Interview

Zelfs een spion pleit voor meer openheid

Computervirus Stuxnet

Zijn documentaire Zero Days laat zich bekijken als een spionagethriller. Waar komt het computervirus Stuxnet vandaan? Regisseur Alex Gibney beet zich erin vast.

Alex Gibney: 'Als een virus als Stuxnet wordt gelanceerd, merk je dat niet eens.'

De eerste les over Stuxnet: niemand praat erover. Daar kwam documentairemaker Alex Gibney (63) achter tijdens het maken van Zero Days. Elke keer als hij ergens de naam van het computervirus liet vallen, gingen de deuren resoluut dicht. 'Ik weet er niets van', zegt een geïnterviewde in zijn film. 'En als ik het wel wist, zou ik het je niet vertellen.'

'Ik begin hier zo langzamerhand behoorlijk pissig van te worden', moppert Gibney achter de camera.

En dat terwijl de regisseur wel wat geheimzinnigheid gewend is. Het liefst maakt hij documentaires over ingewikkelde materie waar de hoofdrolspelers niet makkelijk over praten. Hij bijt zich een paar jaar lang vast om het onderwerp vervolgens toegankelijk te maken voor een breed publiek.

Eerder won hij een Oscar met zijn documentaire Taxi to the Dark Side (2007), over de martelingen van het Amerikaanse leger in Afghanistan. Hij dook in het boekhoudschandaal rondom energiebedrijf Enron (Enron, The Smartest Guys in the Room, 2005), de wereld achter klokkenluiderswebsite Wikileaks (We Steal Secrets, 2013) en de gesloten Scientologybeweging (Going Clear, 2015). Maar zoveel geheimzinnigheid als rondom Stuxnet had hij nog nooit meegemaakt. 'De media hadden al over het virus bericht en ik trof mensen die niet eens wilden erkennen dat het bestond', vertelt Gibney vlak na de wereldpremière van zijn documentaire tijdens het filmfestival van Berlijn.

Zero Days is een soort spionagethriller. De film laat zien hoe Gibney toch, stukje bij beetje, meer informatie over Stuxnet ontdekt. Zijn speurtocht begint bij de Russische programmeurs die het computervirus zes jaar geleden bij toeval ontdekten. Stuxnet bleek een schadelijk computerprogramma dat was ontworpen met een specifieke taak: een Iraanse kerncentrale lamleggen. Het programma spioneerde, analyseerde hoe en wanneer een aanval de meeste schade aan zou richten en sloeg precies op dat moment toe, zonder dat er een extra commando van buitenaf nodig was. Toen de nucleaire centrifuges plotseling op hol sloegen, hadden de Iraanse technici geen idee wat ze overkwam.

Alex Gibney.

Hoe kwam het op die computers terecht? Wie ontwikkelde het virus? Gibney speurde verder. Anonieme bronnen binnen de Amerikaanse veiligheidsdiensten, die Gibney hun verhaal laat vertellen via een onherkenbaar gemaakte actrice, stelden dat Stuxnet ontwikkeld was door de Amerikaanse en Israëlische veiligheidsdiensten. Een cyberwapen was het, en zoals in Zero Days wordt gezegd, nog maar het topje van de ijsberg. Als iemand met een virus een kernreactor kan platleggen, zegt Gibney, is het niet ondenkbaar dat er cyberwapens ontwikkeld worden die iets dergelijks doen met de basisinfrastructuur: met het elektriciteitsnetwerk of het waternet bijvoorbeeld. Sterker nog, Amerika zou al een geheim cyberaanvalsplan hebben bedacht, vertelt een bron in Zero Days, dat bij een conflict met Iran kon worden ingezet. Nitro Zeus heet het, en het zou de luchtafweer, de communicatiesystemen en cruciale onderdelen van het energienetwerk van Iran kunnen lamleggen.

De geheimzinnigheid rondom dit soort cyberwapens beschouwt Gibney als een groot probleem. 'Als een atoombom valt, dan hoor je het, voel je het, zie je het. Als een virus als Stuxnet wordt gelanceerd, merk je dat niet eens. Een trein ontspoort: is dat veroorzaakt door een menselijke fout, of door een cyberaanval?' Bovendien weet je volgens Gibney niet wie de aanval heeft gelanceerd - zijn het 'gewoon' hackers of een staat? - en kan een tegenaanval gericht zijn tegen de verkeerde. 'Zo krijg je kettingreacties waar niemand controle over heeft.'

Onder voorwaarden

Israël en de VS hebben nooit erkend dat zij bij de ontwikkeling van Stuxnet betrokken waren. Gibney heeft de National Security Agency (NSA) regelmatig om een officiële reactie gevraagd, maar niet gekregen. Liefst wilde hij toegang tot de geheime dienst, net zoals het nieuwsprogramma 60 Minutes had gekregen vlak na de onthullingen van klokkenluider Edward Snowden. 'Ze kwamen met idiote voorwaarden. Ze wilden controle over het eindresultaat. Dat was wat mij betreft natuurlijk onbespreekbaar.'

Wilde u met Zero Days het publieke debat over cyberwapens en het gebrek aan openheid aanzwengelen?

'Ja, absoluut. We móéten het hierover hebben. In mijn film wordt dat onder anderen gezegd door Richard Clarke (die als adviseur diende onder de presidenten Ronald Reagan, George H.W. Bush, Bill Clinton, George W. Bush en van 2001 tot 2003 de specialist was op het gebied van cybercriminaliteit, red.). Ook voormalig CIA-directeur Michael Hayden was die mening toegedaan. Hij was nota bene ooit een spion; als hij pleit voor meer openheid, weet je dat je je zorgen moet maken. Bovendien moet ik denken aan wat Peter Sellers zei in Dr. Strangelove or: How I Learned to Stop Worrying and Love the Bomb: wat voor zin heeft een apocalyptisch wapen als niemand weet dat je het hebt?'

U kreeg geheimedienst-medewerkers - zij het anoniem - toch aan het praten. Waarom deden zij hun mond open?

'Omdat ze vinden dat hun leidinggevenden en politici geen idee hebben van de omvang van het gevaar van dit soort wapens. Als je de basisinfrastructuur lamlegt, kun je dat niet zomaar ongedaan maken. Dat heeft enorme consequenties.

'Ik ben daar zelf ook het meest bang voor. Ik ben geen aanhanger van samenzweringstheorieën, maar ik geloof in de dommemensentheorie. Als je slimme techniek koppelt aan roekeloze en onwetende mensen, is dat gevaarlijk.'

Zero Days gaat over geavanceerde computertechnologie. Hoe blijft zoiets begrijpelijk?

'Ikzelf was de sleutel. Ik ben een absolute nitwit als het op dit soort dingen aankomt. Dus als ik het snap, snapt iedereen het. Bovendien is het een soort detectiveverhaal. Zelf ben ik de wat klunzige Columbo. Dan zijn er nog de twee programmeurs die Stuxnet ontdekten. En de twee journalisten die het politieke verhaal erachter hebben onderzocht. Via hen wordt Zero Days eigenlijk een soort actiethriller en daardoor valt het goed te volgen.'

Leest of ziet u nu weleens iets waarbij u meteen aan cyberwapens denkt?

'Uiteraard. Al weet ik het natuurlijk nooit zeker.

'Laatst viel het netwerk van een groot bedrijf opeens uit - 'echt?', denk ik dan. Net nadat een Russisch gevechtsvliegtuig was neergeschoten boven Turkije, lag opeens het internet daar plat. In Oekraïne wisten hackers via een energiecentrale een enorme stroomstoring te veroorzaken. In 2011 werd beweerd dat er gewoon een digitaal probleem was met het netwerk van een aantal Amerikaanse banken, terwijl er waarschijnlijk Iraniërs achter zaten.'

Vallen cyberwapens überhaupt wel te reguleren? Bent u optimistisch of pessimistisch?

'Pessimistisch, maar hoopvol. Ik denk hetzelfde als voormalig adviseur Clarke, die zei dat je toekomst kunt voorspellen door naar het verleden te kijken. Toen de Verenigde Staten en de Sovjet-Unie elkaar in een soort wurggreep hadden met atoomwapens, kwamen ze er toch samen uit. Het maakt niet uit hoe gespannen de situatie wordt: er is uiteindelijk altijd een gemeenschappelijk verlangen naar zelfbehoud.'

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.