Cyber command? Niet nodig!

Wat te doen nu beveiligde sites toch niet kraakvrij blijken te zijn? Moet de overheid ons naar Amerikaans model verdedigen tegen cyberaanvallen en op oorlogspad gaan? Liever niet, zeggen politicologen Wouter van Cleef en Sebastiaan van der Lubben. "De overheid past een bescheiden rol op het web."

WOUTER VAN CLEEF EN SEBASTIAAN VAN DER LUBBEN

Minister Donner riep vorig weekend midden in de nacht de pers naar zijn ministerie: hij kon de veiligheid van data die u verzendt via overheidswebsites niet garanderen. Inmiddels weet u dat na een waarschijnlijk Iraanse internetinbraak bij het Nederlandse bedrijf DigiNotar de nullen en enen waar uw belastingaangifte, orgaandonatiewensen of adreswijziging uit bestaan in verkeerde handen dreigden te vallen. Het bedrijf was op de hoogte van de hack maar verzuimde dit te melden. Zo kon gevoelige informatie waarover u via het web met de overheid communiceert in handen vallen van een derde, 'meeluisterende' partij.

De kwestie-DigiNotar staat niet op zichzelf. Eerder dit jaar werd bekend dat Beijing de e-mails van de Australische premier Gillard en haar ministers van defensie en buitenlandse zaken meelas. Volgens Google probeerden 'commando's' van een dertig man sterk Chinees virtueel leger onder valse voorwendselen Amerikaanse ambtenaren hun inloggegevens te ontfutselen om zo e-mailverkeer te kunnen inzien. Enkele weken geleden publiceerde internetbeveiliger McAfee nog een rapport waarin 72 aanvallen werden gemeld ¿ vermoedelijk vooral vanuit China. En de 'frontberichten' blijven zich opstapelen: computers van de FBI, het IMF, de secretaris-generaal van de VN of toeleveranciers van het Amerikaanse ministerie van defensie. Ze zijn allemaal bezocht door hackers of cyberwarriors.

De roep om een betrouwbaar veiligheidssysteem voor internet klinkt luid, het volk kijkt naar de politiek en politici zijn vertwijfeld. Moet de overheid de verantwoordelijkheid dragen voor webveiligheid, zoals de PvdA direct na ontdekking van de hack voorstelde? Eén ministerie van ict? Een begrijpelijke reflex waarvoor de Amerikanen een aanzet hebben gegeven. Het Pentagon heeft in 2009 een Cyber Command opgericht om de strijd (naast land, zee, lucht) nu ook in cyberspace te kunnen voorbereiden, oefenen en uitvoeren. Het strategisch concept van dit nieuwe legeronderdeel richt zich op de verdediging van vitale, militaire netwerken. Bij de presentatie van die strategie eerder dit jaar maakte het Amerikaanse ministerie van defensie in niet mis te verstane termen duidelijk dat de VS op grootschalige cyberaanvallen kunnen reageren met het hele spectrum aan militaire middelen, niet alleen met elektronische middelen maar ook met echte 'bommen en granaten'. Volgens minister van defensie (en oud-CIA chef) Leon Panetta behoort een cyber Pearl Harbor tot de mogelijkheden.

Toch vraagt u zich wellicht af waar u zich nou druk om zou moeten maken. Mocht het misgaan, dan kunt u misschien tijdelijk niet bij de vakantiekiekjes van uw kinderen of even geen belastingaangifte doen. Maar als we nerveuze politici mogen geloven dient u toch wat ongeruster te zijn. Bij een totale cyberoorlog kunt u waarschijnlijk geen geld meer pinnen. De stroom valt uit, er komt geen water meer uit de kraan, stoplichten raken helemaal in de war. Systemen die openbaar bestuur mogelijk maken en veiligheid garanderen, lopen risico. Openbaar vervoer, vliegverkeer, economische transacties, medische apparatuur, radio en televisie ¿ alles wat aan een netwerk hangt, stopt met functioneren. In een wereld waarin alles aan alles is geknoopt, zijn de vakantiekiekjes van de kinderen uw minste zorg. Uw gezondheid, inkomen, toekomstige plannen en in toenemende mate ook uw identiteit wordt u afgenomen. Wellicht begrijpt u nu de nervositeit en daadkracht van Panetta iets beter.

Maar aan die voorstelling van zaken kleven minstens twee bezwaren: de gekozen oplossing en het gebrek aan kennis over cyberaanvallen. Ten eerste: is een centraal geleide infrastructuur voor netveiligheid wel de beste oplossing? Wij denken juist aan een decentraal systeem. Het tegenovergestelde dus van wat de PvdA daags na de hack voorstelde ¿ en van wat de Amerikanen doen.

Sean Lawson, specialist op het gebied van IT-dreigingen aan de University of Utah, constateert in het internetveiligheidsdebat constateert een groot gebrek aan kennis bij politici en burgers. Die onkunde zorgt zowel voor onderschatting van de risico's als voor ongefundeerde hysterie. De reflex, zoals in het Amerikaanse voorbeeld, om je op een figuurlijke burcht terug te trekken, omringd door een dikke muur met grote kanonnen, wordt volgens Lawson gevoed door angst voor een virtuele apocalypse ¿cybergeddon. Zijn idee: als we niet precies weten welke dreiging ons boven het hoofd hangt, moeten we zeer voorzichtig zijn met het optuigen van een machtig en geldverslindend verdedigingsapparaat.

Een ministerie van ict-veiligheid is niet alleen ongelofelijk kostbaar, de overheid past een bescheiden rol op een web waar burgers en bedrijven de boventoon voeren. En er is nóg een reden om voorzichtig te zijn met het creëren van een centraal cyberveiligheidsapparaat: het bedreigt de democratiserende mogelijkheden van het internet. Denk aan jonge Iraniërs of Egyptenaren die terecht op steun van minister Rosenthal van Buitenlandse Zaken kunnen rekenen in hun strijd voor een vrij internet. Als het Westen veiligheid belangrijker acht dan burgerlijke vrijheden, dan ontkent zij de essentie van internet: een force for good, waar vrijheid het allerhoogste goed is. Het belang van een vrij internet is groot.

De Oostenrijkse wetenschapper Alexander Klimburg onderzocht voor het Europees Parlement hoe Europa zich het best kan voorbereiden op dreigingen op het internet. Hij onderscheidt drie typen en identificeert bijbehorende bad guys: cybermisdaad, cyberterrorisme en ten slotte cyberoorlog. Zo'n onderscheid is belangrijk; pas als je weet met welke dreiging je te maken hebt, kun je een passend antwoord formuleren. Net als een tank geen goed middel is tegen tasjesdieven, is het stilleggen van systemen op en aan internet geen goede reactie op webdreigingen van individuen of staten.

Volgens rechtsfilosoof Afshin Ellian was de DigiNotar-aanval een 'oorlogshandeling' die om vergelding vroeg. Dergelijke taal uitten politici ook ¿ te snel, oordeelt Klimburg. Of het nu gaat om de aanval op Estland in 2007, waarbij een groot aantal websites van staatsinstituties, politieke partijen en bedrijven werd platgelegd, het Stuxnet virus dat het Iraanse nucleaire programma in problemen bracht of de gecoördineerde aanvallen op Georgische sites tijdens de oorlog met Rusland in 2008: al deze aanvallen zijn door leiders als oorlogsdaden ('cyberoorlog') gedefinieerd. Oorlog in klassieke zin wel te verstaan, en die wordt gevoerd tussen twee of meer staatslegers, strijdend in een herkenbaar uniform. Maar cyberwarriors en -criminals zijn nu juist onherkenbaar op het web.

Achter een serieuze internetkraak kan ene Jan uit Meppel schuilgaan, maar ook een Russisch semi-staatssyndicaat. De eerste actie zou niet mogen leiden tot stroomuitval in heel Noord-Nederland, terwijl de tweede daad misschien wel een gerichte tegenhack rechtvaardigt in de server van dat syndicaat. Anders gezegd: dader en motieven zijn bepalend voor de reactie. Daarom is het van belang dat ook civiele politiediensten de mogelijkheid krijgen en kennis ontwikkelen om onderzoek te doen op internet. Het identificeren van dreigingen is bijna zo belangrijk als het bestrijden ervan. Weten wie jou aanvalt is cruciaal ¿ oorlogsverklaringen of het opeisen van verantwoordelijkheid gebeurt (nog) niet op het web. Stel je voor, hackers vallen in opdracht van Al Kaida vitale, Amerikaanse systemen aan, maar doen dat via Chinese computers en netwerken. Een geopolitieke nachtmerrie is geboren.

Niet alleen landen zijn kwetsbaar, ook een aanval op een vitaal, grensoverschrijdend systeem of internationaal opererend bedrijf kan enorme invloed hebben op het openbaar leven (denk aan Shell, EuroControl of de haven van Rotterdam). Daarbij kan de vijand iemand zijn met wie je net nog zorgeloos stond te praten; een vriendelijke computer kan door een hacker worden omgezet in een nietsontziende vijand. Hackers en cyberwarriors buiten vooral de zwaktes van grote, logge staatsapparaten uit door snel te schakelen met 'krijgers' die vanuit verschillende locaties opereren. Toch is de dominante reflex, in Amerika en China, maar ook elders in de wereld, deze nieuwe dreiging met een centraal aangestuurd commando aan te pakken.

Dat ouderwetse denken over oorlog is onbruikbaar in het nieuwste strijdperk: internet. Want dat is radicaal transparant, democratisch en vrij toegankelijk. Veiligheid zou juist daarom geen zaak van een centraal commando moeten zijn, maar van ons allemaal.

Dit besef roept uiteraard nieuwe problemen op. Want 'met zijn allen' leidt ook tot een botsing tussen groepen met elk hun eigen belang: overheden, bedrijven en burgers. Die laatste twee zullen hun eigen positie op het web niet zomaar afstaan aan staten die uit angst voor cyberaanvallen het internet aan zich willen onderwerpen. Burgers en bedrijven verlangen in de weerbaarheid tegen dreigingen een eigen verantwoordelijkheid.

Met vrije toegang tot internet als uitgangspunt is er een filosofie denkbaar die de veiligheid in cyberspace¿ uitgaande van de genoemde belangen ¿ kan waarborgen. Aanknopingspunten daarvoor vinden we in de werkelijke wereld, op plaatsen waar het net als op internet stervensdruk is, waar criminaliteit en oproer op de loer liggen: in megasteden als Mumbai en Lagos. Besturen en leidinggeven zijn er een illusie. De miljoenen stedelingen zijn niet bekend of zomaar te controleren. De straten zitten barstensvol conflicten. Maar ook met economische mogelijkheden. Want wie zich in deze steden door angst laat leiden, ziet kansen over het hoofd.

In die megasteden pakken multinationals zelf de handschoen op ¿ zij kopen hun veiligheid en infrastructuur. Net als op het web. Ook daar voorzien bedrijven in hun eigen behoefte. Netwerkveiligheid kun je op de markt inkopen.

Slimme bestuurders in die metropolen doen aan 'community policing'. Hoe herwinnen zij controle over het publieke domein? Niet door zero tolerance, agenten hoeven niet bij elke overtreding mensen in de boeien te slaan of achter alle voordeuren te neuzen. Wel zorgen ze ervoor dat de politie voortdurend contact houdt met de gemeenschap. Door hun tentakels en strategische posities dwars door de stad kunnen deze agenten problemen voelen aankomen en zich erop voorbereiden. Door bijtijds versterking te vragen of toegangswegen af te sluiten om een probleem te isoleren.

Vertaald naar het internet zouden er wereldwijd gedragsregels voor het web moeten komen, inclusief een heldere taakverdeling tussen burgers, bedrijven en overheid. En een onderscheid tussen internationaal en landelijk ingrijpen.

Een groep van vijftien landen uit alle werelddelen, inclusief de permanente leden van de VN-Veiligheidsraad, hebben al een voorzichtige, eerste aanzet gegeven voor een lijst mondiale normen voor het web. Zij moeten zich richten op een snelle en flexibele isolatie van cyberdreigingen. Als de aanval uit alle richtingen kan komen, moet de verdediging daarop ingericht zijn. Die staat haaks op de Amerikaanse, centrale aanpak die nu school maakt: een lokale, losjes georganiseerde benadering die veel beter aansluit bij het karakter van internet, open en transparant.

Nu militairen, criminelen en terroristen zich tegelijkertijd op het web bevinden, ontstaat een botsing tussen het publieke (overheden) en private (bedrijven en burgers) domein. De vraag is wie tegen cyberdreigingen de leiding moet nemen?

De DigiNotar-zaak maakt de complexiteit inzichtelijk. Een Nederlands bedrijf, een hack door Iraniërs, risico's voor de Mossad en de CIA, schade voor Nederlandse burgers en privacyschendingen bij de grootste e-mail aanbieders wereldwijd. Maar hebben we er grip op? Sommige politiek leiders willen graag suggereren van wel. In hun ogen moet alleen de staat verantwoordelijkheid zijn voor onze veiligheid. PvdA-Kamerlid Heijnen kwam als eerste met deze schijnoplossing op de proppen. Maar zijn voorstel getuigt van een miskenning van de ontwikkelingen op en om het web en een schromelijke overschatting van de rol van de staat. Onze overheid dient zich juist te voegen naar een nieuwe realiteit, waarin ze onderdeel is van een oplossing, voorwaarden stelt en overleg organiseert, met als doel een aanpak van veiligheidsdreigingen mogelijk te maken. Een paniekerige greep naar macht en controle, zoals de PvdA voorstelt, is niet alleen schadelijk voor de ontwikkeling van een open internet, maar levert ook geen enkele bijdrage aan de veiligheid ervan.

Nogmaals, een radicaal andere bescherming van de veiligheid op internet is nodig: liberaler, verantwoordelijker, individualistischer. Een netwerk verdraagt niet teveel zwakke schakels. Het kabinet ziet dat in, getuige zijn eerste cybersecuritystrategie, 'Slagkracht door samenwerking'. Die pleit voor samenwerking met bedrijven en andere landen. Dat past bij het internet, een netwerk van computers zonder een centraal machtscentrum. Een netwerk ook dat niet door gerichte aanvallen van tegenstanders uitgeschakeld mag kunnen worden. Uw eigen computer is dus de eerste verdedigingslinie tegen hacks als die bij DigiNotar. Solistisch optreden van de overheid is daarbij te kostbaar en bovendien zinloos en schadelijk.

Gelukkig was een Iraanse internetgebruiker zo alert om in een webforum een opmerkelijke situatie rond een veiligheidscertificaat te melden. Dit berichtje bracht de hele kwestie met DigiNotar aan het rollen. En hoewel het Nederlandse bedrijf de fout eerder had moeten melden, is het precies dit type opmerkzaamheid van een individu dat grote problemen in de toekomst kan voorkomen.

Ons aller besef dat internetcontact kwetsbaar is kan ernstige ongelukken voorkomen. We vinden het normaal om goed op onszelf en op anderen te letten in het fysieke, gewone wereld, waarom dan niet in het virtuele domein? Het gaat daarbij niet om nieuwe software of 'firewalls', maar om een mentaliteit: opmerkzaamheid. Met een verdediging die daarvan gebruik maakt, wordt de kans dat we te grazen worden genomen buitengewoon klein.

Wouter van Cleef en Sebastiaan van der Lubben zijn beiden politicoloog en freelance journalist.

undefined

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2022 DPG Media B.V. - alle rechten voorbehouden