Oorlog in cyberland: waarom absolute beveiliging een illusie is

Het concept ‘oorlog’ is niet meer wat het geweest is. Vandaag woedt er onbetwistbaar een strijd in cyberland, waarbij grenzen vervagen en private ondernemingen een belangrijke rol spelen. Wat is de impact van oorlog in cyberspace en welke rol is weggelegd voor ondernemingen?

De NAVO heeft ‘cyber’ niet zo lang geleden gebombardeerd tot een volwaardig operationeel domein. Cyber heeft daarbij niet alleen betrekking op de traditionele domeinen van land, zee en lucht, maar wordt bestempeld als een domein op zich. Het is niet vanzelfsprekend voor de NAVO of de lidstaten om alleen het hoofd te bieden aan de nieuwe uitdagingen.

“Samenwerkingen met beveiligingsprofessionals uit de private sector zijn kritiek”, vertelt Jack Koons aan Techzine. Hij is vandaag werkzaam als Chief Cybersecurity Strategist bij Unisys, nadat hij in een vorig leven voor het Amerikaanse leger offensieve cyberacties uitvoerde. “Dergelijke samenwerkingen moeten ervoor zorgen dat de verdragsorganisatie bedreigingen en opportuniteiten volledig begrijpt en waar mogelijk omarmt”, denkt Koons.

Wat is oorlog?

Een eerste belangrijke vraag dring zich op: wat betekent ‘in oorlog zijn’ vandaag precies? Koons: “Doorheen de geschiedenis hebben naties een duidelijk (en kostelijk) antwoord ontwikkeld op die vraag. Internationaal vastgestelde grenzen oversteken met een militaire macht via lucht, land of zee is bijvoorbeeld een erg duidelijk voorbeeld van een oorlogsdaad. Spionnen over diezelfde grens sturen om informatie te vergaren, of straaljagers vlak langs de grens laten vliegen om de respons aan de overzijde te documenteren, worden dan weer unaniem niet als oorlogsdaad bestempeld. Diplomatieke en sociale normen regelen dit minder zichtbare aspect van statelijkheid en conflict. Dergelijke acties worden gezien als acceptabele en normale offensieve en defensieve operaties, zelfs als ze onder de noemer spionage vallen.”

 

Elkaar fysiek bespieden is een actie waarover consensus bestaat dat het geen daad van oorlog is.

Al bij al bestaat er een consensus over wat het betekent om op een traditionele manier ‘in oorlog’ te zijn. Wanneer ‘agenten’ en hardware plots transformeren naar bits en bytes, gaat die eensgezindheid de deur uit. Daarin schuilt de nieuwe realiteit, en daar moeten ook bedrijven rekening mee houden.

Koons weet waarover hij spreekt. Bij het Amerikaanse leger was zijn team in 2015 verantwoordelijk voor het gros van de eerste publiek erkende offensieve cyberoperatie (de ‘Counter-ISIL’-strijd in cyberspace), en hij neemt zelf al jaren deel aan de bredere conversatie over ‘full spectrum cyberspace operations’ binnen de Amerikaanse overheid.

Oorlog in cyberspace

Een eerste probleem is volgens de ex-militair dat er in cyberspace geen duidelijk afgebakende grenzen meer bestaan. “Zelfs een eenvoudige e-mail tussen twee collega’s nauwelijks enkele dorpen van elkaar verwijderd kan al snel een dozijn internationale grenzen oversteken wanneer je kijkt naar het traject dat de mail aflegt over de fysieke internetinfrastructuur”, verduidelijkt hij.

Er zijn geen lijnen, grenzen of regels. Informatie vergaren is zoals gezegd geen oorlogsdaad, aangezien het doorgaans niet om een daad gaat die schade berokkent aan het doelwit. Wat met het equivalent in cyberspace? Is het aanvaardbaar om netwerkbeveiliging te kraken om data te verzamelen, of om de respons van de tegenpartij in kaart te brengen? Of is een dergelijke inbraak wel een reden om ten oorlog te trekken?

 

In cyberspace zijn er geen lijnen, grenzen of regels.

 

En wat met een DDoS-aanval zoals die op de IT-infrastructuur van Estland in 2007? De aanval dwong het land op de knieën. Estland, dat toen al een extreem verbonden land was met een sterke afhankelijkheid van zijn internetinfrastructuur, sprak in ieder geval van een oorlogsdaad. Rusland van zijn kant, vond van niet.

“Het onderscheid is belangrijk: een oorlogsdaad tegen een NAVO-lidstaat activeert in principe artikel 5 van het NAVO-verdrag, wat concreet inhoudt dat alle lidstaten ten oorlog moeten trekken tegen de aanvaller, niet enkel in cyberspace maar met het totale land, zee en lucht-arsenaal”, vertelt Koons. “Welk land is echter bereid om soldaten naar hun dood te zenden als antwoord op een DDoS-aanval? En wat is de definitie van een passend ‘antwoord’ in cyberland? Er moet nog heel wat besproken en beslist worden.”

Het wilde westen

Terwijl de NAVO volop zoekt naar een antwoord op bovenstaande moeilijke vragen, proberen landen over de hele wereld vast te stellen waar de limiet ligt voor cyberoperaties. Rusland gebruikt intussen cyberspace om verkiezingen te beïnvloeden, Noord-Korea lijkt actief in cyberland, en criminelen profiteren volop van het wilde westen dat cyber vandaag is.

Onvermijdelijke lekken van geavanceerde cyberwapens, ontwikkeld door rijke overheidsdiensten, zorgen ervoor dat die criminelen gevaarlijke tools in handen krijgen waarvan ze het volledige potentieel niet begrijpen. Denk aan WannaCry en NotPetya, die allebei een wereldwijde impact hadden met dank aan de gelekte EternalBlue-kwetsbaarheid van de NSA.

Er zijn wel enkele zekerheden, weet Koons. Terwijl NAVO-lidstaten naarstig werken aan een definitie van oorlog in cyberspace waar iedereen zich in kan vinden, zullen offensieve cyberoperaties blijven voortduren. Tezelfdertijd zullen criminelen hun best doen om een centje bij te verdienen gebruik makend van gelekte cyberwapens. Daar schuilt een groot gevaar. “In onze samenleving vandaag is kritieke infrastructuur erg kwetsbaar voor cyberaanvallen. Communicatie binnen een land lamleggen met een digitale aanval is als optie veel interessanter dan het alternatief, waarbij jachtvliegtuigen afweergeschut moeten trotseren om hetzelfde doel te bereiken met bommen.”

 

Kritieke infrastructuur zoals de elektriciteitsvoorziening wordt vandaag uitgebaat door privé-bedrijven, die desalniettemin het doelwit kunnen zijn van een buitenlandse cyberaanval.

Landen en bedrijven raken bovendien steeds meer met elkaar verweven. “Dat alles houdt in dat het hoog tijd is om te beslissen welke infrastructuur écht kritiek is”, vindt de cyberexpert. Denk aan kerncentrales, waterzuiveringsinstallaties, communicatie-infrastructuur… Sommige landen zoals de VS hebben al veel tijd en geld geïnvesteerd op zoek naar een antwoord op die vraag. Wie één keer de oefening maakt, kan helaas niet op zijn lauweren rusten. “Het antwoord is dynamisch en elastisch, en verandert bijna dagelijks.”

Veerkracht boven bescherming

Koons is ervan overtuigd dat het een onrealistische ambitie is om de cyberinfrastructuur voor 100 procent te beschermen. “De kritieke infrastructuur moet eerder ook veerkrachtig gemaakt worden. De infrastructuur zal gepord en aangevallen worden, zowel door staten als door criminelen. In de fysieke wereld kan je de vijand niet beletten om te spioneren, je land binnen te dringen en schade te berokkenen. Bescherming is niet de kern van de zaak, maar veerkracht. Schakelt de vijand een stroomcentrale uit? Vervelend, maar dat mag niet voor een black-out zorgen. Bescherming is geen binair probleem. Net zoals ons lichaam evolueerde om om te gaan met bedreigingen uit de omgeving en te overleven in geval van ziekte, moet digitale bescherming rekening houden met succesvolle aanvallen.”


Lees dit: Cybersecurity in Europa: hoe de EU een internationale security-aanpak uitbouwt


We moeten volgens Koons dan ook komaf maken met de illusie van de perfecte bescherming. “Cyberaanvallen zullen nooit meer verdwijnen en daarom moet kritieke infrastructuur bovenal veerkrachtig zijn. Het cyberlandschap zal er eerder gewelddadiger dan vrediger op worden. Het is aan individuele landen en organisaties om ervoor te zorgen dat een succesvolle aanval nooit zo succesvol is dat de hele infrastructuur neergaat. De enige manier om een dergelijke veerkracht te implementeren, is door een verregaande samenwerking tussen alle betrokkenen. Precies daarom werkt de NAVO nauw samen met partners uit de private sector voor de ontwikkeling van haar cyberstrategie.”

Irrelevant onderscheid

Om die reden vindt Koons de discussie over cyber en oorlog geweldig interessant maar uiteindelijk irrelevant, tenminste vanuit een beveiligingsoogpunt. “We leven momenteel in het digitale wilde westen, en zelfs als dat niet zo zou zijn, dan zouden er nog steeds cyberaanvallen gebeuren in de marge, als onderdeel van getolereerde defensieve operaties. We moeten meer focussen op de ontwikkeling van veerkrachtige netwerken en systemen, in de plaats van iedere hack af te doen als een oorlogsdaad. Dat is des te belangrijker aangezien er momenteel geen schaalbare en gepaste respons bestaat op dergelijke aanvallen.”

 

“We moeten focussen op de ontwikkeling van veerkrachtige netwerken en systemen.”

 

Die realiteit geldt ook voor organisaties. Natuurlijk is een goede cyberbescherming essentieel, maar je kan er niet vanuit gaan dat jouw onderneming nooit het slachtoffer zal zijn van een hacker. Zeker met bovenvermelde NSA-tools in misdadige handen wordt het onmogelijk om een waterdichte bescherming te garanderen. Detectie en veerkracht zijn opnieuw essentieel: wordt je bedrijf gehackt: zorg er dan voor dat het daardoor niet op de knieën gaat.

“Of een cyberaanval nu een oorlogsdaad is of niet, we moeten leren er mee om te gaan”, besluit Koons. “Definieer daarom je kritieke infrastructuur, zoek naar kwetsbaarheden, breng risico’s in kaart en rol een bescherming uit die zo goed als mogelijk is, maar zorg er vooral voor dat je hele organisatie niet doodgaat wanneer die onvermijdelijke succesvolle hack dan toch plaatsvindt.”