calendar tag arrow download print
Image
Bits for Peace blog 6

‘Zonder gemeenschappelijke afspraken is uiteindelijk iedereen slechter af’

Cybersecurity digitale samenleving Blogserie
Illustratie: Max Kisman
Wat moeten burgers weten over het oplopende internationale cyberconflict? En hoe komen we tot de-escalatie? In deze een na laatste aflevering van de blogserie ‘Bits for Peace’, is het woord aan Frank Slijper van vredesorganisatie PAX. Hij ziet grote landen als de VS, China en Rusland een dubbelrol spelen. Enerzijds pleiten ze voor internationale afspraken, anderzijds vergroten ze hun eigen aanvalskracht. Maar ook Nederland gaat volgens hem niet vrijuit.

In het kort:

  • De Nederlandse overheid streeft naar de-escalatie en internationale afspraken, maar is ook betrokken bij cyberaanvallen.
  • Volgens PAX kunnen beide rollen niet samengaan. Nederland zou moeten toewerken naar internationale ontwapening.
  • Omdat cyberaanvallen samengaan met geheimzinnigheid, komt ontwapening ook de democratie en het maatschappelijk debat ten goede.

Herkent u het beeld dat het Rathenau Instituut schetst van een oplopend internationaal cyberconflict met staten in de hoofdrol?

Het cyberconflict is voor een groot deel onzichtbaar, het haalt minder de kranten dan de traditionele conflicten. Qua slachtoffers is het gelukkig ook minder afschuwelijk. Maar het aantal cyberaanvallen neemt wel toe, zowel in omvang als intensiteit. Steeds meer landen beschikken zelf over offensieve cybercapaciteiten. Ik zie absoluut een oplopend en dynamisch cyberconflict. PAX pleit daarom voor de-escalatie.

De houding van Nederland hierin is dubbel. Aan de ene kant ontwikkelt Nederland een offensieve cybercapaciteit. Aan de andere kant spant het zich in om tot internationale afspraken en gemeenschappelijke normen te komen. Dat is moeilijk met elkaar te rijmen.

Waarom?

Het doel van de diplomatieke inspanningen is de-escaleren en het oplopende cyberconflict kalmeren. Het ontwikkelen van offensieve capaciteiten staat daar haaks op. Nederland zegt deze capaciteiten natuurlijk alleen voor militaire doelen in te zetten, maar dat is niet makkelijk te controleren.

De journalist Huib Modderkolk onthulde dat de Nederlandse inlichtingendiensten een belangrijke rol speelden bij de Stuxnet-aanval op de nucleaire installaties in het Iraanse Natanz. Dat was de belangrijkste cyberaanval uit de geschiedenis. Maar als Nederland dit soort aanvallen pleegt, kunnen we dan andere landen nog vertellen wat ze wel en niet moeten doen? Schaadt dat onze diplomatieke positie niet?

Wat zou PAX de Nederlandse regering adviseren?

Dat Nederland heel duidelijk het primaat houdt bij de internationale diplomatieke inspanningen en zich niet richt op het opbouwen en inzetten van offensieve capaciteiten. Er moeten concrete en bindende regels komen. Landen moeten er alles aan doen om te voorkomen dat de cyberaanvallen in ernst en frequentie nog schadelijker worden. Samen met andere vredesorganisaties brengt PAX ieder jaar tijdens de VN-vergaderingen in oktober een statement uit over cybercapaciteiten. Daarin hameren we ook op internationale samenwerking.

Diplomatieke inspanningen zijn tot dusver moeizaam verlopen, VN-overleggen liepen stuk. Hoe verklaart u dat?

Wat je vaker ziet bij onderhandelingen over ontwapening, is dat de grote militaire en economische machten die permanent lid zijn van de Veiligheidsraad niet voorop lopen. Daar tegenover staat een groep landen die door schade en schande wijs is geworden, mede door de cyberaanval op Estland in 2007. Die zien wel in dat afspraken belangrijk zijn. Nederland zit hier vaak tussenin. Ondanks alle verschillen blijft de discussie in VN-verband gelukkig doorgaan.  

Hoe kunnen we zinvol samenwerken met landen als de VS, China en Rusland die juist bekend staan om hun offensieve cyberoperaties?

Het lastige is dat deze grote landen een dubbelrol spelen. Ze zijn betrokken bij de diplomatieke overleggen, maar plegen in het geheim allerlei aanvallen. Uiteindelijk zullen ze ervan overtuigd moeten worden dat zonder gemeenschappelijke afspraken uiteindelijk iedereen slechter af is. Vanuit die overtuiging bouwen aan diplomatie is de enige mogelijkheid.

Bij ontwapeningsverdragen over landmijnen en clustermunitie wilden grote landen als India en China aanvankelijk niet meedoen. Toen er eenmaal een verdrag was, zag je dat ze toch hun gedrag gingen aanpassen. Verdragen hebben een stigmatiserende werking. 30 jaar geleden kon je ongestraft mijnenvelden leggen, nu zijn de meeste landen ervan afgestapt. Hopelijk zien we op het gebied van cyberaanvallen eenzelfde dynamiek ontstaan.

Er is discussie over de vraag of er een nieuw verdrag over cybernormen moet komen of dat er afspraken moeten worden gemaakt binnen het huidige internationaal recht. Wat vindt u?

Dit is een klassieke discussie. Een gedragscode is makkelijker te realiseren, en dus misschien realistischer, maar minder sterk. Juridisch bindende afspraken zoals verdragen zetten een duidelijkere norm. Die kunnen op de langere termijn effectiever zijn, zoals het landmijnenverdrag laat zien.

PAX heeft zich altijd ingezet voor ontwapening, bijvoorbeeld bij kernwapens, clustermunitie en killer robots. Zijn cybercapaciteiten een nieuw ontwapeningsthema?

Net als kernwapens, clustermunitie en landmijnen maken cyberwapens vaak geen onderscheid tussen burgers en militaire doelwitten. De Wannacry-software veroorzaakte ook grote schade in Britse ziekenhuizen. Soms worden cyberaanvallen, zoals hacks en desinformatiecampagnes, zelfs expliciet gericht op maatschappelijke organisaties. Dat zie je in Soedan en Syrië waar wij ook actief zijn. In ons ontwapeningswerk is het beschermen van burgers altijd de grote gemene deler. De cybercapaciteiten van landen moeten dus worden afgebouwd.

Het Rathenau Instituut pleit voor een maatschappelijk debat over cybervrede en de-escalatie. Voeren we nu in Nederland het juiste debat?

Het debat is in ontwikkeling. Soms haalt iets de krant, maar van een breed maatschappelijk en politiek debat is nog geen sprake. Wellicht wanen burgers zich nog veilig genoeg. Het zou goed zijn meer discussie te hebben over de mogelijke repercussies van de Nederlandse offensieve cybercapaciteit. Aan de andere kant zie je wel een duidelijke maatschappelijke reactie op de rol van Facebook en Twitter bij het verspreiden van desinformatie.

Geeft de Nederlandse overheid genoeg openheid voor een maatschappelijk debat?

Cyberoperaties vinden vaak plaats op het terrein van de inlichtingendiensten en zijn per definitie geheim en in-transparant. Soms geeft de overheid veel openheid, bijvoorbeeld over de Russische poging de OPCW te infiltreren. Maar dat gebeurt bijna nooit. Daar waar Nederland een minder frisse rol speelt, kan het jaren duren voor er iets over naar buiten komt. Dat maakt een democratisch debat uitdagend.

Zolang een land in het geheim cyberaanvallen wil uitvoeren, is openheid lastig. Dus openheid gaat vooral samen met een bereidheid van landen om van bepaalde aanvallen af te zien, en bepaalde capaciteiten niet op te bouwen.

Dat betekent dus een fundamentele keuze. Of we kiezen voor het opbouwen van offensieve cybercapaciteiten en nemen geheimzinnigheid voor lief. Of we kiezen voor ontwapening en openheid.

Het een kan niet samen met het ander. Dat is precies de spagaat waarin Nederland verkeert. We streven naar diplomatie, de-escalatie en een open gesprek, maar zijn tegelijkertijd betrokken bij allerlei offensieve, geheime operaties.

Zijn we over tien jaar met z’n allen veiliger of juist niet?

Ik ben hoopvol maar niet gerust. Onder het gros van de landen is er overeenstemming dat regels en afspraken nodig zijn. Maar we zien ook de realiteit van cyberaanvallen die haaks staan op deze regels. Ik hoop dat ook de grote landen gaan inzien dat diplomatie de enige weg is.

Cyberspace wordt steeds onveiliger. Vrijwel alle landen bespioneren elkaar via internet, sommige verspreiden desinformatie of voeren cybersabotage uit. Burgers staan daarbij in het kruisvuur: banken, ziekenhuizen en universiteiten worden bestookt. Het is tijd voor een debat over het cyberconflict, zodat burgers kunnen bijdragen aan de politieke besluitvorming en richting geven aan een veilige en vrije digitale toekomst. Dat constateerden we in ons rapport Cyberspace zonder Conflict. Met deze blogserie geven we een aanzet tot dit debat.