Terwijl de wereld zich afvraagt hoe hij de nucleaire ambities van Iran kan temperen, ontketenen de Verenigde Staten en Israël in het diepste geheim een geavanceerde digitale aanval op een Iraanse verrijkingscentrale. De Stuxnetworm dringt de fabriek in Natanz binnen en saboteert een groot aantal uranium­centrifuges.

Sinds de actie in de zomer van 2010 aan het licht kwam, weten we: cyberoorlog is geen fictie. Een oorlog zonder bommenwerpers en kruisraketten, maar met computervirussen en kwaadaardige software.

In zijn boek ”Cyberoorlog. Slagveld internet”, dat onlangs verscheen, somt dr. Benschop tal van meer of minder bekende cyberconflicten op. De wapen­wedloop in het digitale domein neemt ongekende vormen aan, maar van een koude oorlog is al lang geen sprake meer.

Waar een cyberoorlog toe kan leiden, beschrijft Benschop in het laatste hoofdstuk. In een angstaanjagend scenario schetst hij de totale ontwrichting van ons land na een serie cyberaanvallen door een vijandige staat.

Zaait u geen onnodige paniek?

„Mijn scenario is fictief, maar is opgebouwd uit elementen die in werkelijkheid –afzonderlijk van elkaar– zijn uitgevoerd. Ik heb ze naast elkaar gezet, en dan krijg je een complete cyberoorlog.

Ik beschrijf een militaire aanval, geen terroristische. Met andere woorden, het kan nóg erger. Cyber­terroristen kunnen in theorie via internet drink­water vergiftigen, de productie van babyvoeding manipuleren of de kerncentrale van Borssele saboteren.

Zo’n scenario laat zien waar een optelsom van kwetsbaarheden toe kan leiden bij een internationaal conflict. Met relatief weinig middelen, zónder dure JSF’s en grote hoeveelheden militairen, is het haalbaar om een land volledig lam te leggen.

Een scenario heeft dus wetenschappelijk nut: het geeft een inschatting van de risico’s en leert ons hoe we die kunnen verminderen. Dat kan onder meer door een adequate cyberdefensie.”

U schetst vele dreigingen, maar waarschuwt tegelijk voor een ”cyberindustrieel complex”. Wat bedoelt u daarmee?

„Dat we moeten oppassen voor overreactie. Beveiligingsbedrijven en militaire aannemers zijn altijd op zoek naar nieuwe inkomstenstromen. Doemscenario’s brengen het risico mee van oplossingen die alleen voordelig zijn voor dit soort partijen. Dat benoem ik ook. Tegelijkertijd is er wel serieus iets aan de hand.

Nederland heeft ooit een Israëlische veiligheidsexpert ingeschakeld, iemand met heel veel ervaring op dit gebied. Die man begon te lachen toen hij zag hoe er in Nederland met digitale veiligheid wordt omgesprongen.

In het najaar van 2012 werden duizenden Nederlandse bedrijven en overheidsinstellingen getroffen door een cyberaanval. Het Nationaal Cyber Security Centrum nam de waarschuwingen aanvankelijk niet serieus. Het probleem werd gebagatelliseerd. Minister Opstelten wist niet eens dat er op zijn eigen ministerie was ingebroken.”

U pleit voor meer slagkracht bij opsporingsdiensten en Defensie. Toch zit juist hier uw grootste zorg.

„Opsporings- en inlichtingendiensten hebben effectieve middelen nodig. In Nederland is de pakkans ontzettend laag. Cybercriminelen opereren daarom graag vanuit of via ons land. Je moet dus het vermogen hebben om terug te slaan. Dat brengt wel risico’s mee. Al snel treed je in de soevereiniteit van andere landen.

Wat ik veel verontrustender vind, is dat er over de te nemen maatregelen nauwelijks politieke discussie plaatsvindt. Defensie werkt aan een cybercommando, dat ook offensieve bevoegdheden krijgt. Maar op cruciale vragen hebben we geen antwoord: Welke aanvalswapens ontwikkelen ze? Wanneer mogen deze worden ingezet? Wanneer is er sprake van een oorlogshandeling?

We hebben straks dus een cyberleger dat opereert zónder mandaat voor aanvallen en zónder gevechtsregels… Er worden processen in gang gezet waarbij eigenlijk niemand weet wat er gebeurt. Ik heb heus vertrouwen in Defensie, maar in oorlogssituaties kunnen we dergelijke beslissingen niet aan het leger overlaten.

Opsporingsdiensten in Duitsland gebruiken FinFisher. Dat is software die niet alleen afluistert, maar ook in staat is de volledige controle over systemen over te nemen. Dat programma wordt ook gebruikt door autoritaire regimes.

Hoe zit dat in Nederland? Daar hoor je minister Opstelten niet over. We hebben dus geen flauw benul van de penetratiekracht van de Nederlandse overheid. Er zijn politiek ook geen voorwaarden gesteld.

Kijk, in een fysieke oorlog gebruiken we geen mosterdgas of fragmentatiebommen. Maar we weten niets over de wapens in cyberconflicten. Er wordt vaak laconiek over gedaan. Er vallen geen doden, zegt men dan. Maar dat neemt niet weg dat je moet weten welke capaciteiten Nederland inzet.

Militaire conflicten vechten we in de toekomst voornamelijk uit in cyberspace. De klassieke definitie van geweld geldt daar niet. Het gaat over wapens als Stuxnet. Maar die kunnen gemakkelijk ontsporen en meer schade aanbrengen dan bedoeld.

Het parlement zou een raamwerk moeten geven met duidelijke definities: wanneer is een aanval gerechtvaardigd? Het reguliere oorlogsrecht voorziet niet of onvoldoende in cybersituaties.”

Waarom schrijft een socioloog een boek over cyberoorlog?

„Internet heeft schaduwkanten. Wij moeten leren daarmee om te gaan. Als socioloog vind ik het fascinerend om die duistere kanten te zien en te bestuderen. Dat deed ik eerder met kinderporno en jihadisme, nu met cyberdreiging.

Met mijn boek wil ik een overzicht geven van de bedreigingen op dit gebied. Ik heb geprobeerd de nuance te zoeken tussen onderschatting en overreactie.

De centrale vraag is wat mij betreft: wat is de ethiek en de moraal waarmee we cyberdreigingen te lijf gaan? Nogmaals: we kunnen dat niet overlaten aan Defensie of beveiligingsbedrijven. Het raakt immers de fundamentele ethische principes van oorlog en vrede, veiligheid en vrijheid.”

Boekgegevens

Cyberoorlog. Slagveld internet, dr. Albert Benschop; uitg. De Wereld, Tilburg, 2013; ISBN 978 90 79051 069; 332 blz.; € 17,95.