Het onzichtbare conflict om de Krim

cyber-war-buttonMet de aanwezigheid van Russische militairen op de Krim, de eerste waarschuwings-schoten op Oekraïense militairen en op waarnemers van de OESO en de overweldigende media-aandacht, is het conflict aan de rand van Europa voor iedereen duidelijk zichtbaar. Toch speelt er onder de oppervlakte meer: het conflict kent een (deels) onzichtbare dimensie. Geeft dat reden voor zorgen of zelfs voor een militaire tegenreactie?

Telefoonverkeer plat
Het onzichtbare element betreft cyber”aanvallen” die al een tijd lang worden uitgevoerd. Naar verluidt hebben de Russen op de Krim namelijk apparatuur geïnstalleerd, waarmee ze in staat zijn het mobiele telefoonverkeer van politici volledig plat te leggen. In militaire termen is dit te vertalen als een aanval op de Command and Control. Lastig, want als er iets vervelend is in tijden van crisis, dan is het wel niet in staat te zijn sleutelfiguren te bereiken.

Waar de communicatie-infrastructuur vroeger nog met een ordinair bombardement werd vernietigd, kunnen communicatielijnen tegenwoordig worden platgelegd met een gerichte cyberactie. Bij een bombardement is men het er vrij snel over eens dat het om een militaire aanval gaat. Met ontploffende bommen valt het moeilijk te ontkennen dat een reactie in de vorm van een conventionele militaire tegenaanval op zijn plaats is. Is dat ook het geval bij cyberacties?

In het geval van de cyberactie door Rusland is weinig concreets te zien en van een reactie is ook nog totaal geen sprake. Toch heeft de NAVO zich onlangs nog erg bezorgd getoond over dergelijke cyberactiviteiten. Een cyberaanval op een bondgenoot zou zelfs kunnen resulteren in de inwerkingtreding van artikel 5, de collectieve zelfverdediging, en dus kunnen worden beantwoord met de inzet van militaire conventionele wapens. Cyberaanvallen vonden in het verleden al plaats in Estland (2007) en Georgië (2008). Estland is een NAVO-bondgenoot en Georgië een aspirant NAVO-lid (waar Rusland het overigens houdt bij een strategisch partnerschap).

Cyberactie = militaire aanval?
De vraag die zich opdringt is of deze militaire retoriek pas geeft binnen het cyberdomein? Wanneer het gaat om cyberaanvallen worden deze niet zelden in één adem genoemd met een mogelijke militaire aanval. Zijn cyberacties wel zo gemakkelijk onder een militaire noemer te plaatsen?

In de werkelijkheid is een dergelijke militaire kwalificatie lang niet altijd nuttig. Kort door de bocht, maar even om een beeld te schetsen: is het zinvol om een aanval met miljarden lieveheersbeestjes (of vul zelf je eigen favoriete insect in) – waardoor bijvoorbeeld het gehele havenverkeer in Rotterdam wordt ontregeld – per definitie een militaire aanval te noemen?

De NAVO lijkt dat wel te vinden. Om te begrijpen waar dit vandaan komt, zonder het meteen te scharen onder paniekvoetbal, is het zaak om te kijken naar het dreigingsbeeld van na de Koude Oorlog. De NAVO vertoont de neiging potentiële gebeurtenissen nog altijd te beoordelen op de concrete dreigingen die daaruit voortkomen in plaats van op mogelijke risico’s die ermee gemoeid gaan (Threat Based vs Risk Based). Voorheen was de dreiging van de Russen heel concreet en overal voelbaar. Tegenwoordig moet in toenemende mate gedacht worden aan de risico’s van een terroristische aanslag, de dreiging van spill-over effecten van een burgeropstand (bijvoorbeeld vluchtelingen of terugkerende Jihadisten) en cyberdreigingen. Deze dreigingen zijn minder concreet dan een stel kernraketten op je gericht hebben staan, maar zijn desalniettemin – onder de radar – altijd aanwezig.

Gerelateerd hieraan is er een verschuiving waarneembaar van een gewapende dreiging naar een meer effect-based dreiging. De eerste houdt in dat specifieke wapens of wapentuig worden genoemd als grootste dreiging en dat wordt getracht om hier een antwoord op te vinden. Zoals we hebben gezien bij kernwapens en ballistische raketten, kan dit snel leiden tot een wapenwedloop, waarbij met offensief en defensief wapentuig op elkaar wordt gereageerd. De tweede benadering, de effect-based dreiging, concentreert zich veel meer op het mogelijke effect van een dreiging op de (inter)nationale veiligheid en vitale nationale belangen. Of dat effect nu wordt veroorzaakt door een cyberwapen, lieveheersbeestjes of nucleaire bommen doet in wezen niet ter zake. Het middel speelt geen rol – of zou dat in ieder geval niet moeten spelen – in het recht om terug te slaan, het Jus ad Bellum. Een cyberaanval kan, afhankelijk van de effecten, een conventionele militaire reactie dus legitimeren.

Overtrokken bezorgdheid
Hoewel de bezorgdheid van de NAVO over cyberacties in bepaalde mate dus terecht kan zijn, neigt het door te slaan naar overbezorgdheid in self-defence. De drang lijkt groot om dreigingen binnen cyberspace – ongeacht de effecten ervan – dermate uit te vergroten dat zelfs beperkte bedreigingen worden gecommuniceerd als een gevaar voor existentiële belangen. Alsof door cyberspace het voortbestaan van vitale infrastructuur voortdurend op de tocht staat.

Dit is vervuiling van de discussie die wij kennen uit de post 9/11-discussie omtrent terrorisme: de dreiging is er, maar laten we het hoofd koel houden. Cyber biedt mogelijkheden en kansen, maar is als het erop aankomt slechts een (zoveelste) middel in de militaire toolbox. Het overgrote deel van alle cyberdreigingen is niet meer dan een incident in de vorm van criminaliteit, spionage of sabotage en het ziet er niet naar uit dat dit binnen afzienbare tijd wel gaat gebeuren.

De NAVO moet cyberacties meer gaan beoordelen op de effecten ervan. De acties die Rusland heeft uitgevoerd op Oekraïne vallen in ieder geval niet binnen de categorie van een (gewapende) militaire aanval. De getroffen politici hebben er last van; het is vervelend, maar de command and control wordt hen niet onmogelijk gemaakt.

Reageren op cyberacties
Betekent dit dat achterover kan worden geleund? Of moet Oekraïne/het Westen iets gaan doen tegen de bestaande cyberdreiging van de Russen? Er zijn een aantal opties die elkaar in chronologie en escalatie opvolgen.

Het begint met alarmeren, oftewel weten dat er cyberacties tegen je worden uitgevoerd. Zowel de NAVO als de EU hebben CERTs (computer emergency response teams). Deze teams zijn in staat om van afstand het netwerkverkeer te analyseren en te bepalen of er een cyberactie/indringing plaatsvindt. Dit is het beste te vergelijken met een radar welke het luchtruim in de gaten houdt, maar in dit geval wordt cyberspace bekeken.

Stap twee is het netwerk veerkrachtig maken door defensieve maatregelen. Anders gezegd, ervoor zorgen dat de actie geen kans van slagen heeft. Stap drie is terugslaan, of op zijn minst daarmee dreigen. Het gaat hier dus om daadwerkelijke offensieve cyberacties die, deels openlijk vanwege het dreigende effect, bij het passeren van een concrete “red line” worden ingezet. Je zou zelfs kunnen spreken van een Active Defense Policy, waarmee een tegenactie automatisch wordt gestart. Zeker in cyberspace, waar dingen vrijwel met de snelheid van het licht gebeuren, is een automatische reactie bij indringing wenselijk. Dit is te vergelijken met een dijk. Hoogwater kan zich altijd voordoen, maar als het water te hoog komt, dan treden er defensieve maatregelen in werking. In cyberspace kan er echter ook worden gekozen voor de aanval. Wanneer men het recht heeft terug te slaan, wanneer het water aan de lippen staat, is afhankelijk van het effect van de betreffende actie.

Conclusie
Al met al zijn de cyberacties van de Russen (nog) niet voldoende om van een militaire aanval te spreken: de effecten zijn daarvoor te gering. Een militaire tegenreactie met conventionele middelen zou de boel alleen maar nodeloos doen escaleren. Dat is geen excuus om dan maar helemaal niets te doen, want de kans dat Rusland zijn cybercapaciteiten vaker zal gaan inzetten is levensgroot. Het valt niet uit te sluiten dat een volgende cyberactie een militaire reactie wel legitimeert. Om daar adequaat op te kunnen reageren moet de NAVO heldere criteria vaststellen, gebaseerd op mogelijke effecten van cyberacties.

UPDATE: Een “krachtig nieuw virus” grijpt om zich heen in Oekraïne!

[Met twee missies achter de rug heeft Ronald Gabriels het respect van sergeant Hartman gewonnen. Als geboren Brabander heeft hij zijn onderkomen gevonden in de linksche Waalstad. Dit zorgt voor zinvolle vrije tijdsbesteding door er op los te trollen en te discussiëren met lotgenoten, critici of naabjes – ammunitie hiervoor vindt hij mede in zijn studie aan de Nederlandse Defensie Academie]

Disclaimert: Ronald schreef deze bijdrage op persoonlijke titel en de inhoud ervan komt niet noodzakelijkerwijs overeen met de visie van Stukje Duiding. Dat u het even weet.

 

Advertenties

Geef een reactie

Vul je gegevens in of klik op een icoon om in te loggen.

WordPress.com logo

Je reageert onder je WordPress.com account. Log uit / Bijwerken )

Twitter-afbeelding

Je reageert onder je Twitter account. Log uit / Bijwerken )

Facebook foto

Je reageert onder je Facebook account. Log uit / Bijwerken )

Google+ photo

Je reageert onder je Google+ account. Log uit / Bijwerken )

Verbinden met %s