cyberoorlog

We stelden een paar domme vragen aan een slimme cyberwar-expert

Eerder werden er al Russische hackers gearresteerd in Den Haag, en volgens Defensie zitten we nu middenin een cyberoorlog. Wat is er in godsnaam aan de hand?
17.10.18
Cyberaanval

Minister Bijleveld van Defensie zei in WNL op Zondag dat ons land in cyberoorlog is met Rusland, en dat het "echt gevaarlijk" is.

Ze deed die uitspraak onder andere omdat er in april vier Russische militaire agenten gepakt werden tijdens het hacken van het wifi-netwerk van de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag. Het was niet de eerste keer dat Russische hackers een ander land aanvielen. Zo spioneren de Russen ook om data te verzamelen waarmee ze verkiezingen kunnen beïnvloeden, bijvoorbeeld door nepnieuws te verspreiden. Dat deden ze bij de Amerikaanse presidentsverkiezingen in 2016 – en we weten allemaal hoe dat afliep.

Advertentie

Later liet een woordvoerder van de minister weten dat we het woord cyberoorlog helemaal "niet letterlijk" moeten opvatten. Dit klinkt allemaal ontzettend abstract, als je het mij vraagt. Moeten we ons zorgen maken? Stel dat het wel uitloopt op een cyberoorlog, hoe voer je die dan? En zijn deze hackers een soort ambtenaren in pak, of eerder bleke tieners die op hun zolderkamer in Sint-Petersburg codes zitten te typen?

Ik legde deze en andere vragen voor aan cyberveiligheidsdeskundige Marietje Schaake, die zich als Euro-parlementariër (D66) inzet voor transparantie, vrijheid en gelijkheid in cyberspace, en die alles weet over cyberaanvallen.

VICE: Hoi Marietje, als ik aan cyberaanvallen denk, dan denk ik aan een stelletje pubers die in veel te grote sweatshirts en met een blikje redbull voor de gein netwerken van de overheid aan het saboteren zijn. Klopt dat beeld?
Marietje Schaake: Het ligt iets ingewikkelder. Cyberaanvallen betekent het gericht proberen uit te schakelen of infiltreren van digitale systemen, met het doel te ondermijnen of schade te veroorzaken. Hoe groot de schade is, hangt af van hoe sterk de aanvallers zijn. Een voorbeeld van een cyberaanval is het platleggen van een elektriciteitsnetwerk van een ziekenhuis, zodat het werk niet meer kan worden gedaan. De democratie kan bijvoorbeeld worden aangevallen door uitslagen van verkiezingen ongezien digitaal te manipuleren.

Advertentie

De uitspraak van Minister Bijleveld werd door andere politici genuanceerd. SP-Kamerlid Sadet Karabulut noemde het zelfs "een beetje dom” wat Bijleveld heeft gezegd. Wat is het nu, mogen we wel of niet cyberoorlog zeggen?
Ik denk dat het woord conflict hier goed past. In Nederland en Europa hebben we met allerlei aanvallen te maken. Uit Rusland, maar ook uit Iran en China. Daarnaast zijn er ook cyberaanvallen die niet door een staat gepleegd worden, maar door bewegingen of groeperingen. Op het moment dat een minister van oorlog spreekt, dient de vraag zich aan hoe zulke aanvallen afgewend kunnen worden. Bij cyberconflicten zijn daar nog geen heldere normen over, zoals bijvoorbeeld wel het geval is in de Geneefse Conventie over oorlog, die bepaalt wat er wel en niet toegestaan is tijdens een gewapend conflict.

Als landen bommen op elkaar droppen en soldaten op elkaar afsturen, hebben we het al snel over een oorlog. Da’s duidelijk. Maar hoe zit dat als landen hackers op elkaar afsturen?
Er bestaan nog geen criteria die bepalen wanneer er sprake is van een cyberoorlog, al wordt daar wel aan gewerkt, zowel door de NAVO als de EU. Zelf werk ik als lid van de Global Commission on the Stability of Cyberspace aan het formuleren van normen. Die normen moeten leiden tot afspraken tussen staten, maar ook bedrijven, over hoe ze zich moeten gedragen ten tijde van vrede: bijvoorbeeld dat de technische infrastructuur die het open internet mogelijk maakt, of de technologie achter de verkiezingsinfrastructuur en financiële diensten, niet aangevallen mogen worden.

Advertentie

Verzamelen de hackers vooral data die ze kunnen gebruiken, bijvoorbeeld om verkiezingen te manipuleren, of worden er online ook echt dingen gesloopt?
Het blijft niet bij data verzamelen. Zo weten we dat in Oekraïne het energienetwerk werd aangevallen midden in de winter van 2015. Hackers drongen informatiesystemen van drie energiedistributiebedrijven in Oekraïne binnen en verstoorden de elektriciteitsvoorziening. Zo’n 230.000 mensen zaten een paar uur zonder elektriciteit in een land dat heel koude winters kent.

Wow, dat is creepy, ook omdat we nog niet weten wie er toen aanviel en waarom. Vergeleken bij deze professionele actie lijken de Russen die in Den Haag het wifi-netwerk van de OPCW probeerden te hacken een stelletje amateurs. Waarom waren zij eigenlijk in Den Haag? Is het hele punt van hacken niet dat je dat in cyperspace doet?
De reis van de Russen naar Nederland om de OPCW te hacken komt inderdaad nogal knullig over. Mogelijk hoopten ze via een draadloos netwerk de Organisatie voor het Verbod op Chemische Wapens binnen te komen. Hackers zoeken een kleine maas in het net. Dat kan op afstand door kwetsbaarheden in software te zoeken, maar soms gaan hackers ook ter plekke, om via hardware - denk bijvoorbeeld aan een geïnfecteerde memory stick - of menselijke blunders - denk bijvoorbeeld aan een een e-mail met een virus die iemand opent - een weg naar binnen te vinden.

Waarom moeten we ons nog meer zorgen maken om Rusland?
Rusland mengt zich op verschillende manieren in onze samenleving. Dat gebeurt dus via cyberaanvallen, maar ook door het verspreiden van desinformatie (bijvoorbeeld over de toedracht van de MH17-ramp, nvdr.), het steunen van nationalistische politieke partijen en bewegingen, en het zaaien van wantrouwen over de liberale democratie.

Nederland heeft al eigen cybersoldaten: het Defensie Cyber Commando. Klinkt sick, maar hoe kunnen we ons nou op zo’n cyberoorlog voorbereiden?
We moeten ten eerste proberen veilige en goed beveiligde digitale systemen te bouwen, en mensen er goed mee leren omgaan, zodat er minder kansen zijn om te hacken. Ook kunnen we minimumstandaarden vastleggen voor slimme apparaten. Hard- en software uit andere delen van de wereld moeten gecontroleerd worden op achterdeuren. Nederland moet ook duidelijke afspraken maken met andere landen en bedrijven, bijvoorbeeld over hoe om te gaan met kwetsbaarheden in software.

Bedankt, Marietje!

Als je op de hoogte wil blijven van onze beste stukken zonder je suf te scrollen, schrijf je dan in voor onze wekelijkse nieuwsbrief: http://bit.ly/vicenieuwsbrief