:format(webp)/s3/static.nrc.nl/images/gn4/stripped/data83755356-f3b566.jpg)
„Versterk je cyberveiligheid onmiddellijk,” luidde de oproep van president Joe Biden afgelopen maandag. Zijn inlichtingendiensten zien toenemend gevaar voor Russische cyberaanvallen, bijvoorbeeld uit wraak voor de strenge sancties van westerse landen tegen Rusland.
Hoewel internetverbindingen en Oekraïense websites voortdurend onder vuur liggen van hackers, zijn grootschalige ontwrichtende cyberaanvallen vanuit Rusland binnen of buiten Oekraïne tot nu toe uitgebleven. Poetin voert zijn oorlog vooralsnog ogenschijnlijk klassiek: met vernietigend militair geweld op Oekraïens grondgebied, buiten de grenzen van de NAVO-landen.
Maar niet alleen Oekraïne is een potentieel doel voor cyberaanvallen, ook de Westerse landen die Oekraïne steunen met sancties en wapens kunnen getroffen worden.
Als zo’n cyberaanval bijvoorbeeld een kerncentrale treft, de verkeersleiding van een vliegveld, of vitale infrastructuur zoals het elektriciteitsnetwerk, kan dat net zo desastreus zijn als een gewapende aanval. Maar kan zo’n cyberaanval voor de NAVO ook reden zijn om artikel 5 in te roepen, het artikel dat stelt dat een aanval op één van de lidstaten een aanval is op het hele bondgenootschap?
„Ja”, antwoordt brigadegeneraal Paul Ducheine, hoogleraar recht en cyberwarfare aan de Universiteit van Amsterdam. Maar het is geen automatisme, zegt hij erbij. „Het inroepen van artikel 5 is niet afhankelijk van de militaire of technische aard van een aanval. Wat telt, is dat een land slachtoffer is van een ‘gewapende aanval’ waarbij het noodzakelijk is voor de zelfverdediging de hulp van de NAVO in te roepen.”
Dat noodzakelijkheidscriterium, zegt Ducheine, „is een harde norm in het internationaal recht. Als een lidstaat beroep doet op artikel 5 is dat geen automatisch gevolg van een aanval, maar is dat uiteindelijk een politieke beslissing van het getroffen land. Dat verzoek moet vervolgens gesteund worden door de NAVO-lidstaten.”
Rotterdamse haven
Verschillende NAVO-landen werden eerder al slachtoffer van een cyberaanval door Russische hackers. Het overkwam Nederland in de Rotterdamse haven, op de Maasvlakte. De computergestuurde APM containerterminal van Maersk werd vijf jaar geleden volledig plat gelegd door malware. Dagenlang konden vele duizenden containers niet geladen en gelost worden. De onbemande vrachtwagens en containerkranen die normaal non-stop containers vervoeren, waren stuurloos. En die ramp voor de haven was slechts een neveneffect van een aanval die gericht was op doelen in Oekraïne.
/s3/static.nrc.nl/bvhw/files/2022/03/data80795844-5b1321.jpg)
De daders gebruikten de als ransomware vermomde ‘NotPetya’-malware om de financiële sector te infecteren. De aanval wordt inmiddels toegeschreven aan de hackersgroep ‘Sandworm’, gelieerd aan de Russische militaire inlichtingendienst. Via een update van belastingsoftware trof NotPetya bijvoorbeeld de Nationale Oekraïense bank.
Vervolgens verspreidde het zich via computernetwerken tot buiten de landsgrenzen. Uiteindelijk bereikte het cyberwapen NotPetya zo de Maersk-terminal in Rotterdam. De schade voor de terminal door deze onbedoelde aanval bedroeg 250 à 300 miljoen euro. De totale gevolgschade van de aanval op Maersk, door vertragingen en misgelopen leveringen van de internationale containertransporten, wordt geschat op meer dan een miljard euro.
11 september
De oorlog in Oekraïne zorgt voor een nieuwe realiteit, die landen dwingt anders te kijken naar mogelijke cyberaanvallen. De afgelopen jaren waarschuwen diensten als de AIVD, MIVD en de NCTV bij herhaling en steeds explicieter voor onder andere „verstoring en zelfs sabotage van de vitale infrastructuur”. Bedreiging kan komen van Rusland of andere landen, ‘statelijke actoren’, maar ook van criminele cyberbendes of combinaties daarvan.
/s3/static.nrc.nl/bvhw/files/2021/12/data80128016-761652.jpg)
Sterker: Nederland is niet voldoende in staat zich te verdedigen tegen ransomware, zo liet het kabinet afgelopen najaar weten. Toenmalig minister van Buitenlandse Zaken Ben Knapen (CDA) concludeerde in een brief aan de Tweede Kamer: „De opsporingsdiensten, de I&V-diensten en de krijgsmacht zijn vooralsnog onvoldoende toegerust om structureel op te treden tegen actoren die door een ransomware-aanval een dreiging vormen voor de nationale veiligheid.”
Een bedreiging of aanval hoeft niet militair van aard te zijn voor het in werking treden van artikel 5. Dat was niet het geval bij de eerste en enige keer in de geschiedenis dat er een beroep op werd gedaan: als reactie op de aanslagen op 11 september 2001. Burgervliegtuigen werden daarbij als wapens ingezet. Daarop riepen de VS artikel 5 van de NAVO in, unaniem gesteund door de lidstaten. De jaren erna gaf het bondgenootschap op verschillende manier steun aan Operatie Enduring Freedom van de VS en het Verenigd Koninkrijk tegen de Taliban.
Oefeningen
Maar artikel 5 hoeft niet per definitie te leiden tot gewapende strijd. Een Russische cyberaanval op een NAVO-lidstaat heeft evenmin automatisch tot gevolg dat de NAVO de oorlog in getrokken wordt, zegt Ducheine. „Het doel is het wegnemen van de dreiging. Pas in het uiterste geval, dan mag er geen effectief alternatief zijn, kun je geweld gebruiken over de landsgrenzen heen.”
Hiermee is de kans dat een cyberaanval leidt tot het inroepen van artikel 5 en vervolgens tot deelname van de NAVO bij de oorlog is uiterst klein. Maar dat leek de kans op een grondoorlog op Europees grondgebied ook, net als de kans op een wereldwijde pandemie. Beiden werden realiteit. „Dat betekent dat we nog kwetsbaarder zijn dan we dachten”, aldus Ducheine.
De vraag is of we op deze crisis, die eventueel kan leiden tot NAVO-deelname aan de oorlog door een cyberaanval, goed genoeg zijn voorbereid. Volgens Ducheine is dat niet alleen een militaire vraag, maar vooral ook een politieke: „Bij corona hebben we gezien dat andere landen zich met oefeningen vooraf actiever op het crisis-scenario van een pandemie hadden voorbereid dan Nederland. Daar hebben ze profijt van gehad. Daar zouden we van moeten leren in deze crisis.”
Correctie (24-3-2022): In een eerdere versie van dit artikel stond dat de aanslagen van 11 september in 2011 waren, dit moet 2001 zijn. Dit is aangepast.