Wanneer is een hack een “oorlogsdaad”?

In gesprek met hoogleraar en brigade-generaal prof. dr. Paul Ducheine, een van de hoogste autoriteiten op het gebied van cyber warfare in Nederland.

|
sep. 6 2016, 11:00am

Artikel aangepast op 15 oktober 2018

Op de vraag of Nederland in een "cyberoorlog" met de Russen is verwikkeld, zei minister Ank Bijleveld afgelopen weekend in het televisieprogramma ‘WNL op Zondag’: "Ja, dat is wel zo ja." Maar na "beroering" moest ze die opmerking na een paar uur alweer nuanceren. Het is voor maar weinig mensen duidelijk wanneer een hack een oorlogsdaad is. We vroegen het op 9 september 2016 aan prof. dr. Paul Ducheine.

Op het internet is een wereldwijde wapenwedloop gaande. China, Rusland, Israël en de VS hebben al cyberlegers van duizenden of zelfs tienduizenden manschappen paraat. Over en weer worden nucleaire installaties aangevallen, elektriciteitsnetwerken uitgeschakeld en zijn er technologieën ontwikkeld die de complete infrastructuur van een land plat kunnen leggen. Om niet achter te blijven, richtte Nederland vorig jaar een eigen Defensie Cyber Commando op.

Lees hier ook onze reportage over het Nederlandse Cyberleger met kolonel Hans Folmer

Het is een nieuwe afdeling van Defensie – de vijfde tak, naast land, zee, lucht en de ruimte – die door het Nederlandse kabinet ingezet kan worden om cyberaanvallen uit te voeren op een ander land. Eind dit jaar wordt de afdeling operationeel. Nederland is dan eindelijk klaar om te participeren in wat media vaak de "internationale cyberoorlog" noemen.

5shkcixU0e8NQcF4jrz8cjjQwvyU6M3iZKn1YXzYd8buxzYoxxekOQYRXfZjPMWXssN0kEn8kNv9k3GQb5K8wllOHO-hG2yS77bURWF0jZg8ue98h5RMywRorr6I1of_oh3TlAeR

Screenshot van NOS.nl.

Cybercriminelen, terroristen, spionnen, hacktivisten, hackende pubers en militaire cybereenheden voeren duizenden hacks per dag uit, maar lang niet elke hack is een militaire aanval. En wat in de media een cyberoolog wordt genoemd, lijkt eerder de nieuwe norm – een nieuwe status quo. Op het internet verwatert de grens tussen oorlog en normale internationale verhoudingen, en dat is zorgwekkend.

Ik besprak dit onderwerp, en meer, met hoogleraar en brigade-generaal prof. dr. Paul Ducheine, in het kort: De Cybergeneraal. Hij is een van de hoogste autoriteiten op het gebied van cyber warfare, en hij is met name gespecialiseerd in het oorlogsrecht in cyberspace.

Wat ik mij afvraag is of de wetten van het oorlogsrecht nog wel gelden op het internet. En hoe. De ontwikkeling en de inzet van deze militaire hacks gebeurt zeer clandestien. Er is nauwelijks openbaar toezicht en de aanvalspotentie van cyberlegers neemt elk jaar exponentieel toe. Is dit niet wachten op een actie waarvan de (onvoorziene) gevolgen zo verstrekkend zijn dat een land niet anders kan dan de oorlog verklaren? Ik vroeg de Cybergeneraal hoe hij dit ziet.

U zei laatst dat het internet niet het wilde westen is van de krijgsmacht. Maar Rusland, de VS en China hacken elkaar bij de vleet. Een hacker van de NSA beschrijft in de documentaire Zero-Days de situatie als: "Iedereen kijkt hoe ver hij kan gaan."

Een leek noemt elke hack een aanval, maar er zijn verschillende motieven voor een digitale handeling. Slechts een zeer klein deel daarvan is een aanval.

d0KcK7Y4QEeM4JGlzndZ2F_VBPnLvOaBlBhWXz9FIqZLbFhibA20FJeNbVEmpIlJXO9XXQEixqeSM_pbDIGJKuXVdavcNhbsvVxkSszmxrYeTfiZDlahNnFC5RVdIER8vTFmRf-5

Bron: Militaire Spectator

In deze tabel zie je de verschillende vormen van digitale dreiging. Aan de linkerkant van de tabel zie je interne miskleunen: iemand vergeet een usb stick in een restaurant of laat ergens een cd slingeren. Dan is er criminaliteit. Dan spionage. Dan sabotage. En uiteindelijk, helemaal op rechts cyber warfare. De handeling 'hacken' is neutraal. Het motief maakt of we zo'n handeling een beschermingsmaatregel, rechtshandhaving, het verzamelen van inlichtingen of een oorlogsdaad noemen.

Hoe definieert u een cyberoorlogsdaad dan?

Wat denk jij dat het is?

Ik denk dat een digitale oorlogsdaad bewust gericht is tegen een ander land, fysieke schade beoogt en een vergelijkbaar doel heeft als een militaire operatie. Stuxnet zie ik bijvoorbeeld als een oorlogsdaad.

Sun Tzu zegt dat de ultieme vorm van oorlogvoering is als je niet hoeft te vechten en toch de vijand verslaat. Oorlog is een fenomeen dat een vrij helder beeld oproept, maar dat beeld raakt verstoord met de komst van nieuwe technieken. Wat mij betreft is oorlog gewapende strijd: een treffen waarin fysiek geweld de hoofdrol speelt. Een cyberoorlog is volgens mij niets anders dan een oorlog waarbij cybercapaciteiten ingezet worden om die fysieke strijd aan te vullen.

[In de loop van 2010 en 2011 kwam aan het licht dat Amerika en Israël door middel van een cyberaanval de Iraanse nucleaire opwerkingscentrale in Natanz hadden ontregeld. Het virus werd ontdekt toen het uit de hand gelopen virus Windows-computers over de hele wereld begon te besmetten. Tot op de dag van vandaag ontkennen beiden landen stug elke betrokkenheid, Red.] Video: van Hungry Beast

Dus cyber is er ter ondersteuning van de strijdkrachten?

Ja, we vinden nu dat het ondersteunend is. Maar je moet er niet raar van staan te kijken als de rollen straks omgedraaid zijn. Dat is soms al het geval.

Waar denkt u aan?

ISIS. De fysieke activiteit staat vaak in dienst van het beeld van macht en overdreven rijkdom dat ze over proberen te dragen.

"Je zou dus Stuxnet als een oorlogsdaad kunnen zien, maar dan behoor je wel tot een minderheid."

Wat ik interessant vind aan Stuxnet is dat de hack in plaats van een bombardement werd uitgevoerd. Cyber was geen ondersteuning van de bom; het was honderd procent een vervanger van de bom.

Er wordt wel vaak gezegd dat dit de eerste digitale oorlogsdaad zou zijn, maar deze daad is niet uitgevoerd met het doel een oorlog te ontketenen. Volgens de lezing van David Sanger [van The New York Times, red.] was dat om te voorkomen dat Israël, net zoals met Operatie Opera en het bombardement van een nucleaire installatie in Irak in 1981, Natanz zou bombarderen. Het doel was om de Iraanse nucleaire centrifuges te ontregelen.

Thomas Rid [auteur van Cyber war will not take place, red.] betoogt vrij goed onderbouwd dat dit sabotage is, en geen oorlogsdaad. Staten saboteren elkaar. Staten zijn voortdurend met elkaar in conflict. Ze hebben tegengestelde belangen, maar dat is niet altijd gelijk aan oorlog. De grens is flinterdun. In The Talinn Papers [het belangrijkste handboek over cyberoorlog, red.] zijn experts het niet met elkaar eens. Een minderheid vindt Stuxnet een nieuwe vorm van oorlogvoering. Je zou dus Stuxnet als een oorlogsdaad kunnen zien, maar dan behoor je wel tot een minderheid.

Oké, Stuxnet is dus sabotage, maar het heeft wel hetzelfde effect als een oorlogsdaad, en dezelfde dreiging als een oorlogsdaad; en dat allemaal ook nog eens ongezien. Dat moet de droom van iedere militair zijn.

Ja, maar ook digitaal moet je je houden aan het oorlogsrecht. Je kunt niet zomaar alles aanvallen. Het oorlogsrecht is zo algemeen geformuleerd dat ook de nieuwe technologieën daaronder vallen. En er zijn regels waar ik mij als militair bevelhebber aan moet houden: het doelwit moet militair zijn, ik moet checken of er nevenschade ontstaat, ik moet voorzorgsmaatregelen treffen om die te beperken en ik blijf verantwoordelijk voor de gevolgen van de actie.

Dat de andere partij niet weet waar de aanval vandaan komt, dat maakt niet uit. Dat is ook geen oorlogsrechtelijk probleem. Want in oorlog gebeuren heel vaak dingen waarvan de dader niet bekend is.

Het is wel een wezenlijk probleem. Als de dader onbekend is dan valt er weinig te berechten. Hoe zorg je ervoor dat de regels worden nageleefd? Hoe zorg je ervoor dat het niet "het wilde westen" wordt. Het is toch vrij zeker dat Amerika en Israël achter de Stuxnet-aanval op Natanz zitten. Ze hebben zich niet gehouden aan de regels, maar ze zijn ook niet aansprakelijk.

Het is nog maar de vraag of ze zich niet aan de regels hebben gehouden. Veiligheidsdiensten, ook die in Nederland, betreden het speelveld pas als de Nederlandse overheid daar opdracht toe geeft. In Amerika gelden andere, maar vergelijkbare, regels. Er is een moment dat iemand van de burgerregering de actie goedkeurt. Een wetgever heeft bepaald dat dit de beste methode is, en een rechter toetst dat. Daar kun je wat van vinden, maar het is een overzichtelijk democratisch proces.

Het proces is overzichtelijk, maar de gang van zaken is weinig inzichtelijk. Waar ligt de grens tussen sabotage en cyberoorlog. En wie bepaalt dat?

Dat is ingewikkelder. Het kantelpunt ligt op wat wij een "gewapende aanval" noemen. Een gewapende aanval is vergelijkbaar met 9/11 of Operatie Orchard [een door Israël uitgevoerd bombardement op een nucleaire installatie in Syrië die gepaard ging met een cyberaanval, red.]. Het gaat om militair geweld, die grensoverschrijdend wordt aangewend en een zeker omvang en effect heeft.

Nogmaals: "iedereen kijkt hoe ver ze kunnen gaan," zoals die medewerker van de NSA zei.

Dat komt voor zijn rekening. Stel je voor dat ik een brug geen militair doel vind, maar een collega wel. Tot een rechter definitief uitsluitsel geeft over de zaak, moet het leger zelf bepalen hoe ze het oorlogsrecht het beste kunnen toepassen.

Als iemand een overtreding begaat, zijn misschien negen van de tien scheidsrechters het met elkaar eens dat er een overtreding begaan is. Hetzelfde geldt voor het oorlogsrecht. Een tank is duidelijk een oorlogsdoel. Een brug niet. De vraag is dus wanneer je die mag uitschakelen? Heeft de brug enkel de functie om burgers over de rivier te helpen, of lopen er communicatielijnen doorheen? Dit zijn kwesties waar niet altijd unanieme overeenstemming over is.

Is het oorlogsrecht in de afgelopen tien jaar digitaal overtreden?

We weten van maar een paar digitale operaties af. Een voorbeeld is Operatie Orchard. Israëlische gevechtstoestellen vernietigden in 2007 een nucleaire installatie in Syrië. Dat gebeurde nadat de Syrische luchtverdediging was lamgelegd met een cyberaanval. Israël heeft de cyberaanval overigens nooit erkend. En Syrië heeft het voor zover ik weet niet gemeld bij de VN.

Twee maanden geleden zei de minister van defensie van de VS voor het eerst in de geschiedenis dat hij Cyber Command een wartime assignment heeft gegeven. Dit zou de eerste keer zijn dat het oorlogsrecht op digitale activiteiten van de VS van toepassing is geweest.

Ik heb tot op heden nog niet gehoord wat ze hebben aangevallen, dus ik kan je niet vertellen of daar misinterpretaties van het oorlogsrecht zijn geweest, maar ik denk het niet. Ik gok dat ze militaire communicatiesystemen digitaal ontregeld hebben. Daar lijkt me niks mis mee.

Heeft u het gevoel dat iedereen zich aan het oorlogsrecht houdt?

Ik heb de indruk dat iedereen die in een democratische rechtsstaat opereert zich aan het oorlogsrecht houdt. En niet alleen aan het oorlogsrecht, maar ook aan het staatsrecht, en aan het strafrecht. Ik weet ook dat er altijd overtredingen zijn. Maar dat betekent niet dat het recht niet bestaat. Als je te hard rijdt op de snelweg, betekent dat dan dat er geen regels zijn?

Nee, maar..

Het oorlogsrecht gaat ook over het handhaven van dat oorlogsrecht.

Als de dader niet zichtbaar is, hoe kun je het recht dan handhaven?

In een gewapend conflict is meestal vrij helder wie er vechten. Zelfs in een uiterst onoverzichtelijk conflict zoals Syrië, is het toch vrij helder wie verantwoordelijk is voor welke actie. In digitale strijd is dat ook het geval. De sporen zijn vaak moeilijker te vinden, maar meestal zijn die er wel. En het feit dat het lastig is om de sporen te herleiden ontslaat landen die aan het oorlogsrecht gecommitteerd zijn niet van de verplichting om overtredingen op te sporen en te vervolgen. En gelukkig maar.

Laten we naar Nederland gaan: waaruit bestaan de taken van het cyberleger?

Het cyberleger is de enige die aanvallen mag uitvoeren. De MIVD mag dat niet. De politie ook niet. Alleen Defensie Cyber Commando. Als de Nederlandse regering besluit om de digitale krijgsmacht in het buitenland in te zetten, dan bestaan de activiteiten van dat commando uit drie dingen: extra bescherming, inwinnen van inlichtingen voor de commandant ter plaatse, of een offensief op de tegenstander.

Het meest logische patroon is dat we de krijgsmacht committeren aan missies - in Mali, Libië of misschien ooit Syrië, who knows. Dan zullen we bepalen welke middelen we in gaan zetten- lucht, zee, grondtroepen, of cyber. En ik denk dat elke missie in de toekomst standaard een cybereenheid zal hebben.

Over welke wapens beschikt het cyber commando?

Voorop staat dat ik niet weet welke wapens – beter is 'capaciteit' of "methoden en middelen van (digitale) oorlogvoering" – het DCC heeft of ontwikkeld. Maar alle middelen moeten in overeenstemming zijn met de Geneefse conventies. [zie, artikel 36 van de Geneefse concenties, red.] In algemene zin zal het om laag-technologische (bijvoorbeeld DDOS) tot hoog technologische (denk aan iets als Stuxnet) middelen gaan.

Wat ik heb begrepen uit de film van Zero Days van Alex Gibney is dat Stuxnet slechts een klein onderdeel was van een veel groter programma: Nitro Zeus. De VS kon digitaal de cruciale infrastructuur van Iran, van transport tot telecom tot water en Electra platleggen.

Nitro Zeus was een eventualiteit - oftewel Short of War [bijna oorlog, red.] zoals Sanger het formuleert. Staten hebben conflicterende belangen en ik sluit niet uit, en dit is hypothetisch, dat er ook andere manieren zijn om een land te ontregelen.

Lees meer: Alex Gibney vertelt over Stuxnet en Nitro Zeus.

Als dit soort geweld blijkbaar onder sabotage kan vallen, is het misschien niet tijd om het begrip op te rekken wanneer het oorlogsrecht van toepassing is? Is het niet vreemd dat landen zulke machts- en dreigingsmiddelen ongestraft tegen elkaar in stelling kunnen brengen?

Als Nitro Zeus omvangrijk uitgevoerd zou worden dan kom je in de buurt van wat het AIV een gewapende aanval noemt (of er overheen zelfs). Staten hebben niet graag het predicaat aggressor, wat ze over zich afroepen als ze een gewapende aanval lanceren.

Hoe groot is het Nederlandse cyberleger vergeleken met China's cyberleger? In het geval van China heb ik het getal 50.000 horen vallen.

Haha. Klein. Zo'n 150 mensen, zoals je zou verwachten als je naar de verhoudingen kijkt.

Hoe kwetsbaar is Nederland in een wereld met een paar zeer grote spelers die zulke omvattende wapens kunnen inzetten?

De krijgsmacht heeft drie doelstellingen: landsverdediging, de internationale rechtsorde beschermen en de overige vitale belangen van het koninkrijk. Nederland zet het leger maar zeer zelden in. Het idee dat wij, of welk land dan ook, vrij lukraak zouden besluiten om de krijgsmacht in te zetten is niet reëel. Dat doen we fysiek niet en hetzelfde geldt voor het cyberleger. Mensen denken dat cyber veel vaker en makkelijker ingezet zal gaan worden. Ik geloof daar niks van.

Een land zet daarmee immers z'n zwaarste instrument in. Als dat internationaal niet acceptabel is, dan krijg je uiteindelijk het deksel op je neus. De angst voor een digitale aanval is voor een belangrijk deel psychologisch. Cyber lijkt ongrijpbaar, en daarom is het eng. Maar de vraag is: zijn we werkelijk kwetsbaar?

Het antwoord daarop is toch gewoon ja.

Ja. Digitale veiligheid van een land kan nooit helemaal waterdicht zijn. Dus we moeten iets doen aan het aanpassingsvermogen van de bevolking. Want Nederland is feitelijk kwetsbaar.