Carmen Gonsalves, hoofd Cybertaskforce van Buitenlandse Zaken. Beeld Klaas Jan van der Weij

Van de getroffen personen en entiteiten worden de (Europese) banktegoeden bevroren en betrokkenen krijgen ook een inreisverbod opgelegd. Daarmee zet Europa een nieuwe diplomatieke stap in de strijd tegen cyberaanvallen, die steeds kwaadaardiger worden en soms ook gericht zijn tegen cruciale infrastructuur van landen. Nederland heeft zich in de EU hard gemaakt voor het instellen van een sanctieregime en minister van Buitenlandse Zaken Stef Blok is verheugd dat nu voor het eerst concrete strafmaatregelen zijn afgekondigd. ‘De prijs voor slecht gedrag wordt verhoogd, want de bad guys komen er nog te vaak mee weg’, aldus Blok.

Behalve tegen de Russische OPCW-hackers, zijn ook sancties afgekondigd tegen een Chinees bedrijf en twee Chinese personen betrokken bij economische spionage-activiteiten, en tegen een Noord-Koreaanse organisatie die verantwoordelijk wordt gehouden voor de verspreiding van het WannaCry virus dat in 2017 mondiaal voor disruptie zorgde. Het meest pikante doelwit op de nieuwe EU-sanctielijst is evenwel een onderdeel van de Russische militaire inlichtingendienst GRU, dat verantwoordelijk wordt gehouden voor de NonPetya cyberaanval op Oekraïne in 2017, die ook elders op het continent schade veroorzaakte.

Carmen Gonsalves (57), het hoofd van de Task Force Cyber van Buitenlandse Zaken, toont zich tevreden over het resultaat van de diplomatieke inspanningen. ‘De OPCW-hack in 2018 creëerde momentum. Dat was vooral voor Nederland en het Verenigd Koninkrijk reden met spoed dit sanctieregime te creëren. We hebben de andere lidstaten vrij snel meegekregen want binnen een half jaar, in mei 2019, is dat regime − met alle criteria en juridische randvoorwaarden − er gekomen.’

Ook het proces waarbij geselecteerd werd welke personen en entiteiten op de lijst moesten komen, vergde volgens Gonsalves ‘grote zorgvuldigheid, ook juridische, want zo’n regime moet niet alleen op steun van alle lidstaten kunnen rekenen maar ook getoetst kunnen worden door de rechter.’

Waarom zijn juist deze personen en entiteiten op de sanctielijst terechtgekomen?

‘Ze worden verantwoordelijk gehouden voor een aantal aanvallen die echt aanzienlijke schade hebben berokkend aan de Europese Unie. De OPCW-hack is daar een voorbeeld van, maar ook WannaCry heeft in de EU heel veel ontwrichting en schade veroorzaakt. Zo werden er Britse ziekenhuizen lamgelegd. Ook NonPetya veroorzaakte veel economische schade in Europa, onder andere door een deel van de Rotterdamse haven plat te leggen. De sancties moeten een afschrikwekkende werking hebben en ervoor zorgen dat de verantwoordelijken niet zomaar wegkomen met dit soort daden.’

De sancties richten zich op personen en entiteiten, uitdrukkelijk niet op landen. Maar als je een Russische veiligheidsdienst sancties oplegt, leg je toch in wezen dat land sancties op?

‘Dat doe je niet. De sancties raken alleen de entiteit en de personen in kwestie. Maar dat neemt niet weg dat er een stevig signaal wordt gegeven wat eventuele opdrachtgevers indirect zal raken.’

Is dat het zwaarste middel in de diplomatieke tas, dat die personen dan niet meer naar Parijs op vakantie kunnen, maar nog wel naar Thailand?

‘Als we kijken naar diplomatieke middelen, dan is dat een redelijk stevig middel. Als dit soort sancties je boven het hoofd hangen, heb je geen free rider gedrag meer.’

Naar verluidt lagen Hongarije en Italië dwars in Brussel. Was het moeilijk om unanimiteit te krijgen voor deze sancties?

‘Er zijn landen die de dreiging wellicht minder voelen of om andere redenen voorzichtiger zijn, maar het feit dat de handen in zo’n korte tijd op elkaar zijn gekregen, duidt erop dat er echt politieke wil was om dit te doen. En dat is winst. Het is goed dat in deze lastige tijden, waarin de EU te kampen heeft met de Brexit en de covidcrisis, we al deze uitdagingen hebben overwonnen en unaniem dit besluit hebben genomen. Dat zegt wel iets over de capaciteit van de EU om op dit soort complexe, gevoelige veiligheidsterreinen een flinke stap vooruit te kunnen zetten.’

De OPCW-hack was een spionagepoging. Maar spioneren doen wij zelf toch ook? Wat is precies het verschil tussen spionage en sabotageacties van Russen en Chinezen en die van de Amerikanen en Britten?

‘Bij de OPCW-hack ging het om het binnendringen in een internationale organisatie die verantwoordelijk is voor mondiale veiligheid. Dus dat was wat ons betreft geen geval van klassieke spionage. Daar werd duidelijk een grens overschreden. Uit de jaarverslagen van onze inlichtingendiensten komt klip en klaar naar voren dat er bepaalde statelijke actoren zijn die offensieve cyberprogramma’s tegen Nederland en de bondgenoten uitvoeren. De VS en het VK werken juist heel hecht met ons samen om verdedigingslinies op te werpen tegen die cyberdreiging, die echt van een andere aard is. De Wetenschappelijke Raad voor het Regeringsbeleid waarschuwde vorig jaar in een rapport nog voor de risico’s van digitale ontwrichting, onder andere als gevolg van cyberaanvallen gericht op onze kritieke infrastructuur.’

Doet Nederland als internetknooppunt genoeg om zich hiertegen te verdedigen?

‘Er worden forse investeringen in onze weerbaarheid gedaan, tijdens deze kabinetsperiode is er zo’n 100 miljoen euro extra voor uitgetrokken. Maar Nederland zet ook in op het maken van internationale afspraken over normatieve kaders en de naleving daarvan. Het EU-sanctieregime is daar één voorbeeld van. Daarmee geven we aan welke rode lijnen niet overschreden mogen worden. Maar we proberen ook wereldwijd afspraken te maken over de toepassing van de internationale rechtsorde in cyberspace. Die onderhandelingen zijn niet eenvoudig, maar ondanks de complexe geopolitieke realiteit hebben we de afgelopen jaren zeker vooruitgang geboekt.’

Op welke gebieden?

‘Bijvoorbeeld in de vorm van erkenning van de toepasselijkheid van het internationaal recht, bijvoorbeeld het VN-Handvest, op dat cyberdomein. Daarnaast zijn er in de VN ook afspraken gemaakt over aanvullende normen die meer cyberspecifiek zijn. Zoals de afspraak dat we elkaars nationale ‘cyberbrandweer’, de cyber security incident response teams, niet aanvallen. Maar toch zijn er nog veel vragen over hoe het internationaal recht, dat tot stand kwam vóór deze technologische revolutie, in cyberspace wordt toegepast.’

Kunt u concrete voorbeelden geven van de vertaling van rechtsprincipes uit de fysieke wereld naar de digitale?

‘De soevereiniteitsregel is wat Nederland betreft ook van toepassing in het cyberdomein, net zoals het non-interventiebeginsel. Het is derde staten verboden verkiezingen te manipuleren en zich zo te mengen in democratische processen in andere landen. Ander voorbeeld: het recht op zelfverdediging, vastgelegd in Artikel 51 van het VN-Handvest. Als wij het slachtoffer worden van een cyberoperatie, uitgevoerd door een derde land, die hetzelfde effect teweegbrengt als een conventionele gewapende aanval, dan kan wat ons betreft een beroep worden gedaan op Artikel 51. Ook mensenrechten zijn online hetzelfde als offline.’

Is het de bedoeling dat er een apart verdrag komt voor het cyberdomein?

‘Wij richten ons vooral op het bestendigen en consolideren van bestaand internationaal recht. Wat ons betreft hoeft er nu geen nieuw verdrag te komen. Dat kost heel veel tijd en we riskeren dan dat een aantal landen van die onderhandelingen gebruik zullen maken om belangrijke essentiële rechtsregels in het VN-Handvest en mensenrechtenverdragen af te zwakken.’