Vanwege mijn vakantie blog ik zelf niet, maar ik ben blij diverse gastbloggers te mogen verwelkomen. Vandaag Homme Bitter over het Nederlandse cyberleger.
Nederland heeft geen cyberleger. Dat is als 1e wereldland en
vooraanstaand lid van de NATO natuurlijk iets wat zo snel mogelijk
opgelost moet worden. Daarom is er door de minister van defensie op 27
juni een presentatie gehouden van de plannen om ook Nederland mee te
laten tellen. Deze presentatie heeft hij gegeven op de Nederlandse
Defensie Academie in Breda tijdens een symposium over dit onderwerp. Ik ben daar als gast
aanwezig geweest en wil graag mijn ervaringen delen.
Er wordt door defensie hoog ingezet. “Cyber” wordt gezien als een
nieuw slagveld. Ter land, ter zee, in de lucht, in de ruimte en nu ook
in de virtuele ruimte, kan je oorlog voeren.
Nu we een heel nieuw potentieel slagveld hebben, moet er ook een leger
worden opgericht wat toegerust is om op dat slagveld zijn/haar
mannetje te staan. Behalve de technische invulling daarvan, zal dat
ook betekenen dat er juridisch een en ander geregeld moet worden. De
laatste echt serieuze verdragen die internationaal bepalen wat wel en
niet bij een oorlog hoort, komen nog uit Genève en dateren in beginsel
uit 1949. Er zijn weliswaar toevoegingen aan gedaan in 1977 en 2005
maar die gaan nog steeds niet over wat je nou wel en niet mag bij
cyberoorlogsvoering. Sowieso, wat mag het leger wel wat de politie of
de AIVD niet mag en omgekeerd?
Een deel van het symposium waarop de presentatie van het cyberleger
werd gedaan, ging over deze vraag. Wat moet het leger voor taak in
gaan vullen, hoe zit dat nu wettelijk geregeld en wat moet er
eventueel aan aanvullende wetgeving komen om die taak beter uit te
kunnen voeren, of om die taak mogelijk te maken. In principe heeft het
leger twee taken. Het verdedigen van de internationale rechtsorde en
het voorkomen van maatschappij-ontwrichtende gebeurtenissen. Dit is
niet de letterlijke tekst uit de wet, maar kort door de bocht komt het
daar wel op neer. Als je dat naar het digitale domein vertaalt, zou
dat in de praktijk betekenen dat het leger ingezet zou kunnen worden
voor Internationale “vredesmissies” waarbij zowel verdedigend als
aanvallend, samen met bondgenoten, acties worden uitgevoerd. Wat ook
heel goed zou kunnen, is dat het leger net als bij het plaatsen van
een veldhospitaal bij een ziekenhuis waar de operatiekamer besmet is,
ook een “veldcomputercentrum” kan plaatsen bij zo’n zelfde ziekenhuis
waar een virus de ICT plat heeft gelegd.
Wat gaan soldaten doen in conventionele oorlogsvoering, nu er een
extra slagveld bij is gekomen? Gaan ze de infrastructuur van de vijand
DDoSen? Gaan ze inbreken op de computers en de gegevens verminken of
wissen? Gaan ze op Internet propaganda neerzetten die de bevolking van
de vijand in opstand moet laten komen? Of gaan ze civiele doelen
aanvallen, waardoor de brandweer en ambulances in het vijandelijke
land niet meer kunnen functioneren? Het Internet daar platleggen?
Worden het subtiele, doelgerichte aanvallen, al dan niet zonder dat de
dader te achterhalen is? Gaan er ook cybersoldaten mee op patrouille
om buitgemaakte datadragers forensisch te onderzoeken op strategische
informatie? Dit is allemaal nog niet bekend en het is ook nog niet
duidelijk hoe dat wettelijk allemaal geregeld is. Wat mag wel, wat mag
niet, wat valt onder de huidige Internationale wetgeving en waar moet
er nog wetgeving voor bij komen?
Een ander deel van wat er nu bij komt voor het leger, heeft met de
militaire tegenhanger van de AIVD, de MIVD te maken. Die twee werken
al nauw samen, maar omdat de AIVD zich meer met terrorisme en
economische spionage bezig houdt, zal het militaire spioneren, pardon,
het voorkomen van andermans militaire spioneren op de
computernetwerken van Nederland en de bondgenoten op het bordje van de
MIVD terecht komen. Sommigen binnen defensie vinden het lastig om dat
te kunnen doen zonder dat er meer rechten komen voor de MIVD en andere
inlichtingendiensten. De vergelijking wordt getrokken tussen
radioontvangst en Internetontvangst. Alles wat in de ether langs komt,
mag de MIVD uit de lucht plukken en opnemen, decoderen en wat ze er
ook maar mee van plan zijn. Als ze heel Internet zouden kunnen
“ontvangen” en er systemen op kunnen zetten zoals Echelon, of zoals
FaceBook z’n gebruikers afluistert om pedofielen mee te vangen, zou
dat hun werk een stuk makkelijker maken.
Niet iedereen binnen defensie
heeft deze mening en het is uiteindelijk aan de wetgever om te bepalen
wat de grens gaat worden. Het leger mag qua radio-ontvangst op zich ook
niet veel meer dan wat iedere burger nu mag. Er is in principe vrije
radioontvangst en de enige uitzondering die daar nu voor is, is het
descramblen van C2000 en het hebben van een radarverklikker in je
auto. De reden daarvoor is veel discussie over geweest, maar het komt
er op neer dat je de politie zou hinderen in hun werk en je zou eens
plotseling remmen als je radarverklikker afgaat, dat is gevaarlijk
weggedrag. Of dat valide redenen zijn of niet kan je nog twijfels over
hebben, maar het is een uitzondering op wat sowieso al mag en hij is
beargumenteerd. Gewone burgers mogen niet zomaar iedereens Internet of
telefonie afluisteren, dus waarom de overheid dat ineens wel zou mogen
met als argument “voor onze veiligheid” is mij niet helemaal duidelijk
geworden. Het is in ieder geval een discussiepunt en we kunnen
verwachten dat dit opnieuw in de politiek ter sprake gaat komen in het
kader van dit nieuwe legeronderdeel.
Het is duidelijk dat de Nederlandse overheid wel inziet dat ze dit
niet in hun eentje moeten doen en dat het leger dit ook niet moet doen
zonder met de politie en de AIVD samen te werken. Het onderscheid
tussen terrorisme, criminaliteit, spionage, een ongeorganiseerde
opstand zoals van Anonymous en een frontale aanval is vaak maar lastig
en meestal pas achteraf te bepalen. Hoe je daar nou invulling aan moet
geven en in hoe je je bondgenoten moet betrekken is nog niet helemaal
duidelijk, dus we gaan in de toekomst vast nog interessante dingen
over dit onderwerp te zien krijgen.
Ik vind zelf dat we in alle redelijkheid moeten gaan kijken naar hoe
we dit als land aan gaan pakken. Dat er mensen met foute bedoelingen
zijn die ICT gebruiken als middel om hun doel te bereiken is niet te
vermijden. We zullen daar als samenleving en dus ook via onze overheid
aandacht aan moeten besteden. Welke rechten en plichten we onze
overheid daarin geven, is iets waar we zorgvuldig over na moeten
denken. We moeten met zijn allen het doel niet uit het oog verliezen
en onze vrijheid weg geven door de verkeerde middelen te kiezen om
haar te beschermen.
Homme Bitter is consultant bij Sogeti. Hij is in zijn dagelijkse werk
betrokken bij beveiliging van ICT-systemen en de problemen die daar mee
samen gaan op juridisch vlak.
Ik vraag me altijd af wat het voordeel is om de hardware digitaal aan te vallen, in plaats van analoog?
Een interessant voorbeeld is de aanval op Iraanse kern reactoren. Het is een geraffineerde manier om vanaf een afstand, zonder makkelijk traceerbaar te zijn, een doel uit te schakelen. Maar hoeveel effectiever is het dan een kruisraket uit een onderzeeër te schieten? Beide zijn militaire acties die in veel ogen als een openlijke oorlogsvoering gelden.
Ik denk zelf dat het op de lange termijn interessanter is om onderzeeërs en kruisraketten te gebruiken. Een kruisraket hou je niet tegen door de UTP kabel los te snijden.
Cyberwar is gewoon een voldongen feit; vraag maar aan Iran hoe het met hun kerncentrale gaat. Dat Nederl;and hier nu serieus werk van gaat maken is rijkelijk laat.
Wel terecht de vraag hoe ver men hiermee moet gaan, mag men zomaar alles afluisteren? En wat betekent dit voor de rechtstaat? We hebben in de ‘echte wereld’ gezien dat het lastig is mensen te veroordelen met informatie van inlichtingen diensten. Er is geen zicht op hoe deze infomatie wordt vergaard en de inlichtingen diensten houden dit (terecht) voor zich op hoorzittingen.
Ik ben een voorstander van privacy wetgeving en krijg al rillingen als ik hoor dat onze overheid weer een database aan wil leggen. Mijn grootste probleem is de onkunde van de overheid om deze informatie te beveiligen. Een tweede groot probleem is dat het nooit blijft bij de innitiële bedoelingen.
Defensie gaat om de verdediging van ons land. Wat mij betreft mogen die wel meer informatie verzamelenonder minder strikte regels als de politie. Ik heb sowieso meer vertrouwen (maar geen absoluut vertrouwen) in hun kunde om informatie te beveiligen. Er moet dan wel een heel grote maar aan zitten: Die informatie kan alleen gebruikt worden om cyber aanvallen af te weren en risico’s voor de staat te identificeren. De verzamelde info ontoelaatbaar zijn als bewijs in een rechtzaak.
Het vertrouwen in defensie is toch ook niet al te groot:
http://www.techzine.nl/nieuws/8747/geheime-dienst-verliest-vertrouwelijke-usb-stick.html
http://tweakers.net/nieuws/50225/defensie-verliest-vier-usb-sticks-met-geheime-informatie.html
http://www.security.nl/artikel/12870/1/DefensieverliestweerUSBstickmetvertrouwelijkegegevens.html
http://www.security.nl/artikel/37257/OnversleuteldeUSB-stickmetF-16gegevensverkocht.html
Dat er iets aan digitale defensie gedaan moet worden is meer dan duidelijk en inderdaad rijkelijk laat maar de overheid heeft tot op heden altijd keurig laten zien niet geschikt te zijn voor dit soort taken. Ik zit echt niet te wachten op een (nog grotere) big brother overheid die alles registreert en analyseert. Maar is snap ook dat dit onomkeerbaar is.
Ik denk dat het voornaamste is om heel erg duidelijk te stellen wat als een aanval/risico gezien moet worden. Nu wordt er wat mij betreft iets te makkelijk iets als een aanval op/risico voor de samenleving gezien met alle gevolgen die daar bij horen….
Het woord “defensie” is een mooi eufemisme. Als legers echt alleen voor defensie gebruikt zouden worden, zou de wereld een stuk vreedzamer zijn.
Ik ben wel een voorstander van digitale defensie in de echte betekenis van het woord. Dus niet de computers van hackers platleggen, of infiltreren in de computers van andere landen, maar wel onze eigen systemen weerbaar maken tegen aanvallen van buitenaf.
Ik denk dat (o.a.) het volgende gedaan moet worden:
* identificeer essentiële infrastructuur in Nederland (waterwerken, electriciteitsvoorziening, communicatienetwerken, …)
* waar mogelijk, maak deze infrastructuur inherent minder kwetsbaar: haal het van het internet af, maak de manier van werken zo dat er nooit data van/naar de essentiële computers hoeft/kan, of gebruik überhaupt geen computers / programmeerbare elektronica.
* voor zover er nog kwetsbaarheden over blijven: zorg voor goede opleiding + bewustwording van personeel, en eventueel simulatie-oefeningen
* neem wat “white hat” hackers in dienst die continu de essentiële infrastructuur testen op digitale veiligheid, zonder echt schade aan te richten. Bij kwetsbaarheden zouden de verantwoordelijke organisaties verplicht moeten zijn om de lekken te dichten (voor zover het essentiële infrastructuur betreft: anderen moeten vooral zelf weten hoe onveilig ze willen zijn).
* op de langere termijn: richt de infrastructuur decentraal in, zodat een enkele hack niet het hele land plat legt.
* op de nog langere termijn: maak digitale veiligheid een integraal onderdeel van het onderwijs.