Het gesprek over digitale veiligheid stikt van de ouderwetse analogieën. En dat is begrijpelijk, want het is een complex, veranderlijk veld. Maar nu hackingtools ons dagelijks leven inbloeden en vormen door verhalen over digitale aanvallen, digitale misdaad en politiek manipulatie, valt vooral één analogie op: de vergelijking met fysieke wapens, strijd en aanval.Het beeld dat exploits te vergelijken zijn met digitale raketten is gemakkelijk te begrijpen, en werkt goed op de onderbuik, maar door het te gebruiken in zoveel verschillende contexten, wordt het gesprek erover totaal onduidelijk.
Advertentie
"De vergelijking van exploits met militaire wapensystemen door er een idiote 'cyber'- voor te plakken is intellectueel lui, en bovendien is het misleidend," zegt Thomas Rid, professor internetveiligheid aan het King's College in Londen, tegen Motherboard in een e-mail.In een recent artikel vergeleek de New York Times NotPetya, de ransomware die eind juni overal ter wereld toesloeg, met een raketaanval op Amerika."Het is alsof de luchtmacht een paar wapens is kwijtgeraakt aan een vijand die de raketten vervolgens zelf op onze bondgenoten afvuurt, en vervolgens ontkent dat de wapens voor Amerikaans gebruik waren bedoeld," schrijft de auteur van het New York Times-artikel – NotPetya is een exploit die waarschijnlijk is gestolen van de NSA.Maar de analogie houdt geen stand. De NSA heeft Microsoft ingelicht over het gevaar en het bedrijf kon het veiligheidslek snel dichten. Dat kan met gewone wapens niet. Het is niet alsof je van een afstandje raketten kunt uitschakelen als je merkt dat ze gestolen zijn – of als het al kan, dan bij hoge uitzondering. Het punt is dat de analogie tegen die tijd al veel te rommelig is om nog iets uit te leggen.Exploits verschillen van wapens. Kwetsbaarheden in software kunnen opgelost worden. Exploits zijn niet geografisch gebonden en kunnen in een microseconde worden verstuurd van de ene persoon naar de andere. En iedereen met een digitaal apparaat loopt risico. Niet alleen militaire doelwitten of strijders in een afgelegen strijdtoneel.Het is alsof we de auto een paardloze koets noemen.
Advertentie
Er zijn wel hackingtools die we 'cyberwapens' mogen, of zelfs moeten noemen. Een voorbeeld is de Stuxnet-malware waarmee het Amerikaanse en Israëlische leger de Iraanse nucleaire centrifuges jarenlang ontregelden. Maar Stuxnet is specifiek ontworpen om fysieke schade aan te richten aan infrastructuur. De overeenkomsten met een gewoon wapen zijn veel groter. Toch is zelfs de vergelijking van een cyberwapen met een gewoon wapen niet zinvol."Simplistische krijgs-analogieën zijn aantrekkelijk omdat het een abstract gegeven tastbaar maakt, maar ze zijn vooral aantrekkelijk voor amateurs, en ze stoten professionals af," zegt Rid. Het is alsof je het publieke gesprek filtert van alle echte kenners door in alle gevallen het hyperbolische 'aanval' of 'wapen' te gebruiken.Het is alsof we de auto een 'paardloze koets' noemen, net als aan het begin van de 20ste eeuw. Beleidsmakers door de verkeerde beeldvorming geneigd grove inschattingsfouten te maken, of ze schallen idiote "cyberisms" in het rond zonder echt kennis van zaken te hebben. Robert Work, een hooggeplaatste militair in het ministerie van defensie van VS, zei vorig jaar dat ze "cyberbommen" op ISIS gooiden. Dit is ronduit stupide.Bovendien raakt de discussie over de inzet van exploits hierdoor totaal verstoort. Overheden kunnen niet goed bepalen of een exploit ingezet moet worden voor een missie, of als afschrikmiddel, als de discussie zo zwaar wordt overheerst door het beeld van exploit als cyberwapen of cyberbom.Laten we exploits behandelen als iets dat op zich staat, met eigen woorden, eigenaardigheden en eigenschappen. Alleen zo kunnen we haar unieke impact op de wereld weergeven en verduidelijken. We leven in een tijd waarin alles te maken heeft met digitale veiligheid, en journalisten, beleidsmakers, en eerlijk gezegd ook alle burgers, moeten leren te praten over dit onderwerp zonder te vervallen in prehistorisch taalgebruik dat verwijst naar dingen uit het verleden.Robert Work, een hooggeplaatste militair in het ministerie van defensie van VS, zei vorig jaar dat ze cyberbommen op ISIS gooiden. Dit is ronduit stupide.