Een jaar na de grootscheepse invasie van Oekraïne door Rusland blijkt hoe cyberaanvallen onlosmakelijk zijn verbonden met conventionele oorlogsvoering op het slagveld en propaganda. Reden om Oleksandr Potii, plaatsvervangend voorzitter van de State Service of Special Communications and Information Protection of Ukraine, te vragen welke lessen we uit ‘s werelds eerste grootschalige cyberoorlog kunnen trekken. De securityspecialist bracht onlangs een bezoek aan Amsterdam voor Cisco Live,
Potii’s belangrijkste boodschap is dat we meer moeten samenwerken op het gebied van cybersecurity; niet alleen tussen overheden maar ook met bedrijven in de security-industrie en it-dienstverleners. Op basis van de ervaringen uit de oorlog moeten tactiek en strategie worden ontwikkeld om dit soort agressie te weerstaan. Dat vereist een multidimensionale aanpak. Ook defensie-doctrines en internationale wetten moeten in het licht daarvan worden aangepast. Volgens Potii, tevens hoogleraar aan de universiteit van Charkov, is een gemeenschappelijk begrip nodig, ook op het niveau van de jurisdictie. Cyberincidenten moeten overal op dezelfde manier worden gedefinieerd.
De Russische agressie kent namelijk vele dimensies. Het lanceren van raketten op de energie-infrastructuur gaat gepaard met cyberaanvallen op die sector. Tegelijk wordt vals nieuws verspreid om de regering in Kiev, lokale overheden of grote ondernemingen de schuld van de stroomuitval in de schoenen te schuiven. Tussen al deze acties bestaat een strakke coördinatie.
Systemisch
Sinds de oorlog nu bijna een jaar geleden uitbrak, blijkt hoe sterk de verschillende typen aanvallen met elkaar samenhangen. De correlatie is systemisch. Het effect van het ene wapen wordt vergroot door het andere. Het uiteindelijke doel is de bevolking uit te putten en het psychologische klimaat in het Westen te beïnvloeden. De vrees bestaat dat ook andere autocratische regimes deze tactiek zullen gaan toepassen; hoog tijd dus de handen ineen te slaan. Potii: ‘Om kritische systemen zoals in de energiesector te beschermen moeten veiligheidsprotocollen op één lijn worden gebracht. In de praktijk schort er nog veel aan hun werking. Door van onze ervaringen te leren zijn betere protocollen te ontwikkelen. Verder is het nodig om hulpbronnen te verenigen.’
Hij hoopt ook op een betere samenwerking met securitybedrijven. Tot de voorlopers behoren Microsoft, Cisco, Google-dochter Mandiant, AWS en Eset. Potii’s overheidsdienst staat open voor voorstellen tot samenwerking. ‘Een delegatie van Franse securitybedrijven heeft al een bezoek aan Kiev gebracht. Het zou mooi zijn als ook Nederlandse security-bedrijven zo’n initiatief nemen.’ Formalisering van de samenwerking met de NCSC staat eveneens op Potii’s verlanglijstje.
Hackergroepen
Het meest zit Oekraïne te springen om technologie om de informatie-infrastructuur te beschermen. Ook specialisten die helpen bij het gebruik van deze technologie, zijn gewenst. ‘Oekraïne en het Westen kunnen elkaar versterken. Oekraïne beschikt weer over een hoop waardevolle informatie waarmee de Russische aanvallen zijn te analyseren. De Russische hackersgroepen veranderen regelmatig van tactiek. Samenwerking is hard nodig om daar analyses op los te laten en deze ontwikkelingen bij te benen.’
Ook de attributie van hackers vereist aandacht, benadrukt Potii. Honderdduizenden Russische it’ers hebben Rusland verlaten. Daaronder kunnen zich ook verkeerde types zoals hackers bevinden. Potii: ‘Het is lastig om te zien waar cyberaanvallen vandaan komen, welke organisaties het betreft en waar hun mensen zitten.’ Niet voor niets heeft de Navo een speciaal instituut opgezet om tools voor een betere attributie te ontwikkelen. ‘Ook voor de vervolging van cybercriminelen is het belangrijk te weten van waaruit ze opereren.’
Destabilisering
Russische hackers spelen een belangrijke rol in de oorlog. ‘Ze richten zich niet alleen op Oekraïne maar ook op andere landen. Ze verzamelen (kritieke) informatie over burgers en publieke instellingen. Een ander doel is informatie-infrastructuren te vernietigen. Een minstens zo belangrijke taak is destabilisering in landen. Het veroorzaken van paniek en wanorde horen daarbij. Ook wordt geprobeerd humanitaire rampen te veroorzaken waarbij burgerdoelen worden aangevallen. Maximale schade aan burgers is het doel.
Verder helpen hackers de politieke ambities van Moskou te realiseren. Dat gebeurt door tweedracht te zaaien, zowel intern als tussen Oekraïne en het Westen. Misinformatie wordt massaal verspreid, zowel via eigen, door Rusland gecontroleerde kanalen als daarbuiten. Soms lukt het hen informatiekanalen van tegenstanders over te nemen. Ze proberen op servers van media, communicatiekanalen en ook radiostations in te breken om valse boodschappen te verspreiden.’
Volgens Potii zijn zelfs Westerse nieuwskanalen niet veilig voor hen. De Russen proberen alles te hacken of het nu ziekenhuizen, coördinatiecentra voor hulpacties dan wel media zijn. Ze kennen geen enkele rem of beperking. De Russische hackgroep Killnet eiste onlangs de verantwoordelijkheid op voor het verstoren van de communicatie tussen organisaties die hulp bieden bij de aardbevingen in Turkije en Syrië. Geprobeerd werd de luchtbrug voor het vervoer van hulpgoederen te saboteren.
Cyberaanvallen op Oekraïne kunnen ook buiten dit land schade veroorzaken. ‘5.800 windturbines in Centraal-Europa konden niet meer op afstand worden bediend toen de Russen communicatieapparatuur aanvielen die het Oekraïense leger gebruikt.’ Al deze voorvallen bewijzen hoe urgent de noodzaak tot samenwerking in de cyberspace is, besluit Potii. Dit is in ieders belang.
Nederland helpt Oekraïne met geld, humanitaire hulp, diplomatieke steun, onderzoek naar oorlogsmisdaden, informatie, trainingen, wapens en munitie. Het is logisch om Oekraïne ook steun te geven bij het tegengaan van de veelal drieste cyberaanvallen door de Russische Federatie (RF). Die aanvallen zijn een onderdeel van een verwoestende hybride oorlog in Oekraïne. Voor de RF zijn o.a. de water-, energie- en ICT-infrastructuur zeer belangrijke doelwitten, net als bruggen, havens, voedselopslag, energiecentrales, stadsverwarming, waarbij nevenschade en bedoelde indirecte schade samenvallen.
Volgens het internationale recht mag elke staat steun geven aan een erkende staat ten behoeve van diens zelfverdediging, zonder daarmee zelf een strijdende partij te worden. Door Oekraïne te ondersteunen kunnen we ook veel leren van de werkwijze van de Russen. En dat is nuttig, want bijvoorbeeld onze energie- en ICT-infrastructuur krijgt ongezonde aandacht van het Kremlin. De MIVD heeft afgelopen maand mogen onthullen dat de Russen al lange tijd bezig zijn om de Nederlandse energievoorziening in kaart te brengen, ook op de Noordzee. De grootschalige spionage-operaties met vlieg- en vaartuigen kosten heel veel geld. Voor de Russische inlichtingendiensten is het blijkbaar wel heel erg interessant om te weten waar de leidingen liggen en vooral wat de verdeel- en schakelpunten kunnen. Dit zegt veel over de scenario’s voor ons land en West-Europa waaraan het Kremlin al jaren aan denkt en aan werkt. Op alleen ons deel van de Noordzee ligt meer dan 10.000 km aan kabels en leidingen en dat wordt nog veel meer. Het was dus een beetje dom van de rijksoverheid om ons Marine Vliegkamp Valkenburg te sluiten en onze langeafstandspatroulevliegtuigen te verkopen. De Noordzee is voor ons land belangrijker dan ooit en gaat nog belangrijker worden door de nieuwe windmolenparken en gaswinning op zee. Als reactie op de spionage heeft een deel van het Russische ambassadepersoneel, afkomstig uit de Russische militaire inlichtingendienst GRU en de Russische buitenland inlichtingendienst SVR, ons land moeten verlaten. Maar daarmee stopt het echt niet voor de RF. De Russen richten zich via cyberaanvallen steeds meer op Nederland en vooral defensiebedrijven en instanties die Oekraïne (zouden kunnen) steunen.
Spioneren ter voorbereiding van agressieve acties komt meer voor, zoals bijvoorbeeld bij het doorsnijden van datakabels van een Noors NAVO-radarstation op het eiland Vardø naar het vasteland. Ook elders in de wereld zijn kabels gesaboteerd. Internetkabels vanuit Marseille naar Lyon, Milaan en Barcelona doorbroken. De kabels en andere leidingen worden meestal goed ingegraven en kunnen niet zomaar door vissersnetten beschadigd worden, hoewel dit ook wel eens voorkomt. En de RF heeft niet voor niets 2 keer getest om zich af te sluiten van het internet. De kabels van eilanden rond Formosa, gaan ook niet toevallig zo vaak kapot. Dat gebeurt ook als er alleen vrachtschepen langsvaren en die hebben geen visnetten die over de bodem slepen. En de Nord Stream gasleidingen in de Oostzee zijn ook niet spontaan achter elkaar ontploft. En als het misgaat met zeekabel dan blijkt dat schepen in de buurt het automatic identification system (AIS) tijdelijk hebben uitgeschakeld.
Steun geven aan een erkende staat ten behoeve van diens zelfverdediging, zonder daarmee een strijdende partij te worden, gaat vooral om de geopolitieke invloedssferen. Er zijn na de tweede wereldoorlog dan ook vele ‘proxy wars’ gevoerd uit naam van een ideologie met vele doden en ontheemden tot gevolg. En wat betreft een ideologische oorlog ingerommeld worden is het dan ook onzin dat je steun kunt geven zonder daarmee een strijdende partij te worden door zoiets als gezichtsverlies.
Een koude oorlog is inderdaad vaak niet zo koud; de huidige speciale militaire actie is dat ook niet. De oorlog in Oekraïne is overigens geen proxy oorlog, net zomin als de aanval van Nazi-Duitsland op Nederland een proxy-oorlog was, zoals Hitler beweerde. Die gaf de schuld aan de Engelsen.
Volgens Poetin, heeft het Westen onder leiding van Ronald Reagan en George H.W. Bush, zijn Sovjet Unie uiteen laten vallen via detente. Poetin noemt de Russische Federatie nu ook vaak Groot Rusland of Heilig Rusland. De oud-communist, zegt de laatste jaren een vrome nationalistische Russisch Orthodoxe leider te zijn. Poetins “historisch” Rusland zou volgens zijn speciale wereldkaart grenzen tot aan de Atlantische oceaan. Die kaart heeft hij aan Westerse leiders laten zien, die soms geloofden toen nog dat het een provocerende grap was. Opmerkelijk, de Scandinavische landen staan niet op Poetins wereldkaart. Veel erkende volkeren en landen bestaan volgens Poetin niet. Poetin zegt via de media op te komen voor alle bedreigde en vernederde Russen, die geen Rus zouden mogen zijn. Voor Poetin is dat een legitieme reden om al die Russen te mogen “bevrijden”. Poetins ultranationalistische en fascistische aanhang gelooft daar heilig in, zoals te zien is op de Russische media. Van Noorwegen tot aan Zuid Kaukasus, maar ook in de Turks sprekende landen ten zuiden van de RF, is men bang voor meer agressie en Russische claims. Poetin betrekt ook landen in Afrika bij de zijn proxy -oorlog, via de Wagner Groep “vrijwilligers”. Jevgeni Prigozjin, de eigenaar van de Wagner groep, heeft ook multinationals die met name in de mijnbouw actief zijn en die onder “bescherming” van de “vrijwilligers” staan. Rusland wil hiermee China voor zijn. In die Afrikaanse landen komen steeds meer vluchtelingen.
Een realistisch beeld van de mogelijke bedreigingen is belangrijk, als we bijvoorbeeld onze ICT-infrastructuur willen beschermen.