Den Haag is op dit moment het toneel van een internationale cybertop: de Global Conference on Cyberspace (GCCS). Persoonlijk heb ik daar mijn bedenkingen bij. Landen die afspraken willen maken over vrijheid, security en groei? Daarnaast lijkt de term ‘cyberwar’ een uiterst rekbaar begrip te zijn.
Over deze blogger
Ronald Prins is directeur en medeoprichter van Fox-IT. Hij studeerde Technische Wiskunde aan de TU Delft en heeft zich daarna gespecialiseerd als cryptograaf. Bij het Nederlands Forensisch Instituut was hij werkzaam als wetenschappelijk onderzoeker. In het kader hiervan heeft hij vele beveiligingen doorbroken waar de politie tegenaan liep bij het uitvoeren van hun onderzoeken. Daarnaast is hij medeverantwoordelijk voor de inzet van nieuwste methoden om digitale informatie voor rechercheonderzoeken te verkrijgen. In 1999 heeft hij samen met Menno van der Marel Fox-IT opgericht.
Ik vind de insteek van de Global Conference on Cyberspace (GCCS) een beetje vaag. De diverse deelnemers bespreken uiteenlopende internetgerelateerde zaken, waarvan IT-security er één is. De thema’s van de GCCS omvatten vrijheid (inclusief privacy en gebruikersvertrouwen), security (inclusief een open en innovatief digitaal domein) en groei (voor economische én sociale ontwikkeling). Dat is een uitgebreide agenda, maar zouden hier ook daadwerkelijk grote beslissingen uit voortkomen?
Ongereguleerde cyber-acties
Natuurlijk ontken ik niet dat landen in staat zijn om onderling afspraken te maken. De vraag is echter of ze zich er aan houden. Spioneren doen we immers zelf ook, terwijl daar toch echt afspraken over zijn gemaakt met onze bondgenoten. ‘Als je maar niet gepakt wordt’, lijkt de regel te zijn. Ondertussen lijkt de definitie van cyber-oorlog wel te zijn: ‘een daad in het digitale domein waar je iets van merkt’. Als dat zo is, dan kan een internetoperatie formeel als een oorlogsdaad gezien worden.
Dus naast eventuele overheidsafspraken over cyberwar blijven er nog altijd de ‘ongereguleerde’ cyber-aanvallen over, die in feite ook onder de noemer cyber-oorlog kunnen vallen. Kijk bijvoorbeeld naar de handelingen van bepaalde hackersgroepen die naar verluidt gelieerd zijn aan overheden. Of zelfstandig opererende hackersgroepen zoals de Syrian Electronic Army, die niet officieel door hun overheid worden gesteund maar misschien wel gedoogd worden. Maar ook de recent blootgelegde Operation Cleaver, dat volgens de FBI wordt uitgevoerd door Iraanse hackers die kritieke infrastructuren in zestien landen zijn binnengedrongen.
Geen slotverklaring?
Nog iets dat ik mis bij de GCCS is dat er aan het eind van de conferentie geen slotverklaring wordt opgesteld. Zo’n gezamenlijke afsluiting was er bij de nucleaire top vorig jaar in Den Haag wel. Die wordt dan van tevoren uitgebreid besproken door de ‘sherpa’s’; de onderhandelaars van de diverse partijen. Dat is hier bij de cyber-top niet het geval.
Amerika wacht niet op de rest van de wereld en is zelf al bezig om sterker te worden in het digitale domein. Kijk maar naar de executive order die president Obama begin deze maand gaf. Die geeft de VS de mogelijkheid om een cyber-aanval op dezelfde manier te behandelen als een terreuraanval. Beide zijn niet altijd rechtstreeks te bestrijden, maar wel aan te pakken door bijvoorbeeld de financiën van de daders af te knijpen. De Amerikaanse overheid kan bijvoorbeeld de bezittingen van de daders in beslag nemen, wat laatst is gedaan voor een van de meest gezochte hackers, een Rus die in zijn thuisland veilig is.
De impact van cyber-aanvallen
In Nederland bestaat er niet zoiets als een executive order in de VS. Ik weet niet of een dergelijke maatregel ook echt helpt. Het is wel een signaal dat cyber-aanvallen net zo’n grote dreiging zijn als terrorisme. Zelf denk ik dat we echt nog steeds onderschatten wat de impact kan zijn van een cyber-aanval. Een dergelijke actie raakt niet langer ‘alleen’ het digitale domein, maar ook het fysieke. Op Schiphol is er nu bijvoorbeeld een megaverbouwing gaande om de fysieke security te verbeteren. Stel je nu eens voor dat hackers straks digitaal een fysieke deur open kunnen zetten! Dat laatste is bij Operation Cleaver al gebeurd: de hackers konden de poortjes bedienen op een vliegveld in Pakistan.
