Het zal vrijwel iedereen ontgaan zijn: de eerste echte cyberwar is geweest en de Amerikanen hebben gewonnen. En wij ook.
U zegt?
Het gaat mij niet om Georgië, Kirgizië of Estland. Dat waren geen oorlogen. Hooguit hier of daar een lullig conflictje om een paar border routers en een webserver. Het gaat me ook niet om de dagelijkse digitale aanvallen vanuit China op kopstukken uit het internationale zakenleven. Ik heb het over een echte oorlog, met echte doden en veel bloed: de oorlog in Irak.
Ik heb het dan heel specifiek over the Surge, het Amerikaanse offensief dat in 2007 de ruggengraat van meerdere strijdende partijen heeft gebroken. Door grootschalige infiltratie en manipulatie van computers en telefoons – de Command en Control van de tegenstanders - bleken de Amerikanen in staat om de voornaamste strijdende partijen uit te schakelen. Niet met kruisraketten en andere high-tech precisie snuffen, die in de praktijk niet precies blijken, maar gewoon met de infanterie. Boots on the ground, die wisten hoe de tegenstanders opereerden, wie het waren en waar ze op een bepaald moment waren of zouden zijn. Ze hebben ook vijandelijke strijders in de val gelokt met nepberichten. Dat geeft phishing een hele nieuwe dimensie. Dit alles met dank aan een stelletje militaire hackers. Ziedaar het nieuwe gezicht van Oorlog. Ook de tegenstander is afhankelijk van de moderne technologie, en in plaats van de tegenstander het gebruik van deze middelen te ontzeggen, gebruik je die middelen tegen hem, zo legde Generaal Petraeus uit aan het Amerikaanse congres.
Nu kun je objectief vaststellen dat het sinds de Surge nog lang geen vrede is in Irak. Maar het is wel al bijna drie jaar veel rustiger en het aantal slachtoffers is sterk gedaald. En dat is al heel wat.
Hoe hebben wij dan gewonnen? ‘Onze jongens’ waren immers al een jaar eerder vertrokken uit Irak. Nou, dat is eenvoudig: als Irak na ons vertrek in chaos ten onder was gegaan, hadden we Srebrenica 2.0 gehad – en zouden ‘wij’ politieke schuld dragen. Met als gevolg dat de reflex om maar door te blijven gaan met moeizame missies nog sterker zou zijn dan die nu al is. Deze reflex is op dit moment zelfs de voornaamste drijfveer om nog een tijdje in Afghanistan te willen blijven – de overtuiging is dat we niet mogen verliezen. Sinds Clausewitz weten we echter dat we – en waarom we – een oorlog die we niet winnen uiteindelijk altijd verliezen. Maar goed, het blijkt dat ons land tal van militairen, politici en veiligheidsspecialisten rijk is die het beter menen te weten dan de vader van de krijgswetenschap.
De Surge heeft ons een tweede Srebrenica bespaard en dat mag je van mij winnen noemen. Nou beweer ik niet dat onze troepen betrokken zijn geweest bij de Surge of de cyberwar die daarin een doorslaggevende rol speelde, deze capaciteit heeft Nederland (volgens gezaghebbende bronnen immers niet, anders dan een groeiend aantal andere landen, met de VS op kop. Daarom is de FBI ook al begonnen met het registreren van IT Security specialisten. De mobilisatie van onze vakbroeders wordt dus al voorbereid.
Dat cyberwar realiteit geworden is, heeft de grote pers dus niet gehaald. Het verhaal is achteraf in stukjes een beetje naar buiten gekomen. Er zijn ook geen mooie plaatjes van. En, natuurlijk, is zo’n beetje alles geheim. In vakkringen is er echter wel aandacht voor – ook in ons land: project 2020, de studie naar de toekomst van de Nederlandse krijgsmacht, opende met een beschrijving van een digitale overval op Nederland in 2020, waarvan de Commandant der Strijdkrachten Fatima Agrid verslag deed. Dit opmerkelijk stukje regie mag er wezen. Defensie heeft het onderwerp ook op de Strategische Kennisagenda geplaatst. Ook hebben kopstukken rond oorlog en vrede, zoals professor Ko Colijn, zich gemeld op het gebied van Cyberwar. Maar het is nog allemaal erg pril, en de traditionele wereld is erg sterk. Generaals hebben normaliter meer met tanks en commandostructuren dan met kleddertjes bytes die door glas of de lucht gaan. Ze hebben nog wat tijd nodig om te wennen. Maar als ze gewend zijn - en sommigen zijn het al - komt het moment dat ze met IT beveiligingsmensen willen praten. Die hebben er verstand van, zouden ze kunnen denken.
Het cyberwar-vraagstuk is bezig met een doorbraak op de hoofdforums van de internationale politiek: de VN roerde bij monde van Hamadoun Toure op het World Economic Forum in Davos één van de meest relevante vragen aan: wanneer is cyberwar een casus belli, een aanleiding voor een echte oorlog? Daarbij riep Toure op tot een verdrag, met het expliciete doel escalatie te voorkomen. In dit verdrag moeten landen beloven niet als eerste een “cyber strike” tegen een ander land uit te voeren. John Negroponte, oud-directeur van de Amerikaanse inlichtingendiensten gaf al aan dat zo’n verdrag er niet komt: “intelligence agencies in the major powers would be the first to ‘express reservations’ about such an accord”.
Ook IT specialisten kwamen in Davos aan het woord – zo greep Craig Mundie, chief research strategy officer van Microsoft, de gelegenheid om te pleiten voor een Internet rijbewijs én een Internet APK. "If you want to drive a car you have to have a license to say that you are capable of driving a car, the car has to pass a test to say it is fit to drive and you have to have insurance".
Wat hebben thuiscomputers met niet-gepatchede software en knullige gebruikers in vredesnaam met cyberwar te maken? Duidelijker dan dit had Mundie niet kunnen maken dat hij er geen biet van snapt. De Surge toont aan dat de nieuwe slagvelden mobiele netwerken en slimme telefoons zijn. Dan moet je niet beginnen over rijbewijzen en APK’s. Dat is alsof een Security Manager aan tafel bij de CEO, na een miljardenfraude á la Kerviel, over virusscanners begint. Het optreden van Mundie in Davos toont aan dat veel IT-beveiligers nog lang niet klaar zijn voor een plaats in de schijnwerpers. En denk niet dat Mundie, omdat hij van Microsoft is, niets van beveiliging snapt – deze reflex hebben vrijwel alle ICT-ers. Zoals de generaals hechten aan hun tanks en hun vertrouwde werkelijkheid, hangen wij aan onze knusse maar voorbije wereld van virusscanners en patchdinsdagen. Als we niet snel bijspijkeren wordt het een legendarische afgang wanneer we met de generaals aan tafel gaan.
Door Peter Rietveld, Senior Security consultant bij Traxion - The Identity Management Specialists -
Laatste 10 columns
Deze posting is gelocked. Reageren is niet meer mogelijk.