Hoe kleine landen zich verweren in cyberspace

Bij zowel de Europese Unie als de NAVO gingen de alarmbellen af, wat leidde tot allerlei initiatieven die de weerbaarheid van lidstaten moeten verhogen. Iets waar kleinere landen aan de oostflank zich erg sterk voor maken. Litouwen heeft te maken heeft met jaarlijks 4.000 gemelde incidenten. Oftewel: meer dan honderd per dag. “Vervolgens rijst de vraag wat je moet doen tegen aanvallen waar een land op nationaal niveau niet genoeg middelen tegen heeft”, zegt de Litouwse viceminister Margiris Abukevicius van defensie tegen AG Connect. “Voor grote landen is het iets simpeler. Zij hebben zelf de middelen en mankracht om zich ertegen te wapenen. Maar waar halen wij bijvoorbeeld hulp vandaan? Moeten we dat bilateraal doen? In NAVO-verband? De EU?” Idealiter zou cyberdefensie volgens hem geheel op EU-niveau worden geregeld. Maar dat zou betekenen dat het mandaat van ENISA, het Europees Agentschap voor Cyber Security, moet worden uitgebreid in het Verdrag van Lissabon. “ENISA heeft geen operationele arm, maar onder EU-landen is er nog te weinig animo om het mandaat van ENISA uit te breiden. Daarom is dit initiatief binnen PESCO genomen.”

PESCO is een verzameling militaire samenwerkingsprojecten. Een daarvan heeft als doel het opzetten van snelle reactieteams bij cyberincidenten, afgekort CRRT’s, en wederzijdse bijstand op het gebied van cyberbeveiliging. Het concept, dat in 2018 officieel van start is gegaan, is dat bij een groot incident de instantie verantwoordelijk voor de coördinatie van cyberdefensie in ieder land (meestal het hoofd van de nationale Computer Emergency Response Teams, CERT) contact kan opnemen met een CRRT. Dat is een gezamenlijk team van beslissers die de coördineren hoe moet worden gereageerd. “Zie het als een soort 112 voor cyberaanvallen”, zegt PESCO-projectmanager Tadas Sakunas. “Niet ieder land kan zich een eigen reactieteam veroorloven. Daarom moet je middelen kunnen delen. Het ene land kan forensische analisten hebben, of malware-analisten, maar weer op een ander gebied minder kennis in huis hebben.” De synergie die ontstaat, leidt tot een snel oproepbare eenheid van vertegenwoordigers uit meerdere landen, zo is de bedoeling. “Een CRRT bestaat uit minstens acht of negen mensen, maar kan ook uit 12 mensen bestaan, met enorme teams die daaronder zitten.” Die coördinatie gaat veel verder dan het technisch afstoppen van een aanval. Ook de politieke besluitvorming en de communicatie spelen hier een grote rol.

Pas op het einde kregen ze te horen dat het een oefening was.

Sakunas illustreert het met een multinationale oefening die in mei is afgerond, waarin een aanval op de Nederlandse ambassade in Warschau werd gesimuleerd. “Het begint bij de activatie van de teams, gevolgd door besluitvorming binnen de veiligheidsraad”, legt hij uit. Die raad bestaat uit het hoofd van de gezamenlijke CERT, viceministers of staatssecretarissen en andere betrokken leidinggevenden. “Vervolgens moet je die mensen bij elkaar brengen. Uiteindelijk kwamen we op 24 uur voor de besluitvorming, 72 uur voor het logistieke deel, en twee dagen voor de reactie zelf. Pas op het einde kregen ze te horen dat het een oefening was.” Aan zulke oefeningen gaan maanden aan voorbereiding vooraf, met virtuele klonen van echte servers en spearphishing bij echte leidinggevenden, niet alleen per mail maar ook per telefoon.

Nederland is een belangrijk onderdeel van het door Litouwen gecoördineerde project, waar ook Estland, Kroatië, Polen en Roemenië aan deelnemen. “Nederland was in 2019 de eerste voorzitter”, zegt Sakunas' collega Egle Vasiliauskaite. “Vorig jaar was het Litouwen en dit jaar is het Polen.” Daarnaast levert Nederland het volledige spectrum aan middelen aan het project. “Mensen, technische middelen en operationele capabiliteit, eigenlijk alles”, zegt Sakunas.

Ieder land heeft zijn eigen reden om mee te doen

Achter het feit dat de samenwerking naast Nederland louter bestaat uit voormalige communistische landen, moet volgens de twee niet te veel worden gezocht. “Ieder land heeft zijn eigen redenen om wel of niet mee te doen”, legt Sakunas uit. “In het begin, in 2017, waren ook landen als Frankrijk, Italië en Spanje van de partij, die alle drie betrokken blijven als observator.” Frankrijk bleek meer geïnteresseerd om cyberdefensie aan te vliegen via private partijen, Spanje miste de benodigde capaciteit om deel te nemen, en bij Italië speelde interne politiek een rol, zo somt hij op. “De urgentie zal voor sommige landen wel een rol spelen. Onze nabijheid met Rusland speelt een rol, en Nederland heeft er ook direct mee te maken gehad”, verwijzend naar het neerhalen van vlucht MH17 in Oekraïne met een raket van Russische makelij.

Ondanks dat de Europese samenwerking op het gebied van cyberdefensie nog niet is wat viceminister Abukevicius uiteindelijk wil, biedt de Europese Unie op dit punt grote voordelen. “We krijgen financiële steun vanuit de Europese Commissie, en je hebt een raamwerk voor informatie-uitwisseling”, zegt hij. Bovendien helpt EU-lidmaatschap volgens PESCO-projectmanager Vasiliauskaite bij het stroomlijnen van de samenwerking. Alle landen hebben immers hun wetgeving min of meer in lijn gebracht met wat op Europees niveau is afgesproken. “Je begint met een declaration of intent, waarin je de doelen vaststelt”, legt ze uit. “Daarna kom je tot een memorandum of understanding waarin je de verantwoordelijkheden verdeelt en de voorwaarden duidelijk omlijnt met governance.” Het vaststellen van de doelen is nog het moeilijkst. De uitvoering ligt juridisch een stuk eenvoudiger omdat iedereen zich al grotendeels aan dezelfde spelregels houdt. “De verschillen zitten hem hoe het allemaal intern wordt geregeld, en dat blijft ieder land voor zichzelf bepalen. Ze kunnen deze vorm van cyberbeveiliging bijvoorbeeld volledig overlaten aan hun militaire organisaties, maar veel vaker zijn ook civiele en private instanties betrokken.”

Mensenlevens in gevaar

Die brede aanpak is volgens de twee beleidsanalisten cruciaal. “Je hebt het over mensenlevens”, zegt Sakunas. “Je zag het tijdens de pandemie, waarin ziekenhuizen werden aangevallen door hackers. Een stroomstoring daar, tegelijk met een aanval op de noodstroomvoorzieningen, zorgt voor slachtoffers.” Volgens Abukevicius moeten we ons ook geen illusies maken over de rol van bepaalde landen, Rusland voorop, maar ook China roert zich. “Een cyberincident is uiteindelijk een cyberincident, en daar moet je ongeacht de bron op reageren”, zegt hij. “Maar staten hebben meer middelen en andere motieven.” Bovendien zijn ze zo goed als straffeloos: door een aanval niet zelf direct uit te voeren, maar samen te werken met criminele organisaties, kunnen ze zich verschuilen achter wat in de internationale politiek ‘plausibele ontkenning’ wordt genoemd. Vooral Rusland is hier zeer bedreven in. “De verdediging die we nu hebben, is een tussenvorm tussen bilateraal en Europese samenwerking”, zegt hij. “Maar dit is niet het einde. Nu zijn we met zijn zessen, maar we kunnen altijd uitbreiden.”