Alex Gibneys nieuwe docu gaat over ’s werelds meest destructieve virus: Stuxnet

Dit gesprek is onderdeel van onze nieuwe reeks Het Grote Interview. De komende maanden praten we met de mensen die werken aan grote ontwikkelingen die onze directe toekomst gaan bepalen. Deze week: de cyberaanval van Amerika en Israël op Iran met documentairemaker Alex Gibney

In 2009 veroorzaakte een klein beetje code op een USB-stick – waarvan we nu weten dat het Stuxnet heette – flinke fysieke schade op de uraniumcentrifuges van de Natanzinstallatie in Iran. Het doel was dat het Iraanse atoomprogramma daarmee tien jaar achter op schema kwam te lopen.

Het was niet de bedoeling dat het virus werd gevonden, maar een update om het virus krachtiger te maken, en een overhaaste aanval van Israël, zorgde er uiteindelijk voor dat het zich ging verspreiden. Onafhankelijke computerwetenschappers kwamen het virus in 2010 zomaar in het wild tegen en in 2012 werd de officiële naam van het Amerikaans-Israëlische programma – Olympic Games – bevestigd door anonieme bronnen van de New York Times.

"Ik wilde het verhaal van Olympic Games niet alleen graag vertellen omdat het een vet spionnenverhaal is," zegt Alex Gibney, de maker van de documentaire Zero Days tegen Motherboard. "Ik wilde ook benadrukken dat naties met elkaar in discussie moeten over hoe we cyberwapens willen gebruiken. Dat geldt vooral voor ons Amerikanen. Wij zijn als meest connected land ter wereld juisthet kwetsbaarste ."

We spraken Gibney, die bekend is van documentaires als Going Clear: Scientology and the Prison of Belief en Enron: The Smartest Guys in the Room, om van gedachten te wisselen over digitale oorlogsvoering.

Hoe kom je erbij om een film te maken over iets dat onzichtbaar is?

Producer Mark Shmuger benaderde me met het idee voor de film. Hij is ook een van de producenten van de film over Wikileaks, We Steal Secrets. Hij legde het voor als een spionnenverhaal en het leek me interessant, maar ik had van tevoren geen idee dat het zo moeilijk was om mensen aan het praten te krijgen of om alles precies in beeld te brengen. Het bleek van begin tot eind een uitdaging.

Hoe bepaal je precies hoe ver je gaat in het onderzoek?

Meestal bepalen hoe ver we gaan aan de hand van de gezichten van de mensen aan wie we de film laten zien. Soms is gedetailleerdheid goed, maar soms zie "what the fuck?" verschijnen in hun ogen. Dat is vaak het moment waarop mijn redacteur me aankijkt en zegt: "Gast, vergeet het maar." Ik denk dat er altijd een soort balans in moet zitten. Je moet namelijk blijven denken aan het verhaal dat je wil vertellen.

Hoe bereid je een interview zo voor dat je niet met een "geen commentaar" eindigt?

Tot op zekere hoogte blijf ik tijdens een interview een beetje om de hete brei heen draaien: ik vraag naar de achtergrond, een bepaalde plaats en soms dwaal ik expres een beetje af, in plaats van dat ik gelijk vraag: hoe is Stuxnet precies gebouwd en wie was er verantwoordelijk? Maar meestal komen we uiteindelijk wel tot deze vragen. In dit geval leidde het vaak tot bizarre reacties. Alsof iemand over de bom op Hiroshima zou zeggen: "welke bom heb je het over?" Het was bekend dat Stuxnet bestond, maar toch wilde niemand er enige reactie op geven. Ik vond dat erg interessant.

Hoe is het digitale personage die is gebaseerd op alle bronnen binnen de NSA ontstaan?

Dat kan ik niet precies zeggen, maar het heeft heel wat tijd gekost, waarbij langzaam maar zeker de bronnen steeds meer loslieten. Maar ik zorgde er ook voor dat hun identiteit geheim bleef.

De film lijkt te impliceren dat Stuxnet de eerste klap was en dat we nu in een tijdperk van cyberoorlog komen, terwijl wij vorige week nog iemand spraken die dit ontkende.

Ik denk dat we wel kunnen stellen dat, voor zover we weten, Stuxnet het eerste officiële cyberwapen is dat van de digitale wereld is overgestoken naar de echte wereld. Je weet uit het verhaal dat Iran niet eens wist dat zoiets mogelijk was. Hun technici dachten dat ze het compleet verneukt hadden. Toen ze zich realiseerden dat ze waren geraakt door een wapen begonnen ze pas met de ontwikkeling van een cyberprogramma.

De Chinezen en Russen begonnen hier natuurlijk mee te spelen. De Stuxnetcode gaf iedereen een soort aangrijpingspunt om een cyberoorlog te starten. Ik wil niet zeggen dat de Iraniërs al die kerncentrifuges op de Natanzinstallatie voor een goed doel wilden gebruiken, maar ik denk gewoon niet dat hun programma zo snel was geëscaleerd zonder deze aanval. Het is kenmerkend voor het handelen van de CIA: er wordt een snelle oplossing gezocht die uiteindelijk een nog groter probleem veroorzaakt .

**Als de *Israëliërs Stuxnet niet hadden opgevoerd, zou de aanval dan*** *nooit aan het licht zijn gekomen?*

We weten dat de versie die in het wild ontdekt werd niet de versie was die de centrifuges heeft opgeblazen. De missie was dus al geslaagd. Maar de Israëliërs waren uit op nog meer vernietiging. Zij pasten de code toen aan om het vervolgens weer terug te sturen. Maar de code verspeidde zich heel venijnig, en zo kwam het over de hele wereld terecht. Er zat gewoon een fout in de code waardoor er computers uitgeschakeld werden.

Kreeg je uit de interviews met de Israëliërs en de Amerikanen een idee hoe het probleem van Stuxnet invloed heeft gehad op de relatie tussen Netanyahu en Obama?

De oorsprong van Stuxnet ligt nog in de tijd van Bush. Obama heeft het plan toen nog een beetje opgevoerd. Ik denk dat het wel van invloed is geweest. Ik denk dat er meerdere problemen speelden tussen Netanyahu en Obama, maar Stuxnet was er zeker een van. Ik denk dat Obama van Bush het doel hadden om met Stuxnet Iran aan te vallen, maar eerder om te voorkomen dat Israël een bom op de nucleaire installatie in Iran zou gooien.

Hoe heeft dit effect gehad op de deal met Iran? Aan de ene kant zou je kunnen denken dat het de onderhandelingspositie van de Amerikanen heeft verslechterd, maar jouw bron zegt het tegenovergestelde.

De bronnen waren verheugd over het feit dat ze een deal hadden gemaakt. Dit is intuïtie. Ik kan niks bewijzen, maar ik denk dat Obama met Nitro Zeus, wat een veel krachtiger programma is [dan Stuxnet], wist dat hij nog een optie achter de hand had voor het geval dat de deal met Iran zou mislukken. Dus je zou ook kunnen denken dat, terwijl Obama werd bekritiseerd om zijn slappe onderhandelingen in de deal, ondertussen wist: 'Als ze vals spelen, hebben wij een wapen dat het hen wel heel moeilijk gaat maken.'

Zouden deze wapens net zo gevaarlijk kunnen zijn als kernwapens?

Vanuit een moreel perspectief denk ik dat we ze extreem serieus moeten nemen. Dat is het punt dat ik wil maken in de film. Ook al zijn de wapens misschien nog in een relatief vroege fase van ontwikkeling, ze kunnen wel een hele infrastructuur uitschakelen. Daar moeten we nu juist naar kijken. Dat is ook de reden dat een aantal bronnen naar voren kwamen, omdat ze overtuigd zijn dat veel mensen bij het Amerikaanse Cyber Command niet echt beseffen wat voor schade deze wapens kunnen aanrichten.

Wanneer je gericht systemen uitschakelt, zal je een kernoorlog kunnen voorkomen. Maar nog steeds kunnen de wapens erg schadelijk zijn. Veel installaties zijn nooit gemaakt met het idee dat ze ook gehackt kunnen worden. Het werd gewoon schouderophalend gedaan. Zo van: 'Oké, we hebben een energiecentrale, laten we het ook verbinden met het internet, want dat maakt het allemaal wat makkelijker.' Allemaal zonder na te denken over wat voor probleem dit twintig jaar later zou kunnen veroorzaken. Dat is problematisch.

Ik denk dat het morele probleem heel groot is. Anders dan bij kernwapens, bestaat er geen verdrag voor gebruik. En omdat het moeilijk is om te achterhalen wie verantwoordelijk is voor een aanval, kan het ook nog eens geheim worden gehouden. Bedenk eens hoe lang we hebben gediscussieerd over de aanval op Sony; of dat nou wel of niet Noord-Korea was. Nu zijn er ondertussen veel meer aanvallen geweest, door Rusland op Oekraïne bijvoorbeeld.

Denk je dat er ook iets positiefs in zit? Als oorlogen uiteindelijk digitaal worden uitgevochten, zal het dan minder bloederig kunnen zijn?

Ik denk dat dat wel kan. En dat is ook wat veel militairen denken. Drones, bijvoorbeeld. Wanneer die niet op een domme, (juridisch) onhandige manier worden ingezet, zijn die met veel meer precisie te gebruiken dan de bommen die door de B52s werden gegooid op Vietnam.

Maar ik denk dat het gevaar met Stuxnet niet in de code zit, maar in de schade die het kan veroorzaken in de echte wereld. Daarbij draagt de interconnectiviteit van ons allemaal bij aan de kwetsbaarheid. Als al die netwerksystemen tegelijk uitgeschakeld worden, dan zou dat heel gevaarlijk kunnen worden. Misschien is het echte gevaar juist dat het allemaal zo onschuldig lijkt, maar dat helemaal niet is.

Ben je na het maken van deze film paranoïde geworden?

Ik was al paranoïde, en dat is nu nog erger. Een van de dingen die ik heb geleerd over cyberwapens is de toenemende verfijning. David Sanger zei onlangs dat een van de wapens die wij gebruiken tegen ISIS – overigens is het voor het eerst dat zoiets door de VS openbaar is gemaakt – technologie inzet die de boodschap in een e-mail kan veranderen. Stel je voor dat je iemand 'ik hou van je' stuurt, en dat komt aan als 'ik haat je en ik ga je vermoorden'. Dat is echt heel eng.

Lees hier meer gesprekken uit onze reeks Het Grote Interview.