En dat is ergens opmerkelijk, omdat Paul Ducheine voor een zaal vol techniek-studenten benadrukte dat ook hij van huisuit techneut was en als werktuigbouwer bij defensie terecht was gekomen. Bij de genie: het legeronderdeel dat zich, in zijn eigen woorden, bezig houdt met bruggen bouwen maar vooral ook met bruggen opblazen. Die technische achtergrond heeft hij naar eigen zeggen echter thuisgelaten als het om cyberoorlog gaat. Daar houdt hij zich vooral als jurist mee bezig, maar tot op zekere hoogte begrijpt hij waar de cybertechneuten het over hebben en daardoor ook waar ze het niet over hebben.
Dat begint al met de definitie van “cyberspace”. Volgens de gezaghebbende Britse denktank Chatham House is dat "the global digital communication and information transfer infrastructure". De Nederlandse Adviesraad Internationale Vraagstukken en Commissie van Advies inzake Volkenrechtelijke Vraagstukken komen in een gezamenlijk advies met de definitie "the sum of all ICT equipment and services. It consists not only of the internet but also of all the networks and other digital devices that are not connected tot the internet." Wat valt op in deze twee definities, zo vraagt hij zijn publiek. Het antwoord komt al snel: “de menselijke gebruiker ontbreekt”. Het gaat in deze definities alleen maar om de technologie. Maar als het alleen maar over technologie gaat, dan is er eigenlijk geen sprake van cyberoorlog of welke cybermisstand dan ook.
Met de formulering aan het eind van deze laatste zin, stelt Paul Ducheine nog een andere onzorgvuldige terminologie aan de kaak. Alles wordt maar meteen “cyberoorlog” genoemd en elke poging om een computersysteem binnen te dringen heet een “aanval”. Maar in het gewone dagelijks leven noemen we ook niet elke poging om bijvoorbeeld je huis binnen te komen een “aanval” (maar “insluiping”, “inbraak”, “binnendringen”, etc.) en valt dus ook niet meteen in de categorie “oorlog” (maar kan ook als “criminaliteit”, “vernieling”, “diefstal”, “verstoring”, etc. geduid worden). Waar we in ons normale taalgebruik dus heel veel verschillende woorden hebben voor pogingen om binnen te komen en de misdaad die men daarbij voor ogen heeft, lijken in de wereld van Cyberspace alleen de woorden “aanval” en “oorlog” beschikbaar te zijn.
Beide correcties op het gebezigde taalgebruik worden vervolgens uitgewerkt. In de eerste plaats de correctie dat het in Cyberspace om meer gaat dan enkel de informatie-infrastructuur bestaande uit onderling verbonden computers. Dat is in de kern slechts de “logical network layer” uit de onderstaande afbeelding.
Met de formulering aan het eind van deze laatste zin, stelt Paul Ducheine nog een andere onzorgvuldige terminologie aan de kaak. Alles wordt maar meteen “cyberoorlog” genoemd en elke poging om een computersysteem binnen te dringen heet een “aanval”. Maar in het gewone dagelijks leven noemen we ook niet elke poging om bijvoorbeeld je huis binnen te komen een “aanval” (maar “insluiping”, “inbraak”, “binnendringen”, etc.) en valt dus ook niet meteen in de categorie “oorlog” (maar kan ook als “criminaliteit”, “vernieling”, “diefstal”, “verstoring”, etc. geduid worden). Waar we in ons normale taalgebruik dus heel veel verschillende woorden hebben voor pogingen om binnen te komen en de misdaad die men daarbij voor ogen heeft, lijken in de wereld van Cyberspace alleen de woorden “aanval” en “oorlog” beschikbaar te zijn.
Beide correcties op het gebezigde taalgebruik worden vervolgens uitgewerkt. In de eerste plaats de correctie dat het in Cyberspace om meer gaat dan enkel de informatie-infrastructuur bestaande uit onderling verbonden computers. Dat is in de kern slechts de “logical network layer” uit de onderstaande afbeelding.
Tijdens een eerdere Studium Generale lezing is Henk Steenman al eens op de fysieke en geografische lagen ingegaan; Paul Ducheine richt zich op de lagen erboven: de personen en hun evenknieën of identiteiten in cyberspace. Dit laatste wordt dan weer in de volgende afbeelding inzichtelijk gemaakt:
De hedendaagse mens is zo’n beetje vergroeid met zijn smartphone waarmee hij toegang heeft tot e-mail, facebook, linkedin, twitter en wat dies meer zij. Dat laatste vormt tezamen als het ware de cyberidentiteit van de betreffende persoon en via zijn smartphone (of tablet, laptop, etc.) en de daarin opgeslagen IP-adressen, International Mobile Equipment Identity (IMEI) en/of International Mobile Subscriber Identity (IMSI) nummers heeft hij toegang tot zijn cyberidentiteit. Je DigiD-nummers, PIN-codes, toegangscodes tot je bankrekeningen, etc. etc. behoren ook allemaal tot deze categorie. Dat zijn de twee bovenste lagen. De hedendaags mens vormt als het ware een vier-eenheid met zijn smartphone, zijn cyber-identity en het cyber-object van zijn smartphone. Via de cyber-identiteit hebben mensen een groter bereik om andere mensen te bereiken dan ze als fysiek persoon kunnen bereiken. Iemand die zijn smartphone verliest of afgenomen wordt, is tamelijk ontredderd. Dat geldt ook als de verbindingen van de smartphone met het cyberobject of dat tussen het cyberobject en de cyberidentity verbroken worden omdat de persoon in kwestie daardoor de verbinding met zijn cyberindentiteit is kwijtgeraakt.
En nu komen we weer terug op het terugvoeren van de mens in de Cyberspace, want de zogenaamde cyberaanvallen of cyberoorlogen hebben juist betrekking op het opblazen van de bruggetjes tussen de persoon en zijn cyberidentiteit. Niet op het opblazen van hele datacentra zoals de eerder aangehaalde, louter technische definities suggeren, maar veel subtieler de verbinding van de verschillende codes.
Is er bij het opblazen, verstoren of openbreken van dit soort verbindingen tussen personen en hun cyberidentiteiten nu sprake van een cyberoorlog? Volgens Paul Ducheine moet je dan kijken naar het oogmerk waarmee de aanval is uitvoerd. In veel gevallen zal het gewoon om criminaliteit gaan. Soms om spionage, soms om directe zelfverrijking, soms ook een vorm van vandalisme. Eigenlijk is er alleen sprake van “oorlog” als er een strijd plaats vindt tussen twee overheden en dat zal in Cyberspace niet echt het geval zijn. Aan de andere kant zag je bij de aanslag van 11 september dat iets dat strikt genomen geen oorlog is, wel als zodanig wordt beschouwd: de Verenigde Staten zagen de aanslagen waarbij 3.000 Amerikaanse burgers omkwamen als een aanvalsoorlog op hun land en zo kan ook een grootschalige cyberaanval op een grote groep burgers van een land als cyberoorlog worden beschouwd. Als jurist beschouwt Paul Ducheine de militaire reactie op 9/11 als een anomalie. Of een dergelijke aanval een oorlog in gang zet is en blijft een politieke beslissing. Je kunt niet één op één zeggen dat een aanval op het bankensysteem of een kerncentrale automatisch een oorlog ontketent.
Feit is dat de term cybersecurity of cyberveiligheid meer omvat dan cyberoorlog of cyberdefensie. Bedreiging van de cyberveiligheid zijn spionage, sabotage, diefstal, schendingen van de computerveiligheidssystemen, (h)acktivisme, subversieve internet activiteiten en tenslotte cyberoorlogvoering. Tegen deze activiteiten zijn een viertal typen tegenmaatregelen te onderscheiden: ICT-bescherming, rechtshandhaving, inlichtingendienstenwerk en het echte conflictenwerk.
Om dit heldere onderscheid meteen weer te vertroebelen, geeft Paul Ducheine aan dat de Nederlandse krijgsmacht op al deze vier terreinen actief is. Het “Defensie Computer Emergency Response Team” houdt zich bezig met de bescherming van de (door de krijgsmacht zelf gebruikte) computersystemen; de marechaussee heeft een rol bij de rechtshandhaving, ook als het om computercriminaliteit gaat, de militaire inlichtingen en veiligheidsdienst heeft een rol bij het inlichtingenwerk en dan is er sinds kort het Defensie Cyber Commando dat zich op de eigenlijk cyberoorlogvoering richt.
Bij alle tegenmaatregelen tegen de verschillende vormen van cybercriminaliteit moet de spreekwoordelijke balans gevonden worden tussen vrijheid en veiligheid. Volgens Paul Ducheine is dat echter geen weegschaal tussen twee grootheden, maar zijn het twee hoekpunten van een driehoek waarvan welvaart/welzijn de derde hoek vormt. De balans tussen vrijheid en veiligheid wordt dus mede afgewogen tegen de achtergrond van onze welvaart en ons welzijn. Verder is deze balans heel erg conjunctuurgevoelig. In de jaren ’90 werd in politiek en samenleving nog sterk gehecht aan vrijheid boven veiligheid. Dat veranderde direct na de aanslagen van 11 september toen de veiligheidsdiensten heel veel bevoegdheden hebben gekregen. Toen Snowden een paar jaar geleden bekend maakte waar dat bij de NSA toe leidde, sloeg de balans naar de andere kant om, om ten gevolge van het oprukken van ISIS weer naar een andere kant om te slaan. Het gaat bij de afweging tussen vrijheid en veiligheid al met al om dagkoersen, aldus Paul Ducheine.
Na een waarschuwing door de dagvoorzitter, ging de spreker vervolgens in hoog tempo door op de activiteiten van het Defensie Cyber Commando dat, zoals gezegd, afgelopen zomer is opgericht en waar uiteindelijk 150 mensen zullen komen te werken. Dit Commando houdt zich dus niet bezig met de beveiliging van de eigen computersystemen, maar met het voeren van een cyberoorlog in de nauwere betekenis van het woord. Het gaat daarbij om "The employment of cyber capabilities with the primary puropose of achieving [military] objectives in or by the use of cyberspace." Dus niet om aanvallen op de bankgegevens van de inwoners van een tot vijand verklaard land, maar bijvoorbeeld wel om de vernietiging van een stuk infrastructuur die je anders met militaire middelen had vernietigd.
Het kan echter ook gaan om cyberondersteuning van een ‘conventionele’ militaire aanval. Juist ook omdat in de informatie- en computersystemen in de moderne oorlogvoering een steeds belangrijkere rol spelen. Een helder voorbeeld hierbij is de Operation Orchard die het Israëlische leger in september 2007 uitvoerde om de Syrische kerncentrale Al Kibar uit te schakelen en waarbij het Israëlische Cybercommando de ICT-systemen van de Syrische luchtverdediging om de tuin leidde zodat deze de luchtmachtaanval niet kon afslaan.
Een tweede, veel bekender voorbeeld is de Stuxnet-aanval die drie jaar later in september 2010, vermoedelijk door het Amerikaanse leger, werd uitgevoerd om met een computervirus de Iraanse uraniumverrijkingsinstallatie bij Natanz onklaar te maken. Volgens Paul Ducheine zou deze Amerikaanse cyberaanval bedoeld zijn geweest om een Israëlisch bombardement op Natanz, zoals eerder op Al Kibar, met alle mogelijke gevolgen van dien te voorkomen. Een preventieve aanval dus en een duidelijk voorbeeld van hoe met een cyberoorlog een conventionele oorlog afgewend zou kunnen worden.
Het gaat bij cyberoorlogen echter niet alleen om aanvallen op geavanceerde infrastructuren, maar juist ook om de cyberidentiteiten. Bij oorlogvoering gaat het niet alleen om fysieke doelen maar ook om mentale: het ontmoedigen van de vijand en het voeren van propaganda om aan de andere kant juist medestanders te vinden. En juist daarin kan de inzet van ICT een grote rol spelen. Een bekend voorbeeld hiervan is het aan ISIS (anderen zeggen: aan Rusland) gerelateerde CyberCaliphate dat onlangs het twitteraccount van de U.S. Cental Command dat verantwoordelijk is voor de Amerikaanse militaire operaties in het Midden-Oosten wist over te nemen. Een overname die geen directe militaire gevolgen heeft, maar wel psychologische.
Aan de andere kant zet het Westen tal van sociale media uitingen in om op een soortgelijke wijze ISIS-strijders, die reuze actief zijn op de sociale media, te ontmoedigen. Als je ze op het slagveld niet kunt bereiken, lukt het misschien wel op het digitale slagveld. Dit geheel heette vroeger “psychologische oorlogsvoering” en er waren in de 20ste eeuw hele krijgsmachtonderdelen op ingezet. Je zou kunnen zeggen dat cyberoorlogvoering bestaat uit de niet-kynetische capaciteiten ter ondersteuning van medestanders of ter verstoring van informatie van tegenstanders. En in die zich richt het zich dus op cyber-identiteit van de hedendaagse strijder. Reden waarom het volgens Paul Ducheine zo belangrijk is om bij je definitie van Cyberspace, Cybersecurity en Cyberwarfare juist die persoon niet uit het oog te verliezen en je niet te beperken tot een tamelijk zinloze vernietiging van vijandige computersystemen die je juist veel beter kunt gebruiken om de cyberidenteit van je tegenstander te bevechten.
En nu komen we weer terug op het terugvoeren van de mens in de Cyberspace, want de zogenaamde cyberaanvallen of cyberoorlogen hebben juist betrekking op het opblazen van de bruggetjes tussen de persoon en zijn cyberidentiteit. Niet op het opblazen van hele datacentra zoals de eerder aangehaalde, louter technische definities suggeren, maar veel subtieler de verbinding van de verschillende codes.
Is er bij het opblazen, verstoren of openbreken van dit soort verbindingen tussen personen en hun cyberidentiteiten nu sprake van een cyberoorlog? Volgens Paul Ducheine moet je dan kijken naar het oogmerk waarmee de aanval is uitvoerd. In veel gevallen zal het gewoon om criminaliteit gaan. Soms om spionage, soms om directe zelfverrijking, soms ook een vorm van vandalisme. Eigenlijk is er alleen sprake van “oorlog” als er een strijd plaats vindt tussen twee overheden en dat zal in Cyberspace niet echt het geval zijn. Aan de andere kant zag je bij de aanslag van 11 september dat iets dat strikt genomen geen oorlog is, wel als zodanig wordt beschouwd: de Verenigde Staten zagen de aanslagen waarbij 3.000 Amerikaanse burgers omkwamen als een aanvalsoorlog op hun land en zo kan ook een grootschalige cyberaanval op een grote groep burgers van een land als cyberoorlog worden beschouwd. Als jurist beschouwt Paul Ducheine de militaire reactie op 9/11 als een anomalie. Of een dergelijke aanval een oorlog in gang zet is en blijft een politieke beslissing. Je kunt niet één op één zeggen dat een aanval op het bankensysteem of een kerncentrale automatisch een oorlog ontketent.
Feit is dat de term cybersecurity of cyberveiligheid meer omvat dan cyberoorlog of cyberdefensie. Bedreiging van de cyberveiligheid zijn spionage, sabotage, diefstal, schendingen van de computerveiligheidssystemen, (h)acktivisme, subversieve internet activiteiten en tenslotte cyberoorlogvoering. Tegen deze activiteiten zijn een viertal typen tegenmaatregelen te onderscheiden: ICT-bescherming, rechtshandhaving, inlichtingendienstenwerk en het echte conflictenwerk.
Om dit heldere onderscheid meteen weer te vertroebelen, geeft Paul Ducheine aan dat de Nederlandse krijgsmacht op al deze vier terreinen actief is. Het “Defensie Computer Emergency Response Team” houdt zich bezig met de bescherming van de (door de krijgsmacht zelf gebruikte) computersystemen; de marechaussee heeft een rol bij de rechtshandhaving, ook als het om computercriminaliteit gaat, de militaire inlichtingen en veiligheidsdienst heeft een rol bij het inlichtingenwerk en dan is er sinds kort het Defensie Cyber Commando dat zich op de eigenlijk cyberoorlogvoering richt.
Bij alle tegenmaatregelen tegen de verschillende vormen van cybercriminaliteit moet de spreekwoordelijke balans gevonden worden tussen vrijheid en veiligheid. Volgens Paul Ducheine is dat echter geen weegschaal tussen twee grootheden, maar zijn het twee hoekpunten van een driehoek waarvan welvaart/welzijn de derde hoek vormt. De balans tussen vrijheid en veiligheid wordt dus mede afgewogen tegen de achtergrond van onze welvaart en ons welzijn. Verder is deze balans heel erg conjunctuurgevoelig. In de jaren ’90 werd in politiek en samenleving nog sterk gehecht aan vrijheid boven veiligheid. Dat veranderde direct na de aanslagen van 11 september toen de veiligheidsdiensten heel veel bevoegdheden hebben gekregen. Toen Snowden een paar jaar geleden bekend maakte waar dat bij de NSA toe leidde, sloeg de balans naar de andere kant om, om ten gevolge van het oprukken van ISIS weer naar een andere kant om te slaan. Het gaat bij de afweging tussen vrijheid en veiligheid al met al om dagkoersen, aldus Paul Ducheine.
Na een waarschuwing door de dagvoorzitter, ging de spreker vervolgens in hoog tempo door op de activiteiten van het Defensie Cyber Commando dat, zoals gezegd, afgelopen zomer is opgericht en waar uiteindelijk 150 mensen zullen komen te werken. Dit Commando houdt zich dus niet bezig met de beveiliging van de eigen computersystemen, maar met het voeren van een cyberoorlog in de nauwere betekenis van het woord. Het gaat daarbij om "The employment of cyber capabilities with the primary puropose of achieving [military] objectives in or by the use of cyberspace." Dus niet om aanvallen op de bankgegevens van de inwoners van een tot vijand verklaard land, maar bijvoorbeeld wel om de vernietiging van een stuk infrastructuur die je anders met militaire middelen had vernietigd.
Het kan echter ook gaan om cyberondersteuning van een ‘conventionele’ militaire aanval. Juist ook omdat in de informatie- en computersystemen in de moderne oorlogvoering een steeds belangrijkere rol spelen. Een helder voorbeeld hierbij is de Operation Orchard die het Israëlische leger in september 2007 uitvoerde om de Syrische kerncentrale Al Kibar uit te schakelen en waarbij het Israëlische Cybercommando de ICT-systemen van de Syrische luchtverdediging om de tuin leidde zodat deze de luchtmachtaanval niet kon afslaan.
Een tweede, veel bekender voorbeeld is de Stuxnet-aanval die drie jaar later in september 2010, vermoedelijk door het Amerikaanse leger, werd uitgevoerd om met een computervirus de Iraanse uraniumverrijkingsinstallatie bij Natanz onklaar te maken. Volgens Paul Ducheine zou deze Amerikaanse cyberaanval bedoeld zijn geweest om een Israëlisch bombardement op Natanz, zoals eerder op Al Kibar, met alle mogelijke gevolgen van dien te voorkomen. Een preventieve aanval dus en een duidelijk voorbeeld van hoe met een cyberoorlog een conventionele oorlog afgewend zou kunnen worden.
Het gaat bij cyberoorlogen echter niet alleen om aanvallen op geavanceerde infrastructuren, maar juist ook om de cyberidentiteiten. Bij oorlogvoering gaat het niet alleen om fysieke doelen maar ook om mentale: het ontmoedigen van de vijand en het voeren van propaganda om aan de andere kant juist medestanders te vinden. En juist daarin kan de inzet van ICT een grote rol spelen. Een bekend voorbeeld hiervan is het aan ISIS (anderen zeggen: aan Rusland) gerelateerde CyberCaliphate dat onlangs het twitteraccount van de U.S. Cental Command dat verantwoordelijk is voor de Amerikaanse militaire operaties in het Midden-Oosten wist over te nemen. Een overname die geen directe militaire gevolgen heeft, maar wel psychologische.
Aan de andere kant zet het Westen tal van sociale media uitingen in om op een soortgelijke wijze ISIS-strijders, die reuze actief zijn op de sociale media, te ontmoedigen. Als je ze op het slagveld niet kunt bereiken, lukt het misschien wel op het digitale slagveld. Dit geheel heette vroeger “psychologische oorlogsvoering” en er waren in de 20ste eeuw hele krijgsmachtonderdelen op ingezet. Je zou kunnen zeggen dat cyberoorlogvoering bestaat uit de niet-kynetische capaciteiten ter ondersteuning van medestanders of ter verstoring van informatie van tegenstanders. En in die zich richt het zich dus op cyber-identiteit van de hedendaagse strijder. Reden waarom het volgens Paul Ducheine zo belangrijk is om bij je definitie van Cyberspace, Cybersecurity en Cyberwarfare juist die persoon niet uit het oog te verliezen en je niet te beperken tot een tamelijk zinloze vernietiging van vijandige computersystemen die je juist veel beter kunt gebruiken om de cyberidenteit van je tegenstander te bevechten.
Geen opmerkingen:
Een reactie posten