Soms wordt een spionnenactie wereldnieuws. Zoals die keer in april 2018, als vier Russen op Schiphol aankomen, een auto huren en naar de OPCW (de internationale organisatie die het gebruik en de verspreiding van chemische wapens tegengaat) in Den Haag rijden. Daar zetten de Russen hun auto op de parkeerplaats. De kofferbak ligt vol specialistische apparatuur om wifiverbindingen te hacken. Maar de Nederlandse militaire inlichtingendienst (MIVD), die de vier Russen heeft gevolgd, grijpt op tijd in. De dienst neemt de spullen af en zet de Russen het land uit.

Een half jaar later vertelt minister Ank Bijleveld (Defensie) er uitgebreid over op een persconferentie, zeer ongebruikelijk voor Nederland. Internationale media van de BBC tot The Washington Post doen er verslag van.

Een andere spionagekwestie kreeg een stuk minder aandacht. Begin 2019 ontdekt telecomprovider KPN mogelijke Chinese spionage. KPN gebruikt in de kern van het netwerk routers en software van het Chinese Huawei. De telecomprovider stuit op een toegangspad van Huawei naar Nederlandse klantgegevens. Een pad naar een server waar alleen Huawei bij kan. De Algemene Inlichtingen- en Veiligheidsdienst (AIVD) onderzoekt vervolgens of er een link is met spionage door de Chinese overheid. Het zou een gigantisch schandaal zijn, maar het blijkt nauwelijks vast te stellen: ja, de Chinezen spioneren overal en gebruiken daarvoor klantgegevens zoals die van KPN. Ja, Huawei kan via het pad diezelfde klantgegevens wegsluizen. Maar heeft Huawei die gegevens aan Chinese spionnen gegeven? Een bron: ‘De drankkast staat open, de drank is weg, iemand heeft de drank – betekent dat ook dat hij de drank heeft gestolen?’

Deze voorbeelden illustreren de dilemma’s bij de digitale wapenwedloop: wat kan in de openbaarheid, hoe hard zijn de feiten, wat is toelaatbaar en wat niet? Deze week onthulde de Volkskrant dat de AIVD in 2007 heeft geholpen om het Amerikaans-Israëlische sabotagevirus Stuxnet los te laten in een Iraans nucleair complex. Die onthulling riep vragen op, onder meer omdat het de aanzet bleek tot een digitale wapenwedloop waarbij landen elkaar voortdurend aanvallen. Een van die vragen: welke regels gelden er eigenlijk in het digitale domein?

Naming-and-shaming

De man die daarover met gezag kan spreken, is Chris Painter. Hij leidde vanaf 2011 de Amerikaanse inspanningen om tot ‘normen’ in het digitale domein te komen. Hij diende onder zowel president Barack Obama als Donald Trump en was jarenlang de hoogste diplomaat die de Amerikaanse ‘cyberstrategie’ moest ontwikkelen. Voorbeeldig, noemt Painter de Nederlandse openheid na de hackpoging bij de OPCW. ‘Naming-and-shaming is niet makkelijk, maar we moeten het meer gaan doen.’

Painter begint in 2011 als cyberdiplomaat, in een tijd waarin digitale spionage grootse vormen begint aan te nemen. Vooral economische spionage vanuit China wekt dan verontrusting. Een beruchte Chinese spionagegroep komt in zeven jaar tijd zeker 141 bedrijven binnen. Vaak zitten ze daar maanden, soms zelfs jaren. De langste spionage duurt bijna vijf jaar. Die aanvallen lopen parallel aan de belangen van de Chinese overheid. Als Coca-Cola de overname van een Chinese frisdrankgigant overweegt, breekt deze groep ongezien in bij het Amerikaanse concern. De techneuten stelen de onderhandelingsstrategie en andere bedrijfsgevoelige informatie. Daarnaast is de groep uit op het intellectueel eigendom van hightechbedrijven, militaire organisaties, chemische fabrieken en telecomproviders. Ze dringt bijvoorbeeld ook Lockheed Martin binnen en ontvreemdt zo het ontwerp van het gevechtsvliegtuig Joint Strike Fighter.

De Amerikanen reageren in eerste instantie met strafrechtelijke onderzoeken. Maar die zijn complex, tijdrovend en sorteren nauwelijks effect: China levert de hackers toch niet uit. Tijdens een staatsbezoek van de Chinese president Xi Jinping in 2015 gooien de Amerikanen het over een andere boeg. Onder dreiging van sancties probeert Barack Obama China te verleiden tot afspraken. Painter bereidt de deal voor: ‘Afspraken werken alleen als beide partijen ervan profiteren.’ De VS en China spreken af dat ze elkaars bedrijfsgeheimen niet langer zullen stelen.

Afspraken en verdragen

Het is de aanzet tot meer deals. China sluit bilaterale verdragen met Groot-Brittannië, Australië, de G7 en de G20. In 2015 komt een VN-groep, met Painter als belangrijkste diplomatieke aanjager, tot overeenstemming dat internationaal recht ook van toepassing is op digitale activiteiten. De groep formuleert vier belangrijke normen: landen zullen niet elkaars kritieke infrastructuur aanvallen, afblijven van overheidsorganisaties die instaan voor de digitale veiligheid, elkaar helpen bij digitale incidenten en ze zijn zelf verantwoordelijk voor aanvallen vanaf hun grondgebied. Painter: ‘In het begin werkten die afspraken vrij goed.’

Maar er komt een kentering. Landen houden zich er niet aan. De afspraken vallen niet te handhaven en de voordelen van digitale aanvallen blijken groot, want ze zijn anoniem en moeilijk op te sporen. Painter: ‘Het is relatief goedkoop en het valt makkelijk te ontkennen.’ Van spionage gaat het bovendien naar sabotage. Rusland valt in 2015 elektriciteitscentrales in Oekraïne aan en later Amerikaanse kiessystemen. Tijdens de openingsceremonie van de Winterspelen in Zuid-Korea verstoren staatshackers de internetverbinding, waardoor er geen luchtopnamen mogelijk zijn. In Venezuela leggen hackers het stroomnetwerk plat. De Amerikanen nestelen zich op strategische plekken in het Russische elektriciteitsnetwerk. Als de VN in 2017 weer afspraken proberen te maken, is er geen consensus meer.

Painter vertrekt dat jaar als cyberdiplomaat. President Trump zou minder waarde hechten aan zijn ambt. Painter: ‘In de nieuwe Amerikaanse veiligheidsstrategie staat dat de Verenigde Staten zich het best met andere landen kunnen inzetten voor digitale veiligheid. Tegelijkertijd zegt veiligheidsadviseur John Bolton dat de VS het aantal offensieve digitale aanvallen zal gaan opvoeren in reactie op buitenlandse spionage.’ Een gevaarlijke ontwikkeling volgens hem. ‘Als Russische hackers via een Italiaanse computerserver de Verenigde Staten aanvallen en de VS gaan terughacken in Italië, ligt escalatie al snel op de loer.’

Meer digitale strijd

Sinds Painters vertrek is de bereidheid tot internationale afspraken afgenomen, terwijl hij de digitale strijd zag toenemen. Painter, die zich nu namens een internationale commissie inzet voor digitale stabiliteit: ‘We hadden zo’n digitale wapenwedloop als de laatste jaren niet verwacht.’ Hoe kan het dat landen zo moeilijk tot afspraken komen?

De Nederlandse voorbeelden bieden alvast twee verklaringen. Toen de MIVD de Russen vier dagen volgde, gingen die tevens naar Rotterdam, waar het Landelijk Parket onderzoek doet naar het neerhalen van MH17. Daar greep de MIVD niet in. Geheime diensten kijken soms liever mee naar hoe andere landen spioneren dan dat ze een operatie verstoren of bekendmaken. Openheid maakt namelijk ook kwetsbaar: toen het AIVD-onderzoek naar Chinese spionage bij KPN bekend werd, maakte dat het onderzoek ook ingewikkelder. Mocht China die route gebruiken om aan klantgegevens te komen, dan houdt het land zich nu even koest.

Painter ziet nog een verklaring: ‘Nog steeds reageren landen anders in de fysieke wereld dan in de digitale wereld. Neem het voorbeeld van de vergiftiging van de Russische oud-spion Skripal. Binnen een week zei de Britse premier May dat Rusland achter de vergiftiging zat. Meteen kwamen er diplomatie sancties.’ Na de digitale aanval van Rusland op Oekraïne in juni 2017 duurde het meer dan een half jaar voordat Groot-Brittannië de dader aanwees. Painter: ‘Dat heeft deels te maken met politieke wil. Ook met het niet volledig willen aangaan van het debat. Cyber is nog steeds niet de belangrijkste prioriteit, terwijl de impact enorm is.’