6

Werkt afschrikking in cyberoorlogen?

CAMBRIDGE – De angst voor een ‘cyber Pearl Harbour’ kwam voor het eerst naar voren in de jaren negentig, en de afgelopen twintig jaar hebben beleidsmakers zich zorgen gemaakt dat hackers oliepijpleidingen zouden opblazen, de watertoevoer vergiftigen, waterkeringen zouden openen en vliegtuigen met elkaar in botsing laten komen door systemen voor de luchtverkeersleiding te hacken. In 2012 waarschuwde toenmalig minister van Defensie van de VS Leon Panetta dat hackers ‘het energienet in grote delen van het land kunnen platleggen.’

Geen van deze rampscenario’s is uitgekomen, maar ze kunnen zeker niet uitgesloten worden. Op een meer bescheiden niveau waren hackers vorig jaar in staat om een hoogoven van een Duitse staalfabriek op te blazen. De veiligheidsvraag is dus helder: kunnen zulke destructieve acties worden afgeschrokken?

Erdogan

Whither Turkey?

Sinan Ülgen engages the views of Carl Bildt, Dani Rodrik, Marietje Schaake, and others on the future of one of the world’s most strategically important countries in the aftermath of July’s failed coup.

Het wordt wel eens gezegd dat afschrikking in cyberspace geen effectieve strategie is, vanwege de moeilijkheden om de herkomst van een aanval vast te stellen en vanwege het grote en diverse aantal betrokken statelijke en niet-statelijke actoren. We weten vaak niet zeker aan wiens middelen we gevaar kunnen toeschrijven en voor hoe lang.

Deze attributie is een ernstig probleem. Hoe kan je vergelden als je geen adres afzender hebt? Nucleaire vergelding verdient niet de schoonheidsprijs, maar er zijn slechts negen staten met atoomwapens, de isotope kenmerken van hun nucleaire materiaal zijn betrekkelijk bekend, en er is een hoge drempel voor niet-statelijke actoren.

In cyberspace geldt dit alles niet, en kan een wapen bestaan uit een paar regels code die kunnen worden ontworpen (of aangeschaft op het zogeheten dark web) door elk aantal statelijke of niet-statelijke actoren. Een geavanceerde hacker kan de herkomst verstoppen achter verschillende valse vlaggen van meerdere remote servers.

Alhoewel forensisch onderzoek de vele ‘sprongen’ tussen servers in kaart kan brengen duurt dit vaak lang. Zo werd een aanval in 2014 waarbij 76 miljoen adressen van klanten werden gestolen van JPMorgan Chase in brede kring toegeschreven aan Rusland. In 2015 echter identificeerde het ministerie van Justitie van de VS de daders als een geraffineerde criminele bende die werd geleid door twee Israëliërs en een Amerikaans staatsburger die in Moskou en Tel Aviv woonde.

Attributie is echter een graduele kwestie. Ondanks de gevaren van valse vlaggen en de problemen een snelle attributie van hoge kwaliteit te maken die in de rechtbank overeind zou blijven, is er vaak genoeg attributie voorhanden om afschrikking mogelijk te maken.

Bij de aanval in 2014 bijvoorbeeld op SONY Pictures probeerde de VS in beginsel te vermijden de middelen waarmee ze de aanval aan Noord-Korea toeschreven geheel openbaar te maken, en kreeg als resultaat hiervan te maken met wijdverbreide scepsis. Binnen een aantal weken onthulde een lek in de pers dat de VS toegang had tot Noord-Koreaanse netwerken. De scepsis nam af, maar ten koste van het onthullen van een gevoelige bron van informatie.

Een snelle, hoogkwalitatieve toeschrijving is vaak lastig en kostbaar, maar niet onmogelijk. Niet alleen zijn overheden hun capaciteiten aan het vergroten, ook veel bedrijven in de private sector betreden het speelveld, en hun deelname vermindert voor overheden de kosten van het moeten blootgeven van gevoelige bronnen. Veel situaties zijn graduele kwesties, en al naargelang de technologie het forensische attributie-onderzoek verbetert kan de afschrikkingskracht toenemen.

Bovendien zouden analisten zich wanneer ze zich een beeld van cyberafschrikking vormen niet moeten beperken tot de klassieke instrumenten van straffen en voorkomen. Er moet ook aandacht besteed worden aan afschrikking door economische verwevenheid en door normen.

Economische verwevenheid kan de kosten-baten analyse veranderen van een groot land als China, waar de terugslageffecten van een aanval op laten we zeggen het energienet van de VS de economie zou kunnen treffen. Verwevenheid heeft waarschijnlijk weinig effect op een staat als Noord-Korea, die nauwelijks verbonden is met de wereldeconomie. En het is onduidelijk hoe verwevenheid niet-statelijke actoren beïnvloedt. Sommigen zullen zich wellicht gedragen als parasieten die zelf zullen lijden als ze hun gastheer doden, maar anderen zijn voor zulke effecten misschien weer niet vatbaar.

Wat normen betreft zijn de belangrijkste landen overeengekomen dat cyberoorlogen vallen onder het oorlogsrecht, dat onderscheid maakt tussen militaire en burgerdoelen en proportionaliteit eist in termen van consequenties. Afgelopen juli adviseerde de VN-Groep van Regeringsexperts om burgerdoelen uit te sluiten van cyberaanvallen, en deze norm werd vorige maand op de top van de G-20 overgenomen.

Het is wel gesuggereerd dat een van de redenen dat cyberwapens niet meer gebruikt worden in oorlogen precies voortkomt uit de onzekerheid over de effecten op burgerdoelen en over niet voorziene gevolgen. Normen als deze hebben wellicht het gebruik van cyberwapens door de VS tegen Irakese en Libische luchtafweer afgeschrokken. En het gebruik van cyberwapens in de Russische ‘hybride’ oorlogen in Georgië en Oekraïne is relatief beperkt gebleven.

De relatie tussen de variabelen in cyberafschrikking is een dynamische en zal worden beïnvloed door technologie en studie, waarbij de innovatie sneller gaat dan voor atoomwapens gold. Zo kan betere forensische attributie de rol van de strafcomponent vergroten, en een defensie door middel van encryptie kan de afschrikking door voorkomen vergroten. Als resultaat hiervan kan het huidige voordeel van de aanval boven defensie naar verloop van tijd wellicht verschuiven.

Ook cyberstudie is belangrijk. Nu staten en organisaties steeds beter het belang van het internet voor hun economische welbevinden in gaan zien kunnen kosten-baten analyses van het nut van cyberoorlogsvoering veranderen, net zoals lange studie het begrip van de kosten van nucleaire oorlogsvoering heeft veranderd.

Support Project Syndicate’s mission

Project Syndicate needs your help to provide readers everywhere equal access to the ideas and debates shaping their lives.

Learn more

In tegenstelling tot het atoomtijdperk is afschrikking in het cybertijdperk niet one size fits all. Of zitten we soms gevangen in een overgesimplificeerd beeld van het verleden? Toen nucleaire vergelding tenslotte te draconisch begon te lijken om geloofwaardig te zijn nam de VS een conventionele flexibele tactiek over om een element van voorkoming toe te voegen aan zijn inspanningen om een sovjet-invasie van West-Europa af te schrikken. En terwijl de VS nooit hebben ingestemd met een formele norm ‘om niet als eerste atoomwapens te gebruiken’, ontwikkelde zich uiteindelijk wel zo een taboe, in ieder geval tussen de wereldmachten. Afschrikking is in het cybertijdperk misschien niet meer wat het geweest is, maar misschien was het dit al nooit helemaal.

Vertaling Melle Trap