Opinie

Cyberweerbaarheid is een strategische kwestie geworden

Gijzeling

Commentaar

De brandstof vloeit weer voorzichtig door de Amerikaanse Colonial Pipeline. Het netwerk dat de Amerikaanse oostkust bedient, werd vorig weekeinde slachtoffer van een aanval met gijzelsoftware. Een ontwrichting dreigde, van het autoverkeer, vliegvelden en andere brandstofverbruikende sectoren. Uiteindelijk, zo bericht Bloomberg, is er betaald. In bitcoin, met een omgerekende waarde van ruim 4 miljoen euro.

Ziehier de machteloosheid die een bedrijf, instelling of overheid treft als de computersystemen worden gegijzeld. Zelfs de machtige Amerikaanse geheime diensten konden weinig doen – in ieder geval niet op tijd. Of, en dat is nog onduidelijk, zij wilden hun methodes bewaren voor later. Want als die eenmaal zijn toegepast, kunnen tegenstanders in cyberspace daar voortaan op anticiperen.

Ook in Nederland zijn er regelmatig incidenten met gijzelsoftware. Van een kaasdistributeur tot plaatselijke overheden, tot een universiteit. En dat zijn nog slechts de zaken die in de openbaarheid gekomen zijn.

De gijzeling van Colonial Pipeline kan, tot er meer bekend is, op twee manieren worden uitgelegd. De eerste is dat de daders, volgens de Amerikaanse FBI onderdeel van de cyberbende DarkSide, lukraak te werk zijn gegaan. Colonial bleef volgens die lezing bij toeval in het wijd uitgeworpen net hangen. Het had dus welk bedrijf of welke instantie dan ook kunnen zijn.

De tweede mogelijke lezing is een doelbewuste aanval op een belangrijk deel van de Amerikaanse infrastructuur. Waarbij het de vraag wordt wie daar dan achter zat.

Juist deze onduidelijkheid over de motieven wijst op het schemergebied tussen crimineel en militair, tussen civiel en staats-gesteund. Hybride oorlogvoering is al langer in zwang: daden van agressie die de grens van een formeel conflict nét niet overschrijden. Geweld waarvan niet onomstotelijk duidelijk is dat het van staten afkomstig is, vechters en strijders die zich wél als soldaat gedragen, maar dat formeel niet zijn. Cyberspace is hier een ideale omgeving voor. Ook veel hackers blijken zich in het schemergebied van de staat te bevinden.

Tot nu toe wordt de remedie vooral gezocht op het niveau van de bedrijven of instellingen die getroffen kunnen worden: betere beveiliging, sneller updaten, het inpeperen van personeel geen vreemde verzoeken te accepteren, berichten te openen of toegangsmogelijkheden prijs te geven. En natuurlijk vooral niet betalen, want dat moedigt de boeven alleen maar aan – totdat er trouwens vaak alsnog betaald wordt.

Tactisch klinkt zo’n oplossing alleszins redelijk. Toch wordt het noodzakelijk de dreiging ook op een strategisch niveau te behandelen. De overzichtelijke verhoudingen van tijdens de Koude Oorlog zijn sinds eind jaren tachtig voorbij. Het intermezzo van daarna, met zijn Amerikaanse almacht én het ‘vredesdividend’ in de vorm van afnemende defensie-uitgaven, heeft al lang plaatsgemaakt voor een toestand waarin verschillende mogendheden met elkaar concurreren. In zo’n multipolaire wereld is het moeilijker schaken.

Op het hybride slagveld van cyberspace staan met name de VS, China en Rusland tegenover elkaar. Europa kan, zeker sinds de Trump-jaren niet meer volledig vertrouwen op het bondgenootschap met de VS. Nog vorig jaar moest de Duitse regering ingrijpen omdat Washington een greep deed naar Curevac – een bedrijf dat evenals Biontech een veelbelovend mRNA-vaccin tegen Covid-19 ontwikkelt en dat dit, bij goedkeuring, komende herfst op de markt brengt.

Vrijdag kwam de Cyber Security Raad, die de Nederlandse regering adviseert, met een advies voor het behoud van de ‘digitale autonomie’ van Nederland. Die aanbeveling mag strategisch worden genoemd. Een minder grote Nederlandse en Europese afhankelijkheid van buitenlandse (lees: Chinese en Amerikaanse) technologie moet volgens de Raad een Chefsache worden: een zaak voor de minister-president.

Het geldt ook voor de ‘cyberweerbaarheid’ van Nederland. Het advies is terecht. Nu de militarisering van het internet, hybride of niet, om zich heen grijpt is kwetsbaarheid een zaak van nationale veiligheid geworden. Tijd dat het kabinet, én het Nederlandse bedrijfsleven, zich hiernaar gaan gedragen.