Meer JSF’s of meer digitale wapensystemen?

Dit is geen nieuws. Er worden in, zowel de publieke als de private sectoren, al vele jaren op succesvolle wijze maatregelen getroffen om de digitale veiligheid te verbeteren. Maar na de schokkende onthullingen rondom de beïnvloeding van de Amerikaanse verkiezingen is het een reële vraag of onze bestaande beschermingsmaatregelen wel voldoende zijn. En of we eigenlijk zelf weten in hoeverre ons nationale private en publieke digitale domein inmiddels is geïnfiltreerd en gemanipuleerd? En door wie?

We moeten ons dus de vraag stellen in hoeverre onze nationale digitale bescherming toereikend is, gezien de schaal en omvang van internationale digitale operaties. De onthullingen van Snowden en Wikileaks gaven al een indicatie van de omvang en de digitale slagkracht van de Verenigde Staten. Inmiddels kunnen we uit vele waarnemingen¹ vaststellen dat vergelijkbare indrukwekkende digitale capaciteiten ook zijn ontwikkeld bij andere grote mogendheden. Zowel bij onze traditionele  bondgenoten² als bij de andere grootmachten. Daarbij blijkt in het digitale domein het onderscheid tussen bondgenoot of vijand niet erg scherp. Belangrijke bondgenoten kennen geen scrupules bij het infiltreren³ van hun vrienden, zoals bleek bij de hacks van Belgacom en het aftappen van de telefoon van Merkel (overigens geen nieuw gegeven in de wereld van spionage). Juist van je bondgenoten is het belangrijk om te weten of ze nog steeds loyaal zijn.

Wij kiezen niet zelf het speelveld van internationale invloed. Vandaag de dag ligt het internationale speelveld van beïnvloeding ook niet meer op de Noord-Duitse laagvlakte, in de woestijn of op de grote oceaan. Het speelveld betreft onze verbonden netwerken waarin we informatie delen en transacties uitvoeren. De capaciteiten van de wereldmachten om dergelijke infiltraties en manipulaties uit te voeren zijn indrukwekkend. Hoe bescherm je je daar tegen? Voor kleine en middelgrote landen zijn deze capaciteiten moeilijk realiseerbaar. Ligt daar een rol voor de NAVO of de EU?

Het NAVO-bondgenootschap is van oudsher gebaseerd op de fysieke territoriale veiligheid die op traditionele en analoge wijze wordt beschermd. Over cybersecurity-dreigingen en -maatregelen wordt weliswaar veel gesproken en gepubliceerd, maar echte operationele capaciteit is er niet. Het  NAVO samenwerkingsinstituut voor cybersecurity in Tallinn is hiervan een goed voorbeeld. Dit is een Centre of Excellence en géén hoofdkwartier. Het richt zich op kennisopbouw en kennisuitwisseling en beperkt zich daarbij principieel tot alleen cyberverdediging tegen traditionele vijanden. De verdediging tegen eigen bondgenoten staat uiteraard niet op de agenda.

Op kleine schaal worden wel pogingen gedaan om met een aantal lidstaten samen cybercapaciteiten te ontwikkelen, maar dit zijn voornamelijk initiatieven van enkele kleine en middelgrote lidstaten⁴. De grote mogendheden, die zelf over forse digitale capaciteiten beschikken, zijn niet erg happig om deze te delen. Dat is ook wel begrijpelijk omdat cybercapaciteiten strategisch en dus geheim zijn en daarbij een sterke inlichtingencomponent hebben. Bovendien laten cyberoperaties zich niet  eenvoudig onderscheiden tussen verdediging (=NAVO) en aanval. Al met al kan gesteld worden dat NAVO op het belangrijkste en meest actuele domein van internationale veiligheid van dit  moment, nauwelijks een rol kan spelen.

Dan de EU? Ook de EU is zich uiteraard bewust van de cyberkwetsbaarheid van de digital single market in Europa⁵ wat blijkt uit de reeds in 2013 gepubliceerde EU Cyber strategy. En ook het EU-parlement heeft hier zelfstandig diverse onderzoeken naar gedaan en moties ingediend. Maar tot cybercapaciteiten heeft dit allemaal nog niet geleid. Duidelijk is ook dat de EU ondanks toenemende samenwerking onder de Directive on security of network and information systems (NIS-directive), niet de infrastructuur noch het mandaat heeft om op het wereld cybertoneel daadwerkelijk op te kunnen treden.

De grote mogendheden in Oost en West beschikken over forse digitale infiltratie- en manipulatiecapaciteiten die ook daadwerkelijk worden ingezet om hun nationale belangen te dienen. De NAVO noch de EU bieden voor Nederland een effectieve paraplu voor bescherming of
ondersteuning.

Bescherming tegen buitenlandse cyberoperaties moet Nederland dus echt zelf doen. Maar wat doet Nederland?

In Nederland hebben we sinds 2013 een Defensie Cyber Commando (DCC) dat volgens de laatste openbare gegevens⁶ uit circa tachtig man bestaat. De belangrijkste taak van het DCC is het ondersteunen van militaire operaties. Bij de bescherming van de digitale Nederlandse samenleving tegen buitenlandse geheime diensten heeft het Defensie Cyber commando dus geen rol.

Ook heeft Nederland het Nationaal Cyber Security Centrum (NCSC) met als taak ‘een informatieknooppunt en expertisecentrum’. Daarmee heeft het geen operationele capaciteit of interventiemandaat. Het speelt dus ook geen rol in de bescherming tegen buitenlandse geheime diensten.

Sinds 2014 werken de nationale inlichtingendiensten MIVD en AIVD aan een samenwerkingsvorm om hun cyberactiviteiten te bundelen in de Joint Sigint Cyber Unit (JSCU). Deze eenheid zal uiteindelijk uit 350 man gaan bestaan. Deze samenwerking tussen onze nationale inlichtingenconcurrenten, met elk hun eigen en gesloten bedrijfscultuur verloopt echter niet eenvoudig⁷. Beide bloedgroepen werken met hun eigen systemen, eigen bronnen en eigen doelstellingen. Het is daarom nog maar de vraag wat deze samenwerking oplevert. Uit hun eigen publicaties blijkt dat een substantieel deel van de capaciteit in elk geval opgaat aan onderzoeken naar Jihadistische netwerken^8. Dat wekt de vraag: wat is de rol van de JSCU in het echte internationale ‘advanced high tech cyber domein’? Er zijn indicaties dat bij de beïnvloeding van de Amerikaanse verkiezingen gebruik werd gemaakt van webservers in Dronten9. Het is pijnlijk om te constateren dat ons land voor dergelijke operaties kennelijk als veilige plek wordt gezien. Dat heeft de JSCU dus niet kunnen verhinderen.

De ‘cybertaak’ van onze nationale Joint Sigint Cyber Unit betreft het vergaren van inlichtingen via cyberoperaties, evenals het onderzoeken en voorkomen van dreigingen, aanvallen en spionage gericht tegen Nederlandse computernetwerken. Offensieve cyberoperaties zijn echter voorbehouden aan het Defensie Cyber Commando (DCC), die uit circa tachtig man bestaat.

Ook de Autoriteit Persoonsgegevens (AP)10, voorheen het College Bescherming Persoonsgegevens, zal met het afdwingen van de wet bescherming persoonsgegevens/algemene verordening gegevensbescherming een belangrijke bijdrage gaan leveren bij het verbeteren van de digitale veiligheid in Nederland. En daarmee zal de AP bijdragen aan de bescherming van onze privacy, één van de essentiële waarden van onze Westerse samenleving. In de context van internationale cyberoperaties speelt het AP echter nauwelijks een rol. Het AP heeft bovendien geen eigen opsporing of detectiecapaciteit.

Slechts 7% van de geënquêteerden vindt dat de Nederlandse overheid en bedrijven voldoende zijn voorbereid op een mogelijke cyberoorlog.

Hoe wordt de Nederlandse digitale samenleving beschermd?

Dit artikel begint bij de vraag wie in deze digitale tijd onze nationale waarden beschermt en of dat nu goed gaat? We constateren dat verschillende organisaties bezig zijn op verschillende deelterreinen van cybersecurity. Maar de vraag is: wie zich nu bezighoudt met het beschermen van onze nationale digitale waarden en infrastructuur tegen de geavanceerde capaciteiten van de grote mogendheden?

De enige partij in Nederland die het mandaat en de middelen heeft om zich hiermee bezig te houden is de JSCU met de circa 350 medewerkers. Maar we stellen ook vast dat de samenwerking in dit verband lastig blijkt omdat ze verschillende belangen dienen. Als je van deze groep de non-productieve bureaucratie niet meerekent, en nagaat dat een substantieel deel bezig zal zijn met Jihadisme, dan is slechts een relatief klein deel bezig met het in de gaten houden van de NSA en diens equivalenten in de andere westerse en niet-westerse grootmachten.

De AIVD en MIVD samen beschikken in totaal over een budget van circa 300 miljoen euro voor circa 2000 medewerkers. De JSCU zal met circa 350 medewerkers dus jaarlijks hooguit 60 miljoen beschikbaar hebben.

Voor de beeldvorming: de NSA alléén beschikt over 30.000 medewerkers en een budget van 10 miljard dollar. Daarnaast hebben de vele andere veiligheidsdiensten van de VS zoals de CIA, de FBI en het Ministerie van Defensie ook nog eigen substantiële cyberdiensten. Binnen defensie beschikt bovendien elk krijgsmachtdeel apart ook nog over een aanzienlijk cybercapaciteit én ongetwijfeld hebben de vele andere diensten (Homeland Defense, Coastguard, Customs, DEA) cybereenheden beschikbaar. Zolang er geen Chinese of Russische Snowden op staat weten we nog weinig van de cybercapaciteiten van de andere grootmachten. Maar uit vele publicaties¹¹ blijkt wel dat de capaciteiten van China, Rusland, Engeland en Frankrijk fors zijn. En er is geen reden om eraan te twijfelen dat ook landen zoals bijvoorbeeld Turkije, Iran, Indonesië, Japan en India over aanzienlijke cybercapaciteiten zullen beschikken.

Wat zouden we in Nederland moeten doen?

De digitale wapenwedloop is al lang geleden begonnen. Je kunt je daar principieel afzijdig van houden en hopen dat anderen het beste met je voor hebben. Maar als je vaststelt dat onze welvaart en onze waarden diep verbonden zijn met – en in – het digitale domein, dan moet je daar ook adequate bescherming voor bieden. Bescherming die tenminste evenredig is met onze economische en strategische positie in de wereld en van dusdanige omvang en kwaliteit, dat de anderen nog wel een paar De AIVD en MIVD samen beschikken in totaal over een budget van circa 300 miljoen euro voor circa 2000 medewerkers. De JSCU zal met circa 350 medewerkers dus jaarlijks hooguit 60 miljoen beschikbaar hebben. keer nadenken voordat ze ons digitale domein infiltreren en manipuleren.

Onze bondgenootschappelijke relatie met de VS verandert door de globalisering, nieuw Amerikaans leiderschap en internationaal terrorisme. Ook de impact van massale legerdivisies, squadrons jachtvliegtuigen, vliegdekschepen en onderzeeboten is veranderd. Nationale veiligheid (homeland security), is hét domein van special forces, geheime operaties, drones en robotica. Deze kunnen alleen maar effectief worden ingezet met massale en geavanceerde digitale middelen. Die digitale middelen worden overal ingezet, waarbij de VS zich niet laat beperken door territoriale bondgenootschappelijke afspraken. Zolang dit niet wordt ontdekt of beperkt, kunnen die middelen ook worden ingezet in ons land.

Het Nederlandse bruto nationaal product bedraagt circa 5% van het Amerikaanse BNP. Als we de VS als maatstaf nemen zou een Nederlands NSA equivalent uit tenminste 1500 man moeten bestaan en over een budget van 500 miljoen kunnen beschikken. Aangezien we een grote achterstand moeten inlopen en ons buitenland veel groter is dan het Amerikaanse, kun je ook stellen dat deze volumes eigenlijk nog groter zouden moeten zijn.

De Nederlandse krijgsmacht beschikt over een budget van circa 8 miljard per jaar. Naast de personeelskosten gaat het overgrote deel van dit budget nu op aan de verwerving en onderhoud van zeer kostbare, traditionele, wapensystemen. Het deel dat wordt besteed aan digitale oorlogsvoering is daarin verwaarloosbaar. Dat is opmerkelijk als je nagaat dat de kans op een digitale aanval op Nederland door velen veel waarschijnlijker wordt geacht dan de kans op een fysieke aanval.

Wat gaat de Nederlandse NSA met dat budget doen?

Wat de Nederlandse NSA dan precies moet gaan doen op het gebied van cyber is de Clausewitziaanse ‘Art of War’. En die kunst van het oorlogvoeren zit niet in het aanschaffen en opstapelen van wapens. De kunst zit in de creatieve inzet van de beschikbare middelen en het mobiliseren van de wil om die slag te winnen. Dat begint op een academie of instituut waar de beste strategen samen studeren over het bereiken van de juiste effecten en waar scenario’s worden ontwikkeld voor het digitale slagveld. De meest waarschijnlijke scenario’s vormen dan de basis voor de opbouw van cybercapaciteiten. Deze militairstrategische cybercapaciteit vormt de afschrikkingsmacht ter bescherming van onze verbonden samenleving. Zij zorgt ervoor dat de ‘anderen’ weten dat elke infiltratie of manipulatie met gelijke munt wordt terugbetaald.

Met deze bescherming werken we niet alleen aan onze eigen veiligheid, maar kunnen we ook weer investeren in nieuwe digitale innovaties in de private en publieke sector. En misschien kunnen we daarna ook weer met een gerust hart digitaal gaan stemmen.