Recentelijk schreef Stukje Duiding over hoe big data volgens sommigen een risicoloze samenleving zou kunnen creëren  Een dergelijke uitkomst is niet alleen onhaalbaar, maar zelfs onwenselijk, zo luidde de conclusie  We zullen er immers teveel voor moeten laten of opgeven, in ieder geval vanuit een democratisch perspectief. Maar als data – en in een breder perspectief cyber – dan niet voor een risicoloze samenleving kan zorgen, kunnen we het dan niet omdraaien? Kunnen we alle beschikbare informatie en toegang tot digitale systemen dan niet uitbuiten in ons voordeel? Kunnen we, anders gesteld, zelf geen cyberoorlog gaan voeren?

Met “één druk” op de knop kun je immers aan de andere kant van de wereld een kernreactor laten oververhitten, dammen open zetten of communicatie- en defensiesystemen onklaar maken. Toch? Klinkt als muziek in de oren van veel militairen en politici, zou je denken. Andersom geldt natuurlijk hetzelfde: de westerse samenleving is misschien nog wel kwetsbaarder voor de digitale vijand dan de landen en andere actoren waar we ons de laatste jaren op hebben gericht. Het nieuws bestiert ons dan ook met bangmakerijen over DDOS aanvallen, hacking activiteiten door China (en/of VS), drones die worden “overgenomen” en zo kunnen we nog wel even doorgaan. Veel bedrijven springen hierop in door beveiligingssoftware aan te bieden. De vraag is echter of deze cyberinstrumenten zich wel zo goed lenen voor “ouderwets” oorlogje voeren. Is een cyberoorlog dus wel zo reëel als sommigen doen vermoeden?

Wat maakt cyber anders dan anders?
Cyber onderscheid zich als domein doordat het man-made is, doordat niemand de eigenaar is, doordat het zowel hard- als software bevat en doordat het geen grenzen kent. Zo zijn er nog een aantal unieke kenmerken van dit nieuwe gevechtsveld (naast lucht, land, zee en ruimte). Toch zijn de meningen verdeeld of het wel echt een gevechtsveld of domein is. De zojuist genoemde karakteristieken impliceren namelijk dat er een “uit” knop is en dat er geen arena is te definiëren waarin conflicten kunnen worden beslecht. Zonder arena geen gevecht.

Als er dan toch sprake is van een conflict tussen twee of meerdere partijen in deze ondefinieerbare omgeving, dan zien we dat dit vaak op een beperkte en vooral anonieme wijze gebeurt. Zo heeft Rusland zijn waarschijnlijke rol in de de cyberaanvallen tijdens de conflicten met Estland (2007) en Georgië (2008) nooit toegegeven. Ook Noord-Korea, Iran, Israël en de VS zijn in meerdere zaken verdacht van het uitvoeren van cyberaanvallen. Waar daarbij sprake was van een openlijk conflict, is het gebruik van deze instrumenten echter nooit toegegeven. Er lijkt (nog) een taboe te rusten op het gebruik ervan. Dit komt mede doordat cyberaanvallen worden gezien als een zeer asymmetrisch wijze van “oorlogvoering”.

Daarnaast lijken de effecten van cyberverstoringen vooralsnog überhaupt beperkt te zijn. Hoewel cyberaanvallen op het elektriciteitsnet regelmatig worden genoemd als grote dreiging, vallen de risico’s in werkelijkheid tot nu toe erg mee. In 2003 deed zich in Noord-Amerika een grote stroomstoring voor. Deze stroomstroring werd niet veroorzaakt door een cyberaanval, maar omdat de oorzaak voor de gevolgen weinig verschil maakt kan het hier toch als voorbeeld dienen. Hoewel de economische gevolgen door de storing groot waren, bleef chaos en fysieke schade op een aantal incidenten na uit. In de woorden van Douglas Birch: “a cyber weapon that took down an electric grid even for several days could turn out to be little more than a weapon of mass inconvenience.” Ook in die gevallen waarin een cyberaanval daadwerkelijk offensief is gebruikt vallen de gevolgen tot nu toe erg mee. Het bekende stuxnet virus heeft dan wel fysieke schade aangericht aan Iraanse centrifuges, maar daarmee het nucleaire programma niet weten te stoppen: dat is hooguit twee jaren teruggezet en sommige analisten stellen zelfs dat het virus nauwelijks effect heeft gehad op de voortgang van de uraniumverrijking in het land.

Cyberinstrumenten minder effectief dan ze lijken?
Hoe kan het zo zijn dat cyberinstrumenten bij nader inzien toch niet zo effectief zijn als dat ze op het eerste gezicht lijken? Een eerste reden is dat systemen en maatschappijen flexibeler en veerkrachtiger zijn dan dat we zelf vaak aannemen. We kunnen in de praktijk heel goed omgaan met dergelijke, niet dodelijke, tegenslagen. Een tweede reden is dat alle gaten in de systemen man-made zijn. Onze digitale omgeving is voor te stellen als een ingewikkeld bouwsel van ontelbaar veel subdelen, allemaal door verschillende personen gemaakt. Door de jaren heen zijn systemen veiliger geworden, maar er zitten nog steeds veel “oude” elementen in. Elementen die in een periode gemaakt zijn waarin DDOS aanvallen en hacking nog niet in ons woordenboek voorkwamen.

In deze immense brij van code is het niet meer dan logisch dat er fouten en zwakke punten bestaan die toegang bieden voor digitale indringers. Dergelijke zwakheden zijn na ontdekking echter ook goed te versterken; we spreken dan ook van zero-days. Een gat in het systeem kan maar één keer gebruikt worden, voordat de tegenstander er alles aan zal doen om het te dichten. Het vinden van een dergelijke zero-day kost daarnaast erg veel tijd, net als het maken van de software om een aanval mee uit te voeren. Een virus als Stuxnet is erg complex en heeft naar alle waarschijnlijkheid jaren gekost om te maken. Die “ene druk op de knop” om aan de andere kant van de wereld iets te laten ontploffen bestaat in werkelijkheid dus helemaal niet. In ieder geval niet na een zeer lange en intensieve periode van voorbereidingen.

Manouvreren in cyberspace = open flanken
Als het dan toch eindelijk gelukt is om een cyberaanval uit te voeren, ligt een mogelijke tegenaanval – cyber of conventioneel – op de loer: wie kaatst kan de bal verwachten. Men doet er in dat geval dus verstandig aan zich voor te bereiden op een tegenaanval. Maar is dit waar het om cyber gaat wel wenselijk? Cyber vergroot de asymmetrie van conflicten, maar stel dat het wel symmetrisch blijft. Stel dat je als land na een offensieve handeling een flinke counter-cyberattack om je oren krijgt. Deze kan een vijand  “kopen” via het internet of laten maken door slimme werknemers of huurlingen (hackers). De kans dat deze mensen, vanwege onze westerse afhankelijkheid van cyber, een zero-day vinden is erg groot. Het kost immens veel tijd en geld om al deze gaten zelf eerst op te sporen (bijvoorbeeld door de ethische hackers die zelf in Nederland ook strafbaar zijn) en vervolgens te dichten. Daarbij is het een utopie om te denken dat alle gaten gedicht kunnen worden. Bij manoeuvreren in cyberspace zijn en blijven je flanken altijd (gedeeltelijk) open. Als ver doorgedigitaliseerde landen hebben we met het openen van deze ‘doos van Pandora’ zelf misschien dus wel het meeste te verliezen.

Om echt effectief te zijn op dit terrein moet in ieder geval samengewerkt worden met andere landen of actoren. Cyber is namelijk een mondiaal dingetje. Op dit moment is die samenwerking echter ver te zoeken en ontbreekt het dus aan de mogelijkheden om het middel in zijn volledige potentie te benutten. Een laatste uitdaging – eveneens op internationaal niveau – is de  vraag of het uitvoeren van dergelijke aanvallen wel is toegestaan. Misschien een rare vraag als het om “oorlog voeren” gaat, maar internationaal recht speelt daarbij wel degelijk een rol. De internationale regelgeving over het voeren van oorlog is er in ieder geval nog niet klaar voor om cyberinstrumenten op te nemen in verschillende wetten. Een van de vragen die spelen is of het eigenlijk wel echt geweld is. En als een Chinese hacker via een proxy in Nederland, op een server in Frankrijk het metrosysteem in New York plat weet te leggen, wie klaag je dan aan? Er bestaat nog geen volwaardig internationaal juridisch kader waarbinnen gehandeld kan worden of welke het gebruik mogelijk maakt en reguleert. Dit wil natuurlijk niet zeggen dat al het gebruik illegaal is. Er worden nu talloze wetten geschreven waarin het gebruik wordt gereguleerd, echter, bijna allemaal op nationaal niveau. En nogmaals, cyber doet niet aan grenzen. Als er op termijn toch wetten en regels komen, dan is het vervolgens de vraag of wij daar wel zo blij mee moeten zijn. De infrastructuur van cyber is zoals gezegd van iedereen. Mag de overheid dit gebied dan vergaand gaan reguleren en op iedere denkbare wijze gebruiken om haar eigen doelen na te streven? Was het internet niet het summum van individuele vrijheid? Kan het dan wel plots een medium voor conflicten worden? Daar komt nog eens bij dat het gebruik van cyber-instrumenten niet altijd te controleren is. Zo viel 40% van de effecten van het Stuxnet-virus buiten het beoogde doel Iran, waaronder in Europa.

Discussie omhult in mist en paniek
Het “vechten” met cyber-instrumenten heeft dus een aantal stevige nadelen. De hele discussie is ondertussen gehuld in een combinatie van mist en paniek. Deze wordt gevoed door softwarebedrijven die virusscanners maken, overheden die kansen uitbuiten om het internet te controleren, rent-seekers -waaronder overheidsinstanties – die hun budgetten gevoed zien door de risico’s op te blazen, en zo meer. Het is daarnaast een populair media-dingetje, lekker catchy. Het staat allemaal namelijk wel heel erg dicht bij ons. Het feit dat je niet kunt pinnen, de angst dat je gegevens van DigiD op straat liggen, je hele computer leeggeplukt kan worden en het ongemak van weken zonder stroom te zitten, komt allemaal heel erg dicht bij huis. Gelukkig valt het allemaal nog wel mee: het is (nog) helemaal geen supermiddel.

Cyber heeft daarentegen wel de potentie om tot iets groters uit te groeien en daar oog voor hebben is alleen maar verstandig. Dat legitimeert het onnodig opblazen van de risico’s en beschikbare budgetten voor cybersecurity echter geenszins. In lijn met dit opiniestuk is het verstandig de dreiging in perspectief te blijven zien en te waken voor “billion dollar solutions to million dollar problems.”

[Met twee missies achter de rug heeft Ronald Gabriels het respect van sergeant Hartman gewonnen. Als geboren Brabander heeft hij zijn onderkomen gevonden in de linksche Waalstad. Dit zorgt voor zinvolle vrije tijdsbesteding door er op los te trollen en te discussiëren met lotgenoten, critici of naabjes – ammunitie hiervoor vindt hij mede in zijn studie aan de Nederlandse Defensie Academie]