Etnische spanningen in Oilrabië, een van de grotere golfstaten. Twee bevolkingsgroepen staan tegen elkaar op. Burgeroorlog verscheurt de regio. Duizenden doden zijn te betreuren, grote vluchtelingenstromen komen op gang.

De Verenigde Naties besluiten tot ingrijpen, formeren een vredesmacht en vragen Nederland om een bijdrage. De vertrouwelijke bijlage bij de Artikel 100-brief aan de Tweede Kamer windt er geen doekjes om: Oilrabië wenst geen buitenlandse inmenging. Het land beschikt over capaciteit voor cyberoperaties. Toch gaat de Kamer begin januari akkoord.

Twee dagen later, op 5 januari, protesteert de ambassadeur van Oilrabië tegen de voorgenomen Nederlandse vredesmacht. Een DDoS-aanval uit onbekende bron legt op 18 januari de websites rijksoverheid.nl en rijkswaterstaat.nl plat.

Zo’n DDoS-aanval is als een zomerse dag waarop iedereen naar Scheveningen wil. De wegen slibben dicht en uiteindelijk haalt niemand het strand. Digitaal werkt dat –in grote lijnen– net zo: tienduizenden computers proberen tegelijkertijd een website te bezoeken. De servers kunnen al dat verkeer niet aan, en de website gaat op zwart.

Op 21 februari krijgt de Rabobank zo’n aanval voor zijn kiezen. Begin april zien internetbankierende ING-klanten ineens de rekeninggegevens van anderen op hun scherm.

Een week later gaat het compleet mis. Vroeg in de ochtend valt de KPN-switch bij Amsterdam uit. Interlokaal bellen gaat niet meer, pinnen ook niet. Enkele minuten later hetzelfde probleem in Rotterdam. Snel daarna volgen Eindhoven, Den Haag, Zwolle en Utrecht; Nederland kan nu alleen nog lokaal communiceren.

Dan valt de stroom uit in Gelderland en Noord-Holland. Netbeheerder Liander constateert al snel dat de automatische regelsystemen zijn gemanipuleerd. Herstel gaat uren, zo niet dagen duren.

Op luchthaven Schiphol staat de Koninklijke Marechaussee intussen voor een raadsel: een op de vijf binnenkomende Nederlanders blijkt nog een openstaande boete te hebben, zo melden hun computers.

De verbouwereerde marechaussees zitten in hun maag met enkele honderden boze Nederlanders die van niets weten. Rijen groeien, reizigers morren. Bellen of mailen naar het hoofdkwartier gaat niet; de netwerken liggen plat. Later blijken de vliegvelden van Rotterdam en Eindhoven dezelfde problemen te hebben.

Aan het begin van de middag krijgt Ivent, de ict-beheerorganisatie van Defensie, meldingen van uitval van de zogenaamde Haagse Ring, het computernetwerk dat onder meer alle ministeries aan elkaar verbindt. De helpdesks worden overspoeld met bellers: servers en computers reageren niet meer. Een crisisteam van de overheid komt bijeen en stelt vast dat er een gecoördineerde aanval plaatsheeft op overheidssystemen. De AIVD en het Korps landelijke politiediensten worden ingeschakeld. Ook de Militaire Inlichtingen- en Veiligheidsdienst is paraat.

Intussen roept De Nederlandse Bank de crisismanagers van alle grote banken bij elkaar: niet alleen het pinverkeer ligt volledig plat, ook andere betalings- en effectentransacties gaan fout. Rijkswaterstaat krijgt meldingen dat bij diverse tunnels de verkeerslichten om onduidelijke redenen op rood staan, wat leidt tot een verkeerschaos.

De Amerikaanse nieuwszender CNN reageert als eerste en meldt: „Grootscheepse cyberaanval op Nederland.” Nationale media nemen het bericht over. Op sociale netwerken als Twitter en Facebook gonst het van de geruchten.

In de loop van de avond bevestigt het ministerie van Veiligheid en Justitie de berichten in de media: Nederland is het doelwit van een zware cyberaanval. Het kabinet komt bijeen. De verdenking gaat al snel uit naar Oilrabië, maar bewijs ontbreekt.

Voorgaand scenario –slechts het begin van wat kan uitlopen op een omvangrijke crisis– is uiteraard volledig fictief. Maar het zou zo maar realiteit kunnen worden. Dat zegt althans het ministerie van Veiligheid in zijn ”Nationale Risicobeoordeling Bevindingenrapportage 2010”.

Daarin schrijven de rapporteurs: „Het scenario cyberconflict scoort hoog op impact en waarschijnlijkheid. Het scenario is voorstelbaar omdat alle activiteiten beschreven in het scenario technisch kunnen worden uitgevoerd.”

Technisch kan het dus, maar hoe reëel is zo’n aanval? „De vraag is of een ander land op deze manier zijn ongenoegen kenbaar zou willen maken”, zegt Ronald Prins, directeur van Fox-IT, een it-beveiligingsbedrijf dat veel samenwerkt met de Nederlandse overheid. „Het scenario wordt realistischer als zich iets voordoet wat de woede van de burgers van Oilrabië opwekt. Zoiets gebeurde ook in Letland.” (Zie kader rechtsboven.)

De impact van een ”cyber attack” is enorm, meldt de Bevindingenrapportage 2010: „Een aanzienlijk deel van de bevolking ondervindt er direct de gevolgen van. Een aantal vitale sectoren wordt geraakt en er is niet direct zicht op herstel. De onzekerheid bij de bevolking is groot en het vertrouwen in de overheid wordt ernstig geschaad.” Prins beaamt dat. „Tel daarbij op de economische schade als we langer dan een dag niet kunnen pinnen. Om nog maar niet te spreken van het verlies van vertrouwen in onze digitale betaalsystemen.”

Op dit moment is ons land nog onvoldoende voorbereid op een cyberaanval, zegt Eric Luiijf, werkzaam bij TNO en gespecialiseerd in ”cyber warfare” (digitale oorlogsvoering). „Wat ontbreekt is een centraal coördinatiepunt. Oefeningen wijzen uit dat het lang duurt voordat organisaties informatie delen, sterker nog: dat ze geen idee hebben wíé ze moeten informeren. De schaarse kennis binnen de overheid is ook nog eens enorm versnipperd. Media zullen nog eerder de conclusie trekken dat het om een cyberaanval gaat.”

Maar de overheid lijkt zich bewust te zijn van de dreiging. Eind februari lanceerde het kabinet een Nationale Cyber Security Strategie. Daarin werken overheid en bedrijfsleven nauw samen om de weerbaarheid tegen ict-verstoringen en cyberaanvallen te vergroten. En begin deze maand werd duidelijk dat ook Defensie, in weerwil van alle bezuinigingen, fors investeert in cyberoperaties. Geen overbodige luxe: steeds meer landen zien conflicten in cyberspace als de grootste dreiging van de toekomst.

Nederland en cyberdreiging

Dat de dreiging van cyberaanvallen reëel is, blijkt wel uit de defensiebegrotingen van landen zoals de Verenigde Staten en Groot-Brittannië. De Amerikanen investeren in 2011 2,6 miljard euro in hun cyberstrategie, de Britten maken de komende vier jaar ruim 770 miljoen euro vrij.

Ook Nederland investeert, zij het met een bedrag dat een schijntje is vergeleken met bovengenoemde landen. Minister van Defensie Hillen steekt tot 2015 50 miljoen euro in cyberoperaties.

Voor de uitvoering van de Nationale Cyber Security Strategie wordt vanuit het ministerie van Veiligheid en Justitie een Cyber Security Raad opgericht, met vertegenwoordigers van publieke en private partijen. Daarnaast komt er een Nationaal Cyber Security Centrum, een kennis- en expertisecentrum dat ondersteuning moet bieden bij het aanpakken van incidenten. Ook Defensie krijgt een eigen cybercentrum.

De Nederlandse strategie richt zich op dreigings- en risicoanalyses, het versterken van de weerbaarheid tegen ict-verstoringen en cyberaanvallen, het vergroten van de responscapaciteit, intensiveren van opsporing en vervolging en het stimuleren van onderwijs en onderzoek.

Verdedigen kan niet zonder aan te vallen

Je als land verdedigen tegen cyberaanvallen is één ding, offensieve acties zijn van een heel andere orde. Of toch niet? Eric Luiijf van TNO: „Met een louter defensieve houding ben je per definitie te laat in je reacties. Kennis van aanvallen is noodzakelijk, al was het alleen maar om je eigen systemen te kunnen testen.”

Die kennis zou Nederland vervolgens ook offensief kunnen inzetten, bijvoorbeeld bij het verstoren van terroristische acties of een vijandelijke aanval. Luiijf, nauw betrokken bij Nederlandse cyberoefeningen, wil verder niet te veel zeggen over de mogelijkheden van dergelijke offensieve cyberoperaties.

Ronald Prins van Fox-IT somt wel een aantal alternatieven op. „Elektronisch spioneren, het overnemen van botnets (computernetwerken die DDoS-aanvallen uitvoeren) of het installeren van ”sleeper bots”, geïnfecteerde computers of servers. Dat zijn passieve bots die je pas activeert wanneer een vijandelijke mogendheid iets geks doet.”

Officieel richt Nederland zich met zijn nieuwe cyberstrategie vooral op verdediging. Prins: „Ons land is extreem afhankelijk van ict, en dus is onze eigen veiligheid veel belangrijker dan offensieve mogelijkheden. Daarentegen leid je voor de prijs van één JSF-gevechtsvliegtuig wel duizend cybermilitairen op.”

Cyberaanvallen steeds vaker ingezet

Cyberaanvallen doen zich niet louter voor in oefenscenario’s of dreigingsanalyses. Ze zijn realiteit.

Zo werd in 2007 een grote cyberaanval uitgevoerd op Estland. Tal van websites, waaronder die van het Estse parlement, banken, ministeries en kranten, werden platgelegd door middel van een DDoS-aanval. Die kwam nadat –tot grote woede van de Russen– het oorlogsmonument ”De bronzen soldaat” in Tallinn werd verplaatst. Hoewel het nooit is bewezen, gaan analisten ervan uit dat Rusland de boosdoener was.

DDoS-aanvallen zijn verstorend, serieuzer wordt het wanneer computervirussen binnendringen in vitale installaties. Zo wist in september 2010 het Stuxnetvirus de nucleaire ultracentrifugefabriek in Natanz, Iran, binnen te dringen. De computerworm veroorzaakte gedurende maanden ‘onzichtbaar’ mechanische defecten. Stuxnet is zo geavanceerd dat daar wel een land achter moet zitten, denken experts. Sommigen wijzen in de richting van Israël, maar ook hier geldt: geen hard bewijs.

Israël lijkt cyberactiviteiten in elk geval wel in de vingers te hebben en weet die ook te combineren met conventionele acties. Zo schakelde het land in 2007 een vermoedelijke nucleaire installatie in Syrië uit, nadat het eerst met digitale wapens het Syrische luchtverdedigingssysteem had gemanipuleerd.