Het verschil tussen cyberwar en cybercrime zit ‘m eigenlijk niet in wát er aangevallen wordt, maar door wie. Militair gezien valt er nog een onderscheid te maken tussen cyberoorlog en cyberconflict, zoals brigadegeneraal en militair jurist Paul Ducheine eerder al heeft uitgelegd op de ESET Security Days 2022, waar cyberwarfare het thema was.

Praktisch gezien gaat het vooral om de ‘wie’. Én om ‘waarvoor’, vult Mirko Bülles van securityleverancier Armis aan. Aanvallers kunnen namelijk flink uiteenlopen: van scriptkiddies en hackersgroepen via cybercrimebendes tot digitaal gerichte legereenheden en geheime diensten. Het lastige, vooral bij cyberoorlog, is attributie: wie heeft gehackt en wie is echt verantwoordelijk? Bij dat laatste komt ‘waarvoor’ om de hoek kijken; het doel van de digitale aanvalsdaad.

Want veel cyberaanvallen worden weliswaar uitgevoerd door cybercriminelen, maar die kunnen worden aangestuurd of ingehuurd door statelijke actoren. Ook zijn er landen die hackwerk binnen eigen grenzen aanpakken, maar die aanvallen tegen bepaalde buitenlandse doelen gedogen. Of zelfs legitimeren: Rusland wil cybercriminelen die de natie dienen vrijstelling geven. Strikt gezien gaat het lang niet altijd om statelijke handelingen en cyberoorlog.

Toch bestaat cyberwar wel degelijk en wordt die ook echt gevoerd, zij het door bovengenoemde nuances groter én kleiner dan gedacht. Cyberoorlog is lang geleden al ingezet met het digitale wapen Stuxnet, stelt Bülles. Die sluwe malware is begin deze eeuw speciaal ontwikkeld om de Iraanse productie van verrijkt uranium (voor kernwapens) te saboteren. Analyse door experts en ontledingen door securityonderzoekers hebben de Verenigde Staten en Israël als mogelijke bron aangewezen, hoewel er ook theorieën zijn dat Rusland achter Stuxnet zou zitten.

Recenter dan die in 2010 ontdekte worm zijn er ook internationale cyberoorlogsdaden gepleegd. Zie maar de Russische hackaanval op een satellietnetwerk dat belangrijk is voor de Europese Unie en Oekraïne. En wat te denken van het zeroday-gat in Microsoft Outlook, dat door Oekraïne is ontdekt doordat het al gebruikt werd door Russische aanvallers? Op het cyberslagveld zeg maar.

Het door Rusland ingevallen land is sowieso het toneel van meer digitale oorlogsvoering. Het energienetwerk van Oekraïne is meermaals met hacks onder vuur genomen. Maar net zoals cyberspace zich niet beperkt tot fysieke landsgrenzen zo reikt cyberwar ook ver. Zo heeft de aanval op het Europese satellietnetwerk voor verstoring gezorgd van windmolenparken in Duitsland. Aanvallen dreigen ook voor Nederlandse windmolens en internetkabels, waarschuwt de militaire inlichtingendienst MIVD ons.

Het hacken van energievoorzieningen kan ‘gewoon’ een commercieel crimineel doel dienen. Zoals verstoring of afpersing van energiebedrijven, met het oog op de huidige hoge prijzen die de energiemarkten teisteren. Tegelijkertijd kunnen dit soort hacks een indirect geopolitiek-economisch doel dienen, gezien in het licht van de energietransitie en het Westerse afstappen van Russisch gas.

Groot voordeel van cyberoorlogsvoering is dat er grote schade valt aan te richten met relatief kleine middelen, vertelt Bülles. En dat ook op flinke afstand. Een modern land als Nederland is daar kwetsbaar voor, is de afgelopen jaren al meermaals geconstateerd. Waarschuwingen zijn geuit door de NCTV (Nationaal Coördinator Terrorismebestrijding en Veiligheid), door de OVV (Onderzoeksraad voor Veiligheid), door de CSR (Cyber Security Raad), en nog diverse andere organisaties, instanties en (security)bedrijven.

Toenemende digitalisering, ook van industriële systemen (bijvoorbeeld voor energievoorziening), zorgt voor toenemende kwetsbaarheid. Dit is al geconstateerd ruim vóór het losbarsten van de oorlog in Oekraïne. Inmiddels heeft de Nederlandse overheid diverse initiatieven ontplooid en een officiële strategie voor cybersecurity geformuleerd. Toch is Nederland te traag met de aanpak van ICT-security, heeft de OVV daarna nog de noodklok geluid.

De misvatting die bij veel mensen, bedrijven en organisaties leeft, zo stipt Bülles ook aan, is dat cyberoorlog Nederland niet raakt. Het kabinet heeft die misvatting in ieder geval niet: in de Rijksbegroting 2023 zijn geld en plannen opgenomen om het ministerie van Defensie te digitaliseren met het oog op cyberoorlog.

Maar het fenomeen van digitaal gedreven oorlogsvoering raakt naast ons land en legermacht ook gewone bedrijven, organisaties en burgers. Nederland doet mee door Oekraïne te steunen, dus ben je als Nederlands bedrijf of organisatie inclusief, legt Bülles uit. Toch nemen veel organisaties en mensen de dreiging van cyberoorlog niet serieus: in Nederland zo’n 58%, volgens onderzoek van Armis.

Het valt dan ook aan te raden om aan enige mate van ‘cyberdoom-prepping’ te doen. De grote vraag daarbij is volgens Bülles: hoe ver kun je gaan? Of eigenlijk: hoe ver wil je gaan? Enerzijds spelen daarbij budgetten en inschattingen hoe klein de kans is op een aanval en hoe groot de impact kan zijn. Anderzijds moet er meespelen hoe verstorend een aanval of een neveneffect daarvan kan zijn. Bülles noemt een recente stroomstoring in Duitsland die garagedeuren van brandweerkazernes en portofoons van hulpdiensten heeft geraakt.

Meer bewustwording over cyberoorlog is nodig, maar tegelijkertijd moet er niet aan bangmakerij worden gedaan. Een precaire balans, die bereikt en ook weer bijgesteld moet worden. Daarbij drukken nieuwe ontwikkelingen op de schalen van die balans. Denk aan geopolitieke en diplomatieke ontwikkelingen, maar zeker ook technologische ontwikkelingen zoals de snelle (r)evolutie van kunstmatige intelligentie. AI raakt ook cybersecurity, ten goede en ten kwade. (Wat elders in deze Securityspecial aan bod komt.)