Skip to main content

Cookies and Privacy

We use cookies to improve your experience on our website. To find out more, read our updated Cookie policy, Privacy policy and Terms & Conditions

nye195_GettyImages_soldiercomputerintelligence Getty Images

Kan cyberoorlog worden gereguleerd?

CAMBRIDGE – Of een conflict wel of niet escaleert hangt af van het vermogen om de schaal van de vijandelijkheden te begrijpen en erover te communiceren. Helaas is er, als het over cyberconflicten gaat, geen overeenstemming over de schaal of hoe die zich verhoudt tot traditionele militaire maatregelen. Wat sommigen zien als een overeengekomen spel of strijd ziet er voor de andere partij misschien niet hetzelfde uit.

Tien jaar geleden maakten de Verenigde Staten gebruik van cyber-sabotage en niet van bommen om de nucleaire verrijkingsfaciliteiten van Iran te vernietigen. Iran antwoordde met cyberaanvallen die 30.000 computers van het Saoedische olieconcern Aramco verwoestten en Amerikaanse banken ontwrichtten. Deze zomer, na het opleggen van verlammende sancties door de regering van de Amerikaanse president Donald Trump, schoot Iran een onbemande Amerikaanse surveillance-drone neer. Er vielen geen slachtoffers. Trump plande aanvankelijk als reactie een raketaanval, maar annuleerde die op het laatste moment ten gunste van een cyberaanval die een belangrijke database vernietigde die het Iraanse leger gebruikte om oiletankers op de korrel te nemen. Opnieuw waren er wél kosten, maar geen slachtoffers. Iran voerde vervolgens direct of indirect een geavanceerde aanval met drones en kruisraketten uit op twee grote Saoedische oliefaciliteiten. Hoewel het erop lijkt dat er geen of slechts lichtgewonde slachtoffers waren, betekende de aanval een aanzienlijke toename van de kosten en risico's.

Het probleem van de perceptie en het voorkomen van escalatie is niet nieuw. In augustus 1914 verwachtten de grote Europese machten een korte en scherpe “Derde Balkanoorlog.” De troepen zouden met Kerstmis alweer thuis zijn. Na de moord op de Oostenrijkse aartshertog in juni wilde Oostenrijk-Hongarije Servië een bloedneus bezorgen, en gaf Duitsland de Oostenrijkse bondgenoot liever een blanco cheque dan hem vernederd te zien worden. Maar toen de Kaiser eind juli terugkeerde van vakantie en ontdekte hoe Oostenrijk de cheque had ingevuld, kwamen zijn pogingen om te de-escaleren te laat. Niettemin verwachtte hij te zullen winnen, wat ook bijna gebeurde.

Als de Kaiser, de tsaar en de Oostenrijkse keizer in augustus 1914 geweten hadden dat ze iets meer dan vier jaar later allemaal hun troon zouden verliezen en hun koninkrijk ontmanteld zouden zien worden, dan zouden ze geen oorlog zijn begonnen. Sinds 1945 hebben kernwapens gediend als een kristallen bol waarin leiders de catastrofe kunnen ontwaren die wordt geïmpliceerd door een grote oorlog. Na de Cubaanse rakettencrisis van 1962 hebben leiders het belang leren onderkennen van de-escalatie, communicatie over wapenbeheersing en verkeersregels om conflicten in goede banen te leiden.

Cybertechnologie ontbeert uiteraard de duidelijk verwoestende effecten van kernwapens, en dat levert een reeks andere problemen op, omdat er helemaal geen kristallen bol is. Tijdens de Koude Oorlog hebben de grote machten een directe confrontatie weten te vermijden, maar dat geldt niet voor cyberconflicten. En toch is de dreiging van cyber Pearl Harbors overdreven. De meeste cyberconflicten komen niet boven de drempel van de spelregels van gewapende conflicten. Ze zijn economisch en politiek van aard en niet zozeer dodelijk. Het is niet geloofwaardig om met een nucleair antwoord te dreigen op de cyber-diefstal van intellectueel eigendom door China of de cyber-inmenging in verkiezingen door Rusland.

Volgens de Amerikaanse doctrine beperkt de afschrikking zich niet tot een cyber-antwoord (hoewel dat wel mogelijk is). De VS zullen op cyber-aanvallen reageren dwars door domeinen en sectoren heen, met ieder wapen van hun keuze, in verhouding tot de toegebrachte schade. Dat kan variëren van “naming and shaming” tot economische sancties en kinetische wapens. Eerder dit jaar werd een nieuwe doctrine van “persistent engagement” (“aanhoudende inzet”) gelanceerd, om niet alleen aanvallen te kunnen ontwrichten, maar ook te helpen bij het versterken van de afschrikking. Maar de technische overlap tussen het binnendringen van netwerken om inlichtingen te vergaren of aanvallen te ontwrichten en het uitvoeren van offensieve operaties maakt het lastig onderscheid te maken tussen escalatie en de-escalatie. In plaats van te vertrouwen op stilzwijgende onderhandelingen, zoals de voorstanders van “persistent engagement” soms benadrukken, kan expliciete communicatie noodzakelijk zijn om escalatie te beperken.

Subscribe now
ps subscription image no tote bag no discount

Subscribe now

Subscribe today and get unlimited access to OnPoint, the Big Picture, the PS archive of more than 14,000 commentaries, and our annual magazine, for less than $2 a week.

SUBSCRIBE

We kunnen er immers niet van uitgaan dat we genoeg ervaring hebben om te begrijpen wat overeengekomen concurrentie in cyberspace precies betekent, laat staan dat we er zeker van kunnen zijn hoe acties binnen de netwerken van andere landen geïnterpreteerd zullen worden. De Russische cyber-inmenging in de Amerikaanse verkiezingen was bijvoorbeeld geen zaak van “overeengekomen concurrentie.” In het geval van een domein dat zo nieuw is als cyberspace kan open in plaats van louter stilzwijgende communicatie ons beperkte begrip van de grenzen oprekken.

Het onderhandelen over verdragen ter beheersing van cyberwapens is problematisch, maar dit maakt diplomatie niet bij voorbaat onmogelijk. In het cyber-domein kan het verschil tussen een wapen en een niet-wapen neerkomen op één regeltje code; ook kan hetzelfde programma worden ingezet voor legitieme dan wel kwaadwillige doeleinden, afhankelijk van de bedoelingen van de gebruiker. Maar als dit ervoor zorgt dat traditionele wapenbeheersingsverdragen onmogelijk te verifiëren zijn, is het wellicht nog steeds mogelijk om grenzen vast te stellen voor bepaalde soorten civiele doelwitten (in plaats van wapens) en grove verkeersregels te ontwerpen die conflicten beperken.

Hoe dan ook zal het moeilijk zijn om tot een strategische stabiliteit in cyberspace te komen. Omdat de technologische innovatie zich daar sneller voltrekt dan in het nucleaire domein wordt een cyberoorlog gekarakteriseerd door een verhoogde wederzijdse angst voor verrassingen.

In de loop der tijd kunnen betere forensische methoden om schuldigen aan te wijzen echter de rol van strafmaatregelen vergroten; en betere verdedigingsmechanismen met behulp van encryptie of machine learning kunnen de rol van preventie vergroten. Bovendien kunnen, naarmate staten en organisaties de beperkingen en onzekerheden van cyberaanvallen beter gaan begrijpen, evenals het toenemende belang van het internet voor hun economische welzijn, de kosten-baten-analyses van het nut van een cyberoorlog veranderen.

Op dit moment is de sleutel tot afschrikking, conflictbeheersing en de-escalatie in het cyber-domein echter gelegen in de erkenning dat we allemaal nog een hoop te leren hebben en dat we het proces van communicatie tussen tegenstanders moeten uitbreiden.

Vertaling: Menno Grootveld

https://prosyn.org/gIGwDVGnl;
  1. bildt70_SAUL LOEBAFP via Getty Images_trumpukrainezelensky Saul Loeb/AFP via Getty Images

    Impeachment and the Wider World

    Carl Bildt

    As with the proceedings against former US Presidents Richard Nixon and Bill Clinton, the impeachment inquiry into Donald Trump is ultimately a domestic political issue that will be decided in the US Congress. But, unlike those earlier cases, the Ukraine scandal threatens to jam up the entire machinery of US foreign policy.

    4