Wat moeten burgers weten over het oplopende internationale cyberconflict? En hoe komen we tot de-escalatie? In deze blog, onderdeel van de serie 'Bits for Peace', legt onderzoeker Sico van der Meer (Clingendael Instituut / Technische Universiteit Eindhoven) uit wat nationale overheden kunnen doen om de situatie veiliger te maken. Hij betoogt dat diplomatie op de lange termijn cruciaal is.
In het kort
- Onderzoeker Sico van der Meer stelt dat landen in het oplopende cyberconflict vaak kiezen voor een strategie van verdediging en afschrikking.
- Hierdoor ligt escalatie op de loer en ontstaat een cyberwapenwedloop.
- Alleen door diplomatie en internationale afspraken kan cyberspace op de lange termijn veiliger worden.
Cyberspace wordt steeds onveiliger. Vrijwel alle landen gebruiken cyberwapens om elkaar te bespioneren en sommige landen voeren zelfs cybersabotage uit of verspreiden desinformatie. Burgers staan daarbij in het kruisvuur: banken, ziekenhuizen en universiteiten worden bestookt. Het is daarom tijd voor een debat over het cyberconflict, zodat burgers kunnen deelnemen aan de politieke besluitvorming en richting kunnen geven aan een veilige en vrije digitale toekomst. Dat constateerden we in het onderzoek Cyberspace zonder Conflict. In deze blogserie Bits for Peace geven we een aanzet tot dit debat.
Samenlevingen worden razendsnel afhankelijker van digitale technologieën, zoals online bankieren en de automatisering van havens. Daardoor neemt de kwetsbaarheid voor cyberaanvallen snel toe. Zo ondermijnt de grootschalige cyberspionage op het vlak van technologische innovatie de economische slagkracht van landen. Ook schaadt digitale verspreiding van desinformatie de maatschappelijke cohesie en het vertrouwen in instituties als de overheid, de rechtspraak en de media. En wie echt kwaad wil, kan met gerichte cyberaanvallen op bijvoorbeeld energienetwerken of het betalingsverkeer een samenleving flink ontwrichten.
Samenwerking is noodzakelijk
Wat kunnen nationale overheden doen om de cyberveiligheid te verhogen? Op dit moment kiezen zij vaak voor verdediging en afschrikking. Maar dat is op de langere termijn niet voldoende. Alleen door internationale samenwerking kunnen blijvende resultaten worden geboekt.
Die samenwerking moeten overheden en hun diplomaten niet alleen met elkaar zoeken. Een groot deel van de digitale wereld is in handen van technologiebedrijven zoals Microsoft, Google en Amazon, en ook maatschappelijke organisaties als Privacy International en Bits of Freedom spelen een belangrijke rol. Landen moeten daarom met alle betrokken partijen samenwerken.
”Op de lange termijn is een strategie van verdediging en afschrikking niet voldoende.
Verdediging heeft prioriteit
De meeste landen reageren op de toenemende dreiging door vooral te investeren in de beveiliging van digitale netwerken. En terecht: cyberveiligheid begint met maatregelen die aanvallers tegenhouden en ontmoedigen. Overheden kunnen dit bereiken door hun eigen netwerken beter te beveiligen en door veiligheidsstandaarden verplicht te stellen voor bepaalde belangrijke netwerken die deel uitmaken van de vitale infrastructuur; denk bijvoorbeeld aan betalingsverkeer.
Toch is het vrijwel onmogelijk om digitale netwerken volledig veilig te maken. Iemand die kwaad wil, vindt altijd wel zwakheden in de oneindige hoeveelheid computercode. Cyberverdediging blijft altijd een kat-en-muisspel tussen aanvallers en verdedigers.
Afschrikking van aanvallers
Veel landen zetten daarom naast verdediging ook in op het afschrikken van digitale aanvallers. De boodschap is helder: wie probeert door de digitale beveiliging heen te breken zal worden gestraft. Verschillende straffen zijn mogelijk, van het beginnen van een juridische procedure tot het opleggen van economische sancties en zelfs het lanceren van een tegenaanval.
Vooralsnog is het echter lastig om daders van cyberaanvallen met honderd procent zekerheid aan te wijzen, bijvoorbeeld omdat zij zich voordoen als iemand anders (zogenoemde ‘false flag’-operaties). Het lijkt zelden te lukken om aanvallers zo krachtig af te straffen dat ze afzien van verdere aanvallen – de potentiële baten van een aanval worden nog altijd aanzienlijk hoger ingeschat dan de potentiële kosten.
Escalatie ligt op de loer
Verdediging en afschrikking zijn belangrijke instrumenten om cyberveiligheid te vergroten, maar ze hebben meestal slechts een kortetermijneffect. Tot nu toe wisten cyberaanvallers snel weer nieuwe wegen te vinden om hun aanvallen goedkoop en risicovrij voort te zetten.
Bovendien kunnen investeringen in defensieve en vooral in offensieve cybercapaciteiten tot escalatie leiden. Zeker als sommige landen denken dat ‘aanvallen de beste verdediging is’ – een strategie die de Verenigde Staten sinds 2018 min of meer volgen. Er ontstaat een cyberwapenwedloop tussen landen, de onderlinge spanning loopt op, en om afschrikking geloofwaardig te houden moeten steeds zwaardere middelen worden ingezet. Voor je het weet ontstaat er een cyclus van steeds verder escalerende reacties.
Ook is er een risico dat andere actoren cyberwapens stelen, of deze na gebruik kopiëren en aanpassen. Zo was de basiscode voor de wereldwijde WannaCry en NotPetya cyberaanvallen, waarbij enkele jaren geleden grote hoeveelheden computers ‘op slot’ werden gezet, waarschijnlijk door hackers gestolen bij het National Security Agency van de Verenigde Staten.
Diplomatie: normen en regels
Waar verdediging en afschrikking vooral op korte termijn effect hebben, kan diplomatie juist op langere termijn succesvol zijn. Diplomatie draait om overleggen, onderhandelen en het identificeren van gemeenschappelijke belangen. Wanneer overeenstemming wordt bereikt over gedeelde belangen kunnen landen deze verankeren in internationale normen en zogenoemde ‘vertrouwenwekkende maatregelen’. Het gaat erom dat je met elkaar vaststelt dat uiteindelijk niemand belang heeft bij bepaalde typen cyberaanvallen met grote maatschappelijke gevolgen.
Om de cyberaanvallen te voorkomen maak je samen afspraken: welk gedrag is acceptabel en welk gedrag niet? Op dit moment is het vooral ‘ieder voor zich’. Vele landen werken heimelijk aan het opbouwen van eigen cybercapaciteiten. Behalve misschien de echte grootmachten zoals China en de Verenigde Staten, beseffen veel landen dat ze een escalerende cyberstrijd op eigen houtje niet kunnen winnen. Alleen door samen op te trekken en spelregels op te stellen, kunnen de schadelijke gevolgen van cyberaanvallen worden beperkt.
”Waar verdediging en afschrikking vooral op korte termijn effect hebben, kan diplomatie juist op langere termijn succesvol zijn.
Wereldwijde afspraken
Zulke spelregels moeten wereldwijde toepassing hebben en door zoveel mogelijk landen worden gesteund. Het is daarom het meest effectief om afspraken te maken binnen de Verenigde Naties, bijvoorbeeld via de ‘Group of Governmental Experts’ die al jarenlang over dit thema beraadslaagt. De VN heeft eerder al benadrukt dat het bestaande internationaal recht volledig van toepassing is op het cyberdomein: voor cyberwapens gelden dezelfde regels als voor wapens die worden ingezet op land, ter zee en in de lucht. Hóe het internationaal recht dan precies werkt bij digitale aanvallen, moet nog verder worden uitgewerkt. Er zijn al wel belangrijke initiatieven genomen, zoals het ‘Tallinn Manual’-proces, dat een handleiding voor internationaal recht in cyberspace probeert te creëren; maar er blijft wereldwijd nog veel verschil van inzicht.
Onwillige grootmachten
De vraag is hoe je landen zover krijgt dat ze zich willen binden aan regels. Cruciaal is dat ook de grootmachten inzien dat ze belang hebben bij spelregels. Op dit moment lopen grootmachten als de VS, China en Rusland qua cybercapaciteiten zo ver voorop dat ze weinig acuut belang zien bij het maken van afspraken. Op de korte termijn loont het voor hen niet om zich te binden; voor deze grootmachten wordt afspraken maken pas nuttig als andere landen op een vergelijkbaar niveau komen. Het is belangrijk om dat moment voor te bereiden door nu al normen en regels in het cyberdomein vast te stellen, waar de grootmachten later bij kunnen aanhaken. Kleinere landen zoals Nederland kunnen daar zonder twijfel een voortrekkersrol in spelen.
Voor de grootmachten wordt afspraken maken pas nuttig als andere landen op een vergelijkbaar niveau komen
Tijdrovende onderhandelingen
Diplomatie verloopt helaas vaak traag. Het is lastig en tijdrovend om tot afspraken te komen waar iedereen zich in kan vinden, omdat er doorgaans grote meningsverschillen bestaan die overbrugd moeten worden.
Maar omdat het cyberdomein, en daarmee de maatschappelijke kwetsbaarheid, steeds groter wordt, moeten landen blijven werken aan diplomatieke oplossingen. Landen die zich alleen bezighouden met het opbouwen van hun defensieve en offensieve cybercapaciteiten verkijken zich op de risico’s door een focus op kortetermijnsucces. Alleen door brede samenwerking is cyberveiligheid op langere termijn haalbaar.
Die samenwerking is niet alleen noodzakelijk tussen landen onderling, maar ook tussen landen en het bedrijfsleven, dat immers het grootste deel van de digitale infrastructuur in handen heeft. Met gedeelde belangen als uitgangspunt, kan de digitale dreiging door gezamenlijke inspanningen worden verminderd.
Het oplopende internationale cyberconflict: wat moeten we weten?
Digitalisering
31 januari 2020
Artikel
Juist in vredestijd is praten over aanvalsregels in cyberspace belangrijk
Digitalisering
23 februari 2020
Artikel
Staten hebben de plicht om zich in cyberspace verantwoord te gedragen
Digitalisering
27 maart 2020
Artikel
Het internet als de vrije zee van Hugo de Groot
Digitalisering
24 april 2020
Artikel
‘Zonder gemeenschappelijke afspraken is uiteindelijk iedereen slechter af’
Digitalisering
22 mei 2020
Artikel
Zo de-escaleren we het internationale cyberconflict
Digitalisering
10 juni 2020
Artikel