Column

Werkt afschrikking in cyberoorlog?

De angst voor een 'cyber Pearl Harbour' kwam voor het eerst naar voren in de jaren negentig en de afgelopen twintig jaar hebben beleidsmakers zich zorgen gemaakt dat hackers oliepijpleidingen zouden opblazen, de watertoevoer vergiftigen, waterkeringen zouden openen en vliegtuigen met elkaar in botsing laten komen door systemen voor de luchtverkeersleiding te hacken. In 2012 waarschuwde toenmalig minister van Defensie van de VS Leon Panetta dat hackers 'het energienet in grote delen van het land kunnen platleggen'.

Beeld epa

Geen van deze rampscenario's is uitgekomen, maar ze kunnen zeker niet uitgesloten worden. Op een meer bescheiden niveau waren hackers vorig jaar in staat een hoogoven van een Duitse staalfabriek op te blazen. De veiligheidsvraag is dus helder: kunnen zulke destructieve acties worden afgeschrokken?

Het wordt weleens gezegd dat afschrikking in cyberspace geen effectieve strategie is, vanwege de moeilijkheden om de herkomst van een aanval vast te stellen en vanwege het grote en diverse aantal betrokken statelijke en niet-statelijke actoren.

Hoe kun je vergelden als je geen adres afzender hebt? Nucleaire vergelding verdient niet de schoonheidsprijs, maar er zijn slechts negen staten met atoomwapens en er is een hoge drempel voor niet-statelijke actoren. In cyberspace geldt dit alles niet en kan een wapen bestaan uit een paar regels code. Een geavanceerde hacker kan de herkomst verstoppen achter valse vlaggen van meerdere remote servers.

Alhoewel forensisch onderzoek de vele 'sprongen' tussen servers in kaart kan brengen, duurt dit vaak lang. Zo werd een aanval in 2014 waarbij 76 miljoen adressen van klanten werden gestolen van JPMorgan Chase in brede kring toegeschreven aan Rusland. Maar in 2015 identificeerde het Amerikaanse ministerie van Justitie de daders als een geraffineerde criminele bende die werd geleid door twee Israëliërs en een Amerikaans staatsburger die in Moskou en Tel Aviv woonde.

Toeschrijving is echter een graduele kwestie. Ondanks de gevaren van valse vlaggen en de problemen een snelle, accurate toeschrijving te maken, is er vaak genoeg informatie om afschrikking mogelijk te maken.

Bij de aanval in 2014 op Sony Pictures probeerden de VS te vermijden de informatie waarmee ze de aanval aan Noord-Korea toeschreven openbaar te maken. Het resultaat was grote scepsis. Kort daarna lekte uit dat de VS toegang hadden tot Noord-Koreaanse netwerken. De scepsis nam af, maar ten koste van het onthullen van een gevoelige bron van informatie.

Een snelle toeschrijving is vaak lastig en kostbaar, maar niet onmogelijk. Al naar gelang de technologie verbetert, kan de afschrikkingskracht toenemen. Bovendien zouden analisten zich bij cyberafschrikking niet moeten beperken tot de klassieke instrumenten van straffen en voorkomen. Er moet ook aandacht zijn voor de rol van economische verwevenheid en normen.

Economische verwevenheid kan de kosten-batenanalyse veranderen van een groot land als China, waar de terugslageffecten van een aanval op bijvoorbeeld het Amerikaanse energienet de economie zouden kunnen treffen. Wat normen betreft zijn de belangrijkste landen overeengekomen dat cyberoorlogen vallen onder het oorlogsrecht, dat onderscheid maakt tussen militaire en burgerdoelen en proportionaliteit eist. In juli adviseerde de VN-Groep van Regeringsexperts om burgerdoelen uit te sluiten van cyberaanvallen en op de recente G-20 top is dit advies overgenomen.

Sommigen denken dat cyberwapens niet vaker gebruikt worden in oorlogen vanwege de onzekerheid over de effecten op burgerdoelen en andere niet voorziene gevolgen. Dat heeft wellicht het gebruik van cyberwapens door de VS tegen Iraakse en Libische luchtafweer afgeschrokken. En het gebruik van cyberwapens in de Russische 'hybride' oorlogen in Georgië en Oekraïne is relatief beperkt gebleven.

In tegenstelling tot het atoomtijdperk is afschrikking in het cybertijdperk niet one size fits all. Of hebben we een te simplistisch beeld van het verleden? Toen nucleaire vergelding te draconisch begon te lijken, hanteerden de VS ook een conventionele flexibele tactiek om een Sovjetinvasie af te schrikken. En terwijl de VS nooit formeel instemden met een no first use van kern-wapens, onstond zo'n taboe wel tussen de supermachten. Afschrikking is in het cybertijdperk misschien niet meer wat het geweest is, maar misschien was het dat nooit.

Vertaling Melle Trap © Project Syndicate


Nieuw! Ontvang elke dag de Volkskrant Avond Nieuwsbrief in uw mailbox, met het nieuws van vandaag, tv-tips voor vanavond, en alvast zes artikelen uit de krant van morgen. Schrijf u hier in.

Meer over

Wilt u belangrijke informatie delen met de Volkskrant?

Tip hier onze journalisten


Op alle verhalen van de Volkskrant rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@volkskrant.nl.