Begin oktober presenteerde Defensie een nieuwe cyberstrategie. De reden daarvoor is de toename van dreigingen uit onder meer Rusland en China. “Bij een gewapend conflict moeten we in staat zijn om aanvallen te verstoren en hun instrumenten met cyber onbruikbaar te maken”, staat in het nieuwsbericht over de strategie.
Oorlog zonder raketten
Oorlogen worden al lang niet meer alleen met tanks en gevechtsvliegtuigen uitgevochten. Steeds vaker spelen cyberaanvallen, desinformatie en inlichtingenoperaties een belangrijke rol. “Dit zijn manieren om invloed uit te oefenen zonder direct geweld te gebruiken”, zegt generaal Peter Pijpers. Hij is hoogleraar cyberoperaties aan de Nederlandse Defensie Academie.
Systemen van overheden, energiebedrijven en ziekenhuizen worden dagelijks aangevallen. Achter die hacks zitten niet alleen criminelen, maar ook groepen die voor of namens een land politieke of militaire doelen nastreven. “Je kunt zo de vijand in de war brengen, militaire strategieën ontregelen of zelfs onrust in de samenleving zaaien. En dat alles zonder dat er een raket wordt afgevuurd.”
Vier categorieën cyberaanvallen
Hoe zo’n aanval er dan uitziet, kan cybersecurity-expert Bart van den Berg van het Clingendael Instituut vertellen. Volgens hem zijn er vier verschillende soorten cyberaanvallen: spionage, informatie-operaties, sabotage en cybercriminaliteit.
“Spionage is een oude tak van sport”, legt hij uit. “Bijna alle landen en bondgenootschappen doen eraan. Het is eigenlijk een soort geaccepteerd spel. Het is een inlichtingenoperatie, het draait om informatie vergaren, niet om het vernietigen van systemen.”
Informatie vergaren
Hoe de informatie precies verzameld wordt, blijft geheim. Inlichtingendiensten gebruiken zowel hackers als menselijke bronnen om informatie te verzamelen. Maar zelfs achter de schermen bij de Algemene Inlichtingen- en Veiligheidsdienst (AIVD) en de Militaire Inlichtingen- en Veiligheidsdienst (MIVD) wordt niet gedeeld hoe dat precies gebeurt.
Een bekend voorbeeld van spionage is een Russische poging in 2018. Toen werd geprobeerd om het netwerk van de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag te hacken. “Ze werden op heterdaad betrapt met een kofferbak vol apparatuur op de parkeerplaats bij het Marriott Hotel in Den Haag”, vertelt Van den Berg. “Dat laat zien hoe fysieke en digitale spionage steeds meer in elkaar overlopen.”
Informatie-operatie
Informatie-operaties gaan een stap verder. Dan worden digitale middelen, zoals cyberaanvallen, ingezet om mensen te beïnvloeden of onrust te zaaien. “Beïnvloeding van verkiezingen is het bekendste voorbeeld”, vertelt de cybersecurity-expert.
“Rusland heeft dat gedaan in Roemenië vorig jaar, door een trollenleger dat via social media een bepaald beeld moest verspreiden. In Roemenië was dat in het voordeel van een pro-Russische kandidaat.”
Stuxnet-virus
Sabotage richt zich juist op het kapotmaken van systemen, waardoor processen stilvallen. Generaal Pijpers haalt als voorbeeld ‘operatie Stuxnet’ aan. Daarbij werd apparatuur in een Iraanse kernfabriek geïnfecteerd met zeer geavanceerde software: het Stuxnet-virus.
Een groot aantal nucleaire centrifuges draaide zichzelf kapot, waardoor het Iraanse nucleaire programma jaren vertraging opliep. Het was een samenwerking tussen de Verenigde Staten en Israël, maar later bleek dat een Nederlander het virus had losgelaten in het Iraanse atoomcomplex, schreef de Volkskrant begin dit jaar.
Cybercriminaliteit
De vierde soort cyberaanval is cybercriminaliteit. Het gaat dan om aanvallen die worden uitgevoerd door criminelen, al dan niet in opdracht van een staat of politicus. Cybercriminelen werken vooral om financieel gewin. Hun doel is niet om te spioneren of te saboteren, al gebruiken ze soms dezelfde middelen, zoals ransomware, om geld te verdienen.
Staten willen met aanvallen juist processen ontregelen of macht uitoefenen. Snel rijk worden speelt geen rol. In landen als Noord-Korea vallen die twee werelden samen: daar zijn cyberaanvallen zelfs een verdienmodel, vertelt Van den Berg.
Grijs gebied
Volgens hem lopen staat en georganiseerde misdaad in de praktijk wel steeds vaker in elkaar over. Russische hackers krijgen bijvoorbeeld instructies van de overheid om geen Russische bedrijven aan te vallen, maar zich te richten op buitenlandse doelen.
“Is het de staat? Nee. Maar ze worden wel beïnvloed door de staat”, zegt hij. “Het blijft een grijs gebied. Die vermenging van belangen maakt cyberdreigingen moeilijk te bestrijden.”
Wat doet de NAVO?
Welke van deze vier categorieën cyberaanvallen doen we zelf ook? Het is belangrijk om te weten dat de cyberaanvallen worden georganiseerd door (een samenwerking) van landen en niet onder de naam van de NAVO, zegt generaal Pijpers. “De NAVO is heel sterk in het organiseren van gezamenlijke verdediging.”
Ook in het cyberdomein werken landen daarbij samen en delen ze dezelfde aanpak tegen digitale dreigingen. “Er is bijvoorbeeld een Cyber Emergency Response Team, waar Nederland ook aan meedoet. Dat team hielp Oekraïne bij het afweren van Russische cyberaanvallen.”
SCEPVA
Maar als het gaat om aanvallende acties is de NAVO terughoudend. “Er is wel een kleine groep landen die zich bereid heeft verklaard om offensieve cyberoperaties uit te voeren in noodgevallen, maar de meeste NAVO-landen willen daar niet aan beginnen”, vertelt Pijpers.
Die kleine coalitie heet SCEPVA. “Daar worden afspraken gemaakt over de inzet van militaire cybercapaciteiten, waar onder andere Groot-Brittannië in zit. Maar dat is echt maar een klein, beperkt aantal landen. Want zodra een land als Estland of Roemenië bijvoorbeeld een offensieve tegenactie zou willen, stellen andere NAVO-landen direct de vraag: “Wie heeft de aanval eigenlijk uitgevoerd en willen we wel zover gaan?”
Niet handelen zonder zekerheid
Volgens Pijpers heeft dat te maken met de mandaten en bevoegdheden die staten hebben. Zonder zekerheid daarover durven landen niet te handelen. Artikel 51 van het VN-Handvest bepaalt dat landen zich alleen met militair geweld mogen verdedigen wanneer ze zelf het doelwit zijn van een ‘gewapende aanval’. Dan is er juridisch gezien sprake van oorlog. Dus: “Een land dat niet in oorlog is, mag niet zomaar terugslaan”, benadrukt hij.
“Pas wanneer de schade (in het land zelf, red.) groot genoeg is – bijvoorbeeld als systemen uitvallen of er slachtoffers vallen – kan een cyberaanval als zo ernstig worden beschouwd dat militair optreden geoorloofd is.” Het is juridisch belangrijk om dat onderscheid te maken, zegt de generaal. Rusland en Oekraïne zijn officieel in oorlog, maar Nederland bijvoorbeeld niet. Daarom mag Nederland niet ‘zomaar’ toeslaan.
Geen fysiek geweld, geen oorlog
De meeste cyberoperaties leiden juridisch niet tot een oorlogsverklaring, weet Pijpers. Wel schenden ze soms regels van internationaal recht, zoals soevereiniteit of het verbod op inmenging in binnenlandse aangelegenheden. “Maar over het algemeen wordt in cyberspace geen gebruik gemaakt van fysiek geweld.”
Ook bij inlichtingenoperaties worden over het algemeen geen gewapende conflicten uitgelokt, legt hij uit. En of een cyberaanval als ‘gewapende aanval’ wordt beschouwd, hangt af van de gevolgen. “Die grens ligt hoog: er moet sprake zijn van fysieke schade of grote aantallen slachtoffers. Cyberactiviteiten en beïnvloeding zijn daarom zo geschikt voor prikacties. Ze kunnen veel effect hebben zonder dat je formeel in oorlog bent.”
Actievere houding
Om zich te beschermen tegen de steeds vaker voorkomende cyberaanvallen heeft Defensie sinds oktober dus een nieuwe strategie. Cybersecurity-expert Van den Berg ziet dat Nederland daarmee voorzichtig opschuift naar een actievere rol.
“De MIVD en AIVD krijgen mogelijk meer verstorende taken”, zegt hij. “De inlichtingendiensten zijn echt aan het zoeken: we willen meer verstorende acties kunnen uitvoeren maar wie gaat dat doen, waar ligt het mandaat en hoe coördineren we dat?” Pijpers vult aan: “Maar de nieuwe cyberstrategie spreekt ook de ambitie uit dat de krijgsmacht zelf proactiever wordt ingezet tegen agressieve cyberactoren.”
Verschuiving in rollen
Een recent voorbeeld laat zien hoe complex dat is. De politie trad dit jaar samen met buitenlandse autoriteiten op tegen de pro-Russische hackgroep NoName057(16), die eerder Nederlandse websites platlegde. “Ze hebben wereldwijd honderden servers offline gehaald”, weet Van den Berg. “Waarom dat naar buiten brengen? Voor transparantie: laten zien dat ze dit doen.”
“Inlichtingendiensten hebben als kerntaak inlichtingen verzamelen. Als je verstoort, leer je vaak juist minder en dat is niet goed voor je inlichtingenpositie. Daar moet een belangrijke afweging gemaakt worden: blijven we luisteren, of gaan we verstoren?”
Dunne scheidslijn
Hij denkt dat er door deze nieuwe koers spanningen tussen de verschillende organisaties kunnen ontstaan. “De politie heeft primair de taak om tegen criminaliteit op te treden en dit zijn niet per definitie criminelen”, zegt hij. “Dat coördineren is ingewikkeld: wanneer zet je wie in en wie neemt het initiatief?”
De actie tegen NoName057(16) laat volgens hem zien hoe dun de scheidslijn is tussen handhaving en defensie. Waar de politie zich richt op handhaving en opsporing, werken de MIVD en AIVD juist onder de radar. “Hun doel is informatie vergaren, niet het verstoren van netwerken”, zegt hij. “Maar nu Defensie meer verstorende taken krijgt, gaan die werelden steeds meer in elkaar overlopen.”
Valt Nederland aan?
Gaan we met deze nieuwe strategie ook zelf cyberaanvallen uitvoeren? “Nederland zegt officieel een defensieve cyberstrategie te hebben, maar heeft wel de wettelijke mogelijkheden voor offensieve acties”, zegt Pijpers. Volgens de Wet op de Inlichtingen- en Veiligheidsdiensten (2017) mogen de AIVD en MIVD ingrijpen als vitale Nederlandse belangen worden bedreigd.
Het mandaat is er, maar of het wordt gebruikt weet Van den Berg niet. “Als de dreiging groot genoeg is, kan het zomaar zijn dat Nederland meer doet dan alleen verdedigen. We zitten allang in een schaduwstrijd tussen vrede en oorlog, de kunst is om die strijd te voeren zonder onze eigen principes te verliezen.”