Netherlands Cyber Defence Initiative

Hackers in het groen

Wereldwijd hebben overheden de conclusie getrokken dat het tijd wordt de traditionele defensieapparaten uit te breiden met Cyberlegers. Zo ook ons land, dat in een tijd van zeer forse ingrepen in de krijgsmacht, 50 miljoen euro gaat uitgeven aan ‘cyber defense’. Nederland zet de laatste Leopard 2 tanks bij het schroot en gaat cyberen. Wat ik me afvraag is wat we dan eigenlijk gaan doen met die 50 miljoen. Komen er nu aanbestedingen voor zero days? Krijgen de ICT beveiligers van defensie meer geheugen in hun PC en mogen ze een ander OS gaan draaien dan het toch wel wat belegen Windows XP van de standaard MULAN omgeving? Of – zouden er opslagen in het vat zitten voor de schaarse IT security specialisten?

Ik denk het niet. Het zal als vanouds een Hollandse oplossing zijn als het kopen van wat doosjes bij gerenommeerde leveranciers maar vooral het instellen van een studiegroep. En eigenlijk is een studiegroep helemaal geen slecht idee, want hoe een cyberleger er in het echt uit ziet, is ondanks tal van boeken en legio congressen, nog nauwelijks beschreven. De evangelisatiefase is namelijk nog volop bezig; alle tijd en energie gaat zitten in roeptoeteren hoe hard een cyberleger nodig is. Nu blijkt dat de enigen die er over nagedacht hebben wat een cyberleger dan zoal nodig heeft, leveranciers van 'solutions' zijn, die - logisch - hun eigen 'solutions' adviseren. Dat is op voorhand een kansloze aanpak.

Hoe dan wel? Een cyberleger is natuurlijk iets heel anders dan een traditioneel leger; het uniform zal wel anders  moeten, het wapentuig zal heel anders zijn en ook de organisatie zal niet langs de lijnen van een infanterieregiment zijn. Maar een cyberleger omvat wel degelijk de normale componenten van troepen, wapens en organisatie. Laten we de grootste vragen eens op een rijtje zetten.

De Troepen

Een rondgang langs de internationale online discussiefora over cyberwar laat zich best samenvatten als één grote litanie over het probleem van het vinden en behouden van cyberwarriors. Een cyberwarrior is de klassieke factum totem die aanvallen kan uitvoeren, kan verkennen en kan verdedigen. Dat dergelijke technische alleskunners niet uit hun bed komen voor de loonschalen der overheden leidt tot een verlamming van de discussie. De VS stelt dat ze 20 tot 30.000 van deze mensen nodig heeft (http://www.techrepublic.com/blog/career/the-us-needs-cyberwarriors/2225), en er 1.000 heeft. Het kan heel wel zijn dat die 30.000 er überhaupt op de hele wereld bij elkaar niet zijn. Dit heeft al geleid tot leuren met green cards, waarmee briljante techneuten uit andere landen verleidt worden om dienst te nemen bij het Amerikaanse leger. Ook heeft de FBI de druk opgevoerd op hackers uit eigen land, die voor de keuze worden gesteld om of de bak in te gaan, of voor de overheid te gaan werken.

Nu leidt ronselen zelden tot goede troepen, en of de import uit andere landen tot de gewenste resultaten gaat leiden is ook nogal de vraag. Waar liggen de loyaliteiten van deze beide categorieën? Het lijkt vooral op een noodgreep. Nu biedt het wel leuke carrièrekansen voor Nederlandse supertechneuten, maar dan houden we hier te lande alleen proceduretijgers en procesboeren over voor ons cyberleger en daar win je geen oorlog mee. Dan kunnen we ons maar beter gelijk overgeven.

De Troepen

Een cyberarsenaal opzetten en aanhouden is ook geen simpele zaak. Wat moet daar dan zoal inzitten? Wat hebben we nodig en wat willen we hebben? Wat moeten we kopen en wat hebben we al?

Wapens vallen normaliter uiteen in twee hoofddtypes, offensief en defensief. Daarnaast heb je in de regel nog wat aanvullende zaken, zoals verkennning en verzorging. Laten we beginnen bij defensieve wapens. Als computerbeveiliging voortaan cyberdefence heet hebben we die namelijk al. Misschien wat beter of misschien wat slechter, of je je systemen beveiligd tegen de een of tegen de ander, de wapens zullen op hoofdlijnen hetzelfde zijn.

Bij offensieve wapens wordt het opeens snel erg ingewikkeld. De eerste vraag is of offensieve digitale wapens wel de morele toets der politiek kunnen doorstaan. Mag je computervirussen bouwen of inbreken op systemen van anderen? In een defensiecontext klinken deze vragen nogal debiel, gegeven dat veel defensiematerieel erop gericht is mensen te doden of liever nog, ernstig te verminken. Een gewonde vraagt immers meer zorg dan een dode. Da’s toch beduidend serieuzer dan het inbreken op een switch.

Toch zijn deze vragen al gesteld en dit is de grootse bedreiging voor een zinvol cyberleger. De politiek heeft een lange traditie om de specialisten nooit zelf de middelen te laten kiezen. Als het voorspelbare en onvermijdelijke falen dan komt, schuift de politiek vrolijk de schuld door naar dezelfde specialisten. Van de politiek mochten er geen zware wapens als tanks en anti-tank raketten mee naar Srebrenica omdat de Serviërs daar waarschijnlijk (http://ikregeer.nl/documenten/kst-28506-8) op tegen waren. Toen Mladic met een paar antieke T55 tanks aankwam, stonden onze jongens met lege handen en konden alleen wegrennen. Bij de recente uitspraak dat Nederland schuld draagt aan de massamoorden die daarop volgden (http://www.depers.nl/binnenland/579981/Staat-schuldig-aan-Srebrenica.html) wordt de schuld door de politiek en de media doodleuk bij Defensie neergelegd, terwijl de beperkingen door de politiek waren opgelegd. Als klap op de vuurpijl beslist de politiek dat we in de toekomst prima zonder tanks kunnen, omdat missies daar niets aan zouden hebben. Von Clausewitz is duidelijk geen verplichte kost op de bestuursacademie.

Maar goed, onneembaar als deze horde lijkt, is dit niet de enige die genomen moet worden. Offensieve wapens in de cyberdimensie maken vaak gebruik van zwaktes in de systemen van de tegenstander. En dat leidt tot lastige situaties. Als de tegenstander weet welke zwaktes jij in zijn systemen kent en weet hoe deze te misbruiken, zal hij zijn maatregelen treffen en jou daarmee ontwapenen. Dus als je een cyberwapen gebruikt of het bestaan ervan uitlekt, weet de tegenstander ervan en ben je ontwapend.

Als de inzet van een wapen het onbruikbaar maakt, dan moet je nauwkeurig het beste moment van inzet kiezen. Bij iedere situatie moet je je afvragen of het doel het waard is jezelf te ontwapenen. De kans is dus groot dat je het wapen niet op het juiste moment tegen het juiste doel inzet. De waarde van je arsenaal is dus heel moeilijk voorspelbaar.

Dit is erg. Heel erg. Onder specialisten is dit punt al uitvoerig besproken. Maar dit is nog niet het ergste.

Dat komt zo: Je moet je wapens geheim houden. Ze zullen wellicht het grootste geheim zijn dat een cyberleger hebt. De geheimhouding zal dus zeer strikt zijn. Als je je offensieve wapens geheim wilt houden, zul je je collega’s aan de defensieve kant er dus niet van op de hoogte stellen. En de leverancier ervan al helemaal niet. Immers, als jij de gaten dicht, kan de tegenpartij er maar zo lucht van krijgen. Als de leverancier de gaten dicht, is je tegenstander ook geholpen. Om je tegenstander te kunnen treffen zul je jezelf bewust kwetsbaar houden. Er zal in de toekomst meer gezocht worden naar gaten in systemen en er zullen dus meer gaten gevonden worden, en er zullen meer redenen zijn om ze open te laten. Daar worden we uiteindelijk allemaal onveiliger van.

Dat leidt tot een volgend interessant punt: het escalatiemechanisme. Omdat je nooit precies kunt voorspellen wat een cyberwapen precies voor resultaat zal opleveren zul je goed bekijken wát je er precies mee aanvalt. Ga je voor de maximale schade omdat je wellicht maar één kans krijgt, of hou je je in? De kans is groot dat je een aanval te groot maakt omdat je wegwerpwapens gebruikt en daarna zwakker bent. De tegenstander heeft hetzelfde probleem. Cyberconflicten zullen dus vanzelf escaleren. Dat is heel slecht nieuws.

En als je dan uiteindelijk toch je wapen inzet, dan kopieert je tegenstander het snel of laat zien dat hij het al lang had maar net zo heeft afgewacht als jij. Je collega’s die de aanval van de tegenstander moeten opvangen, kunnen wellicht een voorsprong hebben door met je te praten, maar ze weten waarschijnlijk niet eens dat je bestaat. En dat is aan de andere kant net zo. Het klassieke Need to Know leidt dus tot maximale schade.

Nog lastiger is dat er op internet meer dan twee partijen zijn. Als jij een wapen gebruikt of lekt, kan het zijn dat de tegenstander het niet door heeft, maar één of andere slimme crimineel of een ander land wel, dat vervolgens elders in de aanval gaat. Door cyberwapens te hebben kun je onbedoeld anderen bewapenen, terwijl je jezelf bewust kwetsbaar houdt.

Wat het wapenarsenaal zal bevatten en hoe doelmatig het zal zijn is dus nog lang geen uitgemaakte zaak.

De Organisatie

De grote vraag is altijd bij een nieuwe krijgsmachttaak: welk bestaand onderdeel krijgt de buit? Valt cyber onder de landmacht, de marine of hoort het toch bij de luchtmacht? De historische voorbeelden voorspellen weinig goeds - ieder voor zich is ook bij Defensie het motto. Nederland heeft een luchtmacht sinds 1953, na 40 jaar militaire luchtvaart. Tot die tijd werd er weliswaar gevlogen en waar nodig de vijand bestreden, maar over doelmatigheid en effectiviteit valt wel het een en ander minder positiefs te melden. Voor een cyberleger is er ook geen evidente kandidaat, omdat het zo nieuw is. De IT club van Defensie is overigens geen kandidaat, omdat het een dom uitvoeringsbedrijf moet zijn. Bovendien werken daar vooral heel veel burgers waarop bezuinigd moet worden en bovendien is het geen krijgsmacht. De strijd is dus voorlopig niet beslecht.

Deze grote vraag overschaduwt de vraag hoe het cyberbedrijf er uit moet zien. Dit zal – mits niet de kop ingedrukt - hetzelfde effect hebben op ons militair vermogen in de lucht tussen 1913 en 1953, als op ons cyberapparaat in de komende jaren. Je zou verwachten dat tenminste onze luchtmacht voldoende historisch besef heeft om niet uit alle macht aan het cyberdingetje te trekken bij Minister Hillen. Maar in tijd van nood, en dat is onder de huidige bezuinigingen zeker aan orde, verdwijnt historisch besef echter als sneeuw voor de zon en we kunnen in de burelen op en rond het Ministerie van Defensie nog wel het nodige getouwtrek tegemoet zien. Nu ja, wij zullen niets zien - Defensie staat immers niet bekend om haar openheid - maar de militair historicus van de 22e eeuw zal z'n lol op kunnen.

Voorlopig zullen we niet de juiste organisatie hebben.

De Vijand

De lastigste vraag van allemaal hebben we nu nog niet gehad, maar dit is zeker een heel wezenlijke bij defensie-onderwerpen; de vijand. Het maakt namelijk nogal wat uit of je rekening houdt met een oorlog tegen je buurlanden of tegen een niet nader benoemd Verweggistan.

In het eerste geval weet je goed waar je aan toe bent, en heb je behoorlijk veel troepen en redelijk weinig logistiek. Zoals het tot 1989 was, dus. In het tweede geval heb je veel onzekerheid, heel veel logistiek en navenant veel meer overhead, en dus minder troepen (http://www.rijksbegroting.nl/binaries/images/1/4/9/kst149720_001.gif) voor hetzelfde geld. Daarom lijkt ons huidige leger zo vreemd; voor iedere Jan Soldaat zijn er bij de Materieel Organisatie DMO 70 officieren en al jaren kost dit krijgsmachtonderdeel veel meer dan bijvoorbeeld de landmacht en de marine samen. Toch klopt het: een wereldwijd bereik heb je niet voor een paar stuivers.

Dit is het gevolg van een politieke keuze. Sinds 1991 heeft onze krijgsmacht namelijk als eerste hoofdtaak het wereldwijd een bijdrage leveren aan vrede, veiligheid en stabiliteit. Als er één ding duidelijk is, is dat dit een zeer ambitieuze en in al haar breedte schier onuitvoerbare taak is. Ons land heeft onder deze doctrine sindsdien aan tal van missies deelgenomen, en het eind is alleen in zicht omdat het geld opraakt; zo zullen we Libië niet bombarderen, behoudens dan nog eventuele financiële meevallers voor Rutte. Dit geldt overigens niet alleen bij ons: niemand zal ingrijpen in Syrië. Dat is te duur.

Een wereldwijde ambitie leidt vanzelf tot wat Paul Kennedy zo treffend Imperial Overstretch (http://www.amazon.com/Rise-Fall-Great-Powers/dp/0679720197) noemt. Je kunt immers niet overal tegelijk zijn. Met de internationale rechtsorde gaat het dan ook steeds slechter: de NATO en de EU zijn aan het desintegreren, de VS staat er financieel net zo voor als Griekenland en het aantal en de ernst van de conflicten neemt toe. De kans dat een oorlog ook ons zal raken wordt dus steeds groter. We moeten dus wat doen.

Het inrichten van cyberwar met een vergelijkbaar wereldwijd bereik is op het eerste gezicht minder moeilijk; de fysieke plaats van een tegenstander is immers slechts bij een beperkt aantal scenario’s relevant. Belangrijker is of je in het gehele geweldsspectrum wilt kunnen optreden tegen alle mogelijke tegenstanders, of dat je je doelen kleiner maakt door ze te benoemen. Zeg maar of je in staat wil zijn de Syrische hackers van anti-assad sites te bestrijden, of wil je ook het vermogen hebben om het Amerikaanse satellietnetwerk naar je eigen hand te zetten. Nu is het onder de Atlantische Reflex ondenkbaar dat ons land ooit tegen de VS zal komen te staan , maar dat is meer omdat we er niet over wíllen denken dan dat we er niet over zouden móeten denken. Afgezien van in het hoofd van onze politieke en militaire top is de Twintigste Eeuw namelijk al lang voorbij.

Maar goed, stel dat we een cyberarmy inrichten om binnen NAVO verband samen te werken. Gegeven dat eenieder zijn wapens geheim moet houden, hoe ziet ‘samenwerken’ er dan uit? Waar moeten we ons dan in specialiseren? Spreken we af met Washington dat wij Sun Solaris doen, Italië Cisco IOS doet, Noorwegen Android en doet de VS dan Windows? Onwaarschijnlijk. Dus iedereen doet van alles een beetje.

Zonder heldere keuzes kunnen er op z’n best breedte-investeringen gedaan worden. Het effect is voorspelbaar en al de dagelijkse realiteit in rest van de krijgsmacht: we hebben van alles een beetje, en dus van het goede te weinig. Hoe fijn vijftig miljoen ook is voor de vaderlandse cyberveiligheid, zonder antwoord op bovengenoemde en nog andere lastige vragen is de kans levensgroot dat het allemaal opgaat aan defensieve middelen die we eigenlijk al lang hebben. En een studiegroep hoeft echt geen vijftig miljoen te kosten, zelfs niet als je ze allemaal inhuurt. Dan kunnen we dat geld veel beter besteden om in ieder geval een paar Leopard 2 tanks te behouden. Voor in Kunduz.