7

Een normatieve aanpak van het voorkomen van cyberoorlogen

CAMBRIDGE – Een reeks gebeurtenissen in de afgelopen jaren – waaronder de cyber-interventies van Rusland om de Amerikaanse presidentsverkiezingen van 2016 in het voordeel van Trump te doen uitvallen, de anonieme cyber-aanvallen die het Oekraïense elektriciteitsnet in 2015 ontwrichtten, en het “Stuxnet”-virus dat duizend Iraanse ultra-centrifuges vernietigde – heeft tot toenemende zorgen geleid over een mogelijk conflict in cyberspace. Op de Münchense veiligheidsconferentie van afgelopen maand heeft de Nederlandse minister van Buitenlandse Zaken Bert Koenders de vorming van een nieuwe, niet-gouvernementele Global Commission on the Stability of Cyberspace aangekondigd om de UN Group of Governmental Experts (GGE) aan te vullen.

De rapporten van de GGE van 2010, 2013 en 2015 hebben geholpen de onderhandelingsagenda voor de cyberveiligheid vast te stellen, en in het meest recente rapport werd een reeks normen opgesomd die zijn gesteund door de Algemene Vergadering van de Verenigde Naties. Maar ondanks dit initiële succes heeft de GGE zijn beperkingen. De deelnemers zijn technisch gesproken eerder adviseurs van de Secretaris-Generaal van de VN dan volledig bevoegde nationale onderhandelaars. Hoewel het aantal deelnemers is gestegen van de oorspronkelijke 15 naar 25 hebben de meeste landen geen stem.

Maar er gaat een grotere vraag schuil achter de GGE: Kunnen normen werkelijk het gedrag van staten beperken?

De meeste deskundigen zijn het erover eens dat een mondiaal cyberspace-verdrag momenteel politiek onmogelijk zou zijn (hoewel Rusland en China voorstellen daartoe bij de VN hebben ingediend). Maar afgezien van formele verdragen omvatten normatieve beperkingen van staten ook gedragscodes, conventionele staatspraktijken en breed gedeelde verwachtingen over correct gedrag binnen een groep (waardoor een soort gewoonterecht ontstaat). Qua omvang kunnen deze beperkingen uiteenlopen van mondiaal naar plurilateraal en bilateraal. Wat kan de geschiedenis ons vertellen over de effectiviteit van normatieve beleidsinstrumenten?

In het decennium na Hiroshima werden tactische kernwapens alom gezien als “normale” wapens, en het Amerikaanse leger beschikte over nucleaire artillerie, nucleaire landmijnen en nucleair luchtafweergeschut. In 1954 en 1955 zei de voorzitter van de Gezamenlijke Chefs van Staven tegen president Dwight Eisenhower dat voor de verdediging van het Vietnamese Dien Bien Phu en van de eilandjes in de buurt van Taiwan het gebruik van kernwapens nodig was (Eisenhower verwierp zijn advies).

In de loop der tijd heeft de ontwikkeling van een informele norm met betrekking tot het niet-gebruik van kernwapens dit veranderd. De Nobelprijs-winnende econoom Thomas Schelling heeft betoogd dat de norm van het niet-gebruik van kernwapens een van de belangrijkste aspecten van de wapenbeheersing van de afgelopen zeventig jaar is geweest, en dat dit een afschrikwekkend effect heeft uitgeoefend op besluitnemers. Maar bij nieuwe nucleaire staten als Noord-Korea kun je er niet zeker van zijn dat de kosten van het schenden van het taboe worden gezien als groter dan de voordelen.

Op dezelfde wijze heeft zich na de Eerste Wereldoorlog een taboe ontwikkeld tegen het gebruik van gifgassen bij de oorlogvoering, en verbood het Protocol van Genève uit 1925 het gebruik van chemische en biologische wapens. Twee verdragen uit de jaren zeventig verboden de productie en opslag van dergelijke wapens, waardoor niet alleen het gebruik, maar ook het bezit ervan met kosten gepaard ging.

De verificatieprocessen uit het Verdrag over Biologische Wapens zijn zwak (er hoeft louter te worden gerapporteerd aan de Veiligheidsraad van de VN), en dergelijke taboes hebben de Sovjet-Unie er in de jaren zeventig niet van weerhouden biologische wapens te blijven bezitten en ontwikkelen. Evenmin heeft het Verdrag over Chemische Wapens Saddam Hoessein of Bashar al-Assad ervan weerhouden chemische wapens in te zetten tegen hun eigen burgers.

Niettemin hebben beide verdragen vormgegeven aan de manier waarop anderen dergelijke acties ervaren. Dergelijke waarnemingen hebben bijgedragen aan de rechtvaardiging van de invasie van Irak in 2003 en aan de internationale ontmanteling van de meeste Syrische wapens in 2014. Nu 173 landen het Verdrag over Biologische Wapens hebben geratificeerd, moeten staten die zulke wapens willen ontwikkelen dat in het geheim doen, en kunnen zij op wijdverbreide internationale veroordeling rekenen als er bewijzen over hun activiteiten opduiken.

Normatieve taboes kunnen ook relevant worden in het cyber-domein, ook al hangt het verschil tussen een wapen en een niet-wapen hier af van de intentie, en zou het lastig zijn het ontwerp, het bezit of zelfs het implanteren van bepaalde computerprogramma's om redenen van spionage te verbieden, en onmogelijk zijn om dat op betrouwbare wijze te doen. In die zin kunnen de inspanningen om cyber-conflicten te voorkomen niet zo zijn als de controle op kernwapens tijdens de Koude Oorlog, waarbij ingewikkelde verdragen en gedetailleerde verificatieprotocollen om de hoek kwamen kijken.

Een vruchtbaarder aanpak van normatieve controles op de cyber-oorlogvoering zou het vestigen van een taboe op doelwitten – en niet zozeer op wapens – kunnen zijn. De VS hebben het idee gepropageerd dat de Law of Armed Conflict (LOAC), die doelbewuste aanvallen op burgers verbiedt, van toepassing is in cyberspace. Dientengevolge hebben de VS voorgesteld dat landen ertoe moeten worden aangezet om te beloven in vredestijd geen cyberwapens tegen civiele faciliteiten in te zetten, in plaats van hen de belofte af te dwingen niet als eerste cyberwapens te gebruiken.

Deze normatieve aanpak is door de GGE overgenomen. Het taboe zou worden versterkt door vertrouwenwekkende maatregelen als toezeggingen van forensische hulp en niet-inmenging met betrekking tot de activiteiten van de Computer Security Incident Response Teams (CSIRTs).

Het GGE-rapport van juli 2015 richtte zich op het aan banden leggen van aanvallen op bepaalde civiele doelwitten, in plaats van op het voorschrijven van een bepaalde code. Op de topconferentie van september 2015 tussen de Amerikaanse president Barack Obama en de Chinese president Xi Jinping kwamen beide leiders overeen een commissie van deskundigen in stellen om het GGE-voorstel te bestuderen. Vervolgens werd het GGE-rapport gesteund door de leiders van de G20 en aan de Algemene Vergadering van de Verenigde Naties voorgelegd.

De aanval op het Oekraïense elektriciteitsnet deed zich voor in december 2015, kort na de overlegging van het GGE-rapport, en in 2016 heeft Rusland het Amerikaanse verkiezingsproces niet behandeld als civiele infrastructuur. De ontwikkeling van normatieve controles op cyberwapens blijft een traag – en tot nu toe onvoltooid – proces.

Vertaling: Menno Grootveld