‘Cyberoorlog is een reële dreiging’

WikiLeaks veroorzaakte heisa door honderdduizenden geheime documenten online te zetten. Maar dat is kinderspel vergeleken bij wat cyberterroristen of – in een oorlog tussen landen – cyberlegers kunnen aanrichten, zegt de Amerikaanse expert Robert Knake. ‘We weten nooit precies hoe veilig of onveilig we zijn.’

Cyberoorlog? Is dat niet een wat zware term?

“Er is momenteel inderdaad een debat gaande over de vraag of cyberoorlog überhaupt bestaat. Mensen als Howard Smith, de cyber-tsaar van het Witte Huis, vinden dat de term te alarmistisch is. Ik ben het daar niet mee eens. Naarmate we meer afhankelijk worden van online netwerken, neemt de kans toe dat er in cyberspace dingen gebeuren die het niveau van oorlogsvoering bereiken. Dan hebben we het niet over spam, het hacken van websites of zelfs internetspionage, maar over wezenlijke fysieke schade van het soort dat voorheen alleen maar veroorzaakt kon worden door bombardementen.”

Zoals?

“Het elektriciteitsnet, stuwdammen, het luchtverkeer – eigenlijk alle vitale systemen die via het internet onderling met elkaar verbonden zijn. Wat in de toekomst steeds vaker zal voorkomen, is dat ook militaire commandostructuren doelwit zijn. Met een zogeheten distributed denial of service-aanval (DdoS – red.), waarbij de toegang tot een netwerk permanent of tijdelijk wordt geweigerd, kun je een leger in principe vleugellam maken.”

Dat klinkt als het script van een slechte Hollywood-film.

“Dit soort oorlogsvoering is nu al realiteit. Neem de invasie van Rusland in Georgië in 2008. Voorafgaand maakte Rusland gebruik van cyberaanvallen om de communicatie van de tegenstander plat te leggen. Dat maakte het voor Georgië een stuk moeilijker om zich te verdedigen. Dat is in mijn ogen wel degelijk een vorm van cyberoorlog.”

Hoe groot is de dreiging wereldwijd?

“Op het moment bevinden we ons in een voorbereidende fase, waarin pakweg honderd landen de capaciteit opbouwen om cyberaanvallen uit te voeren. Met name de Verenigde Staten, China, Frankrijk, Rusland en Israël zijn daar ver in. Het probleem is alleen dat dit soort operaties vaak veel geavanceerder zijn dan ons vermogen om ze op te sporen. We weten met andere woorden nooit precies hoe veilig of onveilig we zijn.”


Is er reden voor paniek?

“We zijn kwetsbaar, laat ik dat vooropstellen. In de Verenigde Staten hebben we tot nog toe voornamelijk gekeken naar de efficiëntie en kostenbesparingen die dit soort netwerken met zich mee brengen. Het idee dat we hiermee onze samenleving in potentie ook in gevaar hebben gebracht, heeft inderdaad tot paniek geleid. Helemaal als je ziet dat we er in het westen de laatste twintig jaar juist alles aan gedaan hebben om de invloed van de staat te beperken, zodat het internet zich zo organisch mogelijk kon ontwikkelen. Daarmee is het sociale contract tussen burger en overheid in cyberspace gebroken. Het is aan de particuliere sector om zich te beschermen tegen dreigingen vanuit het internet. De overheid heeft niet de capaciteit, en soms zelfs niet eens de bevoegdheid om zich daarin te mengen.”

En intussen wacht Al-Qaida geduldig af…

“De grootste dreiging komt momenteel vanuit natiestaten die ons niet noodzakelijkerwijs goedgezind zijn, zoals Noord-Korea, China en Rusland. We hoeven ons wat dat betreft nog geen zorgen te maken over terroristen.”

Waarom niet?

“Omdat organisaties als Al-Qaida simpelweg niet ontwikkeld genoeg zijn om dit soort aanvallen uit te voeren. Ze zijn niet voldoende gefinancierd en missen de technische expertise. Daarnaast denk ik niet dat het internet de meest aangewezen plek is om hun doel te bereiken. Cyberaanvallen leiden doorgaans niet tot een spectaculair dodenaantal waarmee je de nieuwscyclus kunt domineren. Volgens het National Counterterrorism Center zijn er de laatste tien jaar wereldwijd pakweg 65.000 terroristische incidenten geweest. Niet één daarvan was een cyberaanval.”


Maar Al-Qaida werkt wel met hackers. Dat is een indicatie dat de ambitie er wel degelijk is.

“Gelukkig zijn ambitie en daadwerkelijke capaciteit twee verschillende dingen. De jihadgemeenschap was een tijdlang in grote mate afhankelijk van één hacker in Londen die zich ‘Irhabi 007’ noemde. Maar sinds zijn arrestatie in 2005 zijn er sterke aanwijzingen dat de interesse is afgenomen. Ergens is dat logisch: voor minder dan een half miljoen dollar en met een handvol stanleymesjes is het Al-Qaida op 11 september 2001 gelukt om een militaire reactie uit te lokken die inmiddels in de duizenden miljarden dollars loopt. Een grootscheepse aanval op het elektriciteitsnet haalt dat bij lange na niet. De grote black-out van 2003, waarbij vijftig miljoen Amerikanen vier dagen lang zonder stroom zaten, leverde een schade van naar schatting tussen de vierenhalf en tien miljard dollar op. Op een economie van veertien biljoen dollar is dat een schijntje.”

Het elektriciteitsnet is één ding. Inbreken in een chemische fabriek of een kerncentrale is iets anders.

“Het nachtmerriescenario is inderdaad dat een cyberaanval leidt tot een gifwolk of een nucleaire meltdown, met honderdduizenden of zelfs miljoenen slachtoffers tot gevolg. Gelukkig staan de relevante controlesystemen in dit soort centrales nog steeds los van netwerken die verbonden zijn met het internet.”

Wat niet is, kan echter nog komen. Zijn energiebedrijven zich daar voldoende van bewust?

“Naar mijn mening niet. Te veel elektriciteitscentrales menen ten onrechte dat zij geen gevaar lopen, omdat ze alleen hun administratieve afdelingen online hebben gezet. Toch blijkt dat hackers altijd wel manieren weten te vinden om via een achterdeur binnen te komen, bijvoorbeeld via de internettelefoons in de controlekamer. Of ze daarmee ook schade kunnen aanrichten, is een tweede, maar het geeft wel aan dat er momenteel een bepaalde naïviteit heerst.


“Deze discussie zal echter tot het verleden behoren wanneer we binnenkort overstappen op het zogeheten smart grid-concept. Daarbij zijn elektriciteitsproducenten en consumenten via tweerichtingsverkeer met elkaar verbonden, wat tot een betere informatievoorziening en daarmee een efficiënter verbruik kan leiden. Smart grids zijn per definitie met het internet verbonden, en het is cruciaal om veiligheidsmechanismen hierbij al in de ontwikkelingsfase in te bouwen, en dat niet achteraf te doen.”

Loopt het financiële systeem ook gevaar? Ik kan me voorstellen dat een bankencrisis een samenleving eveneens plat kan leggen.

“De dreiging op dat vlak is in eerste instantie een criminele. Het bankwezen is gebaseerd op vertrouwen, en als dat door een cyberaanval ondermijnd wordt, kan inderdaad het hele systeem in elkaar storten. Aan de andere kant is de financiële wereld zich als geen andere sector van dat gevaar bewust. Bovendien is het nog maar de vraag of natiestaten het bankwezen als een oorlogsdoelwit beschouwen. Niet iedereen zal het met me eens zijn, maar ik denk dat een potentiële vijand als China inmiddels zo veel heeft geïnvesteerd in het internationale financiële stelsel, dat ze zich daarmee in de eigen vingers zouden snijden.

“Voor terroristen liggen de zaken uiteraard anders, maar daar speelt het gebrek aan attributie een rol. Een dergelijke cyber-aanval is waarschijnlijk lastig toe te schrijven aan een specifieke dader, zodat het geen goed middel is om angst te zaaien. Bovendien zal er ook met een wereldwijde financiële crisis geen sprake zijn van spectaculaire dodenaantallen.”


In dat opzicht is cyberoorlog misschien een welkome ontwikkeling. Het lijkt in ieder geval een ‘schonere’ manier van oorlogsvoering, omdat er minder burgerslachtoffers vallen.

“Cyberoorlog heeft zeker zijn voordelen. Kijk naar de Amerikaanse invasie van Irak: het elektriciteitsnet dat we destijds kapot hebben gebombardeerd zijn we zeven jaar na dato nog steeds aan het wederopbouwen. Het was veel beter geweest als we de stroomvoorziening door middel van een cyberaanval tijdelijk hadden stopgezet, om het later heel simpel weer operationeel te maken.

“Maar er kleven ook risico’s aan dergelijk chirurgische precisie. Als landen denken dat een cyberaanval een schonere manier van oorlogsvoering is, kunnen ze de neiging hebben om er ook eerder gebruik van te maken. Dat kan ertoe leiden dat situaties die voorheen met diplomatieke protesten werden opgelost sneller escaleren. Een aanval met bits en bytes kan dan snel ontaarden in een antwoord van bombs en bullets.”

Kan het volkenrecht ons bescherming bieden? Moet bijvoorbeeld het Verdrag van Genève worden aangepast?

“Daar is momenteel geen overeenstemming over. Volgens de Verenigde Staten is het huidige oorlogsrecht ook van toepassing op cyberspace. Het gaat immers om het effect van oorlogshandelingen, niet om de gebruikte methode. Rusland en China zijn het daar niet mee eens en pleiten inderdaad voor een nieuw verdrag.

“Het westen zou daarnaast kunnen terugvallen op artikel 5 van het NAVO-statuut, dat stelt dat een aanval op een lidstaat wordt gezien als een aanval op iedereen. Dat debat woedt met name na de DDoS-aanvallen op Estland in 2007. Die werden waarschijnlijk uitgevoerd door Rusland nadat Estland een oorlogsmonument uit de Sovjet-periode tegen de zin van Moskou had verplaatst. Het cyberincident was niet zo ernstig als de DDoS-aanvallen tijdens de invasie van Georgië, maar het was naar mijn mening wel degelijk een oorlogsdaad: Rusland was politiek gemotiveerd om Estland zijn wil op te leggen en greep daarbij naar geweld.”


President Barack Obama riep cyberveiligheid onlangs uit tot een nationale prioriteit. Is dat genoeg?

“Vooralsnog niet. Het benoemen van een aparte cyber-tsaar klinkt mooi, maar Howard Smith heeft te weinig autoriteit om het verschil te maken. Hij heeft geen budgetbevoegdheid en moet opboksen tegen een enorme bureaucratie. Daarnaast wijkt de mentaliteit van Obama helaas niet zo gek veel af van die van zijn voorganger. Net als George W. Bush is hij op dit gebied geen voorstander van regulering en overheidsingrijpen.”

Moeten we cyberveiligheid dan maar aan het bedrijfsleven overlaten?

“Nee! Ondernemingen staan onder enorme tijdsdruk. Om concurrerend te blijven in een wereld waarin technologische ontwikkelingen elkaar razendsnel blijven opvolgen, moeten bedrijven als een dolleman blijven innoveren. Dat gaat vaak ten koste van betrouwbaarheid en veiligheid. Dit geldt wederom vooral voor de smart grids. De Wall Street Journal meldde in april dat het Amerikaanse elektriciteitsnet is geïnfiltreerd door buitenlandse inlichtingendiensten die speciale malware hebben geïnstalleerd om het op afstand plat te leggen. Het is hackers in 2007 al gelukt om een massale stroomstoring in Brazilië teweeg te brengen. Toch is cyberveiligheid voor het bedrijfsleven nog steeds een ondergeschoven kindje.”

Wat zou er volgens u dan moeten gebeuren?

“Ik zet mijn kaarten op het Amerikaanse Congres. Washington zou als grootverbruiker zijn tanden kunnen laten zien en van de energieproducenten kunnen eisen dat alle nieuwe producten aan steeds hogere standaarden van veiligheid en betrouwbaarheid voldoen. Daarnaast zouden technologiebedrijven via nieuwe wetgeving aansprakelijk gehouden kunnen worden voor het eventuele falen van hun producten.


“Daarnaast is het zaak dat netwerken die van kritiek belang zijn zo simpel mogelijk worden gehouden. Hoe complexer een systeem is, hoe kwetsbaarder het wordt voor aanvallen van hackers. Computernetwerken die bijvoorbeeld verantwoordelijk zijn voor de toevoer van elektriciteit en water zouden in dat geval alleen maar dáárvoor gebruikt moeten kunnen worden, niets meer en niets minder. Dat betekent dat technologiebedrijven moeten afstappen van de gestandaardiseerde oplossingen die ze momenteel bieden en elk systeem op zijn eigen merites moeten beoordelen.”

Blijft het punt dat zowel het bedrijfsleven als het Witte Huis nog steeds achter de feiten aanlopen. Moet er iets catastrofaals gebeuren voordat we cyberveiligheid eindelijk serieus gaan nemen?

“Ik ben gematigd optimistisch. Het Congres lijkt het probleem in ieder geval serieuzer te nemen dan het bedrijfsleven of Obama. Er zit momenteel een aantal goede wetsvoorstellen in de pijplijn. Daarbij kunnen we voortborduren op bevoegdheden die de Amerikaanse regering nu al heeft. Het Departement van Homeland Security heeft bijvoorbeeld het mandaat om de bestrijding van chemische rampen naar zich toe te trekken. Dat kan eventueel worden uitgebreid met het elektriciteitsnet, waarbij het ministerie samenwerkt met het Departement van Energie. Met de juiste impulsen vanuit het Congres kunnen we een catastrofe vermijden. Maar als we het probleem blijven onderschatten, dan zullen we zeker een incident zien. En als dat gebeurt, zal onze reactie waarschijnlijk zo buiten proportie zijn dat onze vrijheden alsnog naar de achtergrond zullen worden gedrukt.”

Robert Knake i.s.m. Richard A. Clarke: Cyber War. The Next Threat to National Security and What To Do About It. Uitgeverij HarperCollins, New York, e20,99.

Jeroen Ansink