Opschalen! De cyberwapens die op het virtuele slagveld ingezet worden, worden ‘steeds krachtiger en destructiever’. Aldus een arbeids internetsocioloog in de Volkskrant. In de meest recente ‘Worldwide Threat Assessment of the US Intelligence Community’ worden cyberdreigingen prominent genoemd en ook de NAVO heeft er sinds vorige week een handboek voor. Er staat ‘cyberwar’ op de kaft, dus dan weet je het wel: zandzakken voor de deur en virtuele schuttersputjes graven!
Het discours is typerend: het gaat er allereerst van uit dat er überhaupt zoiets is als een ‘cyberoorlog’, dat er dus ook blijkbaar sprake is van een ‘slagveld’ en dat deze ‘krachtige en destructieve’ gevolgen hebben. Er is een zekere stelligheid die van de term ‘cyberoorlog’ uit gaat. Mag best een korreltje zout op: de vraag is namelijk in hoeverre cyberaanvallen zich weten te ontwikkelen tot een kinetische confrontatie met grote gevolgen en in hoeverre het dermate succesvol is dat het dé toekomst is voor ons militair arsenaal. Het antwoord is: (nog) ‘niet’. Cyber klinkt wel heel nieuw en hip, maar in principe is het geen schokkende nieuwe technologische ontwikkeling.
Voor degenen van na de jaren ’90: naast GPS is het internet een militaire uitvinding. Daarmee is tegelijkertijd al nagedacht over de rol die deze communicatiemiddelen mogelijk zouden gaan spelen. Een groot gedeelte van wat men nu verstaat onder ‘cyber’ is te scharen onder wat voorheen ook wel “information warfare” (IW) werd genoemd. Te denken valt aan het verstoren, aanpassen of veranderen van informatie- en communicatie of het inzetten van communicatiemiddelen als onderdeel van psy-ops. Dit middel is op te delen in IW mét en IW zónder directe fysieke schade. Toegegeven, het onderscheid daartussen is niet glashelder: acties zonder directe fysieke gevolgen kunnen wel indirect leiden tot fysieke schade. Het verschil zit hem dus echt in de directheid van het toebrengen ervan. Zo is het platleggen van vijandelijk bancair verkeer, het inzetten van media om ‘good will’ te kweken onder de lokale burgerbevolking en cyberspionage allemaal onderdeel van IW zonder direct fysiek effect. Het fysieke effect treedt pas echt op wanneer bijvoorbeeld precisie-bommen op een andere plaats terecht komen dan de bedoeling was of wanneer de civiele infrastructuur wordt platgelegd. Daarbij kan gedacht worden aan vitale energie-infrastructuur. Overigens zijn alle vier voorgaande scenario’s uitvoering besproken door de Amerikanen eind jaren ’90 in aanloop naar de Kosovo-oorlog en meer recent als onderdeel van acties tegen Iran.
Wat is er dan ‘nieuw’ aan ‘cyber’? In principe bar weinig. De snelheid, de effectiviteit en de vernuftigheid van deze ondersteunde middelen worden groter. Malware, sypware, wormen – producten in allerlei soorten en maten waar zowel burgers als militairen gebruik van kunnen (en natuurlijk zullen) maken. Waar de discussie in het algemeen mank gaat, is dat deze ondersteunende (zowel militair als civiel inzetbare) middelen worden gezien als plaatsvervangend. Het overstromen van onze dijken, het lamleggen van onze nutsbedrijven en het ontregelen van het vliegverkeer maken allemaal deel uit van het standaard Die Hard 4 – horrorscenario dat wordt aangegrepen om te laten zien dat cyberoorlog een existentiële dreiging is. Dit zal niet zo een vaart lopen om twee redenen.
Allereerst om de doodeenvoudige reden dat de aanvallende partij, in het geval van een invasie, óók gebruik zal moeten blijven maken van een deel van diezelfde infrastructuur . Ditzelfde geldt voor het bancaire verkeer: ook deze is gebonden aan economische belangen. Zo zal China niet zo snel de Europese beurs op zijn kop gaan zetten, want dan worden (staats)bedrijven zoals Sinopec en Huawei boos. Een land afhankelijk van export zal van ver moeten komen om over te gaan tot een frontale cyberaanval tegen diens twee grootste klanten, namelijk de VS en de EU. Alleen wrok heeft tot nu toe economische belangen op de achtergrond doen verdwijnen. Hoewel niet altijd leidend, spelen economische overwegingen wel degelijk een rol. Daarnaast kan land A de gehele infrastructuur platleggen in land B, maar het veroorzaken van algehele chaos levert wel een tactisch nadeel op als men vervolgens wil overgaan tot een ordelijke inval.
Maar stel dat er ondanks al het bovenstaande alsnog besloten wordt om over te gaan tot een dergelijke cyberaanval, dan moet het dus gaan om een aanval op een zeer specifiek doel. Een dergelijke gecoördineerde aanval is zeer duur maar ook zeer riskant: dit is niet met één nerd achter een laptop uit te voeren. Tot slot zijn cybermiddelen zogenaamde ‘one trick pony’s’: je kan ze maar één keer inzetten. Daarna zullen er weer nieuwe ‘achterdeurtjes’ moeten worden gevonden in het systeem. Dat alles is natuurlijk mogelijk, maar niet zo simpel als men soms wil doen geloven. Mede daarom concentreren de cyberaanvallen zich tot nu toe op het aanrichten van gerichte (en dus ook beperkte) schade of het vergaren van informatie.
Toch lijkt er met het NAVO-handboek sterk rekening gehouden met het doemscenario. Zo staat in het NAVO-handboek voor cyberwar vastgelegd dat er geen grote petrochemische- en nucleaire industrie mag worden gesaboteerd. Dit is natuurlijk oude wijn in nieuwe zakken. Momenteel mag men bij militaire inzet geen vreedzame nucleaire energiecentrales bombarderen, daarnaast moeten acties een militair doel dienen en een duidelijk militair voordeel opleveren. Restricties ten aanzien van het vernietigen van de lokale industrie is dus al aanwezig in het internationaal recht. Het vastleggen van regels geeft natuurlijk geen garantie dat dergelijke sabotage-aanvallen niet zullen worden uitgevoerd. Sterker, dat is met een aanval op olie-infrastructuur in Saoedi-Arabië al gebeurd.Tegelijkertijd dekt Amerika zich meteen in voor cyberaanval met Stuxnet in Iran: deze valt namelijk niet onder de zogenoemde ‘vreedzame toepassing’ van nucleaire energie. Tot slot is het de vraag (als Amerika al creatief gebruikt maakt van deze regels) in hoeverre niet-bondgenoten zich zullen houden aan dergelijke ‘richtlijnen’? Landen zullen niet zo snel overgaan tot acties met verstrekkende gevolgen, het zal namelijk een precedent scheppen die alle barrières wegneemt. Het zijn juist de civiele ‘hacktivisten‘ en cybercriminelen – waar de meeste overlast vandaan komt – die zich niet door regels laten tegenhouden. De groeiende invloed van civiele actoren op dit terrein is overigens wél een nieuwe ontwikkeling. Daar ligt dan ook een (meer) reële dreiging, maar dit zijn geen oorlogshandelingen vanuit een staat: het gaat hier om cybercriminaliteit of hooguit terrorisme.
Dat er desondanks een ‘nieuwe koude oorlog’ aan de gang is en diverse regeringen zich geroepen voelen om mee te lopen in deze ‘wapenwedloop’ is evident. Cyberaanvallen kunnen wel degelijk effect hebben en het psychologische “we weten je te vinden, vriend” effect van Stuxnet en Flame is de moeite waard en zal een strategisch voordeel opleveren. Evenals de (hopelijk afschrikwekkende werking die uitgaat van) bedragen die Amerika in het Defense Advanced Research Projects Agency (DARPA) initiatief pompt en Nederland in alle “saibor sekjurretie centrumps”.
Toch zal het de discussie helpen wanneer duidelijk wordt dat er op het internet geen strikte scheiding bestaat tussen militair en civiel, dat er op het internet een incidentele ad hoc los-vast-structuur heerst, dat er op het internet eerder sprake is van cybercrime dan cyber’war’, dat er niet zoiets bestaat als ‘territoriale integriteit’ op de interwebs en dat de mogelijkheden voor de potentiele ondersteunende rol niet onderschat mogen worden. Net zo min als de rol van overheden die in toenemende mate grip en controle proberen te krijgen op het internet. Neemt niet weg dat nuchterheid geboden is en “cyberslagveld” vooralsnog een beetje overdreven klinkt. Zoals deze twee wijze mannen zeggen: “Cyberwarfare poses a threat only if it is grossly overused or mismanaged, or if it diverts resources toward a mythical fear and away from real threats.” [DK]
Update: na de (uiteraard Nederlandse) “aanval der aanvallen” hoax wordt hier nog even uitgelegd waarom 1.0 nog altijd leidend is. Gerichte cyberaanval op één instelling: leger zombiecomputers nodig. Heel continent offline halen: 1.0 Scuba-gear en een mesje, that’s all it takes.
Stukje Duiding 
Goed artikel! Ik ben er van overtuigd dat oorlog gewoon oorlog is. Natuurlijk heb je verschillende methodes om een oorlog te voeren en zijn er vele mixes van methodes te gebruiken. Het is ook mooi dat het kan allemaal: een fax bij een Irakese generaal er uit laten rollen met de boodschap dat hij zich beter over kan geven (Irak 2003). Natuurlijk is het slim om een alternatief satelliet systeem te lanceren en het belang van het coderen was met Enigma al duidelijk. Ik moet toegeven dat steeds meer belangen worden vertaald in bits en bytes, maar zolang er geen matrix-achtige 2e dimensie bestaat waar ik gelukkig kan zijn voel ik mezelf in ieder geval niet bedreigd in de basis van mijn bestaan. Cyberattacks worden een steeds belangrijker middel in de moderne oorlogsvoering. Met de Network Centric warfare (ook zo’n rare kreet)Doctrine binnen de militaire strategie van Full Spectrum Warfare (…zucht) zijn we er steeds meer afhankelijk van informatiesystemen. De revolutie in militaire affairs (welke nog niet klaar is) zal dit alleen maar groter maken. Het is dus mogelijk wel onze nieuwe, of extra (naast publieke opinie) Achilles hiel. We moeten het dan ook opnemen in onze offensieve en defensieve capaciteiten, bijhouden waar het heen gaat, want voor je het weet loop je wel achter de feiten aan.
Kudo’s trouwens voor de 3 gasten in dat vissersbootje 🙂
Pingback: Stukje toekomstvisie op de krijgsmacht II | Stukje Duiding
Pingback: Stukje toekomstvisie op de krijgsmacht (deel II) | ThePostOnline