Downloads
Downloads
-
Rapport
-
Bericht aan parlement
Samenvatting
Steeds meer landen kunnen cyberaanvallen uitvoeren die grote schade aanrichten aan bedrijven, mensen en overheidsinstellingen. Vrijwel alle landen gebruiken deze cyberwapens ook. Ze bespioneren elkaar en proberen in elkaars digitale systemen te infiltreren; sommige staten voeren zelfs cybersabotage uit of verspreiden desinformatie.
Nederland heeft, met zijn open economie, belang bij de-escalatie van dit conflict. Ook heeft het een lange traditie van vredesonderhandelingen en diplomatie. Vanuit die positie kan het de internationale samenwerking intensiveren. Dat blijkt uit dit rapport. We concluderen dat Nederland op vijf manieren de oplopende conflicten in cyberspace kan afremmen.
- Het moet internationaal samenwerken om digitale producten en diensten veiliger te maken.
- Ook moet Nederland heldere internationale afspraken maken, in bijvoorbeeld een cyberverdrag.
- Verder is het belangrijk de aanschaf van cyberwapens internationaal te coördineren.
- En omdat technologiebedrijven een cruciale rol vervullen in de beveiliging van de digitale omgeving, moeten ook zij worden ondersteund en gereguleerd.
- Tot slot moet de overheid burgers meer betrekken bij beslissingen over cyberveiligheid.
Het karakter van cyberaanvallen
Dit rapport beschrijft allereerst wat cyberaanvallen zijn, en vergelijkt deze met conventionele militaire aanvallen. Dit levert het volgende beeld op.
Cyberaanvallen kunnen veelal vanaf grote afstand plaatsvinden, kunnen zich razendsnel verspreiden en zijn soms lastig te detecteren – zeker als het geraffineerde spionage betreft, of hoogwaardige vervalsingen van beeld en geluid. Cyberaanvallen worden soms zelfs als een dienst aangeboden. Cyberaanvallers variëren van inlichtingendiensten tot cybercriminelen, en hoeven zelden te vrezen voor de gevolgen, zoals berechting.
Tegelijkertijd zijn cyberaanvallen niet per se schadelijker dan conventionele aanvallen. Sterker nog: Cyberaanvallen richten zelden ernstige fysieke schade aan en kunnen in veel gevallen onschadelijk gemaakt worden. Eenmaal bekend kan malware automatisch gedetecteerd en geweerd worden, mits leveranciers en gebruikers hun softwaresystemen tijdig updaten.
De opkomst van cyberaanvallen creëert daarom niet alleen serieuze veiligheidsrisico’s, maar ook mogelijkheden om de schade te verzachten.
Drie tredes op een escalatieladder
Elke dag zijn er cyberaanvallen. Dit rapport geeft een overzicht van wie ze uitvoert, waarbij we de rol van de grote cybermachten – de Verenigde Staten, Rusland en China – benadrukken, en ook Nederland en een aantal andere Europese landen bespreken. Dit doen we door de activiteiten te markeren op een zogenoemde cyberescalatieladder, die drie tredes telt:
- Een trede gekenmerkt door cybervrede, waarin landen niet met digitale middelen spioneren en ook geen sabotage uitvoeren of desinformatie verspreiden.
- Een trede gekenmerkt door informatieconflict, waarin staten overgaan tot cyberspionage en, in sommige gevallen, het verspreiden van desinformatie en het saboteren van digitale systemen.
- Een trede gekenmerkt door cyber-fysieke oorlog, waarbij de schade die staten aanrichten zo ernstig is dat er sprake is van gewapende aanvallen. Tijdens een cyber-fysieke oorlog vallen alle soorten cyberaanvallen overigens onder het internationaal recht, en niet alleen de weinige cyberaanvallen die op zichzelf een gewapende aanval constitueren.
De meeste huidige handelingen van invloedrijke staten passen in wat we hierboven beschrijven als het informatieconflict. Landen zijn in vredestijd hun cybersecurity aan het opbouwen en ze proberen zo onzichtbaar mogelijk te infiltreren in de digitale systemen van andere landen. Rusland kenmerkt zich daarnaast door het actief verspreiden van desinformatie. Dat is een strategie die andere autocratische landen, tenminste naar het buitenland toe, nog niet breed lijken toe te passen, maar die wel naadloos aansluit bij de ambitie om de informatie die burgers bereikt te sturen, te censureren en te manipuleren. Daarnaast zijn er enkele voorbeelden van ernstige cybersabotage, zoals de operatie Olympic Games, die aan Israël en de Verenigde Staten wordt toegeschreven, en de WannaCry-aanval, die aan Noord-Korea wordt toegeschreven. Cyberaanvallen hebben tot nu toe nog nooit een cyber-fysieke oorlog uitgelokt; van ‘cyberoorlog’ is wat dat betreft geen sprake. Wel vormt cyber steeds meer een onderdeel van oorlogsvoering, zoals goed te zien is bij het conflict in Oekraïne.
Internationale samenwerking
Het voortdurende informatieconflict vraagt om internationale diplomatie en afspraken. Daarom brengen we in dit rapport ook de samenwerking op dit vlak in kaart. In internationale en regionale gremia proberen staten stappen te zetten om een veilige en vrije digitale wereld te realiseren.
Staten zijn er niet in geslaagd om voor cyberaanvallen heldere afspraken met elkaar te maken. Dit betekent niet dat er geen regels van toepassing zijn op cyberaanvallen. Maar omdat deze aanvallen zelden de drempel overschrijden van een ‘gewapende aanval’, en daarmee het internationaal humanitair recht activeren, zijn er alleen algemene normen beschikbaar, zoals het geweldsverbod. En die kunnen vooralsnog op allerlei manieren worden uitgelegd. Er wordt gewerkt aan nieuwe afspraken, maar deze zijn er nog niet.
Bij voorkeur citeren als: Hamer, J., R. van Est, L. Royakkers, met medewerking van N. Alberts (2019). Cyberspace zonder conflict – Op zoek naar de-escalatie van het internationale informatieconflict. Den Haag: Rathenau Instituut
Conclusie
Steeds meer landen kunnen cyberaanvallen uitvoeren die grote schade aanrichten aan bedrijven, mensen en overheidsinstellingen. Vrijwel alle landen gebruiken deze cyberwapens ook. Ze bespioneren elkaar en proberen in elkaars digitale systemen te infiltreren; sommige staten voeren zelfs cybersabotage uit of verspreiden desinformatie. Door middel van informatietechnologie ontstaat een nieuw conflict. In dit rapport spreken we van een informatieconflict.
In dit onderzoek hebben we de vraag gesteld hoe Nederland kan bijdragen aan de-escalatie van dit informatieconflict. Dit rapport geeft een overzicht van de internationale situatie en richt zich op de cyberwapenopbouw en het diplomatieke beleid van landen. Uit literatuur en gesprekken blijkt dat staten over cyberaanvallen geen heldere afspraken hebben gemaakt.
Dat maakt de huidige internationale situatie riskant en zorgwekkend. Als Nederland wil bijdragen aan het de-escaleren van dit informatieconflict, dan zijn vijf acties van belang:
- Blijf samenwerken om de internationale cybersecurity te verhogen
Internationaal zijn er belangrijke initiatieven ontplooid om de veiligheid van cyberspace te verbeteren, zoals de IMPACT-coalitie, het Europese netwerk van Cyber Emergency Incident Response Teams en de NAVO-cyberoefeningen. Nederland heeft zich hierbij aangesloten. Deze samenwerkingen blijven van groot belang.
- Maak heldere internationale afspraken voor de-escalatie op het gebied van cybersabotage, desinformatie en cyberspionage
Hoewel Nederland en andere landen belangrijke stappen hebben gezet om internationale regels voor cyberaanvallen te formuleren, zoals het Tallinn Handboek en de Paris Call for Trust and Security in Cyberspace, zijn de regels algemeen. Het is belangrijk concretere afspraken te maken, ook over het informatieconflict. Daarbij kan gedacht worden aan een cyberverdrag.
- Zorg dat het cyberarsenaal verantwoord wordt beheerd
Het is belangrijk verdere verspreiding (proliferatie) van cyberwapens tegen te gaan. Dit vraagt om een internationale coördinatie van de aanschaf van cyberwapens, en om een effectieve samenwerking met technologie-bedrijven die kwetsbaarheden in hun producten kunnen verhelpen. Deze samenwerking vraagt ook, zeker onder bondgenoten, om zo veel mogelijk openheid.
- Bescherm de onafhankelijkheid van technologiebedrijven
Technologiebedrijven vervullen een cruciale rol in de beveiliging van de digitale omgeving. Zij dichten de gaten in hun software en kunnen robuuste digitale toepassingen op de markt brengen. Het is belangrijk om bedrijven te ondersteunen om zo veilig mogelijk te opereren. Overheden nemen een risico als ze van bedrijven eisen de veiligheid van producten heimelijk te verzwakken. Overheden moeten zowel de technologie als de technologie-bedrijven dus verstandig reguleren.
- Investeer in debat over internationale cyberveiligheid
Het informatieconflict is bij uitstek een onderwerp voor democratisch debat: juist burgers worden geraakt door cyberaanvallen. Ze moeten weerbaar zijn. Ook is het aan hen om richting te geven aan de digitale toekomst. De-escalatie van het informatieconflict vraagt daarom om een maatschappelijk en politiek debat.
Cyberaanvallen in beeld
Er zijn 3 soorten cyberaanvallen in de fase tussen oorlog en vrede. Dat zie je hieronder.