Naast land, water, lucht en ruimte heeft Defensie er een vijfde domein bij: het cyberdomein. Alles wat in Nederland aan internet hangt en op de een of andere manier van invloed kan zijn op onze nationale veiligheid, wordt nu ook daadkrachtig verdedigd.

Dat is natuurlijk mooi. Maar wat blijkt, onze militairen doen niet alleen ‘defensieve cyber’, maar ook ‘offensieve cyber’, oftewel ze gebruiken internet om anderen aan te vallen. Hoe dat in zijn werk gaat, is uiteraard zeer ingewikkeld en gevoelig, dus daar spreekt men liefst over in metaforen.

Tijdens een congres zag ik bijvoorbeeld iemand van de landmacht uitleggen hoe ze hun ‘cyberwapen afvuurden’ op een helikopter om die neer te halen. Bij navraag bleek het te gaan om een berichtje naar de smartphone van de helikopterpiloot, met daarin malware om de communicatie af te tappen of te verstoren.

Malware is in de regel besmettelijk en moeilijk onder controle te houden, dus vraag ik hoe ze voorkomen dat de besmetting naar consumenten overloopt. Het kan toch niet zo zijn dat Nederlandse Defensie bewust digitale kwetsbaarheden verspreidt?

Het kan toch niet zo zijn dat de Nederlandse Defensie bewust digitale kwetsbaarheden verspreidt?

Later uitte ik mijn zorgen bij iemand die bij de MIVD had gewerkt. Hij kwam ook met een metafoor: ‘Het gaat erom spierballen te tonen op het schoolplein, want anders doe je niet mee. Wij in Nederland zijn goed vertegenwoordigd in het cyberdomein, dus wij kunnen meepraten met de grote jongens.’

Oké, we gaan dus zero-days (onbekende kwetsbaarheden) opsparen en ruilen met elkaar zonder ze op te lossen? Ja, dat schijnen veel landen al te doen. Fraai.

Cyberwapens zijn niet te vergelijken met vuur- of spierkracht. Je weet namelijk niet waar de aanval vandaan komt of waar die naartoe gaat, wat een oorlog onbeheersbaar maakt en waardoor er veel onschuldige slachtoffers vallen.

Neem Stuxnet, de worm die een Iraanse kerncentrale op hol liet slaan. Daarvan wordt beweerd dat het een Amerikaans-Israëlisch brouwsel is, maar het is onmogelijk te bewijzen, wat een eerlijk proces onmogelijk maakt. Ondertussen schijnt de worm nog steeds in allerlei gemuteerde vormen op internet rond te dwalen.

Staten willen via het cyberdomein vechten voor veiligheid en noemen dat een clean war. Ondertussen zetten ze wel de veiligheid van het internet zelf op het spel. Dat anderen het ook doen, hoeft nog niet te zeggen dat wij dus ook maar moeten meedoen, want een digitale wapenwedloop dreigt. Aan de non-proliferatieverdragen over ABC-wapens (atomic, biological en chemical) kunnen we wat mij betreft de D toevoegen van digitale wapens.

Aan de non-proliferatieverdragen van ABC-wapens kunnen we wat mij betreft de D toevoegen van digitale wapens

Het probleem is echter dat je van politici niet kunt verwachten dat ze weten hoe malware werkt en waarom het achterhouden van zero-days een probleem is. Dus zullen we hun de techniek moeten uitleggen aan de hand van metaforen.

Cyberoorlog gaat volgens mij niet om vuurkracht op het slagveld of spierballen op het schoolplein. Het is eerder een wereldwijde darkroom zonder condooms. Niet degene met de grootste seksueel overdraagbare aandoening wint, maar degene die het alleen maar veilig doet.

Juist hierin zou Nederland voorloper kunnen zijn. Laten we vooral onze kennis over digitale kwetsbaarheden openbaar maken en zo anderen de wapens uit handen slaan.

Tot die tijd blijf ik last hebben van hun offensieve cyber-soa.

Chris van ’t Hof is internetsocioloog, schrijver en presentator.