China heeft een computersysteem van de Nederlandse krijgsmacht geïnfecteerd met geavanceerde spionagesoftware, meldt de MIVD dinsdag. Dat las ik bij Nu.nl. De impact lijkt beperkt maar de ontdekking is bijzonder genoeg. Het riep ook vele vragen op: is dit juridisch gezien bijvoorbeeld een oorlogsdaad?
Het achterliggende rapport is bij de NCSC te downloaden. De kern is dat de malware via een bekende kwetsbaarheid in FortiGate-apparaten van leverancier Fortinet binnendringt en toegang op afstand faciliteert. Technisch niet heel spannend, het is vooral opmerkelijk dat de MIVD hiermee naar buiten treedt én zo expliciet China aanwijst als organisator.
Is het nu oorlog? Niemand die het ziet, maar juridisch gezien is hier weinig over te zeggen. Er is namelijk niet echt een definitie van ‘oorlog’. In de Conventie van Genève van 1952 is staat bijvoorbeeld “any difference arising between two states and leading to the intervention of members of the armed forces”, oftewel het is oorlog als de strijdkrachten van twee landen tegen elkaar vechten.
De MIVD is deel van onze strijdkrachten en laten we aannemen dat deze malware ingezet is door de Chinese People’s Liberation Army Strategic Support Force, zeg maar hun cyberstrijdkrachten. Maar is dit een “interventie”, is hier sprake van gebruik van wapens?
Los daarvan: het is pas echt oorlog als minstens een van de twee landen dat vindt, of als een hogere macht (zoals de VN) dat verklaart. Daar is bij deze malware geen sprake van.
Arnoud
Er wordt heel vaak gesproken over bv China en Rusland, ipv een Chinees en een Rus? Is er dan hardgemaakt dat de persoon of organisatie die hierbij betrokken is werkt voor het leger of een overheidsinstantie? En zo ja, waarom worden die instanties dan vrijwel nooit bij naam genoemd?
Die zogenaamde (cyber) attribution is moeilijk. Hoe weet je heel zeker dat die digitale sporten echt van een bepaalde dienst zijn en het niet een andere groep is die de sporen achterlaat?
En als het al heel duidelijk is, kan ik me voorstellen dat men liever in het midden laat hoe zeker men is en waarom dan. Enerzijds om niet -alle- gebruikte middelen en methoden op straat te laten landen, anderzijds omdat zekerheid vast andere politieke consequenties heeft (zie de vraag over oorlog) dan ‘zo-goed-als-zeker’heid. Maar dit zijn onderbuikvermoedens.
Van iets als Fancy Bear vroeger is wel vrij duidelijk dat dat de GRU was (Russische militaire geheime dienst). Ook verschillende Chinese groepen zijn (min of meer) bekend: https://en.wikipedia.org/wiki/Advancedpersistentthreat#China
–
“Any difference arising between two states and leading to the intervention of members of the armed forces”, dat heb je al als een Belgisch generaal voordringt voor een Nederlandse bij de koffieautomaat? Ik hoop aan dat er ergens ‘armed’ bij komt kijken in de definitie. En dan kom je weer bij de vraag wat ‘armed’ is.
Als hacks er onder vallen, zijn willekeurige militaire en burger-systeembeheerders (de verdedigingslinie tegen die hacks) dan valide doelwitten voor dodelijke wapens?
Er zijn inderdaad al oorlogen gevoerd om dergelijke stomme redenen: Google maar eens op ‘Pig War’