Nerds op de stormbaan

in: De Groene Amsterdammer (19 september 2012)

Het Nederlandse leger gaat cyberspace in. Een heus Cybercommando gaat de veiligheid versterken. Maar Nederland wil zelf ook digitaal in de aanval kunnen.

Blader terug: Heemskerk, spiegel van Nederlan…
Blader verder: The Stone
Terug naar overzicht
Gebruikte Tags: ,
222 x bekeken
These icons link to social bookmarking sites where readers can share and discover new web pages.
  • Facebook
  • Twitter

“Hoezo, de treinen rijden niet?” mompelt de militair slaperig, not amused. Kwart over vijf is een slecht tijdstip om hem, het hoofd van het cybercommando van de Nederlandse krijgsmacht, uit zijn bed te bellen voor verkeersinformatie. Maar hij is snel wakker. “Het besturingssysteem van de NS plat? En van de KPN? Het elektronisch betalingsverkeer?” Precies. En op de website van het ANP prijkt de vlag van Iran. Het is een koude donderdagochtend in het jaar 2016 en de militair slaat alarm.

Het begon allemaal in het olierijke Kaspische Zeegebied. Een opstand in Azerbeidzjan, een NAVO-interventiemacht, een mislukte coup. Rebellen staan voor de hoofdstad, die wordt verdedigd met wapens uit Iran en China. Die dreigen met ingrijpen als Europa doorgaat met, wat ze noemen, het schenden van nationale soevereiniteit.

Het cybercommando krijgt het ene na het andere slechtnieuwsbericht binnen. Om zes uur valt het vaste telefonienetwerk uit in de Randstad. Krap een half uur later blijkt dat een geavanceerde Trojaanse worm zich door het land verspreidt via de emailtoepassingen op smartphones. Op verschillende tijdstippen wordt automatisch gebeld naar 112. Hulpdiensten zijn onbereikbaar, terwijl op de Nederlandse snelwegen chaos uitbreekt doordat de digitale bewegwijzering foutieve informatie geeft. Er vallen doden, en de Commandant der Strijdkrachten roept zijn staf bijeen.

Science fiction? Misschien niet. Het verhaal komt ruwweg overeen met een scenario dat het ministerie voor Justitie en Veiligheid twee jaar geleden schreef voor de Nationale Risicobeoordeling. Een “voorstelbaar” scenario, oordeelden de experts, in de categorie “waarschijnlijk”. Het ministerie besloot vervolgens per begin dit jaar het Nationaal Cyber Security Centrum (NCSC) op te richten, met als doel: de samenleving digitaal weerbaar maken. Hier komt ook de krijgsmacht om de hoek kijken. Immers, concludeerde de Adviescommissie Internationale Vraagstukken in april, als een digitale aanval leidt tot veel dodelijke slachtoffers of vernietiging van vitale infrastructuur mag dat worden beschouwd als een oorlogsdaad.

“Wat dat betreft is cyber niet anders dan de reële werkelijkheid”, zegt kolonel Hans Folmer, programmamanager cyber bij Defensie. “Het is alleen een nieuw domein. Land, zee, lucht en ruimte zijn de domeinen waarin oorlog zich afspeelt. Daar komt cyber bij.” Een zuivere cyberoorlogvoering bestaat niet in zijn ogen, net zomin als een oorlog die alleen op zee wordt uitgevochten. “Om de tegenstander onze wil op te leggen, moeten we in alle domeinen opereren. Digitale wapens zijn alleen een force multiplier”, oftewel een aanvulling op conventionele wapens.

Kolonel Folmer staat aan het hoofd van een gloednieuwe ‘taskforce cyber’, gevestigd in de Haagse Frederikkazerne waar het ministerie zetelt. Met een zak geld van 50 miljoen euro moet hij de digitale capaciteit versterken. Volgend jaar wordt een Expertisecentrum opgericht, voor kennisontwikkeling, en over twee jaar een Cybercommando, om alle cybergerelateerde activiteiten van Defensie aan te sturen. Daarvoor wil Folmer niet alleen cyberexperts uit het bedrijfsleven halen, maar ook een pool van cyberreservisten aantrekken. Nerds op de stormbaan, maar dan met laptop in plaats van geweer.

De twee belangrijkste doelstellingen op dit moment zijn verdediging en inlichtingen. “Daarbij gaat het niet om de bescherming van digitale systemen in Nederland”, zegt Folmer. “Dat moeten bedrijven zelf doen, met hulp van het Nationaal Cybersecuritycentrum (NCSC). We zijn wel verantwoordelijk voor de bescherming van defensie zelf. In de gaten houden wat er in de boze buitenwereld gebeurt en wat er binnendringt. Voor inlichtingen hebben we de MIVD. We willen weten hoe een tegenstander opereert, wat zijn kwetsbaarheden zijn en wat hij digitaal kan uitrichten. Niets anders dan in de reële wereld.”

En die boze buitenwereld wíl binnenkomen. Defensie meldde onlangs dat er jaarlijks meer dan 200.000 aanvallen op systemen van defensie worden uitgevoerd, vooral vanuit China. “Voor een groot deel zijn dat poortscans”, legt Folmer uit. “Geautomatiseerde pogingen om in te breken. Dat gebeurt continu. Het is vergelijkbaar met een inbreker die in de hele straat voelt of hij ergens een deurknop kan omdraaien. Niks schokkends dus.” Maar er zijn ook serieuzere bedreigingen. “Ze komen van de usual suspects. China, Rusland, Iran.”

Een groot probleem in het cyberdomein is de ‘attributie’. “Dat wil zeggen dat de herkomst moeilijk te traceren is. Komt een aanval van een staat? Van een door de staat gesteunde partij? Van een hacktivist? Er gaan geruchten dat China honderdduizend cybersoldaten in dienst heeft. Het zou kunnen, we weten het niet. India beschuldigt China ervan besmette usb-sticks te hebben rondgestrooid. Daar zat software op die kon zoeken naar bepaalde documenten, en ze kon versturen zodra er een verbinding met internet was.”

Vorig jaar wist een Iraanse hacker beveiligingscertificaten te bemachtigen via Diginotar, een beveiligingsbedrijf dat voor de Nederlandse overheid werkte. Daarmee had hij toegang tot internetgegevens van 300.000 google-gebruikers, waaronder veel Iraanse dissidenten. Maar ook industriële besturingssystemen staan steeds meer in de belangstelling, blijkt uit het halfjaarlijkse rapport van het NCSC. Zitten er staten achter? Terroristen? Of hackers? Niemand weet het zeker, en de categorieën lopen in elkaar over want ze gebruiken elkaars software.

Het Rathenau-instituut publiceerde in juni een special over dit thema. Niet alle deskundigen zijn het eens over de macht van digitale wapens om de aard van politieke conflicten volledig op z’n kop te zetten. Voor het ontwikkelen van serieuze malware - zoals Stuxnet, waarmee Iraanse kerncentrifuges werden stilgelegd – is heel veel tijd, geld en kennis nodig. En niemand heeft ooit een elektriciteitsnetwerk overgenomen. Kortom, als je een samenleving serieus wil ontwrichten, kun je nog steeds beter een extremist met een bomgordel inhuren dan een cybercrimineel. Maar de kwetsbaarheden zijn reëel, aldus het instituut.

En daar maken niet alleen hacktivisten en criminelen gebruik van, zegt Eric Luiijf, cyberspecialist bij TNO. “Er vindt heel wat digitale spionage plaats richting de Nederlandse overheid. Zowel uit economische motieven als staatsbelangen, in het laatste geval dus ook ter voorbereiding op mogelijke interstatelijke conflicten. Dat is ook wat de AIVD aangeeft in haar jaarverslagen.” Nederland is heel afhankelijk van digitale systemen. “Niemand dénkt aan informatiebeveiliging als hij, ik noem maar iets, slagbomen laat installeren, of zijn auto naar de garage brengt. Maar een auto bevat 120 processoren, zoals voor de airbag. Een mecanicien prikt zijn laptop in dit systeem om de boel te controleren. Die laptop heeft verbinding met het internet, en kan dus zo een virus overbrengen. We zijn echt nog heel naïef in Nederland.”

Het internet is ook bij Defensie moeilijk buiten te houden, zegt Folmer. “Onze kantooromgeving hier is niet met het internet verbonden. Maar geen enkel systeem komt er niet ooit mee in aanraking, hoe goed beveiligd het ook is. Bovendien zullen spionagediensten niet schromen iets in de hardware in te bouwen. Dat Chinese computeronderdelen spionage-elementen bevatten, kun je nooit voor honderd procent uitsluiten.”

Dat geldt ook voor wapensystemen. “Op de middellange termijn verwacht ik dat staten zullen proberen in te breken in het commandovoeringssysteem, het beeldscherm dus, of in het navigatiesysteem. Dat dat kan, is laatst aangetoond bij een Amerikaanse drone, waar het gps-systeem was gehackt. Het was niet zo schokkend, want het systeem was onbeveiligd. Maar het toonde wel aan dat het technisch mogelijk is. We proberen dus zo veel mogelijk software zelf te schrijven.”

De belangrijkste doelstelling van Folmer is bewustwording over dit soort kwetsbaarheden. Daartoe heeft zijn taskforce een simulatiespel ontwikkeld, de Cyber Awareness Trainer. In een lokaal, op de gang waar ook Folmer zijn kantoor heeft, kruipen officieren een uur lang in de huid van militairen op missie. Er staan twee grote beeldschermen en op de tafel liggen iPads. De missie vindt plaats in Dagland, vertelt het introfilmpje, en dat heeft ons in conflict gebracht met Zwartland, 2000 kilometer verderop. Zwartland wil grondstoffen. De pro-Zwartlandmilitie, de Yberi, donkere mannen met baarden en tulbanden, schiet niet alleen antitankraketten af, maar is ook goed achter de laptop.

De officieren werken in teams en moeten een aantal beslissingen nemen, terwijl er op hun iPads nieuwsberichten en emails binnenkomen. Een grote energiestoring, compromitterende foto’s van militairen en vijandelijke propaganda in de Nederlandse media – althans, iets dergelijks, want officieren die de Groene lezen moeten niet vals kunnen spelen. In elk geval merken de militairen dat de digitale wereld en de reële wereld elkaar beïnvloeden. Hoe gaan de militairen om met informatie? Vertrouwen ze die? Wat zetten ze op facebook? Mogen ze krijgers onschadelijk maken die alleen maar hacken?

Hoe serieus is die digitale dreiging nou werkelijk? Sommige betrokkenen concluderen maar al te graag dat er een wapenwedloop bezig is en een cyberoorlog dreigt. “We kunnen binnen afzienbare tijd een aanval op de schaal van 11 september verwachten”, zei de baas van Hewlett-Packard onlangs. "Cyberaanval brengt ons terug naar Middeleeuwen", riep de baas van softwarebedrijf Kaspersky dit voorjaar op een congres. “We zijn misschien wel het kwetsbaarst van heel Europa”, zei Ronald Prins, directeur van Fox-IT, het grootste internetbeveiligingsbedrijf van Europa, in augustus in een interview met de Volkskrant.

“Deze mensen hebben er natuurlijk wel enig belang bij dat te zeggen”, zegt Folmer. De markt voor internetveiligheid wordt wereldwijd geschat op 140 miljard dollar. Alle grote defensie- en computerbedrijven hebben takken opgezet om dit geld binnen te harken. Ze worden niet moe de wereld te vertellen dat we digitaal in ons blootje staan, dat de economie dreigt te worden ontwricht en dat we de cyberrace tegen China verliezen als we niet snel het budget opschroeven. Het World Economic Forum, dat zich dit jaar ook over cybersecurity boog, vermoedt zelfs dat een deel van de hacks uit de hoek van de securitybedrijven vandaan komt.

“Oorlogvoering in cyberspace is nieuw”, zegt Folmer. “Alle landen zitten nog op hetzelfde niveau. We moeten het dus niet groter maken dan het is – en ons tegelijkertijd realiseren dat je nooit ziet wat je niet ziet. De dreiging van criminelen en spionage is reëel. De dreiging voor kritische systemen, voor pompen en centrales, is op zich ook reëel, want ze zijn kwetsbaar. Dus defensief moeten we overal rekening mee houden. Maar zal het tot grote inzet van cyberwapens komen? Nee. Ik denk niet dat een zuivere cyberoorlog bestaat. Er zijn prachtige scenario’s te bedenken van een cyberaanval die de maatschappij volledig ontwricht. Ik zie het zover niet komen.”

Eigenlijk is dus vooral het woord ‘cyberoorlog’ misleidend. Beter is de term ‘digitale oorlogvoering’, adviseerde de AIV in het eerder genoemde rapport. Iedere oorlog zal in de toekomst ook een digitale component hebben. Naast defensie en inlichtingen heeft Folmer daarom nog een derde doelstelling meegekregen, één die nog niet in de schijnwerpers heeft gestaan: operationele capaciteit ontwikkelen. Oftewel: cyberwapens maken. “De kennis die je daarvoor nodig hebt, is dezelfde als bij verdediging en inlichtingen. Er komt alleen een afweging bij: wil je laten weten wat je kunt? Een cyberwapen kun je maar één keer inzetten, dan ben je het kwijt en kan het tegen je gebruikt worden.”

Dit jaar komt de taskforce daarom nog met een cyberdoctrine. “De doctrine is een vervolg op de strategie die in juli naar de Kamer is gestuurd. Er komen afwegingen in die commandanten moeten gebruiken tijdens operaties. Bijvoorbeeld: hij wil luchtverdediging uitschakelen. Dat kan door middel van sabotage, een bombardement of door een cyberaanval. Waar moet hij aan denken? En kiest hij ervoor om een wapensysteem te beïnvloeden of om een commandovoeringssysteem te beïnvloeden? Gaat het om het verkrijgen van informatie, het wijzigen of het onklaar maken ervan?” Folmer gaat er binnen de NAVO ook voor pleiten zo’n doctrine te ontwikkelen.

Wat Folmer als mogelijke aanvalsdoelen ziet, staat niet in de strategie. Moet Nederland radar kunnen uitschakelen, zoals Israël in Syrië deed, waarna F16’s ongezien nucleaire installaties konden bombarderen? Of gaat het om propaganda? Vorig jaar kwam naar buiten dat de Britse dienst MI6 op een recruteringswebsite van Al Qaida een handleiding om bommen te maken, had vervangen door het recept van verschillende cupcakes. Een goed voorbeeld? Folmer: “Ja, we willen in het hele spectrum kunnen opereren.”

Bij “het hele spectrum” hoort dus ook: het platleggen van vitale infrastructuur. Een Chinese elektriciteitscentrale? “Mits het overeenstemt met de bekende principes van noodzakelijkheid en proportionaliteit. We opereren op basis van ons mandaat. De MIVD heeft natuurlijk wel wettelijke bevoegdheden om in te breken op basis van de Wet inlichtingen- en veiligheidsdiensten. Wat ze doen, wordt parlementair gecontroleerd. Maar ik kan nu niet inbreken in een Chinese centrale om te leren hoe we het moeten hacken. We kunnen wel kennis verzamelen over systemen en dat in het lab nabootsen. Dat gebeurt door de MIVD, en in het Expertisecentrum dat nu in oprichting is.”

Tegelijkertijd zijn de Chinezen op dit moment wel bezig in onze systemen in te breken. “Waarschijnlijk wel ja. Wij niet. De wereld is oneerlijk. Zo werkt het in onze parlementaire democratie.” En daarom, besluit Folmer, blijft verdediging toch het allerbelangrijkste. ”Het zit ‘m in kleine dingen. Ik wil dat iedere militair weet dat een usb-stick van iemand anders altijd verborgen bestanden kan bevatten. Die kan dus maar één bestemming hebben: de prullenbak.”

 

Oorlog als kameleon

Volgens sommige denkers gaat oorlogsvoering fundamenteel veranderen. Zoals Peter Singer, militair deskundige van het Brookings Institute, die vorig jaar een invloedrijk boek schreef over de robotisering van de oorlog, Wired for War. Dit jaar schreef hij mee aan het scenario van Call of Duty, een razend populaire game waar over enkele weken een nieuwe versie van uitkomt. Het speelt zich af in 2025. Het Amerikaanse leger wordt daarin aangevallen door de eigen dronevloot – gehackt door de Chinezen. “De trends in deze game zijn niet alleen plausibel, het zijn de belangrijkste drivers van verandering”, zegt Singer in een interview met Foreign Policy. “Een van de veranderingen is wat ik noem ‘overreding op het strijdtoneel’. Het doel is niet de tank van de vijand op te blazen, maar deze te dwingen, in te palmen, te verleiden om iets te doen wat de eigenaar niet wil. Dat is nieuw in een oorlog.”

Kees Homan, defensiespecialist bij Clingendael, schrijft dat hij acties in cyberspace eerder ziet als onderdeel van een conventionele oorlog. Hij haalt de oude strateeg Von Clausewitz aan, die van mening was dat oorlog een veranderlijk karakter heeft, maar in zijn aard hetzelfde blijft. Net als een kameleon, die telkens een andere kleur aanneemt, maar van binnen gewoon een kameleon blijft.

De digitale ontwikkelingen zijn onderdeel van een groter fenomeen: de technologisering van de oorlogsvoering. Wapens worden steeds ‘slimmer’ en steeds meer acties gebeuren onbemand. Het Amerikaanse leger wil in 2045 een luchtmacht hebben die volledig autonoom is. Met onbemande vliegtuigen, die niet alleen zelf kunnen opstijgen en landen, maar ook zelf de afweging kunnen maken of ze mogen schieten of niet.

Horror, voor veel mensen. Als zoiets mogelijk is, moeten we ons niet alleen afvragen hoe we zulke systemen beveiligen tegen de Chinezen, maar ook hoe we onszelf tegen die systemen beveiligen. Al zullen historici waarschijnlijk zeggen dat ook dat in de aard van de kameleon zit. Het wilde altijd al de kooi uit om zijn baasje te bijten, ook in de tijd dat zijn tanden nog kleiner waren.

Geen reacties





(optioneel veld)
(optioneel veld)
Beantwoord de vraag om te bewijzen dat je geen robot bent die viagra verkoopt.

Reactiemoderatie staat aan op deze site. Dit betekent dat je reactie niet zichtbaar zal zijn, tot deze is goedgekeurd door een beheerder.

Persoonlijke info onthouden?
Kleine lettertjes: Alle HTML-tags behalve <b> en <i> zullen uit je reactie worden verwijderd. Je maakt links door gewoon een URL of e-mailadres in te typen.


Blader terug: Heemskerk, spiegel van Nederland
Blader verder: The Stone
Terug naar frankmulder.info