Definitieve versie
Rijksuniversiteit Groningen
T.R. Lowijs
Begeleider: Dr. S. de Hoop
Noorderdwarsstraat 18a
Tweede beoordelaar: Dr. A. van den Assem
9717 LW Groningen
Voorjaar 2011
06 40209759
[email protected] S1640127
INHOUDSOPGAVE LIJST VAN FIGUREN ........................................................................................................................IV LIJST VAN GEBRUIKTE AFKORTINGEN ..............................................................................................V VOORWOORD .................................................................................................................................VI INLEIDING .................................................................................................................................... 1 RECHTVAARDIGING..................................................................................................................... 2 METHODOLOGIE ......................................................................................................................... 3 HOOFDSTUK 1 | HET THEORETISCH RAAMWERK VAN STUART H. STARR ............................4 EEN BOTTOM-UP BENADERING .................................................................................................... 5 Cyberdomein .........................................................................................................................6 Cyberpower ........................................................................................................................... 7 Cyberstrategie ....................................................................................................................... 7 Kritiek .................................................................................................................................. 10 CONCLUSIE ............................................................................................................................... 10 HOOFDSTUK 2 | KANSEN EN DREIGINGEN BINNEN HET CYBERDOMEIN........................... 12 HET CYBERDOMEIN ................................................................................................................... 12 CYBERAANVALLEN .................................................................................................................... 15 Botnets en DDoS-aanvallen ................................................................................................ 15 Virussen, wormen en Trojaanse paarden .......................................................................... 18 DREIGINGEN BINNEN HET CYBERDOMEIN ................................................................................. 18 KANSEN BINNEN HET CYBERDOMEIN ........................................................................................ 21 CONCLUSIE ...............................................................................................................................22 HOOFDSTUK 3 | CYBERPOWER EN TRADITIONELE MACHTSINSTRUMENTEN .....................24 DE INVLOED VAN CYBERPOWER.................................................................................................24 Politiek / diplomatiek .........................................................................................................24 Informatief .......................................................................................................................... 25 Militair .................................................................................................................................26 Economisch ......................................................................................................................... 27 CONCLUSIE .............................................................................................................................. 28 HOOFDSTUK 4 | CYBERWARFARE: BELEID EN STRATEGIE ..................................................... 30 CYBERWARFARE ....................................................................................................................... 30 CYBERSTRATEGIEËN .................................................................................................................32 Verenigde Staten .................................................................................................................33
ii
Verenigd Koninkrijk ...........................................................................................................36 China .................................................................................................................................. 38 Rusland................................................................................................................................ 41 Nederland ............................................................................................................................42 CONCLUSIE ............................................................................................................................... 45 HOOFDSTUK 5 | CYBERWARFARE: OP WEG NAAR EEN DOCTRINE?...................................... 47 WAT IS EEN DOCTRINE? ............................................................................................................ 47 WAAROM EEN DOCTRINE?.........................................................................................................49 ELEMENTEN VAN EEN CYBERDOCTRINE ................................................................................... 50 Cyberstrategieën vergeleken.............................................................................................. 50 Verschillende percepties, overeenkomstige problemen .................................................... 53 CONCLUSIE ............................................................................................................................... 55 CONCLUSIE ................................................................................................................................. 57 VERDER ONDERZOEK ................................................................................................................ 59 EPILOOG ....................................................................................................................................... 61 LITERATUURLIJST .........................................................................................................................64 GEDRUKTE BRONNEN ................................................................................................................64 NIET-GEDRUKTE BRONNEN ....................................................................................................... 67 BIJLAGE 1 | SCHEMATISCHE WEERGAVE VAN HET SYSTEEMDOMEIN ..............................................69 BIJLAGE 2 | KARAKTERISTIEKEN VAN HET CYBERDOMEIN IN PERSPECTIEF ...................................70
iii
LIJST VAN FIGUREN FIGUUR 1 | PIRAMIDEMODEL VAN STUART H. STARR. ..................................................................... 5 FIGUUR 2 | VIER ONDERDELEN VAN HET CYBERDOMEIN ............................................................... 13 FIGUUR 3 | VERGELIJKING TUSSEN KINETISCHE OORLOGVOERING EN CYBERAANVALLEN. ............ 27 FIGUUR 4 | SCHEMATISCHE WEERGAVE VAN DE KERNPUNTEN IN DE BRITSE CYBERSTRATEGIE. .... 37 FIGUUR 5 | ONTWIKKELING VAN DE TOEGANG TOT INTERNET IN CHINA SINDS 1990 (IN %). .........39 FIGUUR 6 | SCHEMATISCH OVERZICHT VAN HET SYTEEMDOMEIN. DE VERBINDINGEN TUSSEN DE TOP-TIER
ISP'S ZIJN DE RUGGENGRAAT VAN HET CYBERDOMEIN. ...............................................69
iv
LIJST VAN GEBRUIKTE AFKORTINGEN
AIVD
Algemene Inlichtingen- en Veiligheidsdienst
CIO
Chief Information Officer
CSOC
Cyber Security Operations Center
DDoS
Distributed Denial of Service
DefCERT
Defence Computer Emergency Response Team
EUROPOL
European Police
GCHQ
Government Communications Headquarters
GOVCERT
Government Computer Emergency Response Team
GPS
Global Positioning System
GUCCI
Global Undersea Communications Cable Infrastructure
ICT
Informatie- en communicatietechnologie
INTERPOL
The International Criminal Police Organization
IP
Internet protocol
IPv6
Internet protocol versie 6
ISP
Internet-serviceprovider
MIVD
Militaire Inlichtingen- en Veiligheidsdienst
MLAT
Mutual Legal Assistance Treaty
NASA
National Aeronautics and Space Administration
NAVO
Noord-Atlantische Verdragsorganisatie
NCO
Network-centric Operation
NCSS
Nationale Cyber Security Strategie
NGO
Non-gouvernementele organisatie
OCSIA
Office of Cyber Security & Information Assurance
PC
Personal Computer
P/DIME
Politiek / diplomatiek, informatief, militair, economisch
PMESII
Politiek,
militair,
economisch,
sociaal,
informatief,
infrastructureel PPP
Publiek-private partnerschap
SGDSN
Secrétariat général de la défense et de la sécurité nationale
UNDP
United Nations Development Programme
USCYBERCOM
United States Cyber Command
VK
Verenigd Koninkrijk
VN
Verenigde Naties
VS
Verenigde Staten
v
VOORWOORD Voor de totstandkoming van deze scriptie wil ik, naast de gewaardeerde steun van mijn directe omgeving, in het bijzonder mijn dank uitspreken aan de personen die door middel van interviews wilden meewerken aan mijn onderzoek: Generaal-majoor Koen Gijsbers, Rt. Hon. Francis Maude, MP, Prof. Joseph S. Nye, Christopher Painter en Roel Schouwenberg. Daarnaast zou ik graag mijn dank uitspreken aan de begeleider van mijn onderzoek, dr. Sipke de Hoop, voor het meedenken over de structurering van het onderzoek en een enkel ‘duwtje’ in de goede richting. In realizing this thesis, I would like to express my gratitude, besides to my close relatives, in particular to the persons who wanted to participate in my research: General-major Koen Gijsbers, Rt. Hon. Francis Maude, MP, Prof. Joseph S. Nye, Christopher Painter and Roel Schouwenberg. Furthermore, I would like to thank my supervisor, dr. Sipke de Hoop, for his cooperative support and an occasional push in the right direction.
vi
INLEIDING “The next major war is not likely to be fought on the battleground but in cyberspace.(…) Unlike the air, land and sea domains, we lack dominance in cyberspace and could grow increasingly vulnerable if we do not fundamentally change how we view this battle-space.” - Generaal James E. Cartwright. 1 Dit citaat van de Amerikaanse generaal James E. Cartwright geeft het belang aan van het nadenken over cyberwarfare. Cyberwarfare is een ontwikkeling die ook wel de “next threat to national security” wordt genoemd. Het is nog onduidelijk hoe groot de rol van cyberwarfare in de nabije jaren zal gaan zijn, echter dat deze rol substantieel zal zijn lijkt vast te staan. Om te onderzoeken hoe dit concept van cyberwarfare valt te vatten in een doctrine, zal dit onderzoek zich bezig gaan houden met de volgende hoofdvraag: In hoeverre is het mogelijk om aan de hand van de cyberwarfare-theorie van Stuart H. Starr een algemeen geldende doctrine te ontwikkelen voor cyberwarfare? Stuart H. Starr van de National Defence University (Washington D.C.) heeft binnen zijn theorie over cyberwarfare een piramidemodel ontwikkeld, met onderaan cyberspace, daarboven cyberpower en als top cyberstrategy. 2 Dit onderzoek gebruikt deze benadering om vervolgens te gaan focussen op de top, cyberstrategie, dus hoe om te gaan met oorlogvoering in het cyberdomein. De vraag is in hoeverre elementen van een meer algemene doctrine met betrekking tot cyberwarfare gevormd kunnen worden. Belangrijk in het onderzoek hiernaar zijn de overeenkomsten in verschillende nationale cyberstrategieën. Hierbij kan een interessante vergelijking worden gemaakt tussen de strategie van enkele westerse NAVO-landen en die van Rusland en China, de twee grootste niet-westerse cyberwarfare-grootmachten. Tevens dient hierbij de vraag in hoeverre een dergelijke strategie puur defensief kan zijn, of dat er ook een meer offensieve strategie mag gelden? Om deze hoofdvraag te kunnen analyseren zal er in vijf hoofdstukken worden toegewerkt naar dit uiteindelijke doel. In het eerste hoofdstuk zal worden ingegaan op de theorie van Starr. De vraag die hierin aan bod komt is wat Starr’s theorie inhoudt, en wat de belangrijkste ontwikkelingen zijn in de afzonderlijke delen van de piramide die bij zijn theorie hoort. Vervolgens zullen de onderdelen van de piramide worden geanalyseerd in de hoofdstukken twee, drie en vier. In hoofdstuk twee zal de brede basis van de piramide Paul Cornish, e.a., ‘On Cyber Warfare’, Chatham House Reports (Londen 2010) 5-10. Stuart H. Starr, ‘Toward a Preliminary Theory of Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 43-81.
1
2
1
worden onderzocht, oftewel het cyberdomein. De vraag die in dit hoofdstuk aan bod komt is wat de belangrijkste kansen en dreigingen binnen het cyberdomein zijn. Bovendien zal er in dit hoofdstuk nadrukkelijk worden ingaan op twee belangrijke casussen waarin een cyberaanval heeft plaatsgevonden, de aanvallen op Estland (2007) en Georgië (2008). Vervolgens komt in hoofdstuk drie aan bod in hoeverre de kansen binnen het cyberdomein kunnen worden omgezet in cyberpower, en in hoeverre deze cyberpower een aanvulling kan zijn op de traditionele P/DIME instrumenten (politiek, diplomatiek, informatief, militair en economisch), zoals beschreven door Starr. In hoofdstuk vier zal een analyse van de cyberpower plaatsvinden, door de daadwerkelijke cyberstrategieën te analyseren van de Verenigde Staten, het Verenigde Koninkrijk, China, Rusland en Nederland, dus richting de top van het piramidemodel van Starr. Bij de analyse van deze actoren zal in dit hoofdstuk ook worden ingegaan op het verschil in perceptie van hen aangaande cyberwarfare en de gevolgen die dit verschil in perceptie heeft voor de uitwerking op hun beleid, met name de verschillen in het beleid als gevolg hiervan. In het laatste hoofdstuk tenslotte komt de hoofdvraag aan bod in hoeverre deze strategieën zijn te abstraheren in een meer algemeen geldende doctrine. Hierin zal in de eerste plaats worden onderzocht wat de voorwaarden zijn om een doctrine te vormen en wat een doctrine daadwerkelijk behelst. Bij deze poging om een doctrine te vormen is het vervolgens het doel om beleidsaanbevelingen te doen, op basis waarvan elementen van een dergelijke doctrine zouden kunnen worden ontwikkeld. RECHTVAARDIGING Zoals gesteld in het citaat van generaal Cartwright is de rol van cyberpower in de toekomst onmiskenbaar. Conventionele oorlogvoering staat niet stil in zijn ontwikkeling, en een ontwikkeling waarbinnen cyberpower en cyberwarfare een rol van betekenis zullen gaan spelen ligt zeer voor de hand. Echter er zijn weinig staten die weten hoe om te moeten gaan met dit nieuwe domein, en ook is de status hiervan niet duidelijk in internationaal rechtelijk opzicht. Bovendien zijn er veel recente ontwikkelingen binnen het cyberdomein die deze onduidelijkheid verder vergroten. Belangrijke voorbeelden hiervan zijn het openbaar maken van vertrouwelijke diplomatieke post door ‘WikiLeaks’ (sinds 2006), het onmogelijk maken van betalingsverkeer van creditcardbeheerder Mastercard (2010) en de diefstal van miljoenen persoonsgegevens uit de online database van spelcomputerfabrikant Sony (2011). Conflicten binnen het cyberdomein kunnen burgers direct raken. Door het ontbreken van een juridisch kader die burgers kan beschermen, de dunne scheidslijn tussen nonstatelijke cyberaanvallen en daadwerkelijke cyberwarfare en de voortdurende technologische innovaties binnen dit domein, zijn de potentiële gevaren zeer groot. Onderzoek naar een meer algemene doctrine hierbinnen kan bijdragen aan een completer beeld over deze
2
ontwikkelingen. Tevens kunnen beleidsaanbevelingen in het laatste hoofdstuk ondersteuning bieden bij de ontwikkeling van beleid aangaande cyberwarfare. METHODOLOGIE In het onderzoek zal de theorie van Stuart H. Starr als uitgangsbasis dienen om van daaruit het cyberdomein, cyberpower en cyberstrategie te onderzoeken. Met name beleidsstukken, regeringsnota’s en strategieën zullen meer concrete invulling geven aan de vraag hoe staten in
praktijk
met
deze
kwesties
omgaan.
Tevens
zijn
er
enkele
rapporten
van
onderzoeksinstituten als het Britse Chatham House over cyberwarfare die inzicht geven in de afwegingen die gemaakt dienen te worden. Tenslotte worden er door de actuele waarde van het onderwerp veel congressen en symposia in binnen- en buitenland georganiseerd over cyberwarfare. Deze blijken door bijdragen van experts en beleidsmakers van grote waarde te zijn voor mijn onderzoek en zullen zeker bijdragen aan de inhoudelijke analyse van het onderwerp. In dat licht zijn er voor dit onderzoek enkele interviews afgenomen met experts en beleidsmakers aangaande cyberwarfare. De meeste van deze interviews hebben plaatsgevonden op 1 en 2 juni 2011 tijdens en na het ‘Second Worldwide Cybersecurity Summit’ in Londen.
3
HOOFDSTUK 1 | HET THEORETISCH RAAMWERK VAN STUART H. STARR “(…) Key attributes of a theory includes its ability to explain and predict (or at least anticipate). Among the many reasons why prior cyber theory efforts have foundered are the facts that key facets of the field are changing exponentially, there is little or no agreement on key frameworks, and the social science element of the discipline (…) makes it difficult to develop models that reliably explain or anticipate outcomes. Finally, the disparate elements of the field cannot be connected because a holistic perspective of the discipline has not yet been created.” 3 – Stuart H. Starr In dit citaat geeft Stuart H. Starr, ‘Distinguished Research Fellow’ aan de ‘National Defence University’ in Washington D.C., één van zijn belangrijkste conclusies weer in de zoektocht naar een omvattend theoretisch raamwerk inzake cyberwarfare. Ondanks het vooruitzicht niet volledig te slagen in zijn missie om een complete theorie omtrent cyberwarfare neer te zetten, heeft Starr getracht een raamwerk neer te zetten in de vorm van een piramidemodel. Dit – ‘bottom up’ – piramidemodel zoals weergegeven in figuur 1, analoog aan dimensies van traditionele oorlogvoering, bestaat uit een brede basis van een systeem of infrastructuur, waarboven hogere en meer complexe interactie plaatsvindt (bijvoorbeeld een militaire missie of strategie). Teneinde tot een stabiel en efficiënt functionerende strategie te komen kan output van de lagere niveaus van de piramide dienen als ondersteuning en terugkoppeling voor de hogere niveaus. 4 In de piramide van Starr is deze verdeling volgens het traditionele model van oorlogvoeringtheorieën ook aanwezig. Als basis geldt de cyberinfrastructuur, oftewel het cyberdomein (ook: cyberspace). Het cyberdomein beslaat de componenten en systemen die de infrastructuur vormen waarbinnen men kan opereren. Dit opereren kan door middel van cyberpower, het middelste niveau van Starr’s piramide. Het cyberdomein kan de traditionele P/DIME-machtsinstrumenten die een staat bezit, politieke, diplomatieke, informatieve, militaire en economische instrumenten, verrijken met de dimensie van cyberpower. Deze cyberpower wordt vervolgens gebruikt door actoren die aan de top van de piramide staan, zoals staten en internationale organisaties, maar ook bedrijven, non-gouvernementele organisaties (NGO’s) en transnationale criminele netwerken maken hier deel van uit. In het geval van cyberwarfare echter, waar in deze theorie de focus op ligt, zijn staten en, in mindere Stuart H. Starr, ‘Toward a Preliminary Theory of Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 43-85, aldaar 44-46. 4 Starr, ‘Toward a Preliminary Theory of Cyberpower’, 43-85. 3
4
mate, internationale organisaties de voornaamste actoren. Dit komt ook hoofdzakelijk doordat staten de enige actoren zijn die over alle P/DIME-instrumenten beschikken. Dientengevolge staan zij aan de top van de piramide van Starr, en gebruiken de middelste laag van deze piramide, cyberpower, conform een zogenaamde cyberstrategie. Tot slot is er de zijkant van de piramide, de institutionele factoren, die volgens Starr van invloed is op alle lagen van de piramide. Bij deze institutionele factoren moet met name worden gedacht aan juridische overwegingen, bestuur en beheer, regulering, het delen van informatie en de vrijheid en privacy van burgers. 5
Figuur 1 | Piramidemodel van Stuart H. Starr.
EEN BOTTOM-UP BENADERING De verschillende niveaus van de piramide zullen uitgebreid geanalyseerd worden in hoofdstukken 2 tot en met 4. In het uiteenzetten van het theoretisch kader van Starr echter, is het noodzakelijk in elk van de piramidelagen de significante trends kort uiteen te zetten. Zoals eerder benoemd werkt de piramide van Starr volgens een bottom-up model, waarbinnen informatie van lagere niveaus dient als basis voor het handelen van de niveaus daarboven. Teneinde het bovenste niveau van de cyberstrategie als instrument voor analyse te kunnen gebruiken, zoals in dit onderzoek wordt gedaan, is het noodzakelijk om dezelfde bottom-up benadering te hanteren. Dientengevolge zijn de trends die Starr van belang acht in de overige lagen van het piramidemodel ook relevant in dit onderzoek en zullen deze uiteengezet worden. 5
Ibidem.
5
Cyberdomein De voet van de piramide, het cyberdomein, ofwel de infrastructuur van systemen en netwerken waarop de rest van de piramide is gebaseerd, heeft te maken met vier belangrijke trends. In eerste plaats is er de – overweldigende – groei in het aantal gebruikers. De gebruikersaantallen van het internet stegen in bijna twintig jaar tijd van circa 1 miljoen in 1992 tot ruim 2 miljard in 2010. 6 Andere gebruikers van het cyberdomein, zoals mobiele telefooncommunicatie, stegen ook significant in de laatste twee decennia. Een tweede belangrijke trend is de exponentiële groei in ontwikkeling van de technische onderdelen binnen het cyberdomein. Met name (micro)processors en de opslagcapaciteit van computers is zeer snel gegroeid. Dit leidt tot de ontwikkeling dat gebruikers van het cyberdomein steeds minder beperkingen hebben bij het verwerken en opslaan van grote hoeveelheden informatie. Waar dit in vroegere jaren de ‘bottleneck’ was voor de ontwikkeling van het cyberdomein, hoeft dat tegenwoordig geen belemmering meer te zijn. Als derde is er een trend zichtbaar in de constructie van het cyberdomein an sich. Toen het huidige cyberdomein werd ontwikkeld, in het bijzonder het internet, was het doel om een netwerk op te zetten voor (en door) het Amerikaanse leger en de NASA. De techniek, met name de IP-adressen 7 , is dientengevolge berekend op circa 4 miljard gebruikers. Zoals eerder uiteengezet is de groei van het aantal gebruikers zeer groot, waardoor de capaciteit van het huidige cyberdomein langzamerhand tekort begint te schieten. Een wijziging in de constructie van het cyberdomein is noodzakelijk, met name een overgang naar de zogenaamde IPv6-adressen, waardoor de capaciteit van het cyberdomein zal groeien naar ca 3x1038 gebruikers. Wetenschappers hebben echter nog geen wijze gevonden hoe het cyberdomein over te zetten naar deze nieuwe stijl. Als vierde en laatste trend is er de toename in het gebruik van het cyberdomein door militairen. Het cyberdomein wordt steeds belangrijker binnen (de voorbereiding op) oorlogvoering, niet alleen ten aanzien van cyberwarfare, maar ook binnen conventionele oorlogvoering. Inlichtingen uit satellieten, GPS-gestuurde raketten en communicatie tussen troepen onderling; de rol van het cyberdomein is groeiende. 8 Uit deze trends binnen het cyberdomein kunnen belangrijke conclusies worden getrokken. Binnen het cyberdomein heeft de aanvaller een groot voordeel. Door de slecht beveiligde cyberinfrastructuur, die overladen is met potentiële doelwitten, is het onmogelijk om dit als verdedigende partij volledig te kunnen beveiligen. Daarnaast leidt de constructie International Telecommunications Union, ‘ITU Global Internet Users Statistics’, ITU
(20 mei 2011) 1. 7 IP (internet protocol) is een verzameling standaarden die bepalen hoe gegevens over het internet worden verzonden. Data wordt opgedeeld in kleine eenheden (packets) die samen met ‘bezorginstructies’ op het netwerk komen. IP bepaalt vervolgens hoe deze packets worden verzonden, hoe ze bij hun bestemming komen, etc. (bron: Marjory S. Blumenthal en David D. Clark, ‘The Future of the Internet and Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 206-240, aldaar 208. 8 Starr, ‘Toward a Preliminary Theory of Cyberpower’, 50-57. 6
6
van het cyberdomein, met een hoge mate van anonimiteit, tot het feit dat een cyberaanval zeer lastig is toe te schrijven aan een eventuele agressor. 9 Een nieuwe architectuur van het domein, met IPv6-adressen en meer ingebouwde beveiliging, zou een stap in de goede richting kunnen zijn. Een transitie naar een nieuwe structuur is echter nog onvoldoende uitvoerbaar. Cyberpower Ook binnen het middelste niveau van de piramide, het niveau van cyberpower, zijn vier belangrijke trends zichtbaar. In eerste plaats zijn de principes van oorlogvoering aan het veranderen, zoals eenheid van bevel, element van verrassing en efficiënt gebruik van middelen. Al honderden jaren zijn militaire specialisten en met name analisten, bijvoorbeeld Carl von Clausewitz, bezig met het ontwikkelen van principes en strategieën van oorlogvoering. De impact van de veranderingen als gevolg van de groeiende rol van cyberpower zijn dusdanig dat een herwaardering van deze principes nodig lijkt te zijn. Een tweede trend binnen het niveau van cyberpower is de toenemende roep om een omvattende theorie over de rol van cyberpower binnen het cyberdomein. In overeenstemming met theorieën over oorlogvoering via land, zee, lucht of kosmische ruimte, zou ook aangaande cyberpower een meeromvattende theorie aanbeveling verdienen. Een derde trend is te herkennen op het gebied van ‘Network-centric Operations’ (NCO’s). NCO’s vinden hun oorsprong in een militaire doctrine die is ontwikkeld door de VS, waarbij superioriteit in informatie wordt vertaald naar een overhand in gevechtssituaties, door het koppelen en delen van informatie binnen militaire operaties. Hierdoor ontstaat een hoge mate van ‘battlespace awareness’, wat leidt tot voordelen in gevechtssituaties. 10 De trend in relatie tot cyberpower is dat er een ontwikkeling gaande is om het bestaande analytische kader rondom NCO’s te integreren of te verrijken met dat van cyberpower. Als vierde en laatste is de trend zichtbaar dat er wordt onderzocht in hoeverre cyberpower een bijdrage kan leveren aan de traditionele benadering van militaire missies. Voorbeelden zijn de inzet van cyberpower bij verkenningsmissies, of om tekortkomingen in een missie ten aanzien van training of inlichtingen snel op te kunnen lossen door middel van het gebruik van cyberpower. 11 Cyberstrategie Op het bovenste niveau van de piramide van Starr, ofwel het niveau van cyberstrategie, focust Starr niet zozeer op de trends die zichtbaar zijn, maar legt hij meer nadruk op het onderscheid dat gemaakt dient te worden tussen de vorming van een cyberstrategie ten opzichte van non-statelijke actoren enerzijds, en statelijke actoren anderzijds. Zoals eerder Ibidem, 55-56. Orrick White, ‘Network Centric Operations. Challenges Associated With the Human-in-the-loop’, Defence Research and Development Canada (Ottawa 2005) 3-4. 11 Starr, ‘Toward a Preliminary Theory of Cyberpower’, 56-61. 9
10
7
uiteengezet zijn er vele actoren die gebruik maken van het cyberdomein. Naast de statelijke actoren zijn onder andere NGO’s, terroristische groeperingen, activisten die via cyberspace trachten invloed uit te oefenen (ook wel ‘hacktivists’ genoemd), transnationale criminele organisaties en multinationals belangrijke actoren binnen het cyberdomein. Aangaande het niveau van de cyberstrategie, zo stelt Starr, is het bij de ontwikkeling van een dergelijke strategie belangrijk om onderscheid te maken tussen statelijke actoren en non-statelijke actoren, waarbij op dit niveau met name moet worden gekeken naar terroristische organisaties en transnationale criminele organisaties. 12 Terroristische en criminele organisaties zijn actoren die toenemend aanwezig zijn in cyberspace, en worden dus ook in toenemende mate beïnvloed door veranderingen die het cyberdomein ondervindt. Bijvoorbeeld in het plannen, ondersteunen, uitvoeren en aansturen van operaties van dergelijke organisaties is het cyberdomein van groot belang. Dit heeft vier belangrijke oorzaken. Ten eerste zijn de toegangskosten laag, in vergelijking met bijvoorbeeld toegang tot wapens. Mede doordat er door het bedrijfsleven veel wordt geïnvesteerd in de ontwikkeling van de cyberinfrastructuur dalen de kosten, iets waar alle gebruikers van kunnen profiteren, dus ook terroristische en criminele organisaties. Ten tweede heeft het cyberdomein een (bijna) wereldwijde dekking, wat terroristische en criminele organisaties in staat stelt om een groter aantal mensen te bereiken, zowel leden als potentiële slachtoffers van deze organisaties. Als derde is er, met name bij terroristische organisaties, een grotere mogelijkheid tot groei. Dit door het feit van de eerder genoemde wereldwijde dekking, waardoor het gedachtegoed van de organisatie makkelijker aan een breed publiek te propaganderen is. Dit kan leiden tot groei en intensivering van terroristische activiteiten. Als vierde en laatste is de trend zichtbaar dat terroristische en transnationale criminele organisaties onderling steeds meer banden ontwikkelen. Hoewel deze organisaties andere doelen voor ogen hebben, wordt de samenhang en integratie tussen deze twee groepen actoren intensiever en kunnen ze profiteren van wederzijdse kennis. 13 Bij het ontwikkelen van een cyberstrategie dient op dit niveau van non-statelijke actoren een andere focus te worden aangenomen dan bij statelijke actoren. Dit komt voornamelijk vanwege het verschil in intenties tussen statelijke en non-statelijke actoren in cyberspace. Statelijke actoren kunnen beschikken over een breed arsenaal aan cyberpower, en zullen cyberwarfare vaak gebruiken naast conventionele oorlogvoering. Non-statelijke actoren gebruiken cyberspace met een ander doel. Zo zullen terroristische organisaties voornamelijk angst bij de bevolking willen aanjagen, en hebben transnationale criminele organisaties het verdienen van geld als belangrijk doel. Voorbeelden van onderdelen in een cyberstrategie ten aanzien van terroristische organisaties zijn het trachten de toegang tot
12 13
Ibidem, 59-63. Ibidem.
8
internet voor dergelijke organisaties te bemoeilijken, zowel via juridische als technische procedures. Tevens is de erkenning door overheden belangrijk dat meer onderzoeks- en uitvoeringscapaciteit noodzakelijk is om de groei van terroristische organisaties via internet tegen te gaan. Daarnaast dient er intensief onderzoek plaats
te vinden naar
gedragskenmerken van radicaliserende onderdelen van terroristische organisaties, als gevolg van toenemende verbondenheid via het cyberdomein. 14 Bij het ontwikkelen van een cyberstrategie ten aanzien van statelijke actoren zal de focus voornamelijk moeten liggen op de eerder uiteengezette P/DIME-sectoren. Starr stelt dat een overheid die een cyberstrategie ontwikkelt hiervoor twee verschillende categorieën mensen in huis dient te hebben. Ten eerste dienen er specialisten te zijn die deskundig zijn in één van de P/DIME-sectoren. Deze specialisten werken op het niveau van cyberpower en kunnen vanuit hun sector advies geven over de mate van cyberpower die kan worden ingezet binnen deze sector. Daarnaast dient een overheid interdisciplinaire deskundigen te hebben die kunnen werken met de politieke, militaire, economische, sociale, informatieve sectoren en de infrastructuur hiervan. Dit valt onder de noemer ‘PMESII’. Deze PMESII-deskundigen kunnen informatie van de P/DIME-experts verwerken en op basis daarvan een compleet beeld creëren. Dit dient vervolgens als fundament voor de cyberstrategie die ontwikkeld kan worden. 15 Een ander belangrijk element in de vorming van een cyberstrategie is dat van afschrikking, ook wel aangeduid als cyberdeterrence. Een dergelijke afschrikking kan worden vergeleken met de afschrikking die optreedt bij confrontaties waarbij statelijke actoren zijn betrokken die kernwapens bezitten. In een dergelijk geval is de neiging om kernwapens in te zetten kleiner dan tegenover statelijke actoren die geen kernwapens bezitten, vanwege het feit dat het waarschijnlijk is dat een tegenaanval ook met gebruik van kernwapens zal zijn. 16 Starr stelt dat er in het geval van cyberafschrikking sprake zal moeten zijn van op maat gemaakte afschrikking. In eerste instantie zal er moeten worden onderzocht tegenover welke actoren en in welke context de cyberafschrikking plaatsvindt. Cyberafschrikking heeft een uniek karakter vanwege de uniciteit van het cyberdomein. Bij het ontwikkelen van cyberafschrikking zal er eerst onderzoek moeten worden gedaan naar bijvoorbeeld de (cyber)prioriteiten, het beschikbare kapitaal en de cyberkennis van de actor. Ten tweede is de mate van capaciteit die beschikbaar is bij de actor belangrijk, omdat het van grote invloed zal zijn op de strategie die gevoerd dient te worden. Zo zal een actor met veel eigen cybercapaciteit moeilijker zijn af te schrikken. Als derde en laatste dient de communicatie
Frank Cilluffo, ‘NETworked Radicalization: A Counter-Strategy’, The George Washington University Homeland Security Policy Institute and Critical Incident Analysis Group Task Force on Internetfacilitated Radicalization (Washington D.C., 2007) 5-23. 15 Starr, ‘Toward a Preliminary Theory of Cyberpower’, 62-68. 16 Bijv. Robert Powell, Nuclear Deterrence Theory. The Search for Credibility (Cambridge 1990) 6-32. 14
9
duidelijk te zijn, waarin Starr met name doelt op de communicatie vanuit een statelijke actor naar andere actoren met als doel af te schrikken. Hierbij moet echter onderscheid gemaakt worden in situaties in vredes- en in oorlogstijd. Indien aan deze afgemeten afschrikking kan worden voldaan zou dit samen met de P/DIME-sectoren onderdeel kunnen uitmaken van een cyberstrategie. 17 Veelomvattender onderzoek naar cyberafschrikking zou echter gewenst zijn. Kritiek Kritiek op de theorie van Starr ligt vooral in het feit dat, hoewel hij een goede basis legt voor een theoretisch raamwerk, Starr te snel ingaat op technische en tactische aspecten van cyberwarfare. Meer verbanden tussen cyberwarfare en de politieke context waarin dit zich begeeft zouden welkom zijn. 18 Daar waar Starr bijvoorbeeld veel aandacht schenkt aan technische trends binnen het cyberdomein, is er weinig focus op de rol van de staat binnen het beheer en beleid aangaande deze cyberinfrastructuur. Tenslotte zou Starr meer in kunnen gaan op de afzonderlijke sectoren van het P/DIME – PMESII paradigma. CONCLUSIE De theorie van Starr is met name gebaseerd op zijn piramidemodel, bestaande uit drie lagen, namelijk het cyberdomein, cyberpower en cyberstrategie. Belangrijke trends binnen deze drie lagen zijn van invloed op de vorming van een cyberstrategie, de toplaag van de piramide. Uit de trends binnen het cyberdomein blijkt ten eerste dat binnen het cyberdomein de aanvaller een groot voordeel heeft. Door de slecht beveiligde cyberinfrastructuur, die overladen is met potentiële doelwitten, is het onmogelijk om dit als verdedigende partij volledig te kunnen beveiligen. Daarnaast leidt de constructie van het cyberdomein, met een hoge mate van anonimiteit, tot het feit dat een cyberaanval zeer lastig is toe te schrijven aan een eventuele agressor. Een nieuwe architectuur van het domein, met IPv6-adressen en meer ingebouwde beveiliging, zou een stap in de goede richting kunnen zijn. Een transitie naar een nieuwe structuur is echter nog onvoldoende uitvoerbaar. Samenvattend kan worden gesteld dat de trends op het niveau van cyberpower voornamelijk zijn gericht op het creëren, integreren en verdiepen van – militaire – theorieën en raamwerken met een dimensie van cyberpower. Op deze wijze kan oorlogvoering met het gebruik van cyberpower omvattend worden geanalyseerd. In de bovenste laag van Starr’s piramide, de cyberstrategie, dient rekening te worden gehouden met een scheiding tussen statelijke en non-statelijke actoren bij de vorming van een dergelijke strategie. Non-statelijke actoren, die op dit niveau vooral terroristische en transnationale criminele organisaties betreffen, behoeven een andere cyberstrategie dan statelijke actoren. Bij non-statelijke actoren dient in de strategie de nadruk met name te Starr, ‘Toward a Preliminary Theory of Cyberpower’, 62-68. John B. Sheldon, ‘Deciphering Cyberpower. Strategic Purpose in Peace and War’, Strategic Studies Quarterly 5:2 (Maxwell 2011) 94-112, aldaar 107-108.
17
18
10
liggen op de toegang tot internet en dient er bijvoorbeeld aandacht te zijn voor gedragskenmerken van radicaliserende sympathisanten, die door het gebruik van het cyberdomein kunnen worden aangemoedigd in hun daden. Bij statelijke actoren dient de nadruk met name te liggen op het gebruik van PMESII-deskundigen, die met informatie van specialisten uit de verschillende P/DIME-sectoren een compleet beeld kunnen vormen, op basis waarvan een strategie gevormd kan worden.
11
HOOFDSTUK 2 | KANSEN EN DREIGINGEN BINNEN HET CYBERDOMEIN Tot circa honderd jaar geleden kon de mens slechts functioneren op twee terreinen: op het land en op zee. In 1903 kon men hier het derde domein aan toevoegen, toen de gebroeders Wright de eerste gecontroleerde vlucht met een vliegtuig wisten te maken. Dit zou leiden tot een heel nieuw perspectief voor zowel oorlogvoering als commerciële, sociale en politieke doeleinden. Het vierde domein, de kosmische ruimte, exploiteerde de mens voor het eerst in 1957, zij het dat dit domein zowel militair als commercieel lange tijd significant van minder belang is geweest dan de andere domeinen. Sinds eind jaren ’80 begon een nieuw domein te ontstaan, dat tegenwoordig als vijfde domein van oorlogvoering kan worden aangemerkt: het cyberdomein. 19 In dit hoofdstuk zal worden ingegaan op het cyberdomein (ook: cyberspace), ofwel de ‘voet’ van de piramide in lijn met de theorie van Starr. In de eerste plaats zal uiteen worden gezet wat er onder het cyberdomein moet worden verstaan en welke actoren hierbinnen een belangrijke rol spelen. Vervolgens kan vanuit deze basis een analyse plaatsvinden van de kansen die het cyberdomein te bieden heeft, en ook de dreigingen die aan dit domein zijn gebonden. HET CYBERDOMEIN Het begrip cyberdomein kent vele definities en uitwerkingen, met elk hun eigen focus. Veel definities gaan met name in op de omgeving en dimensie van het cyberdomein, en niet zozeer op het gebruik. Een voorbeeld hiervan is de definitie van de NAVO: “Cyber space is the notional environment in which digitized information is stored or communicated over information systems and networks.” 20 Daar waar de NAVO nadruk legt op deze ‘notional environment’, zal hier gekozen worden voor de definitie van Daniel T. Kuehl, onderzoeker aan de ‘National Defence University’ in Washington D.C., die meer ingaat op het domein en de mogelijkheden van dit domein. “Cyberspace is a global domain within the information environment whose distinctive and unique character is framed by the use of electronics and the electromagnetic spectrum to create, store, modify, exchange, and exploit information via interdependent and interconnected networks using information-communication technologies.” 21 19 Daniel T. Kuehl, ‘From Cyberspace to Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 24-28. 20 Jeffrey Hunker, ‘Cyber war and cyber power. Issues for NATO doctrine’, NATO Research Paper 62 (Rome, 2010) 2-3. 21 Kuehl, ‘From Cyberspace to Cyberpower’, 28.
12
Deze definitie toont aan dat het cyberdomein meer is dan een computer verbonden aan het internet. Het internet is een belangrijk open netwerk binnen het cyberdomein, echter er zijn daarnaast nog miljoenen andere netwerken die ook binnen dit cyberdomein vallen. 22 Van het intranet van een bedrijf of organisatie tot verkeersleidingnetwerk van de Amsterdamse metro; dit is allemaal onderdeel van het cyberdomein. Bij het creëren, opslaan, bewerken, uitwisselen en gebruiken van informatie binnen het cyberdomein, zoals Kuehl noemt in zijn definitie, moet men ook met name denken aan gebruikers van dit domein in de vorm van bijvoorbeeld bankpassen, auto’s, mobiele telefoonnetwerken, vliegvelden, energiecentrales, ziekenhuizen, etc. Door de explosieve groei van het cyberdomein en de toenemende integratie van dergelijke gebruikers in het cyberdomein wordt de onderlinge verbinding steeds intensiever. Deze intensivering leidt tot een snellere en efficiëntere manier van werken, leven en communiceren, echter brengt inherent ook een groeiende kwetsbaarheid met zich mee. Het cyberdomein is uniek in vergelijking met de andere vier domeinen. De belangrijkste factor die hieraan bijdraagt is het feit dat het cyberdomein het enige domein is dat door de mens is gecreëerd. Hoewel andere domeinen, zoals de kosmische ruimte, slechts exploiteerbaar zijn door het gebruik van techniek, kan het cyberdomein worden beschouwd als kunstmatig. Dit kunstmatige domein is vervolgens op te delen in vier onderdelen, zoals zichtbaar in figuur 2.
Overheid Systeemdomein
Inhoudsdomein
Sociale domein
Figuur 2 | Vier onderdelen van het cyberdomein
Deze onderverdeling in het cyberdomein is vergelijkbaar met het autowegennetwerk. Ten eerste is er binnen het cyberdomein het systeemdomein, dat de daadwerkelijke infrastructuur van het cyberdomein is en informatie draagt en opslaat. Dit systeemdomein kan in de metafoor met autowegen worden gezien als de weg waarop de auto’s rijden. Een groot verschil met de autowegen is echter dat dit systeemdomein in het geheel wordt beheerd door
private
partijen,
voornamelijk
(telecom-)netwerkbeheerders
en
internet-
serviceproviders (ISP’s). Deze ISP’s zijn in veel landen, bijvoorbeeld de Verenigde Staten (VS) en Nederland, ingedeeld in verschillende rangen, waarbij de belangrijkste ISP’s, de top-tier ISP’s, essentieel zijn in het beheer van het systeemdomein, en daarmee in het cyberdomein. In die hoedanigheid worden deze belangrijkste ISP’s dan ook aangeduid als de ‘backbone providers’ 23 . Naast deze top-tier ISP’s, de ‘zesbaanswegen’, zijn er ook de kleinere ISP’s, de
Richard A. Clarke en Robert K. Knake, Cyber War. The Next Threath to National Security and What To Do About It (New York 2010) 70-73. 23 Bijvoorbeeld: Clarke en Knake, Cyber War (New York 2010) 74. 22
13
binnenweggetjes, die minder essentieel kunnen worden geacht. Toch zijn ook dit private ondernemingen die een essentieel deel van de infrastructuur (mede-)beheren. 24 In bijlage 1 is schematisch weergegeven hoe dit systeemdomein werkt. Ten tweede is er het inhoudsdomein, welke in de autowegmetafoor kan doorgaan voor de auto die op de snelweg rijdt. Het inhoudsdomein omvat de daadwerkelijke informatie die zich over de infrastructuur van het systeemdomein beweegt. Dit varieert van e-mails tot applicaties, maar ook bijvoorbeeld geldstromen vallen binnen het inhoudsdomein. 25 Als derde is er het sociale domein, waar de mens zijn rol in het cyberdomein daadwerkelijk opeist. Zoals een auto bestuurd dient te worden door een chauffeur, zo is er in het cyberdomein een menselijk brein nodig die de informatie creëert, opslaat, bewerkt, uitwisselt en gebruikt, om aan Kuehl’s definitie te refereren. In het kunstmatig gecreëerde cyberdomein is de menselijke input een belangrijke factor. 26 Als vierde en laatste is er de overheidsdimensie, een domein die nog zeer minimaal vertegenwoordigd is. Hoewel vele overheden trachten enige regelgeving binnen het cyberdomein op te stellen, is het probleem van de overheid dat het cyberdomein an sich niet compleet te reguleren is. De overheid kan enige macht uitoefenen over de fysieke infrastructuur van het cyberdomein die binnen de landsgrenzen ligt, zoals glasvezelkabels en telefoonlijnen, echter hierbij moet worden aangetekend dat in de meeste landen deze infrastructuur grotendeels in handen is van private partijen, zoals eerder uiteengezet. Een belangrijk voorbeeld van dergelijke fysieke infrastructuur is de ‘Global Undersea Communications
Cable
Infrastructure’
(GUCCI),
een
ondergronds
en
onderzees
kabelnetwerk tussen verschillende continenten, die één van de belangrijkste onderdelen van de cyberinfrastructuur vormt. 27 Het niet-fysieke deel van het cyberdomein daarentegen, wat de overgrote meerderheid van het domein beslaat, is niet aan geopolitieke grenzen gebonden. Virtuele informatie die zich binnen het cyberdomein bevindt is vaak over vele verschillende netwerken en servers verspreid, en daarmee verdeeld over verschillende landen. Dit is één van de redenen waarom regulering zeer lastig tot stand is te brengen. 28 De enige invloed die een overheid kan uitoefenen is het opstellen van gedragsprotocollen voor ISP’s, of het filteren van netwerken, wat bijna inherent leidt tot censuur. Een voorbeeld van dit laatste is de ‘Great Firewall’ van de Chinese overheid, die alle inkomende en uitgaande informatie van de 24 Elihu Zimet en Edward Skoudis, ‘A Graphical Introduction to the Structural Elements of Cyberspace’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 91-112. 25 Zimet en Skoudis, ‘A Graphical Introduction to the Structural Elements of Cyberspace’ (Washington DC 2009) 91-112. 26 Ibidem. 27 Karl Frederick Rauscher en Andrey Korotkov, ‘Working Towards Rules for Governing Cyber Conflict. Rendering the Geneva and Hague Conventions in Cyberspace’, EWI Russia – U.S. Bilateral on Critical Infrastructure Protection (New York 2011) 12. 28 Harold Kwalwasser, ‘Internet Governance’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 491-501.
14
Chinese internetgebruikers controleert en dit op deze wijze naar eigen inzicht kan censureren. 29 CYBERAANVALLEN De uniciteit van het cyberdomein ten opzichte van de andere vier domeinen, land, zee, lucht en de kosmische ruimte, leidt tot zowel dreigingen als kansen binnen dit cyberdomein. Alvorens naar deze dreigingen te kijken, is het van belang te onderzoeken welke middelen actoren hebben om deze dreigingen concreet te laten worden. Binnen het cyberdomein is een cyberaanval het belangrijkste middel om schade te kunnen berokkenen aan anderen. Cyberaanvallen zijn er in vele varianten, echter er zijn altijd drie componenten noodzakelijk om een cyberaanval succesvol te kunnen laten worden: een zwakke plek in het aan te vallen systeem, toegang tot deze zwakke plek en de mogelijkheid om schade aan te richten of informatie te vergaren nadat toegang is verkregen. 30 Botnets en DDoS-aanvallen De belangrijkste methodes van cyberaanvallen zijn ‘DDoS-aanvallen’ en aanvallen door middel van een virus, ‘worm’ of ‘Trojaans paard’. In eerste plaats de ‘Distributed Denial of Service’-aanvallen, kortweg DDoS-aanvallen. DDoS-aanvallen maken gebruik van grote groepen door de aanvaller geïnfecteerde computers die volledig in handen zijn van deze aanvaller, oftewel ‘botnets’. 31 Een geïnfecteerde computer, een ‘bot’, is vaak een computer die verbonden is aan het internet met een breedband verbinding. De aanvaller infecteert een dergelijke computer op afstand, vaak zonder dat de eigenaar of gebruiker van een dergelijke computer hier weet van heeft, en kan vanaf dan de capaciteit van een dergelijke computer benutten. Bij een DDoS-aanval zorgt een aanvaller eerst dat hij een heel netwerk van deze ‘bots’ tot zijn beschikking heeft, een botnet, zodat hij vervolgens de capaciteit van dit hele botnet kan gebruiken voor zijn aanval. 32 De DDoS-aanval richt zich vervolgens op een doel, vaak een website, waarbij de aanvaller zijn complete botnet tegelijk deze website laat bezoeken en deze bezoeken zichzelf automatisch laat herhalen. Hierdoor wordt deze website ernstig overbelast, met als gevolg dat de website niet meer zal werken, waardoor ook
29 Joseph S. Nye, The Future of Power. And Use in the Twenty-First Century (New York 2011) 168188. 30 William A. Owens, e.a., ‘Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities’, National Research Council of the National Academies (Washington DC, 2009) 83-89. 31 Jeffrey Carr, Inside Cyber Warfare (Sebastopol 2009) 5-32. 32 In juli 2010 werd het grootste ‘botnet’ tot dan toe opgerold. Dit ‘Mariposa-botnet’ had een omvang van circa 12 miljoen computers, en werd gerund door een 23-jarige Sloveen. (NRC, ‘Sloveens brein achter botnet gearresteerd’, NRC Handelsblad (28 juli 2010) (24 mei 2011) 1.
15
‘normale’ bezoekers de website niet meer zullen kunnen bezoeken. 33 Een DDoS-aanval is vergelijkbaar met een generaal die een aantal bataljons militairen allemaal tegelijk een plaatselijke supermarkt instuurt, waardoor de supermarkt tot de nok toe gevuld is met militairen, met als gevolg dat normale klanten geen boodschappen meer kunnen doen. Verdediging tegen dergelijke DDoS-aanvallen is zeer complex, omdat door het gebruik van botnets de ‘bezoekers’ vanuit een groot aantal locaties de website bezoeken. Hierdoor is simpelweg één computer of locatie de toegang tot de website ontzeggen geen optie. Twee spraakmakende voorbeelden van DDoS-aanvallen zijn de aanvallen op Estland (2007) en Georgië (2008). Op 27 april 2007 braken er rellen uit in Tallinn, Estland, nadat de Estse overheid de opdracht had gegeven om een Russisch oorlogsmonument uit het tijdperk van de Sovjet Unie te verplaatsen. Deze verplaatsing werd als zeer beledigend beschouwd in Moskou door de Russische volksvertegenwoordiging en in de Russische media. 34 Estland had de laatste jaren intensief geïnvesteerd in het cyberdomein, met een grote dekking van breedbandinternet en het bovengemiddelde gebruik van internet in het dagelijks leven, waardoor het land één van de meest ontwikkelde cyberdomeinen ter wereld heeft. Deze mate van ontwikkeling bleek ook direct een zwakte te zijn, gezien het feit dat de capaciteit van Estland om deze ontwikkelde infrastructuur te onderhouden nog enigszins beperkt was. Het resultaat was dat Estland slachtoffer werd van de grootste DDoS-aanval tot dan toe. In de eerste fase van de aanval werden enkele webpagina’s aangevallen, die vervolgens onbruikbaar werden, hetgeen echter door de overheid werd afgedaan als een actie van enkele geïrriteerde Russische hackers als gevolg van het verplaatsen van het monument. Deze eerste aanval was echter slechts een ‘speldenprik’. De aanvallers, tot op heden nog altijd onbekend, echter wel getraceerd naar Rusland, beschikten over meerde botnets, waardoor er miljoenen computers (bots) tot hun beschikking stonden. Echter, in plaats van webpagina’s aan te vallen, zoals vaak bij DDoS-aanvallen, werden er aanvallen geplaatst op servers die het cyberdomein draaiende hielden. Hierop draaide het telefoonnetwerk, stonden alle creditcardgegevens opgeslagen en dit was de basis van internet in Estland. Deze aanvallen, die niet enkele dagen maar weken voortduurden, maakte eerst alle communicatie met de overheid onmogelijk, vervolgens werd het telefoonnetwerk aangetast, alle websites en elektronisch betalingsverkeer van banken onklaar gemaakt, etc. Hiermee werd Estland de facto ‘platgelegd’. 35 Hoewel Estland de kwestie voor de Noord-Atlantische Raad van de NAVO bracht, was de NAVO onzeker of deze aanval moest worden geplaatst binnen een ‘Artikel 5-aanval’
33 Owens, ‘Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities’, 92-96. 34 Clay Wilson, ‘Cyber Crime’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 415-436. 35 Clarke en Knake, Cyber War, 13-21.
16
volgens het NAVO-handvest, waarbij de overige NAVO-lidstaten verplicht zouden zijn om steun te verlenen ‘by all necessary means’ 36 . Als gevolg daarvan stuurden de NAVO-lidstaten een team experts om Estland te ondersteunen in het oplossen van dit probleem. Uiteindelijk formeerde de Estse overheid ad hoc een responsteam, met hulp van de experts uit de overige NAVO-lidstaten. Dit team wist na enige tijd de DDoS-aanval te beëindigen en Estland terug op het ‘normale’ niveau te brengen. Ze slaagden er echter nooit in de aanvallen daadwerkelijk toe te schrijven aan een concrete actor. Bijzonder aan deze DDoS-aanval op Estland is het feit dat de aanval niet op één of enkele websites was gericht, zoals vaak het geval, maar op bijna de gehele Estse cyberspace, waardoor het dagelijks leven in Estland ernstig te leiden had onder de aanval. Ten aanzien van de aanvallers blijft veel onbekend. De Russische overheid heeft alle betrokkenheid vanaf het begin van de aanval ontkend, maar weigerde niettemin de diplomatieke verzoeken om mee te werken aan het traceren van de aanvallers, ondanks het feit dat Rusland dit verplicht is als gevolg van een bilateraal coöperatieverdrag, een Mutual Legal Assistance Treaty (MLAT), ten aanzien van juridische zaken. 37 Een enigszins andere situatie was gaande bij het conflict in Georgië, in de zomer van 2008. Georgië had reeds sinds het uiteenvallen van de Sovjet Unie in het begin van de jaren ’90 problemen om de macht te handhaven in twee van zijn regio’s, Zuid-Ossetië en Abghazië. Dit resulteerde in meer autonomie voor beide regio’s, met steun van Rusland vanwege de grote Russische populatie in de regio’s. In juli 2008 lokten rebellen uit Zuid-Ossetië een conflict uit met Georgië door een serie raketten op Georgische dorpen af te vuren. Georgië antwoordde met het bombarderen van de hoofdstad van Zuid-Ossetië, Tsinvali, en voerde een invasie uit in het gebied. 38 Dit was het moment dat ook het Russische leger zich ermee ging bemoeien door Georgië binnen te vallen, leidend tot een terugtrekking van Georgische troepen uit Zuid-Ossetië om het eigen territorium te kunnen beschermen tegen de Russen. Tegelijk met de inval van de Russen in Georgië startten Russische cybermilitairen met een DDoS-aanval op de Georgische overheids- en mediawebsites (zowel binnen- als buitenlandse media), met als doel om de Georgische burgers zo onwetend mogelijk te laten over de ontstane situatie en gebeurtenissen. Dus waar de cyberaanval op Estland de DDoS-aanval als enige wapen gebruikte, was de DDoS-aanval op Georgië onderdeel van de Russische aanval op Georgië, naast de ‘conventionele’ inval op Georgisch grondgebied. 39 Dit conflict is het eerste interstatelijke conflict waarbij cyberwar onderdeel van het conflict was. 40 De vijfdaagse
NAVO Handvest artikel 5, Noord Atlantische Verdragsorganisatie (24 mei 2011) 1. 37 Scott J. Shackelford, ‘State Responsibility for Cyber Attacks: Competing Standards for a Growing Problem’, University of Cambridge (Cambridge 2010) 1-11. 38 Charles King, 'The Five-Day War', Foreign Affairs 87:6 (New York 2008) 2-11. 39 Clarke en Knake, Cyber War, 13-21. 40 Richard Stiennon, Surviving Cyber War (Plymouth 2010) 85-104. 36
17
oorlog tussen Rusland en Georgië eindigde na onderhandelingen op initiatief van de Franse president Nicolas Sarkozy. 41 Virussen, wormen en Trojaanse paarden Naast de DDoS-aanvallen is er een tweede belangrijke categorie van cyberaanvallen, namelijk degene die gebruik maken van virussen, ‘wormen’ en ‘Trojaanse paarden’, allen vallend onder de categorie ‘malware’. Een Trojaans paard is een programma dat in eerste instantie onschuldig lijkt, echter kwaadaardig kan worden indien aan bepaalde condities wordt voldaan, bijvoorbeeld door het opstarten van andere programma’s of bepaalde handelingen op internet. In dat geval kan het de acties uitvoeren die de maker van het Trojaanse paard had geprogrammeerd, zoals het verwijderen van bepaalde (of alle) bestanden op een PC, het beschadigen van bepaalde programma’s of het onbruikbaar maken van hardware, zoals een printer of monitor. 42 Virussen en wormen zijn vaak de ‘dragers’ van een Trojaans paard, en loodsen dit Trojaanse paard het systeem binnen, echter kunnen ook zelf schadelijk zijn. Een virus is een bestand dat wordt vastgemaakt aan een ‘normaal’ programma of bestand. Kenmerkend voor een virus is echter dat er altijd een ‘menselijke’ handeling aan te pas moet komen om het virus te activeren, door het bestand waaraan het virus is gekoppeld te openen. Vervolgens is het virus zelf in staat zich te verspreiden. Een worm is een klein bestand dat lijkt op een virus, echter met als belangrijkste verschil dat het geen ‘menselijke’ handeling nodig heeft om te worden geactiveerd of verspreid. Hierdoor is de verspreiding van wormen vaak sneller dan van virussen. Virussen en wormen kunnen schade aanrichten op een systeem dat is geïnfecteerd, of bijvoorbeeld bestanden versturen naar een vooraf geselecteerd adres. Wat echter de meest gebruikte eigenschap is, is het feit dat een virus of worm een ‘backdoor’ kan creëren op een systeem of netwerk, waardoor degene die het virus of de worm heeft gemaakt zonder belemmering het geïnfecteerde systeem of netwerk kan beheren, vaak zonder dat de gebruiker van het systeem of netwerk dit merkt.
43
Dit kan bij
vitale overheidssystemen tot grote risico’s leiden, bijvoorbeeld wanneer aanvallers het beheer krijgen over een systeem dat de basis vormt voor een luchtverkeersleiding of de aansturing van energiecentrales. Daarnaast worden backdoors veel gebruikt om informatie te vergaren, de zogenaamde cyberspionage. 44 DREIGINGEN BINNEN HET CYBERDOMEIN De dreigingen binnen het cyberdomein kunnen worden onderverdeeld in zes categorieën, met elk hun eigen actoren van belang. Deze dreigingen kunnen zowel intern als extern zijn, King, 'The Five-Day War', 2-11. Owens, e.a., ‘Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities’, 86-89. 43 Konrad Rieck, e.a., ‘Learning and Classification of Malware Behavior’, Detection of Intrusions and Malware, and Vulnerability Assessment (Berlijn 2008) 108-125. 44 Stiennon, Surviving Cyber War, 19-25. 41
42
18
dus ofwel een dreiging binnen het cyberdomein, zoals een cyberaanval, ofwel een dreiging van buitenaf die het cyberdomein aantast, zoals het vernietigen van netwerkkabels of datacentra. In de eerste plaats zijn er de militaire dreigingen, direct gericht op militaire doelen. Het defensieapparaat van een staat is tegenwoordig zeer afhankelijk van communicatie- en informatietechnologie. Van wapensystemen met GPS-gestuurde raketten tot onbemande en op afstand bestuurde vliegtuigjes (‘drones’); het slagveld is zeer afhankelijk van technologie. 45 Gezien het feit dat deze technologie voornamelijk wordt bediend en onderling ‘communiceert’ via cyberspace, kan (vijandelijke) inbreuk op dit cyberdomein grote gevolgen hebben. Een tweede categorie dreigingen zijn de non-militaire dreigingen, dus niet direct gericht op militaire doelen. De non-militaire dreigingen zijn doorgaans gericht op vitale onderdelen van het staatsapparaat. Voorbeelden van dergelijke doelen zijn infrastructuur, energievoorziening en cruciale financiële instellingen. Een recente illustratie van een dergelijke aanval op non-militair doel is de ‘Stuxnet-worm’. 46 Bij de Stuxnet-worm, ontdekt in juli 2010, creëerden de aanvallers een backdoor, nadat de worm het systeem van een nucleaire reactor en een uraniumverrijkingsfabriek in Iran was ingebracht. Via de gecreëerde backdoor kon er informatie worden vergaard vanuit deze fabrieken, en nadien werd het systeem lange tijd platgelegd, waardoor de fabrieken niet langer functioneerden. 47 Hoewel de makers en verspreiders van de Stuxnet-worm nog altijd niet met zekerheid zijn aan te wijzen, wordt er door deskundigen vanuit gegaan dat de Stuxnet-worm ontwikkeld is met hulp van één of meerdere staten. Dit rust voornamelijk op het argument dat er is gebleken dat “een dergelijke mate van succes zoals de Stuxnet-worm had, slechts kon worden behaald indien de ontwikkelaars van de worm kennis zouden hebben van de werking van de systemen in de nucleaire reactor en uraniumverrijkingsfabriek”, aldus Roel Schouwenberg, ‘senior researcher’ bij het Russische Kaspersky Lab. 48 Desondanks is duidelijk dat de worm zeer veel schade heeft aangericht in de Iranese atoomindustrie, en daarmee een illustratie is van de gevolgen die een cyberaanval met zich mee kan brengen bij non-militaire dreigingen. De derde categorie van dreigingen in het cyberdomein beslaat terrorisme en extremisme. Het asymmetrische karakter van het cyberdomein, waarin beschikking over de juiste kennis en techniek belangrijker lijkt te zijn dan de capaciteit en het beschikbare budget, is zeer waardevol voor – kwaadwillige – non-statelijke actoren, zoals terroristische en extremistische organisaties. Het is niet bekend in hoeverre terroristische danwel extremistische groeperingen beschikken over een bepaalde mate van kennis die zij zouden Cornish, ‘On Cyber Warfare’, 5-10. Ibidem. 47 Ibidem,7. 48 Vraaggesprek met Roel Schouwenberg, ‘Senior Anti-Virus Researcher’ bij het ‘Global Research & Analysis Team’ van het ‘Kaspersky Lab’, bij de Second Worldwide Cybersecurity Summit (Londen, 2 juni 2011). 45
46
19
kunnen inzetten voor eventuele cyberaanvallen. Wel is duidelijk dat makkelijk toegankelijke internet- en netwerkvoorzieningen, zoals smartphones, online kaartensoftware (bijvoorbeeld Google maps) en communicatiemogelijkheden (bijvoorbeeld e-mail en chat), vitale onderdelen zijn geworden van terroristische en extremistische groeperingen. 49 Als vierde is cyberspionage een reële dreiging binnen het cyberdomein. Cyberspionage kan plaatsvinden op zowel statelijk (militair) niveau, bijvoorbeeld door het blootleggen van – gevoelige – staatsinformatie, als op non-statelijk (civiel) niveau, bijvoorbeeld door het stelen van handelsgegevens of commerciële data. 50 Dit alles met als doel om door een superioriteit aan informatie simpelere overwinningen te behalen tegen minder kosten. 51 De omvang van spionage is onbekend. Wel zijn twee zaken van cyberspionage recent publiekelijk geworden, waarbij China in 2007 trachtte te spioneren in systemen van de VS en het Verenigd Koninkrijk (de zgn. ‘Titan rain’-aanvallen) en in 2009 in systemen van de Tibetaanse overheid (de ‘GhostNet’-affaire). Ook meerdere commerciële bedrijven, waaronder Google, claimen slachtoffer te zijn geweest van cyberspionage, wat bevestigt dat zowel statelijke als non-statelijke actoren deel uitmaken van de dreiging van cyberspionage. 52 De vijfde categorie dreigingen binnen het cyberdomein is die van economische cybercrime. Financiële instellingen zijn in toenemende mate een doelwit van cyberaanvallen, met name vanwege de digitalisering van de financiële sector, waardoor het aantrekkelijker wordt voor de georganiseerde misdaad. Criminelen zijn dan ook de voornaamste actoren in relatie tot deze dreiging, met financieel gewin als voornaamste motief. Toch, zo stelt ook Paul Cornish van het Chatham House, indien deze aanvallen op financiële instellingen langere tijd en in hoge mate voortduren, kunnen ze wel degelijk een risico gaan vormen voor de financiële industrie. In 2010 werd de schade als gevolg van financiële cybercrime wereldwijd geschat op ongeveer één biljoen dollar per jaar. Een dergelijke omvang leidt al gauw tot bemoeienis van de staat met dreigingen in deze categorie, om de effecten hiervan op de staatsveiligheid te marginaliseren. 53 Als zesde en laatste categorie zijn er dreigingen met betrekking tot psychologische oorlogvoering. Infiltratie in systemen die voor veilig werden aangenomen, en eventuele aantasting van de infrastructuur bij cyberaanvallen kan leiden tot een groter gevoel van onveiligheid. Dit gevoel van onveiligheid creëren kan een belangrijk doel zijn van de aanvaller, en kan leiden tot onrusten en paniekreacties onder de bevolking. 54 Hoewel deze
Cornish, ‘On Cyber Warfare’ (Londen 2010) 5-10. Ibidem. 51 Wang Pufeng, ‘The Challenge of Information Warfare’, China Military Science (Bezocht op 26 mei 2011) 1. 52 Cornish, ‘On Cyber Warfare’ (Londen 2010) 5-10. 53 Ibidem. 54 Ibidem. 49
50
20
dreiging dus niet als directe dreiging kan worden beschouwd, is de uitwerking ervan een factor om in ogenschouw te nemen en te blijven houden binnen het cyberdomein. KANSEN BINNEN HET CYBERDOMEIN Naast dreigingen die er binnen het cyberdomein bestaan, zijn er ook belangrijke kansen hierbinnen. Kansen binnen dit domein zijn er in vele opzichten, van nieuwe commerciële mogelijkheden voor bedrijven tot de invoering van een geautomatiseerd betalingssysteem in het openbaar vervoer. Omwille van de focus van deze scriptie zal hier vooral gekeken worden naar de kansen in militair opzicht. Binnen deze categorie kunnen deze kansen uiteengezet worden in een strategische, operationele en tactische onderverdeling. Strategische kansen liggen in het feit dat door het cyberdomein oorlogvoering door middel van de eerder uiteengezette Net-centric Operations (NCO’s)
mogelijk
wordt
gemaakt.
Door
deze
NCO’s
kunnen
voordelen
in
de
informatievoorziening worden omgezet in voordelen in gevechtssituaties ‘op de grond’. Een tweede strategische kans ligt in het feit dat door oorlogvoering in en met behulp van het cyberdomein er nieuwe zwaartepunten zullen ontstaan in oorlogvoering. Concepten als cyberdeterrence en cyberaanvallen worden van groter belang binnen de moderne oorlogvoering, echter zijn binnen de meeste militaire organisaties lang niet concreet in gebruik. Door hierin te investeren kan er een voorsprong en daarmee voordeel worden behaald. Naast strategische kansen zijn er operationele kansen. In de eerste plaats is er de operationele kans van het faseren van operaties. Door de toenemende invloed van informatie- en communicatietechnologie (ICT) binnen militaire operaties kunnen deze operaties makkelijker worden opgedeeld over verschillende eenheden, omdat de communicatie tussen deze eenheden geen belemmering vormt in de uitvoering. Daarom zijn er niet altijd grote teams noodzakelijk om een operatie uit te voeren, echter kunnen door middel van ICT verschillende kleine teams op het zelfde moment een operatie op verschillende locaties uitvoeren. Een tweede operationele kans is de verhoging van effectiviteit van zowel manschappen als materieel. Door het gebruik van het cyberdomein kunnen bijvoorbeeld bombardementen met een zeer hoge precisie worden uitgevoerd, waardoor de effectiviteit van dergelijke bombardementen enorm groeit. Een ander voordeel hiervan is dat bombardementen hiermee goedkoper worden, vanwege het feit dat er gemiddeld minder bombardementen noodzakelijk zijn om een doel uit te schakelen. Ditzelfde concept geldt voor manschappen. Door het gebruik van ICT tussen manschappen onderling, maar ook bijvoorbeeld de efficiëntere inlichtingenvergaring die mogelijk wordt gemaakt door het cyberdomein, stijgt de effectiviteit van dergelijke manschappen. Tenslotte zijn er kansen op het gebied van tactiek. Tegenstanders in gevechtssituaties kunnen met behulp van het cyberdomein sneller en makkelijker worden ontdekt en
21
getraceerd. Dit leidt tot meer inlichtingen, waardoor er een effectievere tactiek kan worden bepaald in gevechtssituaties. Naast deze stijging in efficiëntie is er minder sprake van hinderlagen of verrassingsaanvallen door een tegenstander, en daarmee tot minder slachtoffers aan eigen zijde. 55 CONCLUSIE Gregory J. Rattray (National Defence University) heeft een studie gedaan naar de karakteristieken van het cyberdomein in verhouding tot de andere vier domeinen van oorlogvoering, zoals weergegeven in bijlage 2. Het cyberdomein is uniek in vergelijking met de andere vier domeinen. De belangrijkste factor die hieraan bijdraagt is het feit dat het cyberdomein het enige domein is dat door de mens is gecreëerd. Door de explosieve groei van het cyberdomein en de toenemende integratie van gebruikers in het cyberdomein wordt de onderlinge verbinding steeds intensiever. Deze intensivering leidt tot een snellere en efficiëntere manier van werken, leven en communiceren, echter brengt inherent ook een groeiende kwetsbaarheid met zich mee. Kansen en dreigingen binnen het cyberdomein zijn er in vele opzichten. In dit hoofdstuk zijn de kansen en dreigingen uiteengezet die in de recente jaren belangrijk werden geacht. Echter, gezien het karakter van het cyberdomein van snelle ontwikkeling en innovatie zijn de kansen en dreigingen aan snelle verandering onderhevig. Aangaande de dreigingen zijn er zes belangrijke categorieën van dreigingen. In eerste plaats zijn er de militaire dreigingen, direct gericht op militaire doelen. Het defensieapparaat van een staat is tegenwoordig
zeer
afhankelijk
van
communicatie-
en
informatietechnologie,
wat
kwetsbaarheden met zich meebrengt. Een tweede categorie zijn de non-militaire dreigingen, doorgaans gericht op vitale onderdelen van het staatsapparaat. Een recente illustratie van een dergelijke aanval op non-militair doel is de ‘Stuxnet-worm’. De derde categorie van dreigingen zijn terrorisme en extremisme. Het asymmetrische karakter van het cyberdomein, waarin beschikking over de juiste kennis en techniek belangrijker lijkt te zijn dan capaciteit en beschikbaar budget, is zeer waardevol voor – kwaadwillige – non-statelijke actoren, zoals terroristische en extremistische organisaties. Als vierde is cyberspionage een reële dreiging binnen het cyberdomein. Dit heeft als doel om door een superioriteit aan informatie simpelere overwinningen te behalen tegen minder kosten. De vijfde categorie dreigingen binnen het cyberdomein is die van economische cybercriminaliteit. Financiële instellingen zijn in toenemende mate een doelwit van cyberaanvallen, met name vanwege de digitalisering van de financiële sector, waardoor het aantrekkelijker wordt voor de georganiseerde misdaad. Als zesde en laatste categorie zijn er dreigingen met betrekking tot psychologische oorlogvoering. Infiltratie in systemen die voor veilig werden aangenomen en eventuele
55
Starr, ‘Toward a Preliminary Theory of Cyberpower’, 50-59.
22
aantasting van de infrastructuur bij cyberaanvallen kunnen leiden tot een groter gevoel van onveiligheid. Dit gevoel van onveiligheid creëren kan een belangrijk doel zijn van de aanvaller en kan leiden tot onrusten en paniekreacties onder de bevolking. Kansen binnen het cyberdomein, in militair opzicht, kunnen uiteengezet worden in een strategische, operationele en tactische onderverdeling. Strategische kansen liggen voornamelijk op het gebied van NCO’s en het gebruik van concepten als cyberafschrikking en cyberwarfare. Operationele kansen zijn er voornamelijk op het gebied van verhoging van de effectiviteit van zowel manschappen als de planning en uitvoering van operaties. Kansen op het gebied van tactiek tenslotte, liggen voornamelijk in groeiende mogelijkheden tot het verzamelen van informatie en inlichtingen over de vijand.
23
HOOFDSTUK 3 | CYBERPOWER EN TRADITIONELE MACHTSINSTRUMENTEN Cyberpower, het middelste niveau van de piramide van Starr, is van een andere orde dan het cyberdomein. Daar waar het cyberdomein als infrastructuur an sich bestaat, is cyberpower een begrip dat uitgaat van de potentie om dit cyberdomein te gebruiken. Daniel Kuehl kwam bij het definiëren van cyberpower, analoog aan definities die zijn opgesteld over macht in de lucht en op zee 56 , tot de volgende definitie: “(…) cyberpower is the ability to use cyberspace to create advantages and influence events in all the operational environments and across the instruments of power” 57 . De hoogste effectiviteit van cyberpower kan dus worden behaald door cyberspace te gebruiken om voordelen te creëren in de P/DIME-sectoren. De vraag is nu in hoeverre cyberpower uitwerking heeft en kan hebben binnen deze afzonderlijke P/DIME-sectoren. DE INVLOED VAN CYBERPOWER Er zijn een aantal factoren van belang bij cyberpower. Zoals eerder uiteengezet, richt cyberpower zich voornamelijk op de mogelijkheid om cyberspace te gebruiken op een manier die tot voordelen kan leiden. Bij het gebruiken van cyberspace, en daarmee het creëren van cyberpower, zijn technische en organisatorische factoren belangrijk. Om cyberspace te kunnen betreden en vervolgens te gebruiken is in eerste plaats techniek nodig. Binnen het door de mens gemaakte cyberdomein verandert de techniek dusdanig snel dat een voorsprong op dit gebied een voorsprong binnen het cyberdomein met zich meebrengt. Organisatorische factoren zijn van belang omdat de rol van cyberpower binnen organisaties, zowel gouvernementeel als non-gouvernementeel, bepaalt in hoeverre deze cyberpower in staat is om de P/DIME-sectoren te beïnvloeden. 58 Politiek / diplomatiek Op politiek/diplomatiek vlak is de rol van cyberpower in grote mate toegenomen in de laatste decennia. Het uitdragen van beleid, het bereiken van de burger, de gegevensverwerking van burgerzaken, etc.; alles is onder invloed van cyberpower komen te staan, ook internationaal. Satelliet-tv en internet, beide gebruik makend van het cyberdomein als infrastructuur, zijn de Respectievelijk “Airpower is the ability to use space off the surface of the earth to decide war on the surface” door Richard Kohn (Richard Kohn en Joseph P. Harahan, ‘US Strategic Air Power, 19481962’, International Security 12:4 (Cambridge 1988) 78-87) en “Seapower is a nation’s ability to enforce its will upon the sea” door William Oliver Stephans en Allan Westcott (William Oliver Stephans en Allan Westcott, A History of Seapower (New York 1920) 443). 57 Kuehl, ‘From Cyberspace to Cyberpower’, 38. 58 Kuehl, ‘From Cyberspace to Cyberpower’, 32-42. 56
24
twee krachtigste media waarmee invloed wordt uitgeoefend. 59 Op politiek vlak is dit hierdoor een zeer belangrijke factor geworden, helemaal in de laatste decennia sinds de introductie van het internet, waarmee bijna de gehele wereldbevolking potentieel te bereiken is. Het winnen van de ‘hearts and minds’ van burgers, bijvoorbeeld in de Amerikaanse ‘war on terror’, is hierdoor makkelijker. 60 Dus naast het feit dat vele praktische (burger)zaken via het cyberdomein kunnen worden geregistreerd en beheerd, lijkt de belangrijkste kracht van cyberpower op politiek/diplomatiek vlak te liggen in het feit dat door het gebruik van het cyberdomein de burger dusdanig simpel te bereiken is dat cyberpower een extra ‘troef’ vormt in de dialoog op interstatelijk niveau. Immers, overheidsafgevaardigden kunnen uitkomsten of problemen dusdanig snel openbaar maken aan een groot publiek dat dit een grote invloed kan hebben op deze onderhandelingen. Het feit dat regeringsleiders deze optie tot snel informeren en daarmee beïnvloeden van de publieke opinie achter de hand hebben leidt tot de constatering dat politieke/diplomatieke macht versterkt kan worden met het gebruik van cyberpower. Naast versterking van deze sector door middel van cyberpower kan het hierbinnen echter ook belangrijke kwetsbaarheden met zich meebrengen. Vooral het openbaar maken van geclassificeerde diplomatieke post, zoals de laatste jaren gebeurde in de WikiLeaks-affaire, is een nadeel gebleken van het gebruik van cyberpower op politiek/diplomatiek vlak. 61 Het vertrouwelijke karakter, dat een basis vormt voor communicatie in deze sector, wordt bedreigd door het open karakter dat het cyberdomein met zich meebrengt. Informatief De informatiesector is een zeer breed begrip, waarbij het moeilijk te bepalen is wat hier wel en niet onder verstaan kan worden. Starr gaat in zijn theorie aangaande P/DIME niet concreet in op de inhoud van deze sectoren. Toch lijkt het evident dat bijvoorbeeld communicatie hier redelijk onbetwist onderdeel van uitmaakt. Een recent voorbeeld van de toevoeging van cyberpower aan deze sector kan worden herkend in het ontstaan van de Jasmijnrevolutie in Tunesië (december 2010) en de revolutie in Egypte (januari 2011). Door het gebruik van het cyberdomein, voornamelijk via ‘social media’ als Facebook en Twitter, werden in deze landen in zeer korte tijd zeer veel deelnemers ‘geronseld’ die meededen in de protesten tegen het regime. Hierdoor werden de protesten binnen zeer korte tijd zeer massaal, wat in beide landen uiteindelijk leidde tot een revolutie. Dit verschijnsel van het gebruik van cyberpower in de onderlinge communicatie in het revolutieproces staat ook bekend als de ‘Google-doctrine’ 62 . Deze Google-doctrine was voor het eerst zichtbaar bij de verkiezingen in Iran in 2009, waarbij protesten, geleid door de ‘Groene beweging’, Evgeny Morozov, The Net Delusion. The Dark Side of Internet Freedom (New York 2011) 241-244. Kuehl, ‘From Cyberspace to Cyberpower’, 32-42. 61 Micah L. Sifry, WikiLeaks and the Age of Transparency (Berkeley 2011) 15-69. 62 Morozov, The Net Delusion, 1-32. 59
60
25
uiteindelijk met veel moeite door het Iranese regime werden neergeslagen en het regime ternauwernood aan een revolutie wist te ontsnappen. 63 Andere manieren waarop cyberpower in deze sector een versterkende werking kan hebben zijn bijvoorbeeld een snellere informatievoorziening van overheid naar burgers, in het bijzonder in bijvoorbeeld noodsituaties, en de overgang van met name schrijvende media van papieren naar digitale edities, leidend tot actuelere en goedkopere informatievoorziening. Militair Bij het beschouwen van de militaire sector zijn er een aantal toevoegingen die cyberpower kan leveren aan de conventionele militair. In de eerste plaats is een belangrijke ontwikkeling die van de reeds uiteengezette ‘Net-Centric Operations’ , waarmee via het cyberdomein en cyberpower conventionele oorlogvoering sterk kan worden ondersteund met informatie en communicatie door middel van het cyberdomein. Naast deze versterking van NCO’s door middel van cyberpower zijn er de cyberaanvallen die als extra mogelijkheid aan de ‘gereedschapskist’ van het defensieapparaat kan worden toegevoegd. Cyberaanvallen, zoals uitgelegd in hoofdstuk 2, gebruiken vooral de methodes van DDoS-aanvallen en aanvallen via virussen, wormen of Trojaanse paarden. Dergelijke aanvallen kunnen ofwel het doel dienen om direct schade toe te brengen aan de tegenstander, danwel informatie verzamelen (cyberspionage) die gebruikt kan worden in de conventionele oorlogvoering met een tegenstander. Om te illustreren hoe cyberpower de militaire sector kan verdiepen is de vergelijking van William A. Owens van het National Research Council of the National Academies bruikbaar, zichtbaar in figuur 3. Zoals blijkt uit figuur 3 zijn cyberaanvallen een zeer waardevolle aanvulling op conventionele oorlogvoering, gezien het feit dat het een daadwerkelijke verbreding van de mogelijkheden omvat. Dit blijkt onder andere uit de vergelijking dat daar waar conventionele oorlogvoering zich voornamelijk focust op directe effecten, zoals het direct vernietigen van een doelwit, cyberwarfare dat doet op indirecte effecten, bijvoorbeeld het ontregelen van het telefoonnetwerk, waardoor onderlinge communicatie bemoeilijkt wordt. Bovendien zijn de kosten voor een cyberaanval over het algemeen lager dan bij conventionele oorlogvoering. Dit omdat de techniek die nodig is voor cyberaanvallen wijdverbreid verkrijgbaar is en lage kosten heeft. Anderzijds heeft cyberwarfare ook zijn nadelen, zoals een hogere onzekerheid in de planning van operaties, wat er mede toe leidt dat de uitkomsten van cyberaanvallen over het algemeen moeilijk te voorspellen zijn. 64 Samenvattend kan er worden gesteld dat cyberwarfare dus een toegevoegde waarde heeft als verbreding van de militaire sector. De effectiviteit lijkt het grootst te zijn door cyberaanvallen naast conventionele oorlogvoering te gebruiken. 63 64
Ibidem. Ibidem, 80-85.
26
Figuur 3| Vergelijking tussen kinetische oorlogvoering en cyberaanvallen. 65
Economisch Hoewel er weinig onderzoek is gedaan naar de rol van cyberpower in de economische sector is het duidelijk dat de deze sector een transformatie heeft ondergaan sinds de ontwikkeling van het cyberdomein. Het creëren van voordelen in deze sector door het gebruik van cyberspace is in de laatste decennia uitvoerig gebeurd.
Zo
is
de
rol
van
internet
onmisbaar geworden met het internetbankieren, speelt bijna de gehele handel op de Amsterdamse effectenbeurs (AEX) zich af in het cyberdomein en is er een wereldwijde groei van 19% van webwinkels (e-commerce) begin 2011 in vergelijking met begin 2010. 66 Nadelen van de toenemende rol van cyberpower in de economische sector liggen vooral op het gebied van de bijbehorende criminaliteit. Van het digitaal stelen van creditcardgegevens en fraude met verzekeringen tot oplichtingen via het telefoonnetwerk: de economische sector heeft te lijden onder cybercriminaliteit. De economische veiligheid is van vitaal belang voor de welvaart in een land, echter is kwetsbaar door de hoge mate van technische ontwikkeling binnen de sector. 67 Belangrijk voorbeeld hiervan is het stelen van miljoenen persoons- en creditcardgegevens van circa 100 miljoen gebruikers van het spelcomputernetwerk ‘Playstation Network’ van fabrikant Sony. Naast het feit dat de gegevens van de circa 100 miljoen gebruikers in onbestemde handen waren gekomen, leed Sony veel schade door de negatieve publiciteit en het aangetaste vertrouwelijke imago. De aandelen van Sony op de
65 Owens, e.a., ‘Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities’, 80. 66 IECA, ‘Wereldwijde groei E-commerce in 2011: 19%’, International E-Commerce Association (28 juni 2011) 1. 67 Aksel Ethembabaoglu, e.a., ‘ICT-kwetsbaarheid en Nationale Veiligheid’, HCSS: Denktank Nationale Veiligheid (Den Haag 2010) 25-35.
27
Japanse effectenbeurs daalden snel, wat leidde tot negatieve sentimenten op deze beurs. Het hacken van deze Sony spelcomputers had dus uiteindelijk gevolgen voor de Japanse economie. Uit recente berekeningen blijkt dat de schade voor Sony als gevolg van dit hacken wordt geschat op circa 170 miljoen dollar. 68 Dus hoewel de sector in hoge mate profiteert van het gebruik van het cyberdomein, door een grote toename in efficiënte en gebruiksgemak, is het door deze toenemende afhankelijkheid ook kwetsbaarder geworden voor de eventuele negatieve gevolgen die het domein met zich mee kan brengen. CONCLUSIE De hoogste effectiviteit van cyberpower ontstaat door cyberspace te gebruiken om voordelen te creëren in de P/DIME-sectoren. De vraag in hoeverre cyberpower uitwerking heeft en kan hebben binnen deze afzonderlijke P/DIME-sectoren is per sector goed te beantwoorden. Op politiek/diplomatiek vlak is de rol van cyberpower in grote mate toegenomen in de laatste decennia. Naast het feit dat in de communicatie tussen burgers en overheid burgers vele praktische zaken via het cyberdomein kunnen afhandelen, lijkt de belangrijkste kracht van cyberpower op politiek/diplomatiek vlak te liggen in het feit dat door het gebruik van het cyberdomein de burger, en daarmee de publieke opinie, dusdanig simpel te bereiken is dat cyberpower van toegevoegde waarde kan zijn op interstatelijk niveau. De vertrouwelijke basis in deze sector kan echter ook nadelen ondervinden van het gebruik van cyberpower, zoals bleek bij de WikiLeaks-affaire. In de informatiesector lijkt de toevoeging van cyberpower tevens een aanvulling op de bestaande instrumenten. Zo zijn social media belangrijk geweest in recente revoluties in Noord-Afrika en kan het cyberdomein zorgen voor snellere en goedkopere informatie-uitwisseling en -voorziening ten aanzien van burgers. Ook op militair vlak is cyberpower een toevoeging aan de reeds bestaande conventionele capaciteiten. Met name ‘Net-Centric Operations’ (NCO’s) en de toegevoegde mogelijkheid van cyberaanvallen zijn twee voorbeelden waarmee cyberpower de militaire sector een verbreding van mogelijkheden biedt. Zoals blijkt uit een vergelijking tussen kinetische oorlogvoering en cyberaanvallen zijn cyberaanvallen een toegevoegde waarde als verruiming van de militaire sector. De effectiviteit lijkt het grootst te zijn door cyberaanvallen naast conventionele oorlogvoering te gebruiken. Voor de economische sector tenslotte heeft de toevoeging van cyberpower geleid tot een grote verandering in het dagelijkse karakter van de sector. Ontwikkelingen als internetbankieren, e-commerce en digitale aandelenhandel hebben ervoor gezorgd dat handelingen binnen de economische sector met een veel hogere snelheid en efficiëntie kunnen worden uitgevoerd. De – negatieve – keerzijde van cyberpower is in de 68
Stuart Dredge, ‘PlayStation Network hack: what every user needs to know’, The Guardian
(12 juli 2011) 1.
28
economische sector ook het grootste van alle sectoren. De groeiende kwetsbaarheid als gevolg van de integratie van cyberpower leidt tot een grote toename in (cyber)criminaliteit, wat grote schadeposten als gevolg heeft, met als recent voorbeeld de hack van het ‘Playstation Network’ van Sony. De constatering dat cyberpower in de ene sector (bijvoorbeeld de economische en informatieve) een grotere invloed kan hebben dan in de andere sector (zoals de militaire en politiek/diplomatieke) leidt tot de conclusie dat cyberpower een verschillende uitwerking heeft in de verschillende sectoren. Desalniettemin kan worden gesteld dat cyberpower in elk van de P/DIME-sectoren een uitwerking heeft in de vorm van verbreding van de mogelijkheden binnen de afzonderlijke sectoren. De keerzijde is dat in een aantal sectoren de kwetsbaarheid hiermee ook is toegenomen, wat in enkele sectoren heeft geleid tot een groei in (cyber)criminaliteit en schadeposten.
29
HOOFDSTUK 4 | CYBERWARFARE: BELEID EN STRATEGIE De top van de piramide van Starr beslaat de cyberstrategie. Teneinde tot een kader te komen waarbinnen een staat cyberwarfare kan uitvoeren en verdedigen dient het een cyberstrategie te ontwikkelen. Na de analyse van de mogelijkheden die cyberpower een staat brengt in hoofdstuk 3, zal in dit hoofdstuk de vraag worden onderzocht wat het belangrijkste beleid aangaande cyberwarfare is. In eerste instantie zal worden ingegaan op het concept cyberwarfare en de karakteristieken hiervan. Vervolgens zal een benadering van het begrip cyberstrategie aan bod komen, waarna van vijf verschillende staten de cyberstrategie zal worden onderzocht. Teneinde tot een meer universele benadering van eventuele elementen van een cyberdoctrine te kunnen komen, en niet slechts een westerse focus te hanteren, is voor de analyse van de cyberstrategieën uitgegaan van de vijf permanente leden van de Veiligheidsraad van de Verenigde Naties, gezien het diverse karakter hiervan. Een wijziging hierin is echter dat Frankrijk eruit is gelaten en Nederland eraan is toegevoegd. Dit als gevolg van het feit dat Frankrijk een zeer summiere benadering van cyberwarfare openbaar heeft gemaakt. Nederland is vervolgens hieraan toegevoegd om de toegankelijke informatie die wordt verschaft en het feit dat Nederland als klein land een interessante analyse op kan leveren tussen de vier overige grootmachten. Het ligt voor de hand dat een klein land een andere cyberstrategie uit zal dragen dan een grootmacht. CYBERWARFARE De dreigingen die het cyberdomein met zich meebrengt zijn groot en vormen dientengevolge een serieuze bedreiging voor de nationale veiligheid van een staat. Veel landen hebben in de laatste jaren een cyberstrategie ontwikkeld met als doel de nationale veiligheid te kunnen waarborgen. Bescherming van het cyberdomein is echter zeer complex. Staten kunnen de fysieke cyberinfrastructuur op hun grondgebied, zoals GUCCI, beschermen, echter het cyberdomein heeft geen afgebakende grenzen die een staat kan verdedigen. Daarnaast is in de westerse landen gemiddeld 80 procent van de vitale nationale cyberinfrastructuur in private handen. 69 De statistieken van cyberaanvallen tegen overheidsinstellingen liegen er dan ook niet om. De Britse overheid ontvangt circa 20.000 kwaadaardige e-mails per dag, in de VS worden de computers van het Pentagon circa 250.000 keer per uur aangevallen, met meer dan 140 buitenlandse inlichtingendiensten die trachten te infiltreren op het
Vraaggesprek met Francis Maude, MP, ‘Minister for the Cabinet Office and Paymaster General’ van de Britse regering, bij de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011). 69
30
Amerikaanse netwerk, en tijdens de Olympische Spelen in 2008 had alleen al Beijing te maken met 12 miljoen cyberaanvallen per dag. 70 De dreigingen van cyberaanvallen werken door in cyberwarfare. Richard A. Clarke, voormalig directeur cyberissues bij het Witte Huis, herkent vijf karakteristieken van cyberwarfare die in het achterhoofd dienen te worden gehouden bij het concept cyberwarfare. Ten eerste is cyberwarfare daadwerkelijk mogelijk. Het lijkt niet langer toekomstmuziek te zijn en het wachten is nog slechts op actoren die hun cybercapaciteiten maximaal gaan gebruiken. Volgens Clarke zijn sommige actoren dan in staat om een volledige moderne natie te ruïneren. 71 Ten tweede is de snelheid van cyberwarfare hoger dan elke andere vorm van oorlogvoering. De tijd tussen het lanceren van een cyberaanval en de uitwerking ervan is minimaal, wat als gevolg heeft dat besluitvorming in crisissituaties grotere risico’s zal gaan behelzen gezien het feit dat er minder bedenktijd is. Als derde is cyberwarfare al gaande op mondiale schaal. Zoals in eerdere hoofdstukken uiteengezet worden bij cyberaanvallen vaak vele computers uit vele verschillende landen gebruikt. Dientengevolge zijn bij cyberwarfare al snel vele staten betrokken. Ten vierde gaat cyberwarfare voorbij aan het slagveld. Cyberaanvallen hoeven niet eerst langs een verdedigingslinie van een staat alvorens schade te kunnen aanrichten in het dagelijks leven van burgers. Banken, telefoonnetwerken en overheidssystemen zijn direct toegankelijk vanuit cyberspace. Als vijfde en laatste legt Clarke nadruk op het feit dat cyberwarfare reeds begonnen is. Het merendeel van de staten is reeds bezig met het opbouwen en testen van cybercapaciteit en het bespioneren van de mogelijkheden van andere staten, zoals bijvoorbeeld de ‘Titan Rain’-aanvallen van China op het Pentagon in 2007. 72 De dreiging van cyberwarfare is dus meer dan concreet. Naast deze dreigingen zijn er problemen in de structurele benadering van cyberwarfare. De twee grootste zijn de vraagstukken rondom toeschrijving van cyberaanvallen en de regulering van cyberwarfare. Een belangrijk probleem is dat van de toeschrijving van cyberaanvallen. Zoals eerder uiteengezet is de anonimiteit die mogelijk is binnen het cyberdomein een bemoeilijkende factor binnen cyberwarfare. Indien een cyberaanvaller over goede kennis en capaciteiten bezit is het mogelijk om nooit achterhaald te worden. Op interstatelijk niveau is het echter noodzakelijk om maatregelen te kunnen nemen tegen de agressor die bij cyberaanvallen niet altijd geïdentificeerd kan worden. Naast het feit dat er geen recht kan worden gedaan is de drempel voor een cyberaanval lager door de mogelijkheid anoniem te blijven. Het tweede grote probleem is de regulering van cyberwarfare. Cyberwarfare is dusdanig nieuw en in een ontwikkelingsfase dat er op interstatelijk niveau zo goed als geen Emma Downing, ‘Cyber Security – A National Programme’, House of Commons Library (Londen 2011) 5-7. 71 Clarke en Knake, Cyber War (New York 2010) 30-31. 72 Ibidem. 70
31
regels zijn opgesteld rondom het gebruik van cyberwarfare. Cyberwarfare kent geen ius ad bellum en ius in bello. Een belangrijk vraagstuk hierbinnen is bijvoorbeeld de status van burgers in cyberwarfare. Bij interstatelijke conflicten en conventionele oorlogvoering zijn de Geneefse Conventies van toepassing voor alle partijen. De Conventies stellen dat burgers ten tijde van een oorlog te allen tijde beschermd dienen te worden. 73 Bij cyberwarfare echter, zijn de burgers van een land vaak voorname slachtoffers. Dit kan worden geïllustreerd met de casus uit Estland, waarbij de massale DDoS-aanval in 2007 grote delen van het cyberdomein platlegde. Grote slachtoffers hierbij waren burgers, die geen gebruik meer konden maken van bijvoorbeeld telefoonnetwerken en internet. 74 De onduidelijke status van cyberwarfare in het spectrum van oorlogvoering leidt tot de ontwikkeling dat onduidelijk is in hoeverre bestaand oorlogsrecht hierbij van toepassing is. Hetzelfde geldt voor de ‘rules of engagement’ waaraan cyberaanvallers zich zouden moeten houden. Ook deze zijn niet vastgelegd of anderszins gereguleerd. Deze kwesties dienen idealiter te worden opgelost, teneinde te voorkomen dat een groot cyberconflict zonder juridisch kader zal worden uitgevochten. CYBERSTRATEGIEËN Bij de vorming van een cyberstrategie moet een staat een groot aantal zaken in overweging nemen alvorens daadwerkelijk een strategie uit te dragen. Een aantal hiervan zullen kort genoemd worden. Zoals Stuart H. Starr uiteenzet, dient er eerst onderscheid worden gemaakt tussen de strijd tegen statelijke actoren, dus de pure cyberwarfare, en de strijd tegen nonstatelijke
actoren,
zoals
terroristische
en
transnationale
criminele
organisaties. 75
Cyberwarfare is daadwerkelijke interstatelijke oorlogvoering, waarbij cyberaanvallen vaak worden uitgevoerd naast conventionele aanvallen. Een cyberstrategie tegen cyberaanvallen door non-statelijke actoren dient echter meer focus te hebben op de achterliggende drijfveren van dergelijke actoren, zoals ideologieën of geld. Zoals echter uit dit hoofdstuk zal blijken wordt het handelen tegen beide soorten actoren vaak in dezelfde cyberstrategie uiteengezet. Naast dit onderscheid dient een overheid rekening te houden met de rol die het speelt binnen cyberspace. In eerdere hoofdstukken werd reeds uiteengezet dat private partners in cyberspace van een veel vitaler belang zijn dan in de andere vier domeinen. Daarom dient de overheid in de strategie op te nemen hoe de verhoudingen met deze private partners dient te zijn en wat daadwerkelijk de rolverdeling is. Onderwerpen van belang hierbinnen kunnen bijvoorbeeld het beheer van de cyberinfrastructuur en de opbouw van cybercapaciteit zijn. Ook is er voor de overheid bij de ontwikkeling van een cyberstrategie de belangrijke afweging die moet worden gemaakt in hoeverre de cyberstrategie offensief kan en mag zijn. ICRC, ‘The Geneva Conventions of 1949 and their Additional Protocols’, International Committee of the Red Cross (4 juli 2011) 1. 74 Clarke en Knake, Cyber War, 13-21. 75 Starr, ‘Toward a Preliminary Theory of Cyberpower’, 62-68. 73
32
Het is aannemelijk dat alle cyberstrategieën een focus leggen op de verdediging van het eigen cyberdomein, echter de vraag die een overheid daarbij dient te stellen is of er ook offensieve handelingen in cyberspace mogen worden verricht, en zo ja, met welke achterliggende gedachte. De mate waarin een staat afhankelijk is van het cyberdomein speelt hierin een rol. Het is waarschijnlijk dat westerse moderne naties het tegengaan van cyberaanvallen hoger op hun agenda hebben staan dan ontwikkelingslanden in sub-Sahara Afrika. Dientengevolge zullen dergelijke westerse landen wellicht eerder geneigd zijn om ook meer offensieve cybercapaciteiten aan te spreken, teneinde het eigen cyberdomein te beschermen. Een bijkomende factor rondom het vraagstuk in hoeverre een offensieve strategie mogelijk is, is het feit dat er binnen de internationale betrekkingen (nog) geen overeenstemming bestaat over de vraag of en wanneer een cyberaanval als een oorlogshandeling kan worden aangemerkt. De cyberstrategie van de VS kan wellicht een voortrekkersrol hierin spelen, zoals verderop in dit hoofdstuk uiteengezet. 76 Tenslotte is er de kwestie rondom cyberafschrikking. Een cyberstrategie kan een defensief
karakter
hebben,
echter
toch
cyberaanvallen
omvatten,
teneinde
de
cyberafschrikking te vergroten. 77 Of de rol van cyberafschrikking is te vergelijken met bijvoorbeeld nucleaire afschrikking is onduidelijk en verdient een eigen onderzoek. Wel kan worden gesteld dat cyberafschrikking belangrijk kan zijn als achterliggende gedachte in een cyberstrategie. Door het tentoonspreiden van zijn mogelijkheden tot cyberaanvallen kan een staat anderen ervan weerhouden hem aan te vallen. Zoals in dit hoofdstuk uiteengezet zal worden lijkt met name China de strategie te gebruiken waarin afschrikking de beste verdediging van het eigen cyberdomein garandeert. Gezien de mogelijkheden die China heeft laten zien ten aanzien van cyberaanvallen lijkt het onwaarschijnlijk dat een westerse natie die in hoge mate afhankelijk is van cyberspace, een cyberoorlog zal starten met China. Dit omdat het eigen cyberdomein van de betreffende westerse natie vitaal is voor het welzijn van zijn burgers. 78 In hoeverre dergelijke overwegingen aan bod zijn gekomen bij de hier onderzochte actoren zal blijken uit analyse van de cyberstrategieën die door hen zijn vrijgegeven. Verenigde Staten Eind mei 2011 kwamen de VS met een nieuwe cyberstrategie 79 , die kan worden beschouwd als een sleuteldocument in de verdere ontwikkeling van cyberstrategieën door staten. Dit omdat de VS als eerste land een strategie hebben uitgegeven waarin cyberaanvallen worden gelijkgesteld aan andere – conventionele – aanvallen. Dientengevolge zullen de VS bij Clarke en Knake, Cyber War (New York 2010) 179-218. Vraaggesprek met Joseph S. Nye, bijzonder hoogleraar aan Harvard University en voormalig hoofd van de John F. Kennedy School of Government van Harvard University, bij de Second Worldwide Cybersecurity Summit (Londen, 2 juni 2011). 78 Clarke en Knake, Cyber War (New York 2010) 189-192. 79 United States of America, International Strategy for Cyberspace. Prosperity, Security, and Openness in a Networked World (Washington D.C. 2011) 3-30. 76 77
33
cyberaanvallen handelen als ware het een conventionele aanval op grondgebied van de VS of een van de NAVO-partners, met alle benodigde middelen. 80 Deze aangekondigde reactie is nog nooit eerder vertoond en maakt deze strategie een sleuteldocument. 81 Dit omdat deze strategie een keuzemoment met zich meebrengt bij de ontwikkeling van cyberstrategie door andere staten. Bij de ontwikkeling van een nieuwe cyberstrategie zal vanaf nu de vraag moeten worden beantwoord of het land dat de strategie ontwikkelt bereid zal zijn om conventioneel te willen ingrijpen, met alle noodzakelijke middelen, in het geval van een cyberaanval. Ofwel, de status van cyberwarfare in verhouding tot andere vorming van oorlogvoering zal in de komende jaren bepaald worden door de rol die het toegedeeld zal krijgen in de ontwikkeling van cyberstrategieën. De strategie van de VS met betrekking tot cyberspace heeft als hoofddoel het beschermen van fundamentele vrijheden, privacy en vrij verkeer van informatie. De strategie is ontwikkeld aan de hand van de ‘3D-benadering’, waarin ‘diplomacy’, ‘defence’ en ‘development’ centraal staan. Het is voor het eerst dat een staat deze 3D-benadering, een concept dat mede door het Nederlandse gebruik in de oorlog tegen de Taliban in Afghanistan ingeburgerd raakte 82 , toepast op cyberwarfare. Ten eerste is er de ‘diplomacy’-component, waarbinnen de hoogste prioriteit voor de VS is om partnerschappen op te bouwen met verschillende actoren, teneinde een stabiele internationale omgeving te creëren voor een maximale veiligheid in het cyberdomein. Deze partnerschappen dienen ten eerste te worden opgezet met andere statelijke actoren, door middel van bi- of multilaterale partnerschappen. De VS willen in hoog tempo afspraken ontwikkelen met gelijkgestemde landen over cyberspace, waarbij gedragsnormen binnen dit domein worden vastgelegd. In de cyberstrategie dragen de VS uit hier een actieve voortrekkersrol in te willen spelen. Naast partnerschappen op interstatelijk niveau willen de VS investeren in partnerschappen met internationale organisaties. Vooral regionale organisaties kunnen in de ogen van de VS een belangrijke rol spelen in de veiligheidsvraagstukken omtrent het cyberdomein in hun regio. Dit omdat de grenzen van het cyberdomein niet zijn gebonden aan statelijke – fysieke – grenzen, waardoor een meer regionale benadering de voorkeur heeft. Ook een organisatie zoals de Verenigde Naties (VN) speelt hierin een belangrijke rol vanwege het groot aantal landen dat is vertegenwoordigd. Eventuele afspraken over een wereldwijde aanpak van de veiligheid binnen het cyberdomein kunnen binnen de VN worden afgetast. Tenslotte spelen partnerschappen met de private sector een belangrijke rol in de cyberstrategie van de VS. Zoals ook in deze scriptie uiteengezet, spelen private actoren een grote rol in het onderhoud
United States of America, International Strategy for Cyberspace, 13-14. Vraaggesprek met Christopher Painter, Coordinator for Cyber Issues of the U.S. Department of State, bij de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011). 82 Bijv. Koen Koch, ‘Afghanistan: draagvlak achter de horizon’, Internationale Spectator 62:6 (Den Haag 2008) 321-322. 80 81
34
en beheer van het cyberdomein. Met name een groot deel van de cyberinfrastructuur is in handen van de industrie en niet van de staat. Daardoor is intense samenwerking met deze industrie van groot belang, teneinde de veiligheid van het ‘vijfde domein’ te kunnen verhogen. 83 Een dergelijke sleutelrol toekennen aan private organisaties gebeurt in veel mindere mate in andere domeinen, maar wordt in het geval van veiligheid in cyberspace als onontkoombaar
beschouwd
door
bijvoorbeeld
denktanks
en
wetenschappelijke
onderzoeksinstituten, en ook door de VS. 84 De tweede component van de 3D-benadering, ‘defense’, is in de cyberstrategie van de VS voornamelijk gefundeerd op het afschrikkingeffect. Zoals eerder uiteengezet hebben de VS in hun cyberstrategie aangekondigd dat zij bij cyberaanvallen zullen handelen als ware het conventionele aanvallen op hun grondgebied of dat van partners. 85 Een dergelijke expliciete benoeming van deze reactie in hun – openbare – cyberstrategie in het geval van een cyberaanval heeft een effect van afschrikking. Deze afschrikking lijkt dan ook de achterliggende gedachte te zijn bij het openbaar maken van deze strategie, gezien het feit dat afschrikking in de cyberstrategie één van de belangrijkste pijlers van defensie is. Dit wordt bevestigd door ferm taalgebruik in de verdere cyberstrategie: “The United States will ensure that the risks associated with attacking or exploiting our networks vastly outweigh the potential benefits” 86 . In het geval van aanvallen door non-statelijke actoren willen de VS verregaande samenwerking van staten, waarbij opsporing en onderzoek naar cyberaanvallers niet langer wordt belemmerd door staatsgrenzen, maar waarbij intensieve samenwerking leidt tot een gezamenlijke aanpak van deze ‘cybercrime’. Naast deze strategie van afschrikking willen de VS zowel intern als in het buitenland meer aandacht voor het onderwerp van veiligheid in cyberspace. Binnenlands door meer uitwisseling van informatie tussen overheidsinstanties maar ook met de private sector en een sterke focus op voorlichting en educatie over cyberspace. Veiligheid van en binnen het cyberdomein is in zeer sterke mate afhankelijk van het bewustzijn van de burger aangaande de risico’s binnen het cyberdomein. Inzake de focus op het buitenland opteren de VS voor een meer offensieve strategie. Naast de defensie van de eigen cyberomgeving is de opsporing van potentiële hackers en cyberaanvallers een speerpunt in de nieuwe strategie. 87 In de balans tussen een defensieve versus offensieve strategie lijkt de nieuwe cyberstrategie van de VS in hogere mate prioriteit te geven aan een offensieve strategie, waarbinnen actieve opsporing een speerpunt is. De derde en laatste component, de ‘development’-component, is vooral gericht op het ontwikkelen van een minimumstandaard aan cybercapaciteit in elk land. Gezien het feit dat United States of America, International Strategy for Cyberspace, 11-12. Bijv. Karl Frederik Rauscher en Zhou Yonglin, ‘Fighting Spam to Build Trust’, East West Institute (New York/Beijing 2011) 37-46. 85 United States of America, International Strategy for Cyberspace, 13-14. 86 Ibidem, 13. 87 Ibidem. 83
84
35
cyberspace niet aan staatsgrenzen gebonden is, doch staten zich wel verantwoordelijk dienen te voelen voor de beveiliging van het cyberdomein, willen de VS ondersteuning bieden in de (mondiale) ontwikkeling van cybercapaciteit. Vanwege het open karakter van het internet en cyberspace in het algemeen zijn landen voor hun veiligheid in dit domein sterk afhankelijk van de beveiligingsmaatregelen die andere landen binnen het cyberdomein treffen. Echter, een hoop landen hebben niet de middelen om een capaciteit aan te leggen waarmee het cyberdomein in eenzelfde mate is te beveiligen als in westerse landen. Daarom achten de VS het van belang dat door bi- en multilaterale partnerschappen en organisaties de uitbreiding van de cybercapaciteit moet worden ontwikkeld, teneinde elk land in staat te kunnen stellen om zijn eigen digitale infrastructuur te beveiligen en daarmee het wereldwijde cyberdomein. 88 Om de doelen zoals uiteengezet in de cyberstrategie op lange termijn te blijven ontwikkelen is de ‘United States Cyber Command’ (USCYBERCOM) opgezet in 2009, als onderdeel van het Amerikaanse Ministerie van Defensie. USCYBERCOM is met name ook opgericht om het onoverzichtelijke slagveld van het cyberdomein zichtbaar te maken en een duidelijk bevel te voeren ten tijde van cyberaanvallen. 89 Deze institutionalisering van de cyberstrategie is een ontwikkeling die vaker voorkomt in de laatste jaren, zoals ook bij andere landen zichtbaar zal zijn. Verenigd Koninkrijk Het Verenigd Koninkrijk (VK) heeft aanvallen door andere staten op het Britse cyberdomein één van de vier topprioriteiten gemaakt in de meest recente nationale veiligheidsstrategie uit 2010, naast internationaal terrorisme, grote natuurrampen en internationale militaire crises waarbij het VK is betrokken. 90 Deze sleutelrol van cyberspace in de nationale veiligheid komt voornamelijk
door
de
omvangrijke
aanwezigheid
van
cyberspace
in
andere
veiligheidsgebieden. “Cyber space cuts across almost all of the threats and drivers outlined in the National Security Strategy” 91 is de onderliggende opvatting die staat vermeld in de Britse cyberstrategie aangaande de belangrijke rol van cyberspace in de nationale veiligheid. Het hoofddoel van de Britse regering zoals uiteengezet in de Britse cyberstrategie is het beveiligen en behouden van de voordelen die cyberspace aan het VK heeft te bieden. Met deze voordelen doelt het VK op het feit dat Britse burgers, bedrijfsleven en de overheid in een ongedwongen en beschermd cyberdomein kunnen werken en handelen. Dit is dus puur gefocust op de bescherming van de veiligheid van het VK in cyberspace. Dit hoofddoel dient Ibidem, 14-15. U.S. Department of Defense, ‘U.S. Cyber Command’, USCYBERCOM (30 juni 2011) 1. 90 Her Majesty’s Government, A Strong Britain in an Age of Uncertainty: The National Security Strategy (Londen 2010) 27. 91 Cabinet Office, Cyber Security Strategy of the United Kingdom. Safety, security and resilience in cyber space (Londen 2009) 3. 88 89
36
te worden bereikt door middel van drie onderliggende doelen, zoals weergegeven in figuur 4. 92 Het eerste subdoel is het reduceren van de risico’s van het Britse gebruik van het cyberdomein. Dit doel wordt behaald door het terugdringen van de dreiging van cyberaanvallen door de vijand, onder andere door de motivatie van de vijand te verminderen en de capaciteiten van de vijand te reduceren. Daarnaast is een voorwaarde om het subdoel te behalen het verkleinen van de kwetsbaarheden van het VK bij eventuele cyberaanvallen. Tenslotte is een strategie bij het behalen van dit eerste subdoel het verminderen van de impact van cyberaanvallen op belangen van het VK. 93 De strategie aangaande dit doel gaat echter niet in op meer concrete methodes waarmee dit subdoel behaald zou moeten worden, en het blijft bij deze algemeenheden aangaande dit eerste subdoel.
Reduce risk from the UK's use of cyberspace
Securing the UK's advantage in cyberspace Improve knowledge, capabilities and decision-making
Exploit opportunities in cyberspace
Figuur 4 | Schematische weergave van de kernpunten in de Britse cyberstrategie. 94
Een tweede subdoel is het benutten van de mogelijkheden die cyberspace te bieden heeft ten voordele van het VK. Drie van deze mogelijkheden waar de Britse overheid specifiek op wil inzetten zijn het vergaren van inlichtingen over vijandelijke actoren, het promoten van het Britse beleid en het interveniëren in eventuele vijandige ontwikkelingen. 95 Dit zijn opvallende speerpunten in de Britse cyberstrategie, en met name het laatste punt van eventuele interventie is interessant in het vraagstuk met betrekking tot een defensieve versus Cabinet Office, Cyber Security Strategy of the United Kingdom, 15. Ibidem, 15-17. 94 Ibidem, 15. 95 Ibidem, 14-19. 92 93
37
offensieve cyberstrategie. Net als de VS lijkt dus ook het VK te opteren voor eventuele offensieve acties in de beveiliging van het cyberdomein. Het derde en laatste subdoel is het vergaren en verbeteren van kennis, mogelijkheden en daadkracht op het gebied van cyberspace. Het verbeteren van kennis moet gebeuren door educatie en voorlichting, waarbij voornamelijk het bewustzijn van de Britse burger in het cyberdomein moet worden verscherpt. Daarnaast dienen technische en personele capaciteiten te worden uitgebreid, teneinde de mogelijkheden in het cyberdomein te vergroten en de verdediging tegen eventuele aanvallen te vergemakkelijken. Op het gebied van daadkracht wil het VK inzetten op het ontwikkelen van beleid en besluitvorming aangaande cyberpower en het cyberdomein. In een bredere context willen de Britten dan ook starten met de ontwikkeling van een cyberdoctrine en een veelomvattender cyberbeleid. 96 Dientengevolge heeft het VK in september 2009 het ‘Cyber Security Operations Center’ (CSOC) opgericht, als onderdeel van de Britse inlichtingendienst GCHQ, voor de operationele uitvoering van de cyberstrategie. Voor de ontwikkeling van beleid en doctrine zoals genoemd in de strategie is de ‘Office of Cyber Security & Information Assurance’ (OCSIA) opgezet, die onder het ‘Cabinet Office’ fungeert en de minister adviseert aangaande vraagstukken rondom het cyberdomein. 97 China De rol van China in het vraagstuk rondom cyberspace en cyberwarfare kent vele gezichten. In de eerste plaats komt dit voornamelijk door het feit dat China als enige van de hier onderzochte landen geen internetvrijheid voor zijn burgers kent. Deze beperking, bekend als de ‘Great Firewall’, heeft als gevolg dat er binnen Chinees grondgebied een censuur heerst op e-mail, een groot aantal websites (onder andere de websites van Amnesty International, Google en YouTube) en social media, zoals Facebook en Twitter. 98 Deze grote controle van de Chinese overheid op het cyberdomein heeft als voordeel dat cybercriminaliteit in mindere mate aanwezig is omdat een grotere controle inherent is aan een betere beveiliging.
99
Ondanks de strenge censuur op het internet is de Chinese overheid wel een groot promotor van het gebruik van internet onder zijn burgers en is het intensief cyberinfrastructuur in het land aan het aanleggen om burgers toegang tot internet te verschaffen. Dit beleid van de intensivering van internettoegang is vastgelegd in het Chinese internetbeleid 100 en wordt Ibidem. Cabinet Office, ‘Cyber Security’, Cabinet Office Web (30 juni 2011) 1. 98 Een volledige lijst van geblokkeerde websites en diensten in China is beschikbaar via: Jonathan Zittrain en Benjamin Edelman, ‘Empirical Analysis of Internet Filtering in China’, Berkman Center for Internet & Security, Harvard Law School < http://cyber.law.harvard.edu/filtering/china/> (1 juli 2011) 1. 99 Joseph S. Nye, ‘Cyber Power’, Harvard Kennedy School (Cambridge 2010) 14-17. 100 Pliny Han, ‘The Internet in China’, Information Office of the State Council of the People’s Republic of China (3 juli 2011) 1. 96 97
38
bevestigd in statistieken van het ‘United Nations Development Programme’ (UNDP), zoals zichtbaar in figuur 5. 101 Deze paradox tussen internetcensuur en internetpromotie is uniek in de wereld. Volgens het genoemde Chinese internetbeleid heeft de controle van de Chinese overheid op het internet voornamelijk als doel om de veiligheid van de staat en de burgers te garanderen en een omgeving te creëren die vrij van problemen is, waarbinnen de Chinese burger optimaal kan profiteren van de kansen die het internet te bieden heeft. 102 Of deze regeringsverklaring de enige achterliggende reden is voor de ‘Great Firewall’ is de vraag. Inzicht is in deze kwestie echter zeer moeilijk te verkrijgen.
Figuur 5 | Ontwikkeling van de toegang tot internet in China sinds 1990 (in %).
Aangaande de cyberstrategie op het statelijk niveau, ofwel een benadering van het concept van cyberwarfare, kan het optreden van de Chinese overheid ook worden beschouwd als enigszins paradoxaal. Een concrete cyberstrategie heeft de Chinese overheid niet openbaar gemaakt, echter er zijn wel delen van het – openbare – nationale defensiebeleid op het cyberdomein gericht. De basisdoctrine van het Chinese defensieapparaat berust op het uitgangspunt van pure defensie: “China pursues a national defense policy which is defensive in nature. In accordance with the Constitution of the People's Republic of China and other relevant laws, the armed forces of China undertake the sacred duty of resisting foreign aggression, defending the motherland, and safeguarding overall social stability and the peaceful labor of its people. To build a fortified national defense and strong armed forces compatible with national security and development
UNDP, ‘Human Development Report 2010’, United Nations Development Programme (3 juli 2011) 1. 102 Pliny Han, ‘The Internet in China’, 1. 101
39
interests is a strategic task of China's modernization, and a common cause of the people of all ethnic groups.” 103 De Chinese overheid benadrukt hierin uitdrukkelijk het defensieve karakter dat het nastreeft in de nationale defensie. Veel auteurs wijten deze defensieve houding aan China’s historische angst dat andere grootmachten zullen trachten China uit te buiten door China’s interne zwakheden te benutten. 104 Deze benadering strookt met het gegeven dat de voornaamste conflicten waar China de recente jaren bij betrokken was, conflicten waren met betrekking tot Chinese soevereiniteit over het grondgebied in bijvoorbeeld Taiwan en Tibet. 105 Aangaande cyberwarfare houdt China er volgens zijn defensiestrategie dezelfde achterliggende gedachte op na. Het land is voornamelijk gericht op zelfdefensie in het cyberdomein en het beschermen van de Chinese belangen hierbinnen. China erkent de ontwikkeling van cyberwarfare en de belangrijke rol die het zal gaan spelen in toekomstige conflicten. 106 Daarom bouwt het land intensief aan zijn cybercapaciteit, zowel offensief als defensief, waarbij de offensieve capaciteit in grote mate een afschrikeffect met zich mee dient te brengen. 107 Indien deze offensieve cybercapaciteit wordt uitgelegd als cyberafschrikking kan het worden geplaatst binnen de defensiedoctrine van pure verdediging, omdat de offensieve cybercapaciteiten, door middel van cyberafschrikking, als doel hebben de eigen soevereiniteit te verdedigen. De grootste paradox in het Chinese handelen ten aanzien van cyberspace is echter het feit dat China zeer veel cyberaanvallen uitvoert in de laatste jaren. Zoals eerder uiteengezet is een cyberaanval lastig toe te schrijven aan een bepaalde actor, echter in de laatste vijf jaar zijn er al meer dan 25 gemiddelde tot grote cyberaanvallen met een acceptabele mate van zekerheid toe te schrijven aan China. 108 De doelwitten van deze aanvallen variëren van India (2008) tot Google (2010) en het Taiwanese Ministerie van Defensie (2006). De meest spraakmakende affaire was echter de eerder genoemde ‘Titan Rain’-aanval, waarbij Chinese hackers vanaf 2003 voor een aantal jaren in totaal circa 20 terabyte 109 aan informatie wisten
Information Office of the State Council, ‘China’s National Defense in 2010’, The People’s Republic of China (3 juli 2011) 2-3. 104 Bijv. Evan S. Medeiros, China’s International Behavior. Activism, Opportunism, and Diversification (Pittsburgh 2009) 7-16. 105 Uppsala Conflict Data Program, ‘China’, UCDP Database Uppsala University (4 juli 2011) 1. 106 Information Office of the State Council, ‘China’s National Defense in 2010’, 2-3. 107 George Patterson Manson III, ‘Cyberwar: The United States and China Prepare for the Next Generation of Conflict’, Comparative Strategy 30:2 (Londen 2011) 121-133, aldaar 127-128. 108 Manson, ‘Cyberwar: The United States and China Prepare for the Next Generation of Conflict’, 127130; Bryan Krekel, ‘Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation’, Prepared for The US-China Economic and Security Review Commission (Washington D.C. 2009) 67-74. 109 Eén terabyte is gelijk aan 1 000 gigabyte, ofwel 1 000 000 megabyte. 103
40
te stelen van het netwerk van het Pentagon. 110 Dus ondanks dat China uitdraagt geen offensieve cyberstrategie te willen handhaven is het land zeer actief als cyberaanvaller in de internationale betrekkingen. Opvattingen in de literatuur over deze houding zijn tweeledig. Enerzijds kan het worden uitgelegd binnen het Chinese defensiebeleid door cyberaanvallen als middel te zien in het vergaren van inlichtingen, waardoor het land beter in staat is zichzelf te verdedigen. 111 Een andere opvatting is dat China wellicht offensiever denkt dan dat het uitdraagt en het asymmetrische karakter van cyberwarfare aangrijpt om bijvoorbeeld de VS af te schrikken. 112 Gezien het gesloten karakter van de cyberaanvallen is moeilijk te bepalen wat China precies beoogt. Wel is duidelijk dat het land één van de meest actieve actoren binnen het cyberdomein is. Rusland Naast China is ook Rusland een actor waarbij een sterk vermoeden bestaat dat er cyberaanvallen zijn gepleegd door deze actor. De eerder besproken aanvallen op Estland (2007) en Georgië (2008) zijn hiervan voorbeelden. In de Russische nationale defensiestrategie wordt de dreiging van cyberwarfare in de nabije toekomst geschaard onder de vijf meest directe dreigingen in de nabije toekomst. 113 Rusland heeft een relatief uitgebreide cyberstrategie, waarin het achtereenvolgens de belangrijkste capaciteit en infrastructuur, de belangrijkste dreigingen en de beste oplossingen uiteenzet. De belangrijkste infrastructuur is een grote lijst van nationale belangen, waarvan de belangrijkste
de
directe
defensie-infrastructuur,
industrie,
transportsector
en
energievoorziening betreffen. Rusland stelt dat beveiliging hiervan, zowel fysiek als in cyberspace, van essentieel belang is om het land niet in moeilijkheden te brengen. 114 De dreigingen binnen het cyberdomein die hieraan zijn verbonden scheiden de Russen in externe en interne dreigingen. Externe dreigingen worden met name geplaatst bij buitenlandse inlichtingendiensten, die de capaciteiten hebben om te infiltreren in Russische netwerken en daarbinnen te spioneren danwel schade aan te richten. Tevens is er de mogelijkheid voor staten om via gecoördineerde botnetaanvallen delen van het Russische netwerk te beschadigen. Tenslotte wordt sabotage van fysieke cyberinfrastructuur door buitenlandse troepen als een externe dreiging beschouwd. Onder interne dreigingen worden ten eerste het schaden van de verzameling, verwerking, opslag en overdracht van informatie bij de Russische overheid geschaard, ofwel het hacken van overheidssystemen. Een tweede Manson, ‘Cyberwar: The United States and China Prepare for the Next Generation of Conflict’, 127130. 111 Ibidem. 112 Nye, ‘Cyber Power’, 10-14. 113 Veiligheidsraad van de Russische Federatie, ‘Militaire doctrine’, Russische Federatie (3 juli 2011) 1. 114 Veiligheidsraad van de Russische Federatie, ‘Information Security Doctrine’, Russische Federatie (3 juli 2011) 1. 110
41
dreiging in de cyberstrategie is de betrouwbaarheid van de cyberinfrastructuur. Naast de beveiliging van de fysieke cyberinfrastructuur, zoals internetkabels en telefoonmasten, is ook de betrouwbaarheid van deze netwerken an sich een belangrijk potentieel gevaar. De belangrijkste reden hiervoor is dat deze netwerken voornamelijk in handen zijn van private ondernemingen, waardoor goede afspraken en een goede controle van essentieel belang zijn. Tenslotte wordt er, opvallend genoeg, een interne dreiging gezien in het onzorgvuldig handelen van burgers. Rusland is de enige van de hier onderzochte landen die dit opneemt in zijn cyberstrategie. Burgers kunnen door fouten of onzorgvuldig handelen grote beveiligingsproblemen veroorzaken die schadelijk kunnen zijn voor de staat Rusland. 115 De belangrijkste strategie bij het bestrijden van deze dreigingen bestaat uit een aantal componenten. In de eerste plaats kiest ook Rusland voor een zowel offensieve als defensieve strategie. Het stelt dat om de bovengenoemde dreigingen te kunnen bestrijden systematische identificatie van deze dreigingen en infiltratie in hun bronnen noodzakelijk is. Rusland deinst er dus niet voor terug om ook aanvallende cyberpower in te zetten teneinde tot een betere defensie te komen. Ten tweede wil Rusland een strengere controle op fabrikanten van software die wordt gebruikt in Russische overheidsorganen. De rol van private ondernemingen binnen de Russische overheid wordt te groot indien fabrikanten die overheidssoftware leveren niet onder zeer strikt toezicht staan. Ten derde zal Rusland uitgebreid investeren in cybercapaciteit, zowel in de techniek als in het personeel, om de betrouwbaarheid hiervan te vergroten en daarmee de zwakheden in de Russische cyberverdediging te marginaliseren. Tenslotte wil Rusland, door middel van nationale wetgeving, op juridisch vlak alle rechten en plichten van binnenlandse gebruikers van cyberspace vastleggen, teneinde de eigen burgers verantwoordelijk te kunnen houden voor hun handelen binnen het cyberdomein. 116 Deze Russische strategie wil de Veiligheidsraad van de Russische Federatie onderbrengen in een cyberinstelling, die evenals bijvoorbeeld USCYBERCOM het handelen van de Russische regering kan toetsen aan de cyberstrategie en een centraal commando kan voeren in het geval van calamiteiten op het gebied van cyberaanvallen of cyberwarfare. 117 Nederland Reeds in 2002 richtte Nederland de ‘Government Computer Emergency Response Team’ (GOVCERT) op, in eerste instantie voornamelijk met als doel het voorkomen van ICTgerelateerde incidenten en het coördineren van de reactie op dergelijke incidenten. 118 GOVCERT heeft echter voornamelijk een civiel karakter; het focust zich op het tegengaan en Veiligheidsraad van de Russische Federatie, ‘Information Security Doctrine’, 1. Ibidem. 117 Ibidem. 118 GOVCERT, ‘Operational Framework GOVCERT.NL’, Government Computer Emergency Response Team (Den Haag 2010) 1-4. 115
116
42
voorkomen van cybercriminaliteit door middel van het monitoren van netwerken en het geven van trainingen om het bewustzijn in cyberspace te vergroten. Het is echter niet gerelateerd aan het Nederlandse defensieapparaat, noch kan GOVCERT zelf als cyberdefensieorganisatie worden aangemerkt. Van een militair karakter is dus geen sprake. Dientengevolge is aannemelijk dat Nederland met alleen GOVCERT onvoldoende in staat zou zijn om in het geval van daadwerkelijke cyberwarfare daadkrachtig te handelen. Om het groeiende belang van cyberwarfare in de internationale betrekkingen te erkennen kwam het land begin 2011 met de ‘Nationale Cyber Security Strategie’ (NCSS). De NCSS betekent naast een strategie ook de oprichting van een ‘Nationaal Cyber Security Centrum’ (NCSC), waarin GOVCERT
wordt
ondergebracht,
onderdelen
van
de
algemene
en
militaire
inlichtingendiensten (AIVD en MIVD) zullen meewerken en er een militaire tak wordt ontwikkeld ten aanzien van de operationele kanten van cyberwarfare en cyberaanvallen. 119 De strategie legt nadruk op het feit dat de cyberinfrastructuur voor Nederland zeer belangrijk is, met name door het feit dat het land een grote kenniseconomie heeft, waarbinnen het gebruik van cyberspace essentieel is. 120 Daarnaast is het land zeer belangrijk als
ontwikkelingsgebied
van
het
cyberdomein
en
heeft
het
hoogwaardige
communicatievoorzieningen. De private sector heeft in Nederland een grote verbondenheid met het cyberdomein. Daarom stelt de strategie ten eerste dat er publiek-private partnerschappen moeten worden opgebouwd en verstevigd, teneinde tot een completere beveiliging van het cyberdomein te komen. Deze partnerschappen tussen bedrijfsleven en overheid dienen op gelijkwaardige basis te zijn, gezien de belangrijke rol die de private sector heeft in het beheer van de cyberinfrastructuur. Het NSCS kan hier een overkoepelend orgaan in vormen. Een tweede punt in de strategie is de intensivering van dreiging- en risicoanalyses aangaande potentiële cyberaanvallers. Er dient diepgaand inzicht te worden verkregen in de dreigingen binnen het cyberdomein, specifiek met betrekking tot Nederland. In hoeverre deze intensivering van de dreigingrisico’s een offensief component in de cyberstrategie met zich meebrengt maakt Nederland niet bekend. Wel noemt Generaal-majoor Koen Gijsbers, Chief Information Officer (CIO) van het Nederlandse Ministerie van Defensie, het noodzakelijk dat een hoge mate van kennis van offensieve technieken inzake cyberwarfare aanwezig is. 121
Ten derde zet Nederland in op
het versterken van de vitale
cyberinfrastructuur. Indien de weerbaarheid van dergelijke infrastructuur wordt vergroot zal de directe impact van cyberaanvallen afnemen. Bij deze versterking van de infrastructuur moet worden gedacht aan bijvoorbeeld hogere minimumeisen voor ICT-netwerken of de Ministerie van Veiligheid en Justitie, ‘De Nationale Cyber Security Strategie (NCSS)’, Koninkrijk der Nederlanden (Den Haag 2011) 1-4. 120 Ministerie van Veiligheid en Justitie, ‘De Nationale Cyber Security Strategie (NCSS)’, 3. 121 Vraaggesprek met Generaal-majoor Koen Gijsbers, Chief Information Officer (CIO) van het Nederlandse Ministerie van Defensie, op het ‘Cyberdefence Symposium’ van de Atlantische Commissie (Den Haag 7 april 2011). 119
43
extensivering van simulatieaanvallen op vitale systemen, waarbij de zwaktes in de cyberinfrastructuur beter zichtbaar worden. Een vierde belangrijk punt is de opbouw en uitbreiding van cybercapaciteit, teneinde een afdoende respons te kunnen opzetten bij cyberaanvallen. Tevens dient er naast de – civiel gerichte – GOVCERT ook het ‘Defence Computer Emergency Response Team’ (DefCERT) te worden ontwikkeld, die de operationele cyberdefensie op zich kan nemen. DefCERT moet gaan opereren volgens een nog te ontwikkelen defensiedoctrine. Deze militaire tak richt zich in de huidige situatie op “(…) het tegenhouden van aanvallen op haar commandovoering- en informatiesystemen” 122 . In deze taakbeschrijving noemt DefCERT expliciet dat het in de cyberdefensie zich richt op het tegenhouden van cyberaanvallen en dus niet bezig is met een aanvallende strategie. In de toekomst zal dit veranderen. Minister van Defensie Hans Hillen verklaarde aangaande cyberwarfare dat de Nederlandse krijgsmacht in cyberspace in staat moet zijn om zowel te kunnen verdedigen en vertragen als te kunnen aanvallen en manoeuvreren. 123 Net als bijvoorbeeld de VS en het VK gaat dus ook Nederland mee in de trend van het verschuiven van een puur defensieve strategie ten aanzien van cyberaanvallen naar het opbouwen van aanvallende cybercapaciteiten. Het verschil is echter dat Nederland niet bekend maakt of en wanneer het bereid is deze aanvallende capaciteiten te benutten. Een verklaring hiervoor zou kunnen zijn dat het niet een grootmacht is zoals de andere landen die hier aan de orde komen, echter dit valt niet met zekerheid vast te stellen. Het vijfde speerpunt in de strategie is een intensievere opsporing en vervolging aangaande cybercriminaliteit. Naast statelijke actoren in het geval van cyberwarfare wil Nederland zich dus ook nadrukkelijk focussen op non-statelijke actoren, zoals bij cybercriminaliteit. Als zesde en laatste is er het speerpunt van de stimulering van onderzoek en onderwijs op het gebied van cyberwarfare en cyberveiligheid. Cyberveiligheid heeft baat bij wetenschappelijk en toegepast onderzoek en innovatie. Daarnaast dient onderwijs het bewustzijn aangaande cyberveiligheid bij burgers te verhogen. 124 Het belang dat Nederland ziet in de opbouw van een goede cyberdefensie en de rol die cyberwarfare kan gaan hebben in de – nabije – toekomst wordt onderstreept door het feit dat het land investeert in de opbouw van cybercapaciteiten op het moment dat er ruim 1 miljard bezuinigd dient te worden op het defensieapparaat. 125 Gesteld kan worden dat een belangrijk onderdeel van de strategie in eerste instantie het institutionaliseren van deze strategie omvat. DefCERT, ‘Digitale Verdediging’, Ministerie van Defensie (1 juli 2011) 1. 123 J.S.J. Hillen, ‘Van zwaard naar joystick. De rol van Defensie in de digitale frontlinie’, Toespraak van de minister van Defensie, J.S.J. Hillen, ter gelegenheid van de conferentie Cyber Operaties van het Koninklijk Instituut van Ingenieurs (Amsterdam 13 april 2011) 4-5. 124 Ibidem, 3-8. 125 J.S.J. Hillen, ‘Defensie na de kredietcrisis: een kleinere krijgsmacht in een onrustige wereld’, Brief van de Minister van Defensie aan de Voorzitter van de Tweede Kamer der Staten Generaal (’sGravenhage, 8 april 2011) 20-23. 122
44
Alvorens tot een effectieve uitvoering van een dergelijke strategie te komen dient er een structuur te worden opgebouwd van waaruit deze strategie kan worden uitgevoerd. Het NCSC is een voorbeeld van het opbouwen van een dergelijke structuur. Over de effectiviteit van deze structuur in Nederland is nog moeilijk een oordeel te vellen, gezien het feit dat het pas in begin 2012 volledig operationeel dient te zijn. CONCLUSIE Veel landen hebben in de laatste jaren een cyberstrategie ontwikkeld met als doel de nationale veiligheid te kunnen waarborgen. De dreiging van cyberwarfare is meer dan concreet, echter bescherming van het cyberdomein is zeer complex. Bovendien zijn er problemen in de structurele benadering van cyberwarfare. De twee grootste problemen in deze structuur zijn de vraagstukken rondom toeschrijving van cyberaanvallen en de regulering van cyberwarfare. Deze problemen worden dan ook niet opgelost in de geanalyseerde cyberstrategieën van de VS, het VK, Rusland, China en Nederland. De strategie van de VS met betrekking tot cyberspace heeft als hoofddoel het beschermen van fundamentele vrijheden, privacy en vrij verkeer van informatie. De strategie is ontwikkeld aan de hand van de ‘3D-benadering’, waarin ‘diplomacy’, ‘defence’ en ‘development’ centraal staan. Een bijzonderheid aan de strategie van de VS is het feit dat de VS als eerste land een strategie hebben uitgegeven waarin cyberaanvallen worden gelijkgesteld aan conventionele aanvallen. Deze karakterisering van de status van cyberwarfare leidt tot de ontwikkeling dat ook andere staten moeten zullen gaan bepalen welke status zij aan cyberwarfare zullen toekennen. Het hoofddoel van de Britse regering zoals uiteengezet in de Britse cyberstrategie is het beveiligen en behouden van de voordelen die cyberspace het VK heeft te bieden. De Britten hebben een benadering waarin duidelijk de nationale positie van het VK topprioriteit dient te zijn ten aanzien van veiligheid in het cyberdomein. Het beleid van China in het vraagstuk rondom cyberspace en cyberwarfare kent een paradoxaal karakter. Ondanks een strenge censuur op het internet is de Chinese overheid een groot promotor van het gebruik van internet onder zijn burgers en is het intensief cyberinfrastructuur in het land aan het aanleggen om burgers toegang tot internet te verschaffen. Qua cyberwarfare is het land voornamelijk gericht op zelfdefensie in het cyberdomein en het beschermen van de Chinese belangen hierbinnen. Desalniettemin voert China veel cyberaanvallen uit in de laatste jaren. Deze paradox kent twee afzonderlijke verklaringen binnen de literatuur. Enerzijds kan het worden uitgelegd in overeenstemming met het Chinese defensiebeleid door cyberaanvallen als middel te zien in het vergaren van inlichtingen, waardoor het land beter in staat is zichzelf te verdedigen. Een andere opvatting is dat China wellicht offensiever denkt dan dat het uitdraagt en het asymmetrische karakter van cyberwarfare aangrijpt om bijvoorbeeld de VS af te schrikken. Naast China is ook Rusland een actor waarbij er een sterk vermoeden bestaat dat er cyberaanvallen zijn gepleegd
45
door deze actor. Rusland heeft een relatief uitgebreide cyberstrategie waarin het achtereenvolgens de belangrijkste capaciteit en infrastructuur, de belangrijkste dreigingen en de beste oplossingen uiteenzet, door onder andere een offensieve strategie te prefereren, met een sterke focus op de ontwikkeling van cybercapaciteiten. Nederland tenslotte legt in zijn strategie nadruk op het feit dat de cyberinfrastructuur voor Nederland zeer belangrijk is, met name door het feit dat het land een grote kenniseconomie heeft, waarbinnen het gebruik van cyberspace essentieel is. Ook de rol van de private sector in de strategie is belangrijk gezien het feit dat Nederland een grote verbondenheid heeft met het cyberdomein en het land erkent dat de private sector essentieel is in het beheer van dit cyberdomein. Dus na analyse van de cyberstrategieën van de VS, het VK, China, Rusland en Nederland blijkt dat alle landen een opvatting hebben ontwikkeld hoe om te gaan met de ontwikkelingen binnen het cyberdomein. Zoals in hoofdstuk vijf zal blijken zijn hier interessante overeenkomsten en verschillen in te bepalen.
46
HOOFDSTUK 5 | CYBERWARFARE: OP WEG NAAR EEN DOCTRINE? Francis Delon, secretaris-generaal van de Franse nationale defensie 126 , gaf er onlangs opnieuw aandacht aan; teneinde ooit een universeel verdrag inzake cyberwarfare te kunnen ontwikkelen, dient er een stapsgewijze benadering van dit concept plaats te vinden. 127 Teneinde tot de vorming van elementen van een doctrine te kunnen komen, waar de focus op zal liggen in dit hoofdstuk, zal in eerste instantie een basis worden gelegd waar deze elementen uit kunnen worden ontwikkeld. In dit hoofdstuk zal in eerste plaats worden geanalyseerd wat een doctrine inhoudt en welke soorten doctrines kunnen worden onderscheiden. Vervolgens zal de vraag aan bod komen waarom (elementen van) een doctrine aangaande cyberwarfare gewenst zijn en wat de waarde hiervan kan zijn. Hierna zal worden gekomen tot de kern, te weten de getrachte ontwikkeling van enkele elementen van een doctrine. Dit gebeurt door eerst de cyberstrategieën zoals uiteengezet in hoofdstuk 4 met elkaar te vergelijken, op basis waarvan verschillen en overeenkomsten kunnen worden geanalyseerd. Deze verschillen en overeenkomsten kunnen vervolgens als basis dienen voor de elementen van de doctrine. WAT IS EEN DOCTRINE? Een militaire doctrine als concept kent vele definities. Een veel gebruikte is de definitie van de NAVO, die een militaire doctrine ziet als “[f]undamental principles by which the military forces guide their actions in support of objectives. It is authoritative but requires judgement in application.” 128 . Deze definitie wordt als uitgangsdefinitie genomen in de ‘kapstokdoctrine’ van de NAVO, de ‘Allied Joint Doctrine’. Een sterk punt aan deze definitie is de benadrukking van het algemene karakter dat een doctrine dient te hebben, duidelijk gemaakt in de laatste zin van de definitie, waarin het belang van het – menselijke – oordeel in het gebruik van de doctrine belangrijk wordt geacht. Een andere veelgebruikte definitie van een doctrine is die van Drew en Snow, twee Amerikaanse professoren in respectievelijk militaire strategie en politieke wetenschappen, die de volgende definitie hanteren: “Military doctrine is what is
Secrétariat général de la défense et de la sécurité nationale (SGDSN). Lezing van Francis Delon, Secrétaire général de la défense nationale bij de Franse overheid, gehouden voor de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011), via . 128 NATO, ‘Allied Joint Doctrine (AJP-01D)’, Noord Atlantische Verdragsorganisatie (Brussel 2010) 121. 126 127
47
believed about the best way to conduct military affairs.” 129 . Naast het feit dat ook hier de menselijke interpretatie als belangrijke factor naar boven komt, met “(…)is believed(…)”, legt deze definitie nadruk op de gedragingen in de uitvoering van militaire operaties. In die hoedanigheid zal deze definitie dan ook in dit onderzoek worden gehanteerd. Zoals later in dit hoofdstuk zal blijken moet de nadruk in de vorming van (elementen van) een cyberdoctrine in een eerste stap liggen op een gedragscode, alvorens verdere stappen te kunnen maken. De definitie van Drew en Snow ziet een doctrine als een kader om de beste wijze van militair handelen te kunnen bepalen. Dit is de reden waarom deze definitie goed aansluit bij dit onderzoek. Drew en Snow onderscheiden drie soorten doctrines, te weten fundamentele doctrines, milieugerelateerde doctrines en organisatorische doctrines. Fundamentele doctrines zijn brede en abstracte doctrines, de ‘kapstokdoctrines’, die als algemeen geldende doctrine heersen binnen een defensieorganisatie en waarop de militaire strategie wordt afgestemd. Een voorbeeld hiervan is de eerder genoemde ‘Allied Joint Doctrine’ van de NAVO. 130 Fundamentele doctrines dragen de militaire filosofie van een staat of bondgenootschap en wijzigen daardoor zelden. De milieugerelateerde doctrines zijn gericht op militair handelen binnen een bepaald domein, zoals een luchtmachtdoctrine. Ook een eventuele cyberdoctrine, als doctrine van het vijfde domein, zou deel uitmaken van deze categorie. Deze milieugerelateerde doctrines zijn meer specifiek van aard dan een fundamentele doctrine en vormen daardoor vaak een onderdeel hiervan. Gezien het feit dat het zich focust op één domein wijzigt een milieugerelateerde doctrine veel vaker. Dit omdat technologische innovaties of geografische veranderingen een directe invloed hebben op de doctrine. Dientengevolge dient deze doctrine voortdurend actueel gehouden te worden. De derde en laatste categorie, de organisatorische doctrine, is de meest gespecificeerde doctrine, doch nog steeds abstract van aard. De organisatorische doctrine is een visie op de wijze van militair handelen binnen een bepaalde operatie of militaire organisatie. Het combineert de fundamentele en milieugerelateerde doctrines met actualiteiten, zoals het politieke en culturele klimaat, en beschikbare middelen. In deze hoedanigheid dient een dergelijke doctrine vaak als uitgangspunt bij het ontwikkelen van een operationele strategie voor een missie. 131 Bij het ontstaan van een doctrine ligt de basis van een doctrine met name in ervaringen uit het verleden. Door actuele kennis en informatie te combineren met een bepaalde manier van handelen, gebaseerd op eerdere ervaringen met deze manier van handelen, kan progressie in de richting van een doctrine plaatsvinden. Hierin kan een visie Dennis M. Drew en Donald M. Snow, Making Twenty-First Century Strategy. An Introduction to Modern National Security Processes and Problems (Washington D.C. 2006) 210. 130 NATO, ‘Allied Joint Doctrine (AJP-01D)’. 131 Drew en Snow, Making Twenty-First Century Strategy, 210-218. 129
48
ontstaan over de wijze van militair handelen op de lange termijn. Algemene –fundamentele– doctrines hebben dan ook vaak als primair doel om de visie op de militaire organisatie en theorie over militair handelen, de oorlogsprincipes, over te dragen aan volgende generaties. 132 Deze focus op de lange termijn is de belangrijkste karakteristiek die een doctrine scheidt van een strategie. Waar een doctrine de visie op lange termijn uiteenzet, in meer algemene termen, is een strategie meer gefocust op de korte termijn, met een nadruk op de operationele zijde van het militair handelen. 133 WAAROM EEN DOCTRINE? Zoals Francis Delon al aangaf is een stapsgewijze benadering in de doctrinevorming gewenst. 134 Gezien het feit dat de vorming van een complete cyberdoctrine te ambitieus is voor dit onderzoek, laat staan dat de internationale gemeenschap daar klaar voor is, zijn elementen van een doctrine een stap in de goede richting. Deze focus op elementen van een doctrine is bovendien wenselijk gezien het feit dat een pure militaire doctrine doorgaans wordt ontwikkeld voor een staat of een bondgenootschap, maar zelden als een universele doctrine. Elementen van een doctrine verenigd in een vorm van gedragscode met als deelnemers de permanente leden van de VN Veiligheidsraad, waar vier van de vijf in dit onderzoek worden geanalyseerd, zou een voorbeeld kunnen zijn van een stap die beter haalbaar lijkt te zijn. De vraag die echter nog gesteld moet worden, is waarom een dergelijke doctrine danwel een cyberwarfareverdrag noodzakelijk is. Het antwoord hierop is even simpel als sluitend: duidelijkheid. Zoals reeds in eerdere hoofdstukken uiteengezet zijn er veel onduidelijkheden rondom de status van cyberwarfare. Er bestaat zo goed als geen regulering aangaande dit concept met betrekking tot bijvoorbeeld de verantwoordelijkheid van een actor voor een cyberaanval, de status en bescherming van burgers, toegestane maatregelen tegenover een cyberagressor, de mate van oorlogshandeling in een cyberaanval, etc. Dientengevolge is het wenselijk dat er een gedragscode ontstaat hoe om te gaan met cyberwarfare. Immers, de huidige onduidelijkheid van dit concept zou kunnen leiden tot ad hoc reacties, die disproportioneel zouden kunnen uitvallen en burgers zouden kunnen schaden. Dit is de reden waarom meer regulering en institutionalisering gewenst is. De permanente leden van de VN Veiligheidsraad zouden hier een voortrekkersrol in kunnen spelen.
Ibidem. Barry R. Posen, The Sources of Military Doctrine. France, Britain, and Germany Between the World Wars (Cornell 1984) 13-16. 134 Lezing van Francis Delon, gehouden voor de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011). 132 133
49
ELEMENTEN VAN EEN CYBERDOCTRINE Teneinde elementen van een cyberdoctrine te kunnen herkennen is het noodzakelijk om overeenkomstige onderdelen in de cyberstrategieën, zoals uiteengezet in hoofdstuk vier, te herkennen. Op basis daarvan zouden waarden kunnen worden gevormd, die als basis voor een meer universele gedragscode zouden kunnen dienen. Cyberstrategieën vergeleken In hoofdstuk vier zijn de cyberstrategieën van de VS, het VK, China, Rusland en Nederland reeds besproken. Om hieruit de overeenkomende en onderscheidende elementen te kunnen abstraheren is beknopte weergave van deze strategieën verwerkt in onderstaande tabel (tabel 1). Om vervolgens te kijken naar overeenkomsten en verschillen in de verschillende cyberstrategieën valt in eerste plaats op dat vier van de vijf landen als hoofddoel expliciet de bescherming van het eigen cyberdomein vermelden. Alleen de VS stellen een meer algemeen en ideologisch doel, namelijk het beschermen van fundamentele vrijheden, privacy en vrij verkeer van informatie. Ondanks een sterke mate van regionalisering van het veiligheidsbeleid in veel staten, bijvoorbeeld met de NAVO, is er binnen de cyberstrategieën van de hier geanalyseerde staten voornamelijk aandacht voor de eigen soevereiniteit. In geen van de onderzochte strategieën speelt een meer multilateraal kader enige rol van betekenis. Een tweede overeenkomst die opvalt is de mate van offensief gebruik van cybercapaciteiten die in de cyberstrategieën naar voren komt. Een aantal landen noemt hierbinnen ook expliciet cyberafschrikking als middel. De VS, het VK en Rusland hebben openlijk in hun strategie opgenomen om offensieve cyberoperaties uit te zullen voeren. Nederland heeft dit uitvoeren van offensieve operaties niet in de cyberstrategie staan, echter erkent dat het operationele kennis en capaciteiten ontwikkelt om cyberaanvallen te kunnen uitvoeren. Binnen dit kader verklaren deze landen ook actief inlichtingen te zullen verzamelen en sluiten hiermee cyberspionage als middel niet uit. Alleen China draagt niet openlijk uit dat het zich op wat voor wijze dan ook bezighoudt met aanvallende cyberoperaties. In de laatste jaren zijn er echter meermaals cyberaanvallen bewezen vanuit China uitgevoerd, waarmee kan worden gesteld dat ook dit land zich niet onthoudt van het ontwikkelen van capaciteiten om aanvallen via het cyberdomein uit te voeren. Een derde opvallende ontwikkeling is die van het opzetten danwel ontwikkelen van een cyberinstelling waarbinnen de cyberstrategie wordt geïnstitutionaliseerd. De VS (USCYBERCOM), het VK (CSOC) en Nederland (DefCERT) hebben dergelijke instellingen al in gebruik en ook Rusland heeft in zijn strategie opgenomen dat het een dergelijke instelling voor cyberaangelegenheden wil ontwikkelen. Alleen in China valt de strategie ten aanzien van cyberwarfare onder de reguliere veiligheidsorganen.
50
Hoofddoel
Subdoelen
Actiepunten -
Beschermen van fundamentele
VS
vrijheden, privacy en vrij verkeer van informatie.
Offensief vs. Defensief?
Partnerschappen met staten, internationale organisaties en de private sector;
Diplomacy, defense en
-
Cyberafschrikking t.o.v. statelijke actoren,
development onder
intensivering samenwerking t.a.v.
Zowel offensief als
coördinatie van
cybercriminaliteit, verbeteren van
defensief.
USCYBERCOM.
voorlichting en onderwijs over cyberspace; -
Voortrekkersrol in de ontwikkeling van cybercapaciteit in het buitenland.
Beveiligen en behouden van de voordelen van
VK
cyberspace voor het VK, onder gezag van CSOC.
Reduceren van risico’s, benutten van de mogelijkheden van cyberspace en het vergaren en verbeteren
-
verminderen impact cyberaanvallen; -
-
Zowel offensief als
Intensiveren educatie en voorlichting,
defensief.
cyberdoctrine.
Niet bekend. -
-
Creëren zelfdefensie door cyberafschrikking;
Op het eerste oog
Intensief verzamelen van inlichtingen over
puur defensief.
status van cyberontwikkeling in andere
Echter wel
landen.
intensief gebruik
Ontwikkeling van cybercapaciteit en
van cyber-
verbetering van de cyberinfrastructuur.
aanvallen.
Actieve identificatie van dreigingen en infiltratie in systemen;
Tegengaan van de
Rusland
interveniëren in vijandige ontwikkelingen;
daadkracht besluitvorming, ontwikkelen
daadkracht.
Zelfdefensie.
Intensief vergaren van inlichtingen,
opbouw cybercapaciteiten, verhogen
van kennis en
-
China
Verkleinen Britse kwetsbaarheden,
interne en externe
Ontwikkeling juridisch
dreigingen binnen het
kader, opzetten van een
cyberdomein voor de
cyberinstelling.
Russische Federatie.
-
-
Strengere controle op private sector met positie van belang;
Zowel offensief als
Investeren in cybercapaciteit, met name
defensief.
techniek en personeel; -
Ontwikkeling juridisch kader m.b.t. rechten en plichten van gebruikers in cyberspace.
-
In eerste instantie
-
Intensivering dreigingsanalyses;
defensief. Wel
-
Versterken van vitale cyberinfrastructuur en
ontwikkeling van
het opstellen van minimumeisen hiervoor;
offensieve
Beveiligen en
Nederland
behouden essentiële
Ontwikkeling DefCERT,
rol van cyberdomein
creëren van capaciteiten.
Opzetten en intensiveren van publiek-private partnerschappen (PPP);
-
voor Nederland. -
-
Ontwikkelen van capaciteiten en kennis m.b.t.
capaciteit. De
operationele technieken van aanvallende
mate van gebruik
cybermogelijkheden;
van deze
Intensivering opsporing en samenwerking
offensieve
inzake cybercriminaliteit;
capaciteit wordt
Stimulering onderzoek en onderwijs
niet uitgesproken.
aangaande cyberspace en cyberwarfare.
Tabel 1| Schematisch overzicht belangrijkste punten van de cyberstrategieën van de VS, het VK, China, Rusland en Nederland. 135
135 United States of America, International Strategy for Cyberspace; Cabinet Office, Cyber Security Strategy of the United Kingdom; Han, ‘The Internet in China’, 1; Information Office of the State Council, ‘China’s National Defense in 2010’, 2-3; Veiligheidsraad van de Russische Federatie, ‘Militaire doctrine’, 1; Veiligheidsraad van de Russische Federatie, ‘Information Security Doctrine’, 1; Ministerie van Veiligheid en Justitie, ‘De Nationale Cyber Security Strategie (NCSS)’.
51
Ten vierde noemen alle landen de ontwikkeling van cybercapaciteiten danwel de verbetering van cyberinfrastructuur als prioriteit. Om mee te kunnen in de voortdurende technologische
ontwikkelingen
achten
landen
het
noodzakelijk
dat
er
afdoende
cybercapaciteit wordt ontwikkeld, teneinde dit geen belemmering te laten zijn voor een effectieve uitvoering van het gewenste cyberbeleid. Als vijfde en laatste hebben alle vijf landen in hun cyberstrategie opgenomen dat er een actieve aanpak van misdaad door non-statelijke actoren, cybercriminaliteit, dient te worden gerealiseerd. De eerder genoemde schadeposten die cybercriminaliteit met zich meebrengt kunnen dusdanig groot zijn dat ze directe invloed kunnen hebben op de economie van een staat. Dientengevolge achten de hier geanalyseerde staten het wenselijk dat er een integrale aanpak komt van cybercriminaliteit, waarbij enkele van deze staten nadruk leggen op het belang van grensoverschrijdende aanpak hierin, gezien het feit dat cyberspace niet is gebonden aan territoriale grenzen. Verschillen in de opvattingen binnen de verscheidende cyberstrategieën zijn ook zichtbaar. Een eerste onderscheid dat opvalt is het feit dat de VS als speerpunt heeft opgenomen dat het een voortrekkersrol wil nemen in het opbouwen van cybercapaciteiten in andere landen, als onderdeel van de ‘development’-sectie in de gebruikte 3D-benadering. Deze focus op het buitenland, waarbij ook minder bedeelde landen een minimale cybercapaciteit zouden moeten opbouwen teneinde het mondiale cyberdomein veiliger te maken, is uniek in vergelijking met de andere geanalyseerde cyberstrategieën. Een tweede uniciteit in de cyberstrategieën ligt in de Russische benadering, waarbinnen de Russen willen werken aan het ontwikkelen van een juridisch kader voor het cyberdomein. Binnen dit kader kunnen de rechten en plichten van gebruikers van het cyberdomein worden vastgelegd en geïnterpreteerd. Deze focus op de juridische zijde van het cyberdomein is minder tot niet aanwezig in de andere cyberstrategieën. Als derde en laatste is er een verschil in de opvatting van samenwerking met de private sector. Zoals in eerdere hoofdstukken uiteengezet is de rol van de private sector in het beheer en de controle van het cyberdomein relatief groot in vergelijking met andere domeinen. Dientengevolge stellen de VS en Nederland prijs op een intensieve samenwerking met de private sector, in het bijzonder in de vorm van publiek-private partnerschappen (PPP’s). Binnen deze PPP’s dienen de publieke en private sector zoveel mogelijk op basis van gelijkwaardigheid met elkaar te communiceren en coöpereren, teneinde het cyberdomein zo veilig mogelijk te houden. Een heel andere benadering is te vinden bij de Russen, die wel de waarde van private partijen in het cyberdomein inzien, echter geen partnerschappen hiermee aan willen gaan. Rusland hecht hierin waarde aan een zeer strikte controle van de private actoren die van belang zijn in dit vraagstuk en handelt hierin dus niet op basis van gelijkwaardigheid, maar stelt de staat duidelijk boven de private sector.
52
Verschillende percepties, overeenkomstige problemen Zoals blijkt uit de vergelijking tussen de verschillende cyberstrategieën zijn er verschillende opvattingen over hoe om te gaan met cyberwarfare. Een belangrijke oorzaak hiervan is het verschil in perceptie op basis van nationale belangen. De positie en belangen van bijvoorbeeld de VS liggen totaal anders dan die van een andere grootmacht zoals China. Dit komt onder andere vanwege het feit dat de VS voor een zeer hoge mate afhankelijk zijn van cyberspace
in
het
beheer
van
vitale
onderdelen
als
elektriciteitscentrales,
verkeersinfrastructuur, financiële systeem en distributie van voedsel. Hierdoor zijn de VS veel kwetsbaarder ten aanzien van cyberwarfare, gezien het feit dat cyberwarfare een zeer directe invloed op burgers van het land kan hebben. 136 Als dat wordt afgezet tegen bijvoorbeeld China, dan is China in een veel mindere mate afhankelijk van het cyberdomein in de dagelijkse controle van de staat. Ook China voert in toenemende mate zijn beleid uit met behulp van het cyberdomein, echter is veel minder ontwikkeld op dat gebied. Een dergelijk verschil in belangen is terug te zien in de cyberstrategieën van het land. Waar de VS offensief georiënteerd is en bovendien de ontwikkeling van cybercapaciteit in andere landen als speerpunt heeft gemaakt, is China voornamelijk naar binnen gericht en is het hoofddoel zelfdefensie. Ondanks deze verschillen in perceptie zijn er ook overeenkomsten te vinden op basis waarvan meer algemene waarden zouden kunnen worden gevormd. Immers, ondanks dat er een verschil in perceptie van het concept cyberwarfare mag zijn, zijn de problemen ten aanzien van dit concept voor alle betrokken actoren gelijk. De overeenkomsten zoals eerder dit hoofdstuk uiteengezet in ogenschouw nemende, kunnen er tenminste vijf aanbevelingen worden gedaan die als element van een doctrine aangaande cyberwarfare zouden kunnen dienen. Deze elementen zijn met name gericht op algemeenheden van de wijze waarop handelingen zouden kunnen plaatsvinden in overeenstemming met de definitie van Drew en Snow zoals eerder genoemd. In de eerste plaats is een aanbeveling om een overkoepelende, mondiale instelling of internationale organisatie op te richten, die zich specifiek bezig kan houden met het ontwikkelen van een gedragscode inzake cyberwarfare in eerste instantie en waar wellicht een cyberwarfareverdrag uit zou kunnen voortkomen op de langere termijn. Terugkijkend naar de theorie van Starr zou deze organisatie voornamelijk bemand moeten worden door PMESII-deskundigen. Deze PMESII-deskundigen kunnen informatie van de P/DIMEexperts verwerken en op basis daarvan een compleet beeld creëren. Daarnaast zou een dergelijke internationale organisatie zich kunnen richten op vraagstukken aangaande het cyberdomein, die niet op nationaal niveau kunnen worden opgelost. Voorbeelden van dergelijke 136
vraagstukken
zijn
het
beheer
van
het
mondiale
cyberdomein
en
Clarke en Knake, Cyber War (New York 2010) 225-227.
53
cyberinfrastructuur, zoals GUCCI, en onderzoek naar de internationaal rechterlijke status van cyberwarfare. Gezien het feit dat vier van de vijf landen in deze analyse een nationale instelling aangaande cyberveiligheid hebben ontwikkeld of van plan zijn te gaan ontwikkelen, is de stap om deze nationale instellingen een forum te bieden in een overkoepelende internationale organisatie niet een hele grote. Het is aannemelijk dat een dergelijke ontwikkeling haalbaar kan zijn. Ten tweede kan de rol van cybercapaciteit een element zijn die in de doctrine kan worden opgenomen. Alle cyberstrategieën leggen nadruk op de ontwikkeling van cybercapaciteit binnen hun eigen natie, zowel op technisch vlak als qua personeel, echter het zou aanbeveling verdienen om het voorbeeld van de VS te volgen en ook internationaal gezien een bepaalde standaard te zetten voor een minimumcybercapaciteit in een land. Gezien het feit dat het cyberdomein grensoverschrijdend is kan de veiligheidssituatie in cyberspace in een ander land van directe invloed zijn op de veiligheidssituatie in het eigen land. Dientengevolge is een mondiale minimumcapaciteit aanbevelenswaardig. Als derde dient er ten aanzien van cybercriminaliteit een grensoverschrijdende aanpak plaats te vinden. De hier geanalyseerde cyberstrategieën opteren allen voor een ferme aanpak van cybercriminaliteit op hun grondgebied. Zoals in eerdere hoofdstukken uiteengezet is cybercriminaliteit grotendeels toe te schrijven aan transnationale criminele organisaties. De aanpak van cybercriminaliteit zou dus meer gebaat zijn bij een grensoverschrijdend karakter. Organisaties als INTERPOL en EUROPOL, maar ook de eerder genoemde nog op te richten internationale organisatie aangaande cyberveiligheid zouden hier een belangrijke rol in kunnen spelen. 137 Het bijkomende voordeel van het karakter van de actoren betrokken in cybercriminaliteit, non-statelijke actoren, is het feit dat de aanpak van dergelijke actoren minder belemmeringen met zich meebrengt. Dit is met name vanwege het feit dat non-statelijke actoren een minimale rol spelen op het diplomatieke niveau, waardoor de aanpak van dergelijke actoren minder gevoelig ligt dan bij eventuele statelijke actoren. Dientengevolge is het makkelijker om verkennende operaties met betrekking tot het cyberdomein uit te voeren tegenover non-statelijk actoren dan tegenover statelijke actoren, waarbij eventuele problemen zouden kunnen leiden tot een diplomatieke rel. De aanpak van cybercriminaliteit is dus laagdrempeliger. Ten vierde dient als element van een doctrine de status en rol van burgers in cyberwarfare te worden vastgelegd. Zoals eerder uiteengezet is in de huidige situatie de status van burgers in het cyberdomein onduidelijk en is er in het geval van cyberwarfare geen bescherming onder de Geneefse Conventies. Gezien het feit dat het merendeel van de hier geanalyseerde landen een offensieve component in zijn cyberstrategie heeft verwerkt is het waarschijnlijk dat cyberaanvallen niet zullen ophouden te bestaan in de nabije toekomst. 137
Colin Evans, Interpol (New York 2011) 13-36.
54
Duidelijkheid over de status van burgers hierin is dus wenselijk. De haalbaarheid van dit element van een doctrine kan gebaseerd worden op het feit dat de vijf staten in dit onderzoek alleen een voorname focus hebben op het behoud en beschermen van de eigen voordelen binnen het cyberdomein. Vrijheid en bescherming van burgers hierbinnen kan ook worden geschaard onder deze voordelen binnen het cyberdomein, al is deze status van burgers wellicht aan verschil in opvatting onderhevig in een vergelijking tussen bijvoorbeeld China en Rusland versus de westerse landen. Alle landen hier geanalyseerd hebben enige mate van burgerbescherming in de cyberstrategie opgenomen. Als vijfde en laatste element is er regulering en definiëring van concepten aangaande cyberwarfare en cyberspace, de institutionele factoren in de piramide van Starr. De precieze status en definiëring van onder andere cyberwarfare is onduidelijk. Het ontbreken van enige gedragscode of ‘rules of the road’ aangaande cyberwarfare leidt tot het feit dat staten zich in eerste instantie voornamelijk gaan focussen op het behoud van de eigen soevereiniteit en positie binnen het cyberdomein. Dit is duidelijk zichtbaar in de verschillende cyberstrategieën, waarbinnen het beschermen en behouden van de eigen voordelen in het cyberdomein het meest genoemde hoofddoel is, zoals ook zichtbaar in tabel 1. Door de onduidelijkheid over de status van cyberwarfare kiezen staten voor zekerheid en focussen zich in eerste instantie op hun eigen soevereiniteit. Tevens zetten veel staten in op cyberafschrikking, waarbij het aannemelijk is dat ook dit als voornaamste doel heeft om de eigen positie veilig te stellen. Uit deze gedragingen zou echter de conclusie getrokken kunnen worden dat staten gebaat zullen zijn bij regulering binnen het cyberdomein en definiëring van de verschillende concepten aangaande cyberwarfare. Door te definiëren welke handelingen bijvoorbeeld kunnen worden beschouwd als een cyberaanval en regulering op te stellen waarbij maatregelen kunnen worden genomen tegen een agressor, zou dit kunnen leiden tot een afnemend belang van cyberafschrikking. Immers, wanneer agressors kunnen worden aangepakt via internationaal rechtelijke middelen zal cyberafschrikking in mindere mate noodzakelijk zijn teneinde de eigen voordelen binnen het cyberdomein te kunnen behouden. Bovendien dient binnen dit genoemde element de status van cyberwarfare in verhouding tot andere vormen van oorlogvoering te worden bepaald. Zoals reeds uiteengezet hebben de VS verklaard niet langer uit te sluiten dat een cyberaanval zou kunnen worden beantwoord met een conventionele aanval. Ander staten dienen aangaande deze kwestie ook te bepalen of zij een cyberaanval in diezelfde context van oorlogvoering plaatsen of hier een andere status aan geven. Hoe dan ook, duidelijkheid door definiëring lijkt hierin een sleutel tot veiligheid te zijn. CONCLUSIE De voornaamste vragen die in dit hoofdstuk aan bod kwamen waren met name gefocust op de elementen van een doctrine en de vraag in hoeverre dergelijke elementen konden worden
55
gevormd aangaande cyberwarfare. Uit de definitie van Drew en Snow is duidelijk geworden dat de nadruk in de vorming van (elementen van) een cyberdoctrine in een eerste stap ligt op een gedragscode, alvorens verdere stappen te kunnen maken. Om deze stappen te kunnen maken was een analyse van de cyberstrategieën van de hier geanalyseerde staten noodzakelijk, waarbinnen een vergelijking plaats kon vinden op basis waarvan gemeenschappelijke waarden voor doctrine-elementen konden worden herkend. Uit vijf voorname gemeenschappelijke waarden was het vervolgens mogelijk om vijf aanbevelingen te doen die eventueel als element voor een doctrine zouden kunnen gelden. In de eerste plaats is een aanbeveling om een overkoepelende, mondiale instelling of internationale organisatie op te richten, die zich specifiek bezig kan houden met het ontwikkelen van een gedragscode inzake cyberwarfare in eerste instantie en wellicht richting een cyberwarfareverdrag zou kunnen doorontwikkelen. Ten tweede kan de rol van cybercapaciteit een element zijn die in de doctrine kan worden opgenomen. Het zou de aanbeveling verdienen om ook internationaal gezien een bepaalde standaard te zetten voor een minimumcybercapaciteit in een land. Als derde dient er ten aanzien van cybercriminaliteit een grensoverschrijdende aanpak plaats te vinden. Ten vierde dient als element van een doctrine de status en rol van burgers in cyberwarfare te worden vastgelegd. Als vijfde en laatste element is er regulering en definiëring van concepten aangaande cyberwarfare en cyberspace. De vraag in hoeverre er elementen van een militaire doctrine kunnen worden ontwikkeld kan dientengevolge worden beantwoord met de observatie dat er in deze fase met name moet worden gekeken naar elementen van een doctrine die opheldering scheppen over de status van cyberwarfare. Zoals uiteengezet is de voornaamste rol die een doctrine zou kunnen hebben het scheppen van duidelijkheid, waarmee de veiligheid binnen het cyberdomein zal worden vergroot. Elementen van een doctrine zoals hierboven genoemd dienen dan als een vorm van gedragscode te worden geïnterpreteerd, teneinde een stap te zijn op weg naar wat wellicht ooit zou kunnen leiden tot een mondiaal verdrag inzake cyberwarfare. Om dit te kunnen doen zullen er echter eerst gedragsregels moeten worden bepaald die als basis dienen. In hoeverre een doctrine of verdrag oorlog in cyberspace kan voorkomen is onbekend. Echter, dat regulering hoe dan ook gewenst is lijkt evident, zoals ook Rex Hughes (Chatham House) stelt: “While there is no guarantee that a cyber-treaty will prevent the digital equivalent of Pearl Harbor, the Blitz, Hiroshima or 9/11, the complete absence of any meaningful regulation or treaty infrastructure leaves the way open for a digital ‘war against all’.” 138
Rex Hughes, ‘A treaty for cyberspace’, International Affairs 86:2 (Londen 2010) 523-541, aldaar 541.
138
56
CONCLUSIE In dit onderzoek is getracht een antwoord te vinden op de vraag in hoeverre het mogelijk is om aan de hand van de benadering van cyberwarfare van Stuart H. Starr elementen van een doctrine ten aanzien van cyberwarfare te ontwikkelen. Om deze vraag te kunnen beantwoorden werd in het eerste hoofdstuk de theorie van Starr onderzocht en de belangrijkste trends op het gebied van de verschillende onderdelen van de piramide van Starr uiteengezet. Hierbij kon worden gesteld dat de trends op het niveau van cyberpower voornamelijk zijn gericht op het creëren, integreren en verdiepen van theorieën en raamwerken met een dimensie van cyberpower. Op deze wijze kan oorlogvoering met het gebruik van cyberpower omvattend worden geanalyseerd. In de bovenste laag van Starr’s piramide, de cyberstrategie, dient rekening te worden gehouden met een scheiding tussen statelijke en non-statelijke actoren bij de vorming van een dergelijke strategie. Non-statelijke actoren, die op dit niveau vooral terroristische en transnationale criminele organisaties betreffen, behoeven een andere cyberstrategie dan statelijke actoren. Vervolgens werd, in overeenstemming met de piramide van Starr, begonnen met een analyse van de voet van de piramide, het cyberdomein, en met name de kansen en dreigingen binnen het cyberdomein. Vanwege het feit dat het cyberdomein het enige domein is dat door de mens is gecreëerd is de structuur van het cyberdomein uniek in vergelijking met de andere vier domeinen. Intensivering in gebruik van het cyberdomein leidt tot vele kansen en dreigingen. Aangaande de dreigingen zijn er zes belangrijke categorieën van dreigingen. In de eerste plaats zijn er de militaire dreigingen, direct gericht op militaire doelen. Een tweede categorie zijn de non-militaire dreigingen, doorgaans gericht op vitale onderdelen van het staatsapparaat. De derde categorie van dreigingen is terrorisme en extremisme, gebruikmakend van het asymmetrische karakter van het cyberdomein. Als vierde is cyberspionage een reële dreiging binnen het cyberdomein. De vijfde categorie dreigingen binnen het cyberdomein is die van cybercriminaliteit, met name ten aanzien van financiële instellingen. Als zesde en laatste categorie zijn er dreigingen met betrekking tot psychologische oorlogvoering. Kansen binnen het cyberdomein, in militair opzicht, liggen vooral in een strategische, operationele en tactische aspecten. Ten aanzien van het middelste niveau van de piramide, cyberpower, werd de vraag gesteld
in
hoeverre
cyberpower
uitwerking
heeft
en
kan
hebben
binnen
de
politiek/diplomatieke, informatieve, militaire en economische sectoren, ofwel de P/DIMEsectoren. De constatering dat cyberpower in de ene sector (bijvoorbeeld de economische en informatieve) een grotere invloed kan hebben dan in de andere sector (zoals de militaire en
57
politiek/diplomatieke), leidt tot de conclusie dat cyberpower een verschillende uitwerking heeft in de verschillende sectoren. Desalniettemin kan worden gesteld dat cyberpower in alle van de P/DIME-sectoren een uitwerking heeft in de vorm van verbreding van de mogelijkheden binnen de afzonderlijke sectoren. De keerzijde is dat in een aantal sectoren de kwetsbaarheid hiermee ook is toegenomen, wat in enkele sectoren heeft geleid tot een groei in (cyber)criminaliteit en schadeposten. Bij de top van de piramide, ofwel de cyberstrategie, bleek dat veel landen in de laatste jaren een cyberstrategie ontwikkeld hebben met als doel de nationale veiligheid te kunnen waarborgen. De dreiging van cyberwarfare is meer dan concreet, echter bescherming van het cyberdomein is zeer complex. Bovendien zijn er problemen in de structurele benadering van cyberwarfare. De twee grootste problemen in deze structuur zijn de vraagstukken rondom de verantwoordelijkheid voor cyberaanvallen en de regulering van cyberwarfare. Deze problemen worden dan ook niet opgelost in de geanalyseerde cyberstrategieën van de VS, het VK, Rusland, China en Nederland. Na analyse van de cyberstrategieën van de VS, het VK, China, Rusland en Nederland blijkt dat alle landen een opvatting hebben ontwikkeld hoe om te gaan met de ontwikkelingen binnen het cyberdomein, echter blijken er ook verschillen in deze opvattingen te zitten. Teneinde in hoofdstuk vijf tot elementen van een doctrine te kunnen komen werden deze overeenkomsten en verschillen in de cyberstrategieën geanalyseerd. Uit vijf voorname gemeenschappelijke waarden was het vervolgens mogelijk om vijf aanbevelingen te doen die eventueel als element voor een doctrine zouden kunnen gelden. In de eerste plaats is een aanbeveling om een overkoepelende organisatie op te richten, die zich specifiek bezig kan houden met het ontwikkelen van een gedragscode inzake cyberwarfare, eventueel leidend tot een cyberwarfareverdrag. Ten tweede kan de rol van cybercapaciteit belangrijk zijn. Het zou de aanbeveling verdienen om internationaal gezien een standaard te zetten voor een minimumcybercapaciteit in een land. Als derde dient er een grensoverschrijdende aanpak plaats te vinden ten aanzien van cybercriminaliteit. Ten vierde is de status en rol van burgers in cyberwarfare dusdanig van belang dat het dient te worden vastgelegd. Als vijfde en laatste element is er regulering en definiëring van concepten aangaande cyberwarfare en cyberspace. Om tenslotte de hoofdvraag van dit onderzoek te kunnen beantwoorden, de vraag in hoeverre er elementen van een doctrine kunnen worden ontwikkeld, moet in de eerste plaats worden gesteld dat er in deze fase met name moet worden gekeken naar elementen van een doctrine die duidelijkheid scheppen. Zoals uiteengezet is de voornaamste rol die een doctrine zou kunnen hebben het scheppen van duidelijkheid, waarmee de veiligheid binnen het cyberdomein zal worden vergroot. Elementen van een doctrine zoals hierboven genoemd dienen dan als een vorm van gedragscode te worden geïnterpreteerd, teneinde een stap te zijn op weg naar wat wellicht ooit zou kunnen leiden tot een mondiaal verdrag inzake
58
cyberwarfare. Zoals gesteld in hoofdstuk vijf heeft een doctrine een algemeen karakter, waarin een visie op oorlogvoering wordt vastgelegd. Elementen van een dergelijke doctrine ten aanzien van cyberoorlogvoering kunnen worden ontwikkeld, echter om dit te kunnen doen zullen er eerst ‘rules of the road’ moeten worden bepaald. Het concept cyberwarfare is in de huidige fase dusdanig ongereguleerd, onduidelijk en onbegrensd dat het ontwikkelen van een stabiele visie op de lange termijn niet mogelijk is. Deze onduidelijkheid, geïllustreerd met de overgrote focus op het nationale belang in de geanalyseerde cyberstrategieën, dient te worden weggenomen. Door het reguleren van het cyberdomein en het definiëren van cyberwarfare en diens gerelateerde concepten ontstaat er een duidelijkheid die wél als fundament kan dienen voor het ontwikkelen van een doctrine en eventueel een verdrag. VERDER ONDERZOEK Cyberwarfare is een dusdanig nieuw concept dat de mogelijkheden ervan nog niet compleet in kaart zijn gebracht. Dientengevolge is er nog veel onderzoek noodzakelijk om een meer integraal beeld te kunnen vormen van de daadwerkelijke betekenis van cyberwarfare. Aangaande de focus van dit onderzoek zou een vervolg hiervan meer focus moeten leggen op de toenadering van statelijke actoren op het gebied van cyberwarfare. In het huidige tijdskader, waarin internationale bondgenootschappen en een hoge mate van regionale integratie de boventoon voeren, lijkt de benadering van cyberwarfare vele jaren achter te lopen, gezien de hoge mate van nationale prioriteiten in de verschillende cyberstrategieën. Onderzoek naar de mogelijkheden van een juridisch kader zal moeten geschieden teneinde een meer gereguleerde omgeving te kunnen laten ontstaan op basis waarvan coöperatie ten aanzien van cyberwarfare mogelijk zal zijn. Een andere aanbeveling voor nader onderzoek is onderzoek naar cyberafschrikking, eventueel in combinatie met een limitering van offensieve cybercapaciteiten. Wellicht dat hier een parallel kan worden getrokken met de afschrikking en ontwapening ten aanzien van nucleaire wapens. Indien er geen ‘veilige’ internationaal rechtelijke omgeving zal ontstaan waarbinnen staten de neiging zullen voelen om intensief samen te werken op het gebied van cyberwarfare zal er tenminste een oplossing moeten komen waarbinnen de limitering van cyberaanvallen aan de orde komt. Cyberafschrikking en limieten aan offensieve cybercapaciteiten behoren hier tot de mogelijkheden. Een laatste aanbeveling voor verder onderzoek is om verdergaande mogelijkheden voor PPP’s te analyseren. De rol van de private sector in het cyberdomein is zeer groot en dient daarom op waarde te worden geschat. PPP’s kunnen belangrijk zijn in de ontwikkeling van een veiliger cyberdomein, echter dienen wel op basis van gelijkwaardigheid te worden uitgevoerd. Onderzoek naar de mogelijkheden van dergelijke PPP’s zou de ontwikkeling hiervan kunnen versnellen.
59
Overkoepelend kan worden gesteld dat samenwerking op alle niveaus noodzakelijk is om tot een veiliger en beter beschermd cyberdomein te komen, of deze samenwerking nu tussen staten, NGO’s of internationale organisaties ontstaat. Er dient hierbij te allen tijde in het achterhoofd te worden gehouden dat er bij elk onderzoek naar de toekomst van het cyberdomein zoveel mogelijk buiten bestaande kaders gedacht dient te worden. Het cyberdomein is in dusdanig veel opzichten uniek in vergelijking met de andere vier domeinen dat onderzoeksmethoden aangaande deze domeinen niet simpelweg per definitie kunnen worden toegepast op het cyberdomein. Het unieke karakter van het cyberdomein dient met een unieke benadering te worden aangepakt.
60
EPILOOG De rol van cyberwarfare in toekomstige conflicten lijkt vast te staan. De toenemende connectiviteit door middel van het cyberdomein levert veel mogelijkheden op, echter heeft ook een keerzijde in het feit dat er grote kwetsbaarheden ontstaan. De snelheid waarmee een eventuele cyberaanval kan worden uitgevoerd is dusdanig, dat verdediging op het moment van aanvallen al bijna niet meer mogelijk is. Het grootste gevaar heerst in het feit dat burgers bijna altijd de grootste slachtoffers zullen zijn van een integrale cyberaanval. Om de kracht van cyberwarfare te illustreren, is onderstaand fragment uit het recente boek van Richard A. Clarke en Robert K. Knake bijgevoegd. Het dient als signalering van het gevaar die cyberwarfare met zich mee kan brengen, indien er geen ‘rules of the road’ zullen worden ontwikkeld. Imagine a day in the near future. You are the Assistant to the President for Homeland Security and you get a call from the White House Situation Room, as you are packing up to leave the office for the day, at eight p.m. NSA has issued a “CRITIC” message, a rare alert that something important just happened. The one-line message says only: “large scale movement of several different zero-day malware programs moving on Internet in the US, affecting critical infrastructure”. The Situation Room’s Senior Duty Officer suggests that you come down and help him figure out what is going on. By the time you get to the Situation Room, the Director of the Defense Information System Agency is waiting on the secure phone for you. He has just briefed the Secretary of Defense, who suggested he call you. The unclassified Department of Defense network known as the NIPRNET is collapsing. Large-scale routers throughout the network are failing, and constantly rebooting. Network traffic is essentially halted. As he is telling you this, you can hear someone in the background trying to get his attention. When the general comes back on the line, he says softly and without emotion, “Now it’s happening on the SIPRNET and JWICS, too”. He means that DoD’s classified networks are grinding to a halt. Unaware of what is happening across the river at the Pentagon, the Undersecretary of Homeland Security has called the White House, urgently needing to speak to you. FEMA, the Federal Emergency Management Agency, has told him that two of its regional offices, in Philadelphia and in Denton, Texas, have reported large refinery fires and explosions in Philadelphia and Houston, as well as lethal clouds of chlorine gas being released from several chemical plants in New Jersey and Delaware. He adds that the U.S. Computer Emergency Response Team in Pittsburgh is being deluged with reports of systems failing, but he hasn’t had time to get to the details yet. Before you can ask the Senior Duty Officer where the President is, another officer thrusts a phone at you. It’s the Deputy Secretary of Transportation. “Are we under attack?” she asks. When you ask why, she ticks off what has happened. The Federal Aviation Administration’s National Air Traffic Control Center in Herndon, Virginia, has experienced a total collapse of its systems. The alternate center in Leesburg is in a complete panic because it and several other regional centers cannot see what aircraft are aloft and are trying to manually identify and separate hundreds of aircraft. Brickyard, the Indianapolis Center, has already reported a midair collision of two 737s. “I thought it was just an FAA crisis, but then the train wrecks started happening…” she explains. The Federal Railroad Administration has been told of major freight derailments in Long Beach, Norfolk, Chicago, and Kansas City. Looking at the status board for the location of the President, you see it says only “Washington-OTR”. He is on an off the record, or personal, activity outside the
61
White House. Reading your mind, the Senior Duty Officer explains that the President has taken the First Lady to a hip new restaurant in Georgetown. “Then put me through to the head of his Secret Service detail”, says a breathless voice. It’s the Secretary of the Treasury, who has run from his office in the building next to the White House. “The Chairman of the Fed just called. Their data centers and their backups have had some sort of major disaster. They have lost all their data. It’s affecting the data centers at DTCC and SIAC – they’re going down, too.” He explains that those initials represent important financial computer centers in New York. “Nobody will know who owns what. The entire financial system will dissolve by morning.” As he says that, your eyes are drawn to a television screen reporting on a derailment on the Washington Metro in a tunnel under the Potomac. Another screen shows a raging flame in the Virginia suburbs where a major gas pipeline has exploded. Then the lights in the Situation Room flicker. Then they go out. Battery-operated emergency spotlights come on, casting the room in shadows and bright light. The television flat screens and the computer monitors have gone blank. The lights flicker again and come back on, as do some of the screens. There is a distant, loud droning. “It’s the backup generator, sir”, the Duty Officer says. His deputy again hands you a secure phone and mouths the words you did not want to hear: “It’s for you. It’s POTUS.” The President is in the Beast, his giant armored vehicle that resembles a Cadillac on steroids, on his way back from the restaurant. The Secret Service pulled him out of the restaurant when the blackout hit, but they are having a hard time getting through the traffic. Washington’s streets are filled with car wrecks because the signal lights are all out. POTUS wants to know if it’s true what his Secret Service agent told him, that the blackout is covering the entire eastern half of the country. “No, wait, what? Now they’re saying that the Vice President’s detail says it’s out where he is, too. Isn’t he in San Francisco today? What time is it there?” You look at your watch. It’s now 8:15 p. M. Within a quarter of an hour, 157 major metropolitan areas have been thrown into knots by a nationwide power blackout hitting during rush hour. Poison gas clouds are wafting toward Wilmington and Houston. Refineries are burning up oil supplies in several cities. Subways have crashed in New York, Oakland, Washington, and Los Angeles. Freight trains have derailed outside major junctions and marshaling yards on four major railroads. Aircraft are literally falling out of the sky as a result of midair collisions across the country. Pipelines carrying natural gas to the Northeast have exploded, leaving millions in the cold. The financial system has also frozen solid because of terabytes of information at data centers being wiped out. Weather, navigation, and communications satellites are spinning out of their orbits into space. And the U. S. Military is a series of isolated units, struggling to communicate with each other. Several thousand Americans have already died, multiples of that number are injured and trying to get to hospitals. There is more going on, but the people who should be reporting to you can’t get through. In the days ahead, cities will run out of food because of the train-system failures and the jumbling of data at trucking and distribution centers. Power will not come back up because nuclear plants have gone into secure lockdown and many conventional plants have had their generators permanently damaged. High-tension transmission lines on several key routes have caught fire and melted. Unable to get cash from ATMs or bank branches, some Americans will begin to loot stores. Police and emergency services will be overwhelmed. In all the wars America has fought, no nation has ever done this kind of damage to our cities. A sophisticated cyber war attack by one of several nation-states could do that today, in fifteen minutes, without a single terrorist or soldier ever appearing in this country. Why haven’t they done it by now, if they can? For the same reason that the nine nations with nuclear weapons haven’t used one of them since 1945, because they need to have the political circumstances that cause them to believe such an attack would be in their interest. But unlike with nuclear weapons, where an attacker may be deterred by the promise of retaliation or by the radioactive blow-back on his own country, launching a cyber attack may run fewer risks. In cyber war, we may never even know
62
what hit us. Indeed, it may give little solace to Americans shivering without power to know that the United States may be about to retaliate in kind. “While you were on the line with the President, sir, Cyber Command called from Fort Meade. They think the attack came from Russia and they are ready to turn out the lights in Moscow, sir. Or maybe it was China, so they are ready to hit Beijing, if you want to do that. Sir?” Uit: Richard A. Clarke en Robert K. Knake, Cyber War. The Next Threath to National Security and What To Do About It (New York 2010) 64-68.
63
LITERATUURLIJST GEDRUKTE BRONNEN Cabinet
Office,
‘Cyber
Security’,
Cabinet
Office
Web
(30 juni 2011). Cabinet Office, Cyber Security Strategy of the United Kingdom. Safety, security and resilience in cyber space (Londen 2009). Carr, Jeffrey, Inside Cyber Warfare (Sebastopol 2009). Cilluffo, Frank, ‘NETworked Radicalization: A Counter-Strategy’, The George Washington University Homeland Security Policy Institute and Critical Incident Analysis Group Task Force on Internet-facilitated Radicalization (Washington D.C., 2007). Cornish, Paul, e.a., ‘On Cyber Warfare’, Chatham House Reports (Londen 2010). Clarke, Richard A., en Robert K. Knake, Cyber War. The Next Threath to National Security and What To Do About It (New York 2010). DefCERT,
‘Digitale
Verdediging’,
Ministerie
van
Defensie
(1 juli 2011). Downing, Emma, ‘Cyber Security – A National Programme’, House of Commons Library (Londen 2011). Dredge, Stuart, ‘PlayStation Network hack: what every user needs to know’, The Guardian (12 juli 2011). Drew, Dennis M., en Donald M. Snow, Making Twenty-First Century Strategy. An Introduction to Modern National Security Processes and Problems (Washington D.C. 2006). Ethembabaoglu, Aksel, e.a., ‘ICT-kwetsbaarheid en Nationale Veiligheid’, HCSS: Denktank Nationale Veiligheid (Den Haag 2010). Evans, Colin, Interpol (New York 2011). GOVCERT, ‘Operational Framework GOVCERT.NL’, Government Computer Emergency Response Team (Den Haag 2010). Han, Pliny, ‘The Internet in China’, Information Office of the State Council of the People’s Republic of China (3 juli 2011). Her Majesty’s Government, A Strong Britain in an Age of Uncertainty: The National Security Strategy (Londen 2010).
64
Hillen, J.S.J., ‘Defensie na de kredietcrisis: een kleinere krijgsmacht in een onrustige wereld’, Brief van de Minister van Defensie aan de Voorzitter van de Tweede Kamer der Staten Generaal (’s-Gravenhage, 8 april 2011). Hillen, J.S.J., ‘Van zwaard naar joystick. De rol van Defensie in de digitale frontlinie’, Toespraak van de minister van Defensie, J.S.J. Hillen, ter gelegenheid van de conferentie Cyber Operaties van het Koninklijk Instituut van Ingenieurs (Amsterdam 13 april 2011). Hughes, Rex, ‘A treaty for cyberspace’, International Affairs 86:2 (Londen 2010) 523-541. Hunker, Jeffrey, ‘Cyber war and cyber power. Issues for NATO doctrine’, NATO Research Paper 62 (Rome, 2010). ICRC, ‘The Geneva Conventions of 1949 and their Additional Protocols’, International Committee of the Red Cross (4 juli 2011). IECA, ‘Wereldwijde groei E-commerce in 2011: 19%’, International E-Commerce Association (28 juni 2011). Information Office of the State Council, ‘China’s National Defense in 2010’, The People’s Republic
of
China
03/31/content_1835499.htm> (3 juli 2011). International Telecommunications Union, ‘ITU Global Internet Users Statistics’, ITU (20 mei 2011). King, Charles, 'The Five-Day War', Foreign Affairs 87:6 (New York 2008) 2-11. Koch, Koen, ‘Afghanistan: draagvlak achter de horizon’, Internationale Spectator 62:6 (Den Haag 2008) 321-322. Kohn, Richard, en Joseph P. Harahan, ‘US Strategic Air Power, 1948-1962’, International Security 12:4 (Cambridge 1988) 78-87. Krekel, Bryan, ‘Capability of the People’s Republic of China to Conduct Cyber Warfare and Computer Network Exploitation’, Prepared for The US-China Economic and Security Review Commission (Washington D.C. 2009). Kuehl, Daniel T., ‘From Cyberspace to Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 24-42. Kwalwasser, Harold, ‘Internet Governance’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 491-524. Manson III, George Patterson, ‘Cyberwar: The United States and China Prepare for the Next Generation of Conflict’, Comparative Strategy 30:2 (Londen 2011) 121-133.
65
Medeiros, Evan S., China’s International Behavior. Activism, Opportunism, and Diversification (Pittsburgh 2009). Ministerie van Veiligheid en Justitie, ‘De Nationale Cyber Security Strategie (NCSS)’, Koninkrijk der Nederlanden (Den Haag 2011). Morozov, Evgeny, The Net Delusion. The Dark Side of Internet Freedom (New York 2011). NATO, ‘Allied Joint Doctrine (AJP-01D)’, Noord Atlantische Verdragsorganisatie (Brussel 2010). NAVO
Handvest
artikel
5,
Noord
Atlantische
Verdragsorganisatie
(24 mei 2011). Nye, Joseph S., ‘Cyber Power’, Harvard Kennedy School (Cambridge 2010). Nye, Joseph S., The Future of Power. And Use in the Twenty-First Century (New York 2011). Owens, William A., e.a., ‘Technology, Policy, Law, and Ethics Regarding U.S. Acquisition and Use of Cyberattack Capabilities’, National Research Council of the National Academies (Washington DC, 2009). Posen, Barry R., The Sources of Military Doctrine. France, Britain, and Germany Between the World Wars (Cornell 1984). Powell, Robert, Nuclear Deterrence Theory. The Search for Credibility (Cambridge 1990). Pufeng, Wang, ‘The Challenge of Information Warfare’, China Military Science (26 mei 2011). Rauscher, Karl Frederick, en Andrey Korotkov, ‘Working Towards Rules for Governing Cyber Conflict. Rendering the Geneva and Hague Conventions in Cyberspace’, EWI Russia – U.S. Bilateral on Critical Infrastructure Protection (New York 2011). Rauscher, Karl Frederik, en Zhou Yonglin, ‘Fighting Spam to Build Trust’, East West Institute (New York/Beijing 2011). Rieck, Konrad, e.a., ‘Learning and Classification of Malware Behavior’, Detection of Intrusions and Malware, and Vulnerability Assessment (Berlijn 2008). Shackelford, Scott J., ‘State Responsibility for Cyber Attacks: Competing Standards for a Growing Problem’, University of Cambridge (Cambridge 2010). Sheldon, John B., ‘Deciphering Cyberpower. Strategic Purpose in Peace and War’, Strategic Studies Quarterly 5:2 (Maxwell 2011) 94-112. Sifry, Micah L., WikiLeaks and the Age of Transparency (Berkeley 2011) Starr, Stuart H., ‘Toward a Preliminary Theory of Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 43-81. Stephans, William Oliver, en Allan Westcott, A History of Seapower (New York 1920). Stiennon, Richard, Surviving Cyber War (Plymouth 2010).
66
UNDP, ‘Human Development Report 2010’, United Nations Development Programme (3 juli 2011). United States of America, International Strategy for Cyberspace. Prosperity, Security, and Openness in a Networked World (Washington D.C. 2011). Uppsala
Conflict
Data
Program,
‘China’,
UCDP
Database
Uppsala
University
(4 juli 2011). U.S.
Department
of
Defense,
‘U.S.
Cyber
Command’,
USCYBERCOM
(30 juni 2011). Veiligheidsraad van de Russische Federatie, ‘Information Security Doctrine’, Russische Federatie (3 juli 2011). Veiligheidsraad van de Russische Federatie, ‘Militaire doctrine’, Russische Federatie (3 juli 2011). White, Orrick, ‘Network Centric Operations. Challenges Associated With the Human-in-theloop’, Defence Research and Development Canada (Ottawa 2005). Wilson, Clay, ‘Cyber Crime’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 415-436. Zimet, Elihu, en Edward Skoudis, ‘A Graphical Introduction to the Structural Elements of Cyberspace’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 91-112. Zittrain, Jonathan, en Benjamin Edelman, ‘Empirical Analysis of Internet Filtering in China’, Berkman
Center
for
Internet
&
Security,
Harvard
Law
School
(1 juli 2011).
NIET-GEDRUKTE BRONNEN Lezing van Francis Delon, Secrétaire général de la défense nationale bij de Franse overheid, gehouden voor de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011), via
content/41>. Vraaggesprek met Generaal-majoor Koen Gijsbers, Chief Information Officer (CIO) van het Nederlandse Ministerie van Defensie, op het ‘Cyberdefence Symposium’ van de Atlantische Commissie (Den Haag 7 april 2011). Vraaggesprek met Francis Maude, MP, ‘Minister for the Cabinet Office and Paymaster General’ van de Britse regering, bij de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011).
67
Vraaggesprek met Joseph S. Nye, bijzonder hoogleraar aan Harvard University en voormalig hoofd van de John F. Kennedy School of Government van Harvard University, bij de Second Worldwide Cybersecurity Summit (Londen, 2 juni 2011). Vraaggesprek met Christopher Painter, Coordinator for Cyber Issues of the U.S. Department of State, bij de Second Worldwide Cybersecurity Summit (Londen, 1 juni 2011). Vraaggesprek met Roel Schouwenberg, ‘Senior Anti-Virus Researcher’ bij het ‘Global Research & Analysis Team’ van het ‘Kaspersky Lab’, bij de Second Worldwide Cybersecurity Summit (Londen, 2 juni 2011).
68
BIJLAGE 1 | SCHEMATISCHE WEERGAVE VAN HET SYSTEEMDOMEIN
KLEINE TOP-TIER
ISP
PC’S
ISP
TOP-TIER ISP
TOP-TIER ISP
KLEINE ISP
BEDRIJFSNETWERK PC’S
Figuur 6 | Schematisch overzicht van het syteemdomein. De verbindingen tussen de top-tier ISP's zijn de ruggengraat van het cyberdomein.
69
BIJLAGE 2 | KARAKTERISTIEKEN VAN HET CYBERDOMEIN IN PERSPECTIEF
TECHNOLOGIC AL ADVANCES
SPEED AND SCOPE OF OPERATIONS
CONTROL OF KEY FEATURES
NATIONAL MOBILIZATION
LAND
SEA
AIR
Rail and Communicatio ns require focus on heartland
Steel and steam enable global power projection
Crush centers of gravity directly
Drives choice of preferred lines of communication
Allows global strikes against rim of heartland
Speed of mobilization crucial for heartland advantage
Location of key resources crucial
Requires global basing; geographic chokepoint s Must protect trade as key element of national power
SPACE
CYBER
Creates a new high ground
New strategic vulnerabilitie s; enables nonstate actors
Conflicts will end quickly
Continuous global operations
Extremely fast global operations; automation of command and control
First strikes against adversary airfield crucial
Ensure access with lift; control key orbit points
Environment under human control; changes quickly
Ensure cadre of professional s; link to private sector
Ensure cadre of professional s; link to private sector
Ensure cadre of professionals; link to private sector
Tabel 2 | Het cyberdomein in verhouding tot de vier andere domeinen van oorlogvoering
Gregory J. Rattray (National Defence University, Washington D.C.) heeft een studie gedaan naar de karakteristieken van het cyberdomein in verhouding tot de andere vier domeinen van oorlogvoering. De belangrijkste verschillen die naar voren kwamen uit dit onderzoek, waren ten eerste de rol van capaciteit in cyberwarfare. Het cyberdomein kan niet verdedigd worden door simpelweg de capaciteit te vergroten van militairen die zich richten op cyberwarfare. Techniek, informatie en strategie spelen hierin een zeer grote rol, die relatief groter is dan in de andere domeinen van oorlogvoering. Ten tweede is de grote mate van verandering waaraan het cyberdomein onderhevig is karakteristiek ten opzichte van de andere domeinen. De ‘maakbaarheid’ van het cyberdomein leidt tot een snelle verandering hiervan. 139
Gregory J. Rattray, ‘An Environmental Approach to Understanding Cyberpower’, in: Franklin D. Kramer, Stuart H. Starr en Larry K. Wentz, ed., Cyberpower and National Security (Washington DC 2009) 263-274. 139
70