Research
Op-ed
Cyberwarfare, de vijfde dimensie in oorlogvoering
Tijdens de gevechten tussen Georgische en Russische troepen rondom Zuid-Ossetië, vertoonde de website van president Saakasjvili een foto toonde waarop hij als Hitler staat. Die website verdween vervolgens naar een server in Atlanta, de Verenigde Staten. Na Estland heeft nu dus ook Georgië kennis gemaakt met cyberaanvallen, die websites van de nieuws media, de Nationale Bank en andere officiële Georgische sites kraakten of plat legden. Maar Georgië staat onder 122 landen die internet gebruiken slechts op de 93e plaats en vormt dus geen lonend doel voor cyberaanvallen.
Estland
Dit in tegenstelling tot Estland, dat vorig jaar slachtoffer werd van een van de grootste cyberaanvallen ooit. Kort nadat de autoriteiten een sovjet oorlogsmonument uit het centrum van Tallinn hadden verwijderd, trof een sneeuwstorm van 'buiten dienst' (Denial of Service - DoS) aanslagen de websites van de president, het parlement, de ministeries, de politieke partijen, de grote nieuwskanalen en de twee grootste banken van Estland. Een DoS aanslag vuurt een overweldigende hoeveelheid informatie aanvragen af op websites, computers of netwerken en legt zo door overbelasting systemen of netwerkdelen plat. Bezoekers hebben dan geen toegang meer.
Wie het internet het krachtigst omarmt, is ook het meest kwetsbaar. Dat heeft Estland nu ondervonden. Het land is een pionier in de ontwikkeling van een papierloze overheid (E-government) en het parlement heeft in 2004 internettoegang tot een mensenrecht verklaard. Als eerste EU land gaf Estland zijn burgers vorig jaar de mogelijkheid online te stemmen bij algemene verkiezingen. De bijnaam van Estland luidt dan ook 'E-stonia'.
Asymmetrisch
Hoewel men de Russen verdenkt van betrokkenheid bij de aanslagen in Estland, zou er ook sprake geweest kunnen zijn van een 'cyberoproer van activistische hackers'. Het grote probleem met cyberaanvallen is dat de dader(s) moeilijk zijn te achterhalen. Ze maken namelijk gebruik van zogenoemde 'botnets' (robot networks): een netwerk van computers die op afstand zijn gekraakt. Botnets kunnen door één persoon worden beheerd. Bij de aanslagen in Estland bestonden sommige botnets uit 100.000 machines.
Hackers kunnen met betrekkelijk weinig middelen veel schade aanrichten. De Italiaanse hacker goeroe Roberto Preatoni, merkte tijdens de InfoSecurity conference in Londen eerder dit jaar, op over cyberaanvallen: "Dat is het mooie van asymmetrische oorlogvoering. Je hebt niet veel geld of een leger van mensen nodig. Je kunt het doen vanuit het comfort van je huiskamer, met een biertje in je hand".
Meerdere fronten
'Hackers' trachtten vorig jaar via een inbraak in de computers van het Pentagon, informatie te vergaren. Amerikaanse autoriteiten hebben toen vertrouwelijk bevestigd dat de aanvallers relaties hadden met het Chinese Volksleger. De mogelijkheid om te spioneren is al alarmerend genoeg, maar hackers kunnen ook virussen in computersystemen verspreiden en zo schade toebrengen. Een rapport van het Pentagon van vorig jaar over de Chinese krijgsmacht, stelde onomwonden dat de Chinezen tactieken ontwikkelen om in een vroeg stadium van een conflict 'elektromagnetische dominantie' te verkrijgen. Het Duitse tijdschrift Der Spiegel kwam daarna met onthullingen dat Kanselier Angela Merkel het Chinese leiderschap had geconfronteerd met cyberaanvallen op haar privé kantoor en andere computernetwerken van de overheid. China beweert echter zelf ook slachtoffer te zijn geweest van cyberaanvallen. Naar alle waarschijnlijkheid proberen veel landen - evenals bij de traditionele spionage activiteiten tijdens de Koude Oorlog - zelf cyberaanvallen uit te voeren, terwijl ze anderen die het doen veroordelen.
Vijfde dimensie
Planners gaan ervan uit dat cyberaanvallen deel zullen uitmaken van toekomstige oorlogen. Men zal de elektriciteits, communicatie en banknetwerken onbruikbaar willen maken om zo de hele samenleving te ontregelen. Op militair gebied heeft de grootscheepse informatisering van strijdkrachten reeds geleid tot een nieuwe vorm van oorlogvoering: 'cyber warfare'. Naast ruimte, land, lucht en water heet dit ook wel de 'vijfde dimensie'.
Het gaat hier om het manipuleren van informatie en/of informatiesystemen om zo vijandige besluitvormers te misleiden. Tegelijkertijd wordt de eigen informatie optimaal gebruikt en beschermd. Aangezien steeds meer defensiesystemen van elektronische componenten met software zijn voorzien, zal cyber oorlogvoering ook een steeds belangrijker rol spelen op het slagveld.
NAVO
De NAVO beschouwt de dreiging van cyber oorlogvoering dan ook even serieus als het risico van een raketaanval, verklaarde onlangs een hoge NAVO functionaris. Daarom opende het bondgenootschap in mei jl. het Cooperative Cyber Defense Center of Excellence in de Estse hoofdstad Tallinn. Hier gaan dertig medewerkers uit verschillende NAVO landen, van hackers tot wetenschappers, zich bezighouden met deze vorm van oorlogvoering.
De alliantie beschouwt cyberaanvallen echter (nog) niet als een militaire actie, waarop artikel V van het NAVO verdrag van toepassing is. Gezien de toenemende dreiging van cyber oorlogvoering, rijst de vraag of dit niet aan de orde moet worden gesteld binnen de NAVO. De Russen redeneerden al in 1995 dat computers moeten worden beschouwd als wapens. Daar is echter nooit een vervolg op gekomen.
Juridisch kader
De juridische wereld loopt als altijd achter bij nieuwe technologische ontwikkelingen. Maar er bestaat in dringend behoefte aan internationale regelgeving op het gebied van cyber oorlogvoering. Wat is bijvoorbeeld internationaal juridisch een cyberaanval? Wat zijn de juridische gevolgen van een aanval op een defensienetwerk, als dat ook een ziekenhuis bedient? Worden, als er burger slachtoffers vallen, de Conventies van Genève geschonden? Wat is de juridische status van een burger die een militair doel aanvalt, door bijvoorbeeld het netwerk van een commandocentrale plat te leggen, het zijn maar enkele van de vele vragen.
Het eerste internationale, wettelijke instrument op dit gebied is het 'Cybercrime Verdrag' van de Raad van Europa. Het vereist dat leden nationale wetgeving invoeren die onder meer ongeautoriseerde toegang en het kraken van netwerken strafbaar stelt, net zoals witwassen van geld en kinderpornografie. Ook al is de VS geen lid van de Raad van Europa, het land is wel partij bij de Conventie.
Dit betekent dat de Chinese hackers, of wie het ook waren, vooralsnog in een juridisch niemandsland kunnen opereren; al of niet met een biertje in de hand.