Netherlands Cyber Defence Initiative

10/17/07

De Chinezen komen! Of niet, natuurlijk (2)

Zoals we in het eerste deel van deze column zagen, is de ontwikkeling richting cyberwar onmiskenbaar. Landen die nu nog geen vermogen tot cyberwar hebben, zullen het snel gaan opbouwen. Of de verhalen waar zijn en 'De Chinezen komen' ... is daardoor niet relevant. Ik denk dat dát nog wel even zal loslopen. Als China economische schade wil toebrengen aan de VS hoeven ze alleen maar wat dollars te dumpen. En daar hebben ze meer dan genoeg van. Spionage is natuurlijk iets anders, maar dat is niet nieuw, hoewel het vaak genegeerd wordt. Maar goed, wat we wél zeker weten is dat cyberwar de komende tijd hoog op de agenda staat. Naar ik aanneem, zelfs in ons land.

De bedreiging van digitale oorlogsvoering mag dan op dit moment overtrokken worden, de kwetsbaarheid is zeer reëel. Het militaire overwicht van de VS (en in het verlengde, het Westen) is gebaseerd op beweeglijkheid en de kwaliteit van de troepen en de middelen, niet op de hoeveelheid. Daarbij is informatie essentieel: als je alleen een paar supertanks hebt, wil je die precies op tijd op de goede plaats hebben. Het verstoren van het informatieoverwicht kan de militaire balans snel doen omslaan - waarbij de supermacht bij uitstek geraakt wordt in zijn achilleshiel, de informatievoorziening. Digitale oorlogsvoering is bij uitstek een wapen voor de zwakkere partij in een hedendaags conflict. Het beschermen van het informatieoverwicht is voor de sterkere partij dan ook een zaak van levensbelang.

Een aanval hoeft niet gericht te zijn op de militaire infrastructuur om dit informatieoverwicht te ontwrichten. Het zwaartepunt van een land ligt eerder in de economische stabiliteit dan in haar vermogen kruisraketten op een ver doel te laten landen. Hierbij gebruik ik de term zwaartepunt in de betekenis van Clausewitz, als het zenuwcentrum van een mogendheid. In onze tijd vormen informatie en communicatie samen met mobiliteit (olie) het zwaartepunt van een land.

Dat de VS zenuwachtig zijn, is terecht. Ze zijn kwetsbaar. De combinatie van middelen (mobiliteit en informatie) die zo succesvol was bij de verovering van Irak en Afghanistan, is in gevaar. In het Chinese militaire denken, zoals verwoord door Wang Pufeng in 1995, is het breken van dit overwicht essentieel. Of China nu of later, of een andere mogendheid voor onze achilleshiel gaat, is eigenlijk niet zo heel belangrijk. Zwakte in het digitale domein bedreigt de grondslag van het militaire overwicht en daarmee de welvaart van het westen. Dit geldt mutatis mutandis ook voor ons land: die paar opgepoetste Leopards of ge-midlifede F16's kunnen een veel grotere partij aan, maar zijn kansloos als er geen informatieoverwicht is. Dit vind je niet terug in de NDD, de Nederlandse Defensie Doctrine. Evenmin als andere dimensies aan cyberwar, overigens.

De keuze is: óf veel aandacht voor beveiliging van onze informatievoorzieningen, óf terug naar de veel omvangrijker krijgsmacht van weleer, met navenante budgetten. Dit laatste zal sommige ijzervreters wel aanspreken, maar er zijn gewoon te weinig potentiële zandhazen om weer een paar legerkorpsen te kunnen opstellen. Bovendien is het hedendaagse oorlogstuig volledig afhankelijk van de informatievoorziening dus dan zullen eerst weer allemaal nieuwe spulletjes moeten gaan verzinnen. Ik denk niet dat Wouter Bos hiervoor de knip wil opentrekken. Er blijft dus niets anders over dan veel meer aandacht voor wat ons bedreigt. Kortom, het is tijd voor een nieuw paradigma in zowel de civiele als de militaire sfeer.

De nieuwe wapenwedloop is begonnen, maar dit is er niet één van zoveel mogelijk ijzer uit de kast rukken en dat in nette rijtjes neerzetten. Het is er één van het aanhaken van kennis en talent, ongeacht rang of stand... De Chinezen hebben dát goed begrepen, zie hiervoor dit artikel van Wei Jincheng uit het dagblad van het volksleger uit 1996. Dit schetst een losse organisatie met een hoge mate van empowerment in de lagere echelons, zodat de inventiviteit en kennisontwikkeling gewaarborgd wordt.

Het wordt wennen voor de heren en dames bureaucraten hier te lande, want inhoudelijke kennis en een procesgeoriënteerde autoritaire organisatie gaan slecht samen. Maar goed, onder druk wordt alles vloeibaar en er is hier wellicht sprake van druk, dus wie weet.

Als we dan toch aan de vooravond staan van een cyberwar is 't minste dat ik kan doen een stappenplan aanreiken, waar we heel voorzichtig over kunnen nadenken:

1 De digitale casus belli: De NAVO zou kunnen uitdragen dat er ook zoiets kan bestaan als een casus belli in het digitale domein. Meer duidelijkheid hierover zou een zekere mate van terughoudendheid kunnen stimuleren bij andere partijen. Via onze diplomatieke kanalen kan de discussie aangeslingerd worden.

2 Afscheid van de silo's: Het is onmogelijk iedere kilometer van de digitale grens te bewaken - we weten geeneens waar die ligt. Het vergaren van betrouwbare informatie in deze 'grensbewaking' is echter cruciaal. De overheid zou haar eigen informatieverwerving moeten versterken zodat zij feiten van fictie kan onderscheiden. De inlichtingendienst zullen meer naar buiten moeten treden: afspraken en daadwerkelijke oefeningen met ISP's, elektriciteitsbedrijven, banken, telco's en meer van dat - op een hoger bestuurlijk niveau en minder vrijblijvend dan van de huidige CERT-verbanden.

3 Eenheid van commando: Overheidsdiensten vormen een lappendeken. Ongeacht wat er op dit moment precies aan de hand is, is er een cyberwapenwedloop op til. Daarom is het verstandig duidelijkheid te creëren rond de verantwoordelijkheden en spelers op het digitale slagveld. Unity of command is een absolute vereiste om te kunnen handelen. Internetveiligheid is op dit moment ondergebracht bij EZ, en een beetje bij Justitie en BZK, maar als oorlog in zicht komt ruikt het toch naar de Eerste Hoofdtaak van Defensie. En dat zal dan een volledig nieuw krijgsmachtonderdeel moeten worden, zo eentje die je niet binnen enkele weken uit de grond stampt. Iets als het Amerikaanse Cyber Command, de 8e luchtmacht, dat sinds 2006 operationeel is. Maar wél graag met een bredere scope dan bij onze bondgenoten, die moeten leven met een beperking tot 'militaire systemen'. Je mag alleen groene bitjes aanvallen, hoor! Een dergelijke knieval voor departementale territoriumdrift maakt een Cyber Command gelijk zinloos. Nu zul je zeggen dat die beperking natuurlijk direct van de baan is als er iets aan de hand is... Maar oorlog en vrede zijn nu eenmaal niet gekaderd langs de overzichtelijke lijnen van overheidsdiensten, en kunnen bovendien tegelijkertijd en door elkaar heen bestaan. Dus of je op tijd je scope aangepast hebt en tijdig kunt optreden, is maar afwachten.

De digitale inlichtingendienst die zorg draagt voor deze 'grensbewaking' zal een onderdeel moeten vormen van dit apparaat, en dus ook in het Defensielandschap terechtkomen.

4 Herziening van de best practices: De manier en invulling van defensieve maatregelen zal herzien moeten worden. De huidige best practices zijn opgesteld om bescherming te bieden tegen vandalen en criminelen, waarbij de beveiliging naar binnen is gericht, omdat de meeste aanvallen daarvandaan zouden komen. Aanvallen van buiten zijn eerder puur technisch van aard dan die van binnenuit, dus het accent in security zal verschuiven richting techniek. Omdat de hulpbronnen van de tegenpartij groter zijn of groter worden dan die van de gemiddelde briljante hobbyist al dan niet als lid van een criminele organisatie, zal er zeker een snellere evolutie van aanvalstechnieken optreden. Dit zal de levensduur van onze nog te ontwikkelen best practices onder permanente druk zetten.

5 Primaat van de kennis: Het kunnen acteren in crisissituaties van cyberwar zal minimaal het vermogen tot een tactisch offensief vragen. Het ontplooien van dit vermogen zal een zware wissel trekken op de toch al schaarse expertise bij de overheid en in de markt. Zeker als we terugschrikken voor die briljante Chinese informaticastudenten die onze universiteiten bevolken....

Geavanceerde onvoorspelbare aanvallen kun je alleen met een hoog kennisniveau pareren of - beter nog - omdraaien. Het zal waarschijnlijk niet genoeg zijn om een paar goeie studenten van de Nederlandse Defensieacademie hierop te zetten. Een kweekvijver voor het benodigde talent zal niet eenvoudig zijn - de markt lonkt immers en voor een schaal 10 of 11 Rijksoverheid komt een Security specialist zijn bed niet uit. Een oplossing kan wellicht gezocht worden in het creëren van een mobilisabele strijdkracht - maar niet één van security managers graag, we hebben technische kennis nodig, geen procedures. Het idee van dienstplichtige hackers, net als in China, zal overigens wél even wennen zijn voor de gemiddelde sergeant-majoor. Maar het wordt vast gezellig.