Cyberoorlog, groter én kleiner dan gedacht

Eind 2018 verklaarde toenmalig Defensie-minister Ank Bijleveld al dat we in cyberoorlog zijn met Rusland. "Men probeert op allerlei manieren ook in ons normale dagelijks leven, in onze democratie invloed te hebben", zei de bewindsvrouw toen. "We moeten af van de naïviteit op dat terrein." Dat laatste was volgens haar een belangrijke reden om publiekelijk te onthullen dat Russische spionnen een hackaanval hebben ingezet op de Organisatie voor het Verbod op Chemische Wapens (OPCW) in Den Haag. Defensie heeft deze digitale inbraak weten te voorkomen, maar dit is lang niet de enige cyberoorlogsdaad waar Rusland op wordt aangekeken.

Het heeft echter tot een echte, traditionele oorlog moeten komen voordat iedereen zag dat cyberoorlog geen sciencefiction meer is. Het is realiteit geworden. Je kunt tegenwoordig niet leven zonder digitale component, dus is er ook geen oorlog zonder digitale component. Deze nuchtere uitspraak is afkomstig van brigadegeneraal en militair jurist Paul Ducheine. De hoogleraar Cyber Operations aan de Nederlandse Defensie Academie en bijzonder hoogleraar Military Law of Cyber Operations & Cyber Security aan de Universiteit van Amsterdam was één van de aanwezigen op de ESET Security Days 2022, waar cyberwarfare het thema was.

Wapenwedloop

Het plegen van cyberaanvallen is al langere tijd een activiteit die niet alleen aan cybercriminelen wordt toegeschreven. Ook overheden van landen, zogeheten statelijke actoren, kunnen zich schuldig maken aan schendingen van cybersecurity bij bedrijven, organisaties en overheidsinstanties wereldwijd. Zulke aanvallen worden vaak indirect uitgevoerd; door derden dit te laten doen.

Soms is daarbij ook sprake van een gedoogbeleid. Bekend is het feit dat bepaalde gevallen van ransomware niet actief worden op een systeem als de taal van Windows ingesteld staat op Russisch. Of Oekraïens. Veel internationaal beruchte cybercrimebendes doen hun werk vanuit landen als Rusland, Oekraïne en China. Het installeren van een extra toetsenbordtaal in Windows kan dan een rudimentaire vorm van bescherming bieden.

Daarmee is cybersecurity natuurlijk niet op orde, ook gezien de wapenwedloop in de ontwikkeling van kwaadaardige software en de professionalisering van cybercrime. Plus de opkomst van cyberwarfare. Security-experts en -leveranciers slaan dan ook alarm over de relatief slechte staat van cybersecurity (waarbij Nederland traag is en zelfs achterloopt op andere West-Europese landen). De dreiging van cyberoorlog vormt volgens sommigen dan een overtreffende trap, waarbij wordt gewezen op toenemende geopolitieke spanningen.

Wel/niet/wel

Vooralsnog is het beeld echter dubbel. Enerzijds is er in de praktijk allang digitale oorlog, maar niemand die het ziet, zoals Volkskrant-journalist Huib Modderkolk schreef in zijn boek van eind 2019. Anderzijds is er geen massaal uitgebroken, openlijk verklaarde cyberoorlog gaande. Maar toch is er in Oekraïne sprake van cyberwar, waar de overheid van dat aangevallen land het druk mee heeft om aanvallen af te slaan. Daarbij geholpen door securityleveranciers en techreuzen wereldwijd.

Aanvaller Rusland heeft eerder al vele malen met digitale middelen doelwitten in Oekraïne op de korrel genomen. Berucht zijn Petya, NotPetya, Black Energy en de Industroyer-malware die in 2015 voor het eerst is ingezet. Laatstgenoemde is een flexibel framework ontwikkeld voor het hacken van industriële systemen, zoals apparatuur voor elektriciteitsnetten. Aanvallen daarop hebben niet alleen ernstige gevolgen voor bedrijven en burgers, maar bezorgen ook het leger problemen.

“Geen elektriciteit betekent geen communicatie”, legt cybersecuritytopman Victor Zhora van de Oekraïense overheid uit op de ESET Security Days 2022. Zijn deelname via live-videoverbinding vanuit Oekraïne was de avond vóór dat securitycongres nog onzeker, vanwege een grote black-out in het land. Zhora heeft afgelopen zomer op securityconferentie Black Hat meegepresenteerd over Industroyer2. Die nieuwere variant is op maat gemaakt voor specifieke doelsystemen, blijkt uit analyses door securitybedrijven als ESET en Mandiant.

Cyberweerbaarheid

De afgelopen jaren is er in Oekraïne veel werk verricht voor cyberweerbaarheid. “Dat helpt nu”, aldus Zhora. Daarvoor zijn ook internationale samenwerkingsverbanden opgezet, vertelt hij. Naast overheden ook juist met bedrijven waarbij laatstgenoemde natuurlijk veel ICT omvat; hardware- en softwareleverancier, consultancy’s en threat intelligence-firma’s.

Zo heeft ESET, oorspronkelijk afkomstig uit Slowakije (dat grenst aan Oekraïne), uitgebreid onderzoek gedaan naar hackpogingen die zijn ondernomen op het Oekraïense stroomnetwerk. Soms met succes, soms niet. In het geval van de aanvallen afgelopen lente zijn die toen mislukt. Waarna het Russische leger is overgegaan op het beschieten van de infrastructuur. Dus een traditionele aanval nadat cyberwar niet het beoogde doel heeft behaald.

Het opvoeren eind vorig jaar van fysieke (zogeheten kinetische) aanvallen op de stroominfrastructuur is volgens ESET-onderzoeker Robert Lipovský dan ook een teken dat de cyberafweer succesvol is. Hij wijst op uitgevoerde cyberaanvallen van de afgelopen jaren, Black Energy en Industroyer in 2018 en begin 2022, waarbij er volgens hem telkens minder impact was. Op het strijdveld zijn er echter zóveel cyberaanvallen dat die lang niet allemaal het nieuws halen. Lipovský noemt het bijzonder dat Oekraïne zich toch staande houdt.

Dan toch maar kinetisch?

Sommige experts, zoals honorair consul van Oekraïne Karel Burger Dirven, zien de raketaanvallen op stroominfrastructuur als een wanhoopsdaad. “Militair gaat Rusland niet winnen”, zei hij op het ESET-congres. Daarbij bestempelt hij die beschietingen en van stroom afsnijden van Oekraïense burgers ook als een propagandamiddel naar de Russische bevolking toe.

Brigadegeneraal en hoogleraar Ducheine ziet deze fysieke aanvallen op infrastructuur echter niet als een wanhoopsdaad, maar als doelbewuste actie. De strijd woedt namelijk op diverse fronten, legt hij uit. Daarbij zijn (des)informatie, economische sancties en dreigen met het staken van gasleveringen voorbeelden van die verschillende fronten. En daar horen aanvallen op stroominfrastructuur maar ook cyberwar bij.

Cyber is slechts een aspect

“Rusland bekijkt het conflict in z’n geheel”, met aspecten als: economie, energie, politiek, diplomatiek, militair, en informatie. “Het Westen kijkt teveel gescheiden”, oordeelt Ducheine. Hij maakt zelf echter nog wel een belangrijk onderscheid: tussen digitale oorlog en digitaal conflict. Laatstgenoemde is veel breder en omvat ook hacktivisten en vrijwilligers, de Oekraïense IT Army, cybercriminele groepen, desinformatiecampagnes en meer.

Digitale oorlogsvoering is veel nauwer gedefinieerd, door de strijdkrachten, aldus de militair expert. Cyberoorlog wordt dan ook weinig gezien, vertelt Ducheine. Deels omdat het niet succesvol is, deels omdat het niet aan de grote klok wordt gehangen. Ondertussen komen digitale conflicten veel vaker voor, met ook ‘zachte acties’ zoals online-beïnvloedingscampagnes. Oekraïene zelf benut digitale middelen daarvoor ook: met bijvoorbeeld iets simpels als memes.

Hard versus zacht

‘Harde cyberoorlog’ is dus relatief zeldzaam en maakt deel uit van reguliere oorlogsvoering. Waarbij cyberaanvallen ook worden ‘afgelost’ door traditionele beschietingen wanneer dat effectiever kan zijn. Leidend is het behalen van de gestelde militaire doelen. Als het platleggen van elektriciteitscentrales makkelijker kan met raketten dan met hacks, dan is dat de aanpak die Rusland kiest. Digitale of fysieke wapens zijn slechts middelen. Cyberoorlog is dus kleiner dan gedacht.

Daarentegen blijkt ‘zachte cyberoorlog’ (militair/juridisch gezien dus eigenlijk een digitaal conflict) juist vaker voor te komen en veel breder te zijn dan gedacht. Ook de impact kan veel groter en breder zijn. De afhankelijkheid die Westerse landen hebben van digitale middelen geeft Rusland aangrijpingspunten, legt Ducheine uit.

Moderne oorlogen worden deels via ‘proxy’ gevoerd, waarbij die term ook kan slaan op energieleveringen, vluchtelingenstromen en andere aangrijpingspunten voor de aanvallende partij. Cyberoorlog is dus slechts een middel, een wapen in het brede arsenaal en geen op zichzelf staand fenomeen.