Moord en brand werd er de voorbije weken wereldwijd geschreeuwd over onze privacy. De recentste onthullingen van het Cyber Command van de VS, onder leiding van de National Security Agency (NSA), laten dan ook een wrange smaak na over wat er allemaal te grijpen valt online.
Dit waren zaken die we al in 2001 na 9/11 te weten waren gekomen, maar waar de wereld geen graten in zag door de verblindende horror van 9/11. In 2006 kwam het nogmaals bovendrijven dat de NSA ieders telefoon aan het afluisteren was en kopieën van andere communicatievormen bezat[1]. Maar ondanks een kleine oproer bleef men KGB en Stasi-style gewoon voortluisteren. Ergens is de huidige verontwaardiging verrassender dan het feit dat de NSA toegang heeft tot AL onze communicatie. De rechten van alle wereldburgers zijn immers ondertussen al meermaals geschonden in de naam van veiligheid.
Een iets frappanter gegeven dat veel minder aandacht kreeg sinds Edward Snowden naar buiten kwam met zijn vertrouwelijke informatie, waren de hoogst confidentiële paragrafen over de VS’s OCEO, Offensive Cyber Effect Operations. De naam zegt het zelf; een departement waar men cyberoffensieven uitvoert of is aan het voorbereiden.
De OCEO heeft een target list van infrastructuur die essentieel is voor bepaalde staten. De taak van deze afdeling is om de zwaktes van deze infrastructuur te ontdekken en deze allemaal binnen te dringen en al te infecteren, zodat men koude-oorlog gewijs slechts op 1 knopje moet drukken om de cyberaanval te lanceren.
Alweer duikt de VS in het grijze gebied waar de wet ambigue is over wat mag en niet mag. En dat komt hen maar al te best uit, want waar er geen wet is, kan de VS de bestaande wetgeving op maat laten aanpassen naar hun noden en wensen, en er een wettelijke logica aan verbinden. Want ook al zijn er geen interstatelijke verdragen over wat wel en niet mag in cyberspace als het op aanvallen aankomt, de logica van conventionele oorlogen wordt hiervoor gebruikt. Alleen zit men met enkele lacunes waar de conventionele wetgeving geen antwoord op heeft. Een cyberaanval die economische schade aanricht, mag je daar defensief op reageren? En mag je zodanig preventief handelen uit zelfverdediging dat je de vijand’s infrastructuur al besmet en binnendringt, maar er niets mee doet tenzij er een dreiging komt?
De schade die zulke cyber aanvallen kunnen aanrichten valt trouwens niet te onderschatten. Aangezien we tegenwoordig in wat in het jargon the internet of things leven, waarbij alles verbonden is aan een bepaald netwerk, is alles ook ontzettend fragiel en penetreerbaar. Zo’n cyberaanval gaat dus niet om het platleggen van enkele websites en servers, maar effectief beschadigen van materiaal. Doordat bijna alles tegenwoordig aangesloten is op SCADA-systemen (Supervisory Control And Data Acquisition) kunnen die systemen gehackt en overgenomen worden.
SCADA-systemen zijn netwerken van infrastructuur die het gemakkelijker en overzichtelijker maken om een systeem van op afstand te besturen. Dit kan gaan van de straat- en verkeerslichten, tot de controle over een hele dam en het besturen van geplaatste pacemakers bij patiënten. Het lijken scifi doemscenario’s maar niets is minder waar. In 2010 kwam bovendrijven dat een reactor in het Iraanse nucleaire kernprogramma zwaar beschadigd was door een cyberaanval. De cyberworm Stuxnet was al maanden geleden het systeem binnengedrongen en zat daar te wachten tot de beslissing genomen werd actie te ondernemen. Nadat Iran de VN-resoluties negeerde om zijn kernprogramma stop te zetten, nam men dankzij het geïnfecteerde systeem de controle over de SCADA-systemen over die de centrifuges bedienen. Men bestuurde ze zodanig dat ze zichzelf oververhitten en uiteindelijk kapot draaiden. Het bewijs van een cyberaanval met levensechte schade.
Al was het lange tijd slechts een vermoeden dat de VS en Israel achter de aanval zaten, werd het bevestigd door de recente lekken dat de VS achter de aanval zat. Een onheilspellende voorbode van wat de rest van de wereld wacht die niet wil luisteren naar Uncle Sam.
Maar waar de VS zou handelen wanneer er een dreiging is, kan deze invasie van netwerken evengoed gezien worden als een dreiging van de VS uit, die het slagveld gereed maakt om ten oorlog te kunnen trekken. In die hoedanigheid kunnen de eigenaars van de geïnfecteerde netwerken net zo goed hun eigen recht uitvoeren en hetzelfde doen uit zelfverdediging.
Bij gebrek aan internationale verdragen, of een gewoonterecht dat dit soort bewegingen controleert, verkent de VS de grenzen van wat acceptabel lijkt, en heeft al nieuwe rechtvaardigingen in de maak waarom zij het recht hebben zodanig preventieve maatregelen te kunnen nemen.
Er wordt wel eens langs de neus weg gezegd dat het niet erg zou zijn als er een cyber Pearl Harbour zou gebeuren, of een cyber 9/11, gewoon maar om de regels te kunnen vastleggen omdat het dan duidelijk zou zijn dat er een echte dreiging is die tegengehouden moet worden. Maar zolang die er niet komt blijft het bij verkennen en op gereed staan.
De militarisering van cyberspace is geen al te best vooruitzicht, en men kan zich afvragen of we echt nog een koude oorlog nodig hebben, maar dan in cyber space.
