Omslag nodig voor digitale slagkracht

De digitale transformatie van Nederland heeft gevolgen voor digitale veiligheid

Nederland is een van de meest gedigitaliseerde landen ter wereld en de adoptie van digitale technologie zet zich anno 2015 nog steeds door. Vanuit veiligheidsperspectief betekent dit dat er veel meer te beschermen is. Zonder adequate beveiliging van persoonsgegevens en gedigitaliseerde bedrijfsprocessen komt de privacy in het geding, of worden vitale infrastructuren als energie, telecom of banken te kwetsbaar voor cyberaanvallen. Dit geldt ook voor Defensie waarbij het bijvoorbeeld kan gaan om verstoring van hoogwaardige (satelliet) communicatie-, informatie-, sensor-, navigatie-, logistieke en wapensystemen. Dit kan de slagkracht en handelingsvrijheid van Defensie ernstig beperken.¹

Digitalisering biedt echter ook kansen voor Defensie. Afgezien van de voordelen van eigen digitalisering (bijvoorbeeld efficiëntie, verbeterde informatiepositie, nieuwe communicatiemiddelen), ontstaan ook nieuwe militaire handelingsopties voor de verdediging van de belangen van het Koninkrijk. Voor het realiseren van haar doelstellingen in het digitale domein heeft Defensie daarom een Defensie Cyber Strateg opgesteld in 2012. In de afgelopen twee jaar heeft het ministerie ook vooruitgang geboekt met de realisatie. Voorbeelden zijn de oprichting van het Defensie Cyber Expertise Centrum, DefCERT, de Joint SIGINT Cyber Unit² (met de AIVD) en de oprichting van het Defensie Cyber Commando eind 2014.³

De wereld verandert en niet alleen digitaal

Er is de afgelopen tijd echter het nodige veranderd en dit heeft zijn consequenties voor de cyberstrategie van Defensie. We behandelen hier een aantal trends: militarisering van cyberspace, inzet cyber bij conflicten en industrialisering.

1. Militarisering cyberspace
Het digitale domein raakt verder steeds meer gemilitariseerd. Niet voor niets is dit voor militairen de ‘vijfde dimensie’ (naast land, zee, lucht en ruimte). Een groeiend aantal landen ontwikkelt capaciteiten om digitale aanvallen uit te kunnen voeren als onderdeel van hun militaire operaties (‘cyber operations’). Neem bijvoorbeeld Denemarken, dat in de periode 2015-2017 465 miljoen kroon (bijna € 63 miljoen) zegt te gaan investeren om een offensieve cyberdivisie op te richten.⁴ De Nederlandse Defensie investeerde in de periode 2012-2015 €50 miljoen extra voor zowel inlichtingen, defensief als offensief.

Steeds meer landen komen er ook openlijk voor uit dat ze de intentie hebben in cyberspace offensief op te kunnen treden. Ook de Nederlandse Defensie Cyber Strategy is tamelijk expliciet: “In het kader van militaire operaties zal steeds vaker van operationele cybercapaciteiten gebruik worden gemaakt, voornamelijk ter ondersteuning van het reguliere optreden van de krijgsmachten maar ook als zelfstandig wapen.”⁵ Defensie heeft primair een traditionele aanpak voor ogen: “De planning en uitvoering van operaties in het cyberdomein komen grotendeels overeen met die van traditionele militaire operaties.”⁶ De vraag is echter of deze benadering het volledige potentieel van het cyberdomein zal ontsluiten en of we cyber operations wel moeten zien als een zuiver traditionele militaire capaciteit. Cyber operations zijn in deze benadering een gewone vorm van oorlogsvoering. Gebruik van geweld wordt door Von Clausewitz⁷ in dit kader aangemerkt als een machtsmiddel, dat ingezet wordt als andere middelen van buitenlandse politiek geen gewenst effect bereiken. Inzet van dergelijke middelen is voorbehouden aan de overheid en gebonden aan strenge regels. In de praktijk betekent dit onder meer dat Defensie opereert onder een NATO- of VN-mandaat en dat inzet van Nederlandse militairen door het parlement is goedgekeurd.⁸

2. Cyber vaker in conflicten
Vrijwel elk geopolitiek conflict van enige omvang heeft inmiddels een cybercomponent. Staten, groeperingen en/of hun (gedoogde of gesteunde) sympathisanten voeren cyberaanvallen uit op tegenstanders, ter ondersteuning van hun diplomatieke, activistische of terroristische doelstellingen. De afgelopen jaren zijn er dan ook veel cyber operations waargenomen die wel (geo-)politiek, maar niet militair waren. Bijvoorbeeld de massale Denial of Service aanvallen in Estland (2007) en Georgië (2008) en de aanval op Sony in 2014 (door Noord-Korea publiekelijk goedgekeurd⁹, maar niet aantoonbaar gesteund of uitgevoerd). Ook de StuxNet operatie die Iraanse nucleaire installaties saboteerde (in 2010 ontdekt) en de aanval op IT-systemen van Saudi Aramco (2012) vallen in deze categorie.

Onder de huidige veranderende geopolitieke omstandigheden betekent dit overigens dat Defensie niet alleen rekening moet houden met ‘low tech’ tegenstanders tijdens vredesmissies! Deze ‘low tech’ tegenstanders kunnen worden gesteund door hackers (bijvoorbeeld de Syrian Electronic Army), maar ook staten mengen zich – al dan niet via een tussenpartij – met cyber operations in conflicten. Kenmerken van deze aanvallen zijn, dat ze niet door duidelijk aanwijsbare statelijk militaire eenheden worden uitgevoerd, er geen algemeen geldend volkenrechtelijk mandaat is, er geen (openlijke) parlementaire goedkeuring en kader voor inzet is gegeven en de geweldsinstructies onduidelijk en/of niet expliciet zijn. In de doelwitten is ook een verschuiving zichtbaar. De aanvallen leiden zelden tot een aantasting van de militaire capaciteit of bedreiging van de soevereiniteit van het aangevallen land. Meestal ondermijnen aanvallen echter wel de informele
machtsbasis (bijvoorbeeld economie) of communicatie of een bedrijf als symbool. De aanvallen hebben daarom toch een hoge impact op de politieke situatie. Terugkomend naar Clausewitz zien we dus dat cyber operaties wel degelijk ingezet worden als ‘een voortzetting van de politiek’, maar dan met niet-militair geweld. En met succes! De Nederlandse overheid zou langs deze lijn ook moeten overwegen om ter versterking van de algemene buitenlandse politieke positie en de (inter-)nationale veiligheid naast de zuiver militaire inzet andersoortige cyber operations capaciteiten te ontwikkelen en in te zetten. Deze capaciteiten gaan verder dan de huidige militaire inzet, zelfs verder dan ‘speciale operaties’.¹⁰ Uiteraard dient deze optie wel voorzien te zijn van politieke controle en checks & balances. Het spreekt voor zich dat verkenning van deze weg ook gevolgen heeft voor de doctrine en de ontwikkeling van middelen en uiteindelijk misschien ook de vraag of het een taak is die bij Defensie belegd dient te worden.

3. Cyber operaties van ambachtsman naar industrie
De technologische ontwikkelingen op het gebied van cyberaanvallen gaan ondertussen onverminderd door. De ambachtelijke hacker op zolder is inmiddels ingehaald door een geïndustrialiseerde aanpak. Tools worden steeds makkelijker in het gebruik en criminele en legale hacking toolkits worden verhuurd tegen condities die sterk aan commerciële softwarepakketten doen denken, inclusief garantie en onderhoud. Hergebruik en modulaire opbouw vervangen voor een groot deel het programmeren van code. De potentiële doelwitten van cyber operations zijn dynamisch, door voortdurend onderhoud, patching en updating van IT-omgevingen. Wat je digitaal aan wilt vallen, kan er daarom van vandaag op morgen anders uitzien, waardoor de aanval niet kan slagen. Inzicht en flexibiliteit zijn dus belangrijk. Defensie opereert voorts binnen strakke spelregels en moet (ambtelijk en politiek) controleerbaar zijn bij het hanteren van geweld en stelt strenge eisen aan de kwaliteit van operaties. Vastlegging van werkwijze en resultaten zijn hiervoor noodzakelijk.

Een start met ‘ambachtelijke’ cyberprofessionals en commerciële kits is een goede eerste stap, maar is gezien de eisen die aan militair optreden worden gesteld niet het eindstation. Het is nodig over te gaan tot ontwikkeling van modules van ‘cyberwapens’ en die op een geïndustrialiseerde leest te schoeien, zoals dat ook gebeurt in de civiele applicatieontwikkeling en –onderhoud.

Om dergelijke moderne cyber operations capaciteiten te ontwikkelen, kan Defensie ook het potentieel van de industrie in Nederland en Europa benutten. Het inschakelen van de industrie voor cyber operations kent een aantal belemmeringen. Er is op dit moment bijvoorbeeld geen aanwijsbare industrie (in Nederland althans) die cyberwapensystemen of cyberwapens maakt. Er bestaat wel een IT- en IT-security industrie, maar deze begeeft zich vanwege juridische en/of ethische bezwaren doorgaans niet op het ‘weaponisen’ van IT.

Verder zullen cyber operations vanuit hun aard altijd zeer kennisintensief en specifiek zijn. Het ontwikkelen, parameteriseren en vervolgens operationeel inzetten van cyberwapens zal bijna altijd tegen specifieke doelwitten zijn en juridisch gezien door militairen plaats moeten vinden. Het volledig scheiden van ontwikkeling en gebruik (de ‘inzet’) is ons inziens niet mogelijk. Het aanleveren van modules, een ontwikkelplatform en kwetsbaarheden is als tussenvorm wel een interessant concept voor versnelling, net als het doen van onderzoek en ontwikkeling naar een cyberwapenplatform en het bieden van opleidingen.

Conclusie

Er kan in Nederland geen digitale veiligheid zijn zonder sterke militaire cybercapaciteiten. Defensie zal ook in het digitale domein de ‘dienstverlener’ voor de Nederlandse staat en burgers moeten zijn voor het verstrekken van veiligheid, bescherming van grondgebied en internationale rechtstaat, soevereiniteit, politieke en economische belangen. Defensie beschikt indien nodig over de mogelijkheid om hierbij geweld als speciaal middel in te zetten. Een verandering in kijk op het traditionele militair denken maakt het echter ook mogelijk om cyber operations in een andere richting door te ontwikkelen. Om schaalgrootte en volwassenheid te bereiken zijn verdere industrialisering van militaire cyber operaties en een grotere rol van de industrie bij de ontwikkeling van offensieve cyberdiensten nodig.