Pogingen vanuit de VN om het cyberdomein te normeren en te reguleren, lopen volledig vast. De tweede Open-Ended Working Group van de Verenigde Naties loopt in 2025 op zijn einde zonder concreet resultaat. Onder aanvoering van Rusland wijst een groep landen, onder wie ook China, Iran en Venezuela, het normatieve kader dat binnen de VN wordt voorgesteld, faliekant af als te westers en ineffectief. Ondertussen stranden in 2025 en 2026 alle pogingen tot onderhandeling over de oorlog in Oekraïne en is er een min of meer bevroren situatie op het slagveld in Oekraïne ontstaan. Daarmee is het cyberdomein het voornaamste strijdtoneel geworden en intensiveert de strijd om narratieven. Waar Oekraïne probeert om tweespalt te drijven binnen de Russische samenleving doet Rusland hetzelfde in Oekraïne. Rusland richt zich daarnaast ook op de open samenlevingen in het Westen om de steun aan Oekraïne te verzwakken. Satellietverbindingen worden in toenemende mate verstoord en beïnvloedingscampagnes voeren hoogtij.

Een belangrijk wapen in de strijd van Moskou is de APT (advanced persistent threat) Killerqueen, een aan de Russische militaire inlichtingendienst (GRU) gelieerde ultranationalistische hackersgroep. De APT won in 2025 en 2026 snel in aanzien binnen de burelen van het Russische inlichtingen- en veiligheidsapparaat omdat het verschillende kleinschalige beïnvloedings-operaties in Kiev, Berlijn en Washington had uitgevoerd zonder daarbij ontdekt of onderkend te worden. Om dit succes nog verder te vergroten besluit GRU Unit 29155 om de APT van de nodige extra cybercapaciteiten te gaan voorzien.[129] Recente R&D-ontwikkelingen op het gebied van generatieve AI en quantumtechnologie bieden Killerqueen een heel menu aan ingrijpende nieuwe verstoringsmogelijkheden. Het doel dat door de GRU wordt meegegeven: maximale oproer creëren in westerse samenlevingen.

Op 4 juli 2026 – tijdens de 250^e viering van de Amerikaanse onafhankelijkheid – steekt een nieuw soort zelflerende “cyberworm” zijn hoofd boven het aardoppervlak.[130] In grote delen van het noordoosten van de VS worden waterzuiveringsinstallaties tot een halt gebracht, waardoor er een groot tekort aan drinkwater ontstaat. In de staten Iowa, Illinois, Nebraska, en Zuid-Dakota zitten 1,5 miljoen mensen dagenlang zonder stroom na storingen bij energiecentrales van MidAmerican Energy. Telkens duikt de malware ergens in een nieuw jasje op, waardoor systeembeheerders moeten dweilen met de kraan open en de ontwrichting van de maatschappij veel langer duurt dan bij voorgaande cyberaanvallen. Als klap op de vuurpijl wordt de buitgemaakte data en informatie allemaal online gegooid. Onder meer de persoonsgegevens en wachtwoorden van alle klanten van de getroffen bedrijven liggen op straat. In de tussentijd heeft de zelflerende worm – welke inmiddels de naam woodworm chameleon heeft gekregen – zich ook elders op het wereldtoneel naar binnen gewurmd. Bedrijven en overheidsinstanties worden wereldwijd geraakt. Ook in Rusland zelf. Moskou’s metro’s vallen stil en het ventilatiesysteem houdt ermee op. Tientallen reizigers overlijden ter plaatse. In de nasleep ontstaan er grote protesten die de Russische overheid behoorlijk zenuwachtig maken.

Na een week van wanorde weten overheden hun systemen weer onder controle te krijgen. Verdenkingen dat Rusland achter de aanval zou zitten worden geuit, maar hard bewijs is er niet. Rusland wast zijn handen in onschuld en wijst naar de VS als de oorzaak van deze ramp. De wereld maakt vervolgens de balans op. De malware heeft wereldwijd honderden dodelijke slachtoffers gemaakt en honderden miljarden euro’s aan schade. Als de gemoederen wat zijn bedaard, blijkt er wel degelijk een consensus te ontstaan: een dergelijke cyberramp moet in de toekomst koste wat kost voorkomen worden. Vooral omdat dit slechts de voorbode van veel erger zou kunnen zijn. Daarbij wordt de parallel getrokken met kernwapens. De analyse is steeds vaker dat dit soort cyberwapens ook als massavernietigingswapens gezien zouden moeten worden. Bezorgde burgers gaan in groten getale wereldwijd de straten op. De hashtag #banweaponsofmassdisruption gaat viraal op sociale media.

Tegen deze achtergrond nodigt de Indiase premier Modi de regeringsleiders van alle VN-lidstaten uit voor een “spoedconferentie” in New Delhi om te praten over de cyberwapenwedloop. De conferentie wordt een succes. Allereerst wordt afgesproken dat een mondiaal overkoepelende cyberspace regulator met een stevig mandaat erop toe gaat zien dat staten de afspraak nakomen om actief maatregelen te nemen om controle te krijgen over APTs op eigen bodem. Daarbij worden de artikelen inzake staatsaansprakelijkheid voor internationaal onrechtmatige daden van de International Law Commission (ILC) aangehaald en kracht bijgezet om te benadrukken dat staten verantwoordelijk zijn voor het gedrag van de proxy-actoren waar zij effectieve controle over hebben. Ook wordt afgesproken dat er binnen het VN-kader gewerkt gaat worden aan het opstellen van een “Verdrag inzake de niet-verspreiding van massavernietigende en massa-ontwrichtende cyberwapens,” naar voorbeeld van het non-proliferatieverdrag inzake kernwapens.

De uiterst disruptieve cyberaanval lijkt ook ’s werelds grootste cybersupermachten, China en de VS, goed wakker geschud te hebben. De zelflerende worm is kinderspel vergeleken met de cybercapaciteiten waarover deze supermachten beschikken. Ze realiseren zich dan ook dat er een zekere vorm van mutually assured disruption tussen beiden is ontstaan. De afgelopen jaren hebben ze zich digitaal diep ingenesteld in elkaars vitale infrastructuur, waardoor ze beide een killswitch hebben voor de ander. Na verschillende politieke overleggen op hoog niveau, zowel in Beijing als in Washington, volgt een baanbrekend niet-aanvalsverdrag in het cyberdomein. Ze spreken af dat ze beiden niet als eerste digitale massa-ontwrichtende wapens in zullen zetten (“no first use”). Ook spreken ze af om hun meest hoogwaardige cyberwapens niet met derden te zullen delen. Verder geldt dat huidige digitale innestelposities voorlopig behouden en onderhouden mogen worden, maar dat ze beiden geen nieuwe posities meer mogen ontwikkelen en geen grootschalige desinformatiecampagnes op elkaar mogen uitvoeren. Tot slot spreken ze af om zich gezamenlijk in te zetten voor de non-proliferatie van cybersuperwapens. Enerzijds om zodoende de mondiale vrede en veiligheid te kunnen beschermen. Anderzijds uit een gedeeld eigenbelang, namelijk het behouden van de eigen cybersuprematie.

De wereld staat voor een grote uitdaging. Cyberwapens zijn al zeer krachtig maar worden de komende jaren waarschijnlijk nog vele malen destructiever en disruptiever. Daar komt bij dat meer actoren - statelijk en niet-statelijk - beschikking zullen hebben over dergelijke cyberwapens. Vooralsnog lukt het niet om krachtige afspraken te maken die de risico’s en dreigingen voortkomend uit deze zorgelijke trends voldoende kunnen afdekken of mitigeren. Toenemende strijd in het cyberdomein is daarmee waarschijnlijk. Dit kan grote consequenties hebben in zowel de digitale als de fysieke wereld. Onze welvaartsstaten zijn steeds afhankelijker geworden van digitale technologie en daarmee ook kwetsbaarder voor “cybersuperwapens”. Het zal onder meer wantrouwen in instituties verder kunnen voeden. Bekende grootschalige impactvormen uit het verleden, zoals die van NotPetya en WannaCry, zijn een peulenschil in vergelijking met wat ons te wachten kan staan als de cyberwapenwedloop en cyberproliferatie onverminderd doorgaat.

In het scenario is er eerst een grootschalige cyberaanval met mondiale impact voor nodig om landen over hun eigen schaduw heen te doen stappen en substantiële mondiale afspraken te maken over de regulering van massa-ontwrichtende wapens en andere cyberwapens. Dit hoeft in de echte wereld natuurlijk niet automatisch ook zo uit te spelen. Het is de hoop dat er wel degelijk gezamenlijke overeenstemming en actie kan ontstaan zodat dergelijke escalatie, met alle gevolgen van dien, voorkomen kan worden. Besef over de (potentiële) destructiviteit en disruptiviteit van (toekomstige) cyberwapens is er gelukkig wel degelijk. Zo hebben de VS en China recent met elkaar afgesproken dat mensen – en dus niet AI – de beslissing moeten blijven nemen over de inzet van hun nucleaire wapens.[131] De stappen die – mede dankzij Nederland – gezet worden binnen de Summit on Responsible Artificial Intelligence in the Military Domain (REAIM) om te komen tot verantwoord gebruik van AI in het militaire domein is een ander positief voorbeeld.[132] Vanwege de snelle ontwikkelingen in het cyberdomein en de toenemende risico’s op grootschalige impact en disruptie is het desalniettemin van belang om te proberen om op mondiaal niveau bindende afspraken te maken. Nederland in/en de EU zouden hierin een voortrekkersrol kunnen pakken.

Feit is en blijft echter dat gezamenlijk optreden ten aanzien van het cyberdomein – zeker in het huidige tijdsgewricht – ingewikkeld is. Zo maakt het scenario inzichtelijk dat er een situatie zou kunnen ontstaan waarin er via cyberwegen en deels onbedoeld hevige schade wereldwijd berokkend wordt, terwijl tegelijkertijd niet vastgesteld kan worden wie hiervoor verantwoordelijk is geweest. De onmogelijkheid van attributie in het scenario maakt het lastig om met een gepaste respons te komen of de aanval te beantwoorden. Het toont aan dat het belangrijk is om proactief te werken aan maatregelen die de kans op en de impact van de inzet van ontwrichtende wapens verkleinen. Ook toont het aan dat het zelf beschikken over goede inlichtingenposities van belang is. Tegelijkertijd ontstaat hierdoor ook een prisoner’s dilemma omdat diezelfde inlichtingenpositie tegelijkertijd ook weer een dreiging vormt voor de andere partij.

In het scenario is er tussen China en de VS sprake van een vorm van mutually assured disruption. Net als in het nucleaire domein kan dit een vorm van stabiliteit opleveren, al geldt wel dat attributie in het cyberdomein lastiger is. Het scenario beschrijft ook de mogelijke prikkels die beide landen kunnen hebben om hun voorsprong op technologisch vlak te behouden ten opzichte van andere spelers op het wereldtoneel. Daarbij gaat het scenario ervan uit dat de VS en China hierin ook gezamenlijk op zouden kunnen trekken. Het scenario maakt daarmee inzichtelijk dat de landen, ondanks hun grootmachtrivaliteit, wel degelijk afspraken kunnen maken op dossiers waar dat hun beider belangen dient.

Dat dergelijke capaciteiten niet zomaar prolifereren is een positieve ontwikkeling, ook voor Nederland. Liever stellen we ons niet een wereld voor waarin tal van landen beschikken over deze capaciteiten, laat staan criminele groeperingen of terroristische organisaties. In een dergelijke wereld is het haast gegarandeerd dat er met enige regelmaat grootschalige maatschappelijke ontwrichting op zal treden. Een wereld waarin cybersuperwapens niet proliferen lijkt dan ook het voorkeursscenario te zijn.

Desalniettemin schuilt er ook een groot risico in het scenario zoals deze uitgewerkt is. In de ontwikkeling van cybersuperwapens, bijvoorbeeld ter afschrikking, zou Nederland in/en de EU wel eens de boot kunnen missen. Zowel de VS als China hebben er in meer of mindere mate belang bij om ons in deze ontwikkeling tegen te werken, zodat wij niet over de hoogwaardigste militaire cybercapaciteiten komen te beschikken. In zo’n situatie zou er geen level playing field (meer) kunnen bestaan tussen de EU enerzijds en de VS en China anderzijds. De niet-Amerikaanse NAVO-lidstaten zouden op die manier niet alleen sterk afhankelijk van de Amerikaanse nucleaire paraplu maar ook van de Amerikaanse “cybersuperwapenparaplu” kunnen worden. Wil Europa op het hoogste niveau van het wereldtoneel blijven opereren op een “strategisch autonome” wijze, dan zal het ook over de hoogwaardigste cybercapaciteiten moeten kunnen beschikken. Voor de ambities die de EU koestert moet het, al dan niet via een aantal grotere lidstaten, een stoel aan de cybersupermachtentafel bemachtigen.

Een strategisch dilemma bestaat vervolgens rondom de vraag welke actoren, vanuit de EU, NAVO en Nederland gezien, verder toe zouden moeten kunnen treden tot de cybersupermachten. Bepaald geen sinecure, zo leert de nucleaire geschiedenis ons. In dit geval komen er nog een aantal hordes bij die genomen moeten worden. De technologische drempel om in het cyberdomein disruptief op te kunnen treden veel lager ligt dan in het nucleaire domein, waardoor het nog lastiger is om te controleren en non-prolifereren. Bovendien is het in het geval van cyberaanvallen makkelijker om de feiten tegen te spreken en een alternatieve duiding aan te dragen. De paddenstoelwolken boven Hiroshima en Nagasaki zijn moeilijk te ontkennen: de verwoestende gevolgen van kernwapens werden door alle rivaliserende machten erkend. De uitschakeling van kritieke infrastructuur is minder zichtbaar en kan dus makkelijker worden afgedaan als fake news of een false flag operation. Een gedeelde werkelijkheid is op dit terrein moeilijker te vinden.