Innovatie & Strategie

Governance
cyber

Cyberdiplomatie, waar een klein land groot in is

“Cyberspace is níet het nieuwe Wilde Westen”.

© CC0 Public Domain bykst
8 december 2021

“Cyberspace is níet het nieuwe Wilde Westen”.

De internationale bestrijding van cybercrime, cyberspionage en andere digitale wandaden schaalt op, met successen als takedowns van domeinen, arrestaties van verdachten en inbeslagname van tegoeden. Op een recente internationale ransomwaretop was Rusland niet uitgenodigd, wat sommige IT’ers alleen maar logisch in de oren klonk. Achter dit alles schuilt naast politie- en justitiewerk ook veel diplomatie. “Het is een kwestie van lange adem hebben.”

Cybersecurity komt neer op veel meer dan alleen technologie. Net zoals goede IT wordt bepaald door de driehoek ‘mensen, processen, technologie’, waarbij de volgorde ook cruciaal is. Beveiliging van IT -en daarmee van IT-afhankelijke zaken in economie en maatschappij- heeft ook ‘zachte’ krachten nodig. Zoals cyberdiplomatie.

Dat lost niet alle cybersecurityproblemen in één klap op, maar heeft wel degelijk effect. En Nederland speelt een flinke rol op dit internationale gebied. “We zijn best groot in het digitale”, weet Nathalie Jaarsma, ‘ambassador-at-large’ voor veiligheidsbeleid en cyber. Zo’n zogeheten ‘roving ambassador’ is niet toegewezen aan een land maar aan een specifiek onderwerp. Zoals bijvoorbeeld counterterrorisme, mensenrechten, of dus ‘cyber’.

In de digitale wereld timmert Nederland flink aan de weg, ook met diplomatie. Jaarsma legt in gesprek met AG Connect uit dat ons land gebaat is bij multilateralisme: in internationaal verband optrekken voor gezamenlijke doelen. “In plaats van dat grote landen alles bepalen”, licht ze toe. Het helpt hierbij dat Nederland actief bijdraagt aan beleidsvorming van de Europese Unie (EU), de NAVO en de Verenigde Naties.

Nederland cybergrootmacht

Jaarsma spreekt echter de notie tegen dat Nederland op zichzelf niet veel vermag. “Dat vind ik een onderschatting van ons land.” De Nederlandse cyberdiplomaat steekt met die uitspraak niet de eigen loftrompet, want ook anderen slaan Nederland hoog aan. Ze verwijst naar de positie die ons land inneemt op de ranking van onderzoekscentrum Belfer Center, verbonden aan de Harvard Kennedy School. In de National Cyber Power Index (NCPI) van 2020 pronkt Nederland op de vijfde plaats.

De cyberkracht van ons land staat dus net onder die van grootmachten als de Verenigde Staten (nummer 1), China (2), het Verenigd Koninkrijk (3) en Rusland (4). In andere ranglijsten (zoals de Global Cybersecurity Index 2020 van de ITU) scoort Nederland minder hoog, maar zeker niet laag.

De vergaande digitalisering in Nederland heeft ook positieve gevolgen voor ons cybervermogen, stipt Jaarsma aan. Zo zijn de politie en inlichtingendiensten snel meegegaan met digitale ontwikkelingen. AG Connect meldde eerder al hoe Nederland internationaal hoge ogen heeft gegooid, bijvoorbeeld met het terughacken van statelijke actoren, tot aan een bewakingscamera bij Russische aanvallers.

Wetenschap en overheid

Naast overheidskracht werkt ook de kracht van private partijen; voor innovatie en cyberweerbaarheid. Én er is  de kritische aandacht vanuit de wetenschappelijke wereld voor het digitale domein. Het 2015-advies van de WRR (Wetenschappelijke Raad voor het Regeringsbeleid) over de publieke kern van het internet heeft veel teweeggebracht. En daarna heeft de WRR nog wel meer rake rapporten uitgebracht, zoals recent nog over AI.

Cyberdiplomaat Jaarsma wijst naar 2015 als een sleuteljaar. Toen is niet alleen het WRR-advies uitgekomen om internet als speerpunt te behandelen van het Nederlandse buitenlands beleid, inclusief diplomatie. Dit is cruciaal, zo gaf de adviesraad aan, “om de publieke kern van het internet te vrijwaren van oneigenlijke interventies”. Zoals bijvoorbeeld uitschakeling of verstoring van digitaal afhankelijke diensten.

Maar 2015 is ook het jaar waarin de Taskforce Cyber is opgericht binnen het ministerie van Buitenlandse Zaken. Diplomaat Jaarsma werkt intensief samen met die taskforce. En in datzelfde jaar organiseerde Nederland de grote conferentie Global Conference on CyberSpace, waar diverse initiatieven uit zijn voortgekomen. Trends werden gezien en doelen gesteld. “Bijvoorbeeld het ontwikkelen van gedragsnormen voor landen.” Doel daarbij is het beïnvloeden van bepaald gedrag van statelijke actoren. Jaarsma: “Gedrag dat vergaande gevolgen kan hebben voor nationale veiligheid”.

Driesporenbeleid

Het hiervoor geformuleerde beleid heeft drie sporen. Ten eerste is er de ontwikkeling van een normatief kader voor landen. “Afspraken over wat verantwoordelijk statelijk gedrag is.” De Verenigde Naties hebben al formeel bepaald dat het bestaande internationale recht van toepassing is op cyberspace. “Daar bovenop hebben we elf niet-bindende normen toegevoegd.” Deze stellen bijvoorbeeld dat kritieke infrastructuur niet mag worden aangevallen en dat een land zijn grondgebied niet willens en wetens mag laten gebruiken voor het lanceren van cyberaanvallen.

Ten tweede is er de diplomatieke respons, als landen zich niet aan het normatief kader houden. Bewijs voor misdragingen en landen daar op aanspreken, leunt op informatievergaring door onder andere inlichtingendiensten en politie. “Technisch valt veel te bepalen, maar niet alles”, weet Jaarsma. Afhankelijk van de onderbouwing -en de misdraging- kan dan formele reactie worden gegeven. “De diplomatieke respons kan flink uiteenlopen”, van een verzoek tot medewerking tot een formele politieke veroordeling.

Verbale vermaning?

Dat laatste klinkt voor buitenstaanders misschien als een verbale vermaning die weinig uithaalt, maar Jaarsma verzekert dat het wel degelijk gewicht heeft, als een grote groep landen dit doet. Zoals bijvoorbeeld de EU, die een economische en normstellende macht is. Politieke veroordelingen voor cyber(wan)gedrag worden regelmatig uitgesproken, zegt Jaarsma. Voorbeelden zijn Chinese hackgroepen (APT 40, APT31), hackaanvallen op Microsoft Exhange-installaties en recent de Ghostwriter-beïnvloedingscampagne gericht op Duitse verkiezingen. Om maar duidelijk te maken: “Cyberspace is níet het nieuwe Wilde Westen”.

Het derde spoor in het beleid voor cyberveiligheid is het opbouwen van capaciteit, op digitaal gebied. “Staten helpen samen met andere stakeholders andere staten met hun cyberweerbaarheid. Het Global Forum on Cyber Expertise is één van de belangrijkste platformen hiervoor.” Naast internationaal recht krijgen normen en cyberdiplomatie veel aandacht hierbij, zodat meerdere landen samen optrekken voor het gezamenlijke doel van veiligheid. Is die er ook in cyberspace, dan werkt dat door in de fysieke wereld. Niet onbelangrijk neveneffect van dit multilateralisme is dat het niet de grote landen zijn die alles bepalen.

‘Niet naïef zijn’

Natuurlijk zijn er altijd nog wel landen die zich ondanks afspraken en diplomatieke inspanningen, toch niet  gedragen. “Daar moet je niet naïef in zijn.” Bij volharding in misdragingen komt het ultieme middel om de hoek kijken: sancties. Die worden niet tegen landen ingezet, vertelt Jaarsma, maar gerichter: tegen personen of zogeheten entiteiten. Dat zijn bedrijven, overheidsorganen, instellingen of organisaties die achter de geconstateerde misdragingen zitten.

In 2020 is dit diplomatieke paardenmiddel voor het eerst ingezet, naar aanleiding van de WannaCry-malwaregolf. In datzelfde jaar heeft de door Nederland verijdelde Russische hack op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag geleid tot sancties. Deze aanpak komt neer op een inreisverbod voor de EU, het bevriezen van tegoeden, en een verbod op het verstrekken van kapitaal door Europese personen en organisaties aan de gesanctioneerde entiteiten.

Intussen nemen de digitale dreigingen alleen maar toe, dus de vraag rijst: werkt diplomatie wel? “Recent zien we wel bereidheid bij de EU om meer uit de toolbox [van cyberdiplomatie - red.] te halen." Toch lijkt het dat verzoeken, veroordeling en sancties geen effect hebben. Jaarsma erkent dit, maar zegt dat er ook veel voorkomen is. “Alleen al door over normen te práten.” Bovendien is het voor verdergaande cybersecuritystappen wel nodig om overeenstemming over de normen te hebben plus daadkracht in de gezamenlijke handhaving daarvan.

Blijven praten

“We moeten de dialoog aangaan, blijven uitleggen. En aan de andere kant druk uitoefenen.” Dat blijven praten, waar diplomaat Jaarsma op hamert, dient ook als opmaat naar eventuele sancties die kunnen worden opgelegd. “Zodat er dan geen verbazing is, want je bent al tien keer gewaarschuwd.” Dit diplomatieke proces gaat wel jaren duren: “Het is een kwestie van lange adem hebben”.

Cyber zien als biologische wapens?

Cyberdiplomaat Nathalie Jaarsma trekt vanuit haar rijke ervaring (op gebied van onder meer defensie en diplomatie) een vergelijking met zogeheten regimes voor wapenbeheersing. Zo’n raamwerk van internationale afspraken en verdragen geeft grip. Voor nucleaire wapens is het regime gericht op non-proliferatie; het niet verder verspreiden van die enorm krachtige en gevaarlijke wapens. Voor het digitale domein is dat in wezen niet doenbaar. Cyber is te diep verweven met het civiele domein, voegt Jaarsma toe. Daardoor zijn cyberwapens slecht aan banden te leggen. Als dat toch wordt geprobeerd, valt dat slecht te beheersen en te controleren. Bovendien kunnen zulke pogingen tot beperking negatieve neveneffecten hebben die dan ook goedbedoelende landen zelf raken.

Toch is ‘cyber’ niet ongrijpbaar vanuit diplomatiek oogpunt. Cyberdiplomaat Jaarsma trekt de vergelijking met biologische wapens. Daar zijn ook verdragen voor, die er vanuit gaan dat biologie goed is voor de mensheid, vertelt ze. “Bijvoorbeeld virusontwikkeling ten behoeve van vaccins.” Maar tegelijkertijd speelt daarbij de erkenning dat er een keerzijde is, legt ze uit. Biologisch onderzoek kan ook heel gevaarlijk zijn; het kan wapens opleveren. Een dergelijke duale aard heeft informatie- en communicatietechnologie ook. Virologen zijn dus wel wat te vergelijken met 0-day ontdekkers?

Magazine AG Connect

Dit artikel is ook gepubliceerd in het magazine van AG Connect (decembernummer 2021). Wil je alle artikelen uit dit nummer lezen, zie dan hier de inhoudsopgave.

Reactie toevoegen
De inhoud van dit veld is privé en zal niet openbaar worden gemaakt.