Ik was in Soesterberg getuige van de grootste militaire cyberoefening ter wereld

De bus rijdt door een bos over de rijksstraatweg tussen Utrecht en Amersfoort. “Het was vroeger de belangrijkste weg van Utrecht naar het Oosten,” zegt een oudere Gandalf-achtige man die naast me zit en pas zijn moeder naar een flatje in Soesterberg heeft verhuisd: “De weg der wegen.”

Het Ministerie voor Defensie heeft mij uitgenodigd ‘de grootste internationale cyberexercitie ter wereld’ bij te wonen. Locked Shields heet het. De oefening wordt aangestuurd vanuit Estland, de e-grootmacht waar burgers een digitaal paspoort hebben, en de president totale datatransparantie predikte – alles en iedereen moet zichtbaar zijn in Estland; en verbonden. Het is de uitvergrote versie van de genetwerkte wereld waar privacyvoorvechters als het Nederlandse Bits of Freedom tegen strijden.

Aan de oefening vandaag doen in totaal twintig Europese (bi-)nationale teams mee. De meeste teams opereren in hun eigen land; Nederland wordt vertegenwoordigd door een constellatie van het Computer Emergency Response Team (DefCERT), technerds uit de private sector en een paar beleidsmakers in Den Haag.

Het doel van deze jaarlijkse oefening is om nationale Rapid Response Teams (RRT’s) de mogelijkheid te geven op een grootschalige cyberaanval te reageren. Net als met een gewone legeroefening is er een veilige trainingsomgeving waar wordt gestreden. Enter Berylia, een fictief land dat zijn digitale defensie totaal niet op orde heeft.

De missie is om vitale infrastructuur (denk aan waterwegen, elektriciteitsnet) van Berylia veilig te stellen voor een enorme golf cyberaanvallen die door het hackteam uit Estland (team rood) gedurende 17 uur over het land wordt uitgestort.

“De situatie is realistisch,” zegt mijn contactpersoon van DefCERT [niemand mag bij naam genoemd worden, red]. “Maar ook weer niet helemaal. We verdedigen een land zonder updates. In het echt zijn er eigenlijk geen landen met zo’n slechte digitale verdediging. En wat er aan aanvallen over het land wordt uitgestort, is eigenlijk wat je normaal in een jaar ziet.” Het is, kortom, een snelkookpan voor de nationale cyberdefensie en “alle situaties zijn denkbaar.”

Elk land heeft sinds begin dit jaar een paar maanden voorbereidingstijd gekregen om de digitale verdediging van alle vitale systemen in het fictionele land dicht te timmeren. Dat is een enorm werk. Je moet denken aan energie- en watersystemen (dammen, dijken, sluizen), 4G-netwerken, drone-operaties en militaire basissen. Al deze systemen zijn net als in de echte wereld kwetsbaar voor een aanval, simpelweg om het feit dat ze aan het internet zijn verbonden. Het internet is een plek waar je leuk informatie kunt opzoeken, maar onbeschermd is het ook een open zenuw en bovendien een gigantisch veiligheidsrisico.

De kans dat een cyberaanval tot maatschappelijke ontwrichting leidt is de komende vijf jaar zelfs zo groot, dat het Global Risks Report 2018 van het World Economic Forum het op plaats twee van grootste risico’s zet, net na grootschalige natuurrampen.

Het is niet voor niets dat landen steeds meer investeren in hun digitale veiligheid. Het rapport noemt onder andere de recente Wannacry-aanval die 300.000 computers wereldwijd infecteerde, en infrastructuur over de hele wereld platlegde. Maar het kan nog veel erger.

Sinds de Verenigde Staten en Israël in 2010 een Iraanse nucleaire installatie saboteerden, en Rusland in december 2015 een deel van het energienetwerk van Oekraïne platlegde, is de dreiging dat een ‘vijandige entiteit’ – een natie, een zolderhacker of een groep huurling-hackers – de vitale infrastructuur in een land aanvalt een reëel risico waar overheden rekening mee moeten houden. Locked Shields is een poging om zo’n potentiële aanval in elk geval snel in te dammen. Daarvoor moet iedereen precies weten wat hij moet doen.

“Wat doe je als ergens een drone op een groep kinderen valt,” zegt een van de netwerkmonitoren – de mensen in de gaten houden of er geen vreemdelingen in ons nationale het netwerk zitten. “Wat als iemand de watervoorziening hackt, waardoor het drinkwater niet meer veilig is, en hoe moet je daar op reageren?”

Een echt antwoord krijg ik niet – dat ligt voor een deel “bij beleidsmakers”, zegt de techneut, die zelf niet over strategische beslissingen gaat. De commandant vertelt me dat deze oefening “puur technisch” is. Het gaat erom dat de deelnemers technisch in staat zijn in zeer korte tijd een land met een totaal onbeveiligde infrastructuur te beveiligen voor aanvallen. De pak ‘m beet dertig mannen (en drie vrouwen) die hier in de ruimte bezweet aan het werk zijn, krijgen van het hackteam in Estland aanval na aanval over zich heen. Elk van de participerende twintig landen hebben een vergelijkbaar RRT met dezelfde opdracht. Het land dat na deze periode de meeste aanvallen kan verhinderen, dat wint.

Ik zou nog heel diep in kunnen gaan op wat er technisch allemaal nodig is om een land veilig te houden, maar dat hoeft niet. Er is volgens iedereen die ik spreek namelijk maar één veiligheidsriscio het allergrootste, en dat zijn mensen die updates niet installeren.

“Die mensen noemen we blondies,” zegt een mannelijke computermilitair “Wat bedoel je precies met blondies?” vraag ik “Van domme blondjes bedoel je?”

“Ohhh, nee dat weet ik niet hoor,” zegt hij lachend.

Hij heeft het over de mensen die zich van geen kwaad bewust zijn, of willen zijn. De mens die geen zin heeft om de hele dag paranoïde door het leven te gaan omdat alle techniek om hem heen zich in principe als digitaal wapen tegen hem kan keren. Wat doe je om de “blondies” bewust te maken van internetveiligheid? Daar heeft mijn computerkrijger geen antwoord op.

Het is de hamvraag die de dag samenvat: er zijn een paar mensen die Nederland veilig willen houden, en veel komt vandaag samen in het kleine controlekamertje. Dat voelt veilig, want het is overzichtelijk – alle vitale infrastructuur op één scherm – maar het is ook eng. Van de 17 miljoen Nederlanders, is er maar een extreem kleine minderheid die ook maar enige moeite doet om het aanvallers moeilijk te maken. Het internet anno 2018 is een open zenuw.

En check de hele rest van de week onze in Vijf minuten Veilig-pagina waar je heel makkelijk het internet en je persoonlijke data iets veiliger kunt maken.

Volg Motherboard op Facebook en Twitter.