apparaten op hun grondgebied. Dus als in een land bijvoorbeeld Russische servers worden gehost, kan een staat in principe ergens binnenlopen en de stekker eruit trekken. Je kunt klassieke hardware uitschakelen, zoals routers, gps-apparaten en dat soort dingen.

„En je kunt software onklaar maken. Denk aan de actie van de VS waarbij de energievoorziening in Rusland is geïnfecteerd als een voorzorgsmaatregel. Dat is de traditionele cyberaanpak: high tech ergens naar binnen gaan en dingen stukmaken.”

Is zo’n hack-actie effectief?

Van Haaster aarzelt even: „Als het doel was je spierballen laten zien, dan misschien wel. Maar misschien was het doel afschrikking: om ervoor te zorgen dat Russische activiteiten in Europa, zoals het hacken van energie-centrales in Oekraïne en Polen, afnemen. Maar de Amerikaanse actie leidt vooralsnog niet tot een dip in het aantal cyberaanvallen. Dus ik weet helemaal niet of het 20ste-eeuwse concept van de afschrikking houdbaar is bij cyber. Dat brengt ons bij de volgende vraag: hoe speel je het internationale machtsspel met de nieuwe instrumenten?”

Weet Nederland hoe dat moet?

„Sommige experts zeggen: Nederland is strategisch analfabeet geworden. Wij snappen niet hoe we al die nieuwe middelen moeten koppelen en als signalen moeten uitzenden op een effectieve manier. Wat het extra lastig maakt is dat we ook nog een safe place to do business willen zijn, een ‘gateway to Europe’. Dat past misschien niet bij een actieve cyberstrategie. Wel is Nederland actief bij het vaststellen van internationale normen voor de oorlogvoering in het cyberdomein. Onderlinge samenwerking en verstrengeling worden vaak gezien als factor die cyberoorlog onaantrekkelijk maakt. Als China grote internetknooppunten in Amsterdam en Hamburg platlegt, gaan die in Shanghai ook plat omdat alle internetverkeer daarheen wordt geleid.”

Concepten als ‘afschrikking’ en ‘verstrengeling’ zijn toch al heel oud?

„Dat klopt, maar het hele cyberverhaal is ook helemaal niet zo heel revolutionair. Cyberoorlogvoering is slechts een tussenstap in de militaire ontwikkelingen, een klein technisch fenomeen. Het is nog steeds een mens die nadenkt over strategische concepten en besluiten neemt. Pas met kunstmatige intelligentie gaat er wezenlijk iets veranderen. Algoritmes en machine learning zijn nu nog superdom, maar dat zal de komende jaren veranderen. Die veranderen oorlogvoering ingrijpend en maken de rol van de mens fundamenteel anders.”