Donderdag 8 december 2016

Ter land, ter zee en in de laptop

Inleiding

Ter land, ter zee en in de lucht. Deze klassieke oorlogsdomeinen worden bevolkt door soldaten, maar langzamerhand begint een vierde domein de overhand te krijgen. Moderne oorlogen worden niet alleen gevochten in verre landen, met troepen op de grond, maar ook thuis, vanuit een luie stoel. Sinds Estland in 2007 getroffen werd door een DDoS-aanval die de hele digitale overheidsinfrastructuur platlegde, is het niet langer te ontkennen dat het internet een nieuw slagveld vormt voor landen om hun geschillen uit te vechten. ((http://www.iar-gwu.org/node/65.)) In 2009 werkten de Verenigde Staten en Israël samen aan het Stuxnet-virus, dat computers die werden gebruikt in het kernprogramma van Iran platlegden. ((https://zoek.officielebekendmakingen.nl/kst-26643-220.html.))

Tijdens de Russische invasie van Georgië werd de druk op een pijplijn door middel van een hack op het computergestuurde systeem verhoogd, waarna deze explodeerde. ((http://www.bloomberg.com/news/articles/2014-12-10/mysterious-08-turkey-pipeline-blast-opened-new-cyberwar.)) Cyberoorlog is geen sciencefiction, maar de harde realiteit. Toch hebben veel mensen nog geen helder idee van hoe cyberoorlog in de praktijk plaatsvindt. In dit artikel zullen de drie belangrijkste vormen van oorlogsvoering, ondermijning, sabotage en spionage worden besproken en zal worden gekeken hoe deze klassieke oorlogsinstrumenten zich verplaatsen naar een digitale wereld.

Ondermijning

Het ondermijnen van de tegenstander is een van de belangrijkste manieren om een oorlog onder de bevolking te winnen. Denk bijvoorbeeld aan Noord-Korea, waar de inwoners van de Westerse wereld worden beschreven met termen als “imperialisten”, “ongeciviliseerde bruten” en op afbeeldingen worden getoond als kleine, lelijke mannen die wegrennen van elke soort dreiging. Ook kan ervoor worden gezorgd dat de eigen bevolking zich tegen zijn leiders keert. Bijvoorbeeld tijdens de Tweede Wereldoorlog, toen nazi’s Amerikaanse kampen binnenslopen om folders achter te laten die lieten zien dat fabriekswerkers die achterbleven in de Verenigde Staten drie keer zoveel verdienden, zonder dat ze hun leven hoefden te riskeren op de frontlinies. In de moderne wereld heeft ondermijning zich grotendeels verplaatst naar het internet. Door middel van sociale media kan een standpunt door duizenden mensen worden gedeeld met betrekkelijk weinig moeite, een tactiek die al veel landen gebruiken. In 2009 gingen er geruchten dat de Israëlische overheid bloggers betaalde om pro-Israëlische berichten te verspreiden.((https://electronicintifada.net/content/internet-users-paid-spread-israeli-propaganda/8355.)) Ook Vladimir Putin, de leider van Rusland, wordt beschuldigd van het betaald verspreiden van pro-Russische en anti-Amerikaanse sentimenten over de meest gebruikte platformen, zoals Facebook en YouTube. ((https://www.techdirt.com/articles/20150603/10055831206/putins-internet-propaganda-war-is-much-bigger-weirder-than-you-think-now-extending-into-states.shtml.)) In Amerika wordt zelfs al gewerkt aan geautomatiseerde programma’s die zonder menselijke inmenging een Twitter-bericht kunnen zien, interpreteren en op zoek kunnen gaan naar een tegenargument om daarmee te antwoorden.((http://www.globalresearch.ca/information-warfare-automated-propaganda-and-social-media-bots/5438304.)) Het internet heeft geen invloed gehad op de essentie van propagandaverspreiding – informatie wordt al sinds het begin van de mensheid gedeeld –, maar wel op het gemak waarmee het nu plaatsvindt. Niet eerder was het mogelijk om voor een dusdanig laag bedrag en weinig inspanning zoveel mensen over de gehele wereld te bereiken. Artikel 20 van het Internationaal Verdrag inzake burgerrechten en politieke rechten (IVBPR) verbiedt het gebruik van propaganda voor oorlog en racistisch geweld of discriminatie. Over de juridische definitie van het begrip propaganda zijn de meeste landen het niet eens, omdat de lijn tussen het motiveren van de eigen bevolking tijdens een oorlog en het oproepen tot geweld tegen een andere bevolking soms dun is. Wat in ieder geval in de Vierde Geneefse Conventie expliciet wordt aangemerkt als elementen van propaganda zijn de intentie tot misleiding, het oproepen tot muiterij en het aanzetten tot geweld tegen burgers.((http://www.geneva-academy.ch/docs/memoires/memoire_timmermann.pdf.)) Hoewel de toepassing van oorlogsrecht op gevallen van digitale oorlogsvoering vaak terughoudend wordt geïnterpreteerd, is in dit artikel specifiek benoemd dat het verspreiden van “incorrecte of overdreven aantijgingen” via welke vorm van communicatie – dus ook het internet – dan ook binnen de reikwijdte van dit artikel valt, en dus kan worden bestraft.

Spionage

Het ontstaan van het internet heeft ondermijning makkelijker gemaakt, maar dat valt bijna in het niet bij de eenvoudigheid waarmee landen elkaar nu kunnen bespioneren. Moesten soldaten vroeger nog overheidsgebouwen binnensluipen, vijanden omkopen en brieven onderscheppen, nu is spionage kinderspel. Door middel van hacking, malware en social engineering is spionage uit te voeren vanuit de luie stoel, zonder zelfs maar een voet op vijandige grond te zetten. Cyberspionage heeft als doel om systemen te infiltreren om zo informatie te stelen. Hoewel dit op vele manieren kan, wordt het overgrote deel van deze operaties verricht via één van deze drie tactieken. . ((http://www.cirmagazine.com/cir/Kaspersky-reveals-latest-cyber-espionage-tactics.php.)) Het minst technologisch geavanceerde middel wordt ook wel social engineering genoemd. Iemand doet zich bijvoorbeeld voor als een werknemer van de IT-afdeling en speelt in op het gebrek aan technologische kennis van de gemiddelde persoon. Door op te bellen of door langs te komen en een overtuigend verhaal te vertellen, is het vaak mogelijk om iemand uit eigen beweging zijn of haar inloggegevens te laten verstrekken. De tweede manier is het verzenden van malware. Door het versturen van een e-mail met een virus of door het exploiteren van zwaktes in bestaande software kunnen er programma’s worden achtergelaten op computers. Die programma’s kunnen vervolgens de computer scannen op zoek naar gevoelige informatie en deze doorspelen naar de persoon die het virus geplaatst heeft. Ook is het mogelijk dat de malware een achterdeur creëert in het netwerk, waardoor de dader later zelf in de computer op zoek kan gaan. Zo werd in 2013 door een research team ontdekt dat wereldwijd honderden computers, vaak gebruikt door hooggeplaatste diplomaten, geïnfecteerd waren met het Red October-programma. ((https://securelist.com/blog/incidents/57647/the-red-october-campaign/.)) Dit stukje malware was ontwikkeld om een paar dagen op de computer te blijven staan om het systeem te doorzoeken en dan informatie door te spelen, zoals documenten, contactgegevens en surfgeschiedenis. De laatste vorm van spionage vindt meestal plaats door hacking, het binnendringen van een systeem door bijvoorbeeld het exploiteren van een zwakte in de code of door het inzetten van een brute-force attack. Hiermee worden door een programma geautomatiseerd wachtwoorden ingevoerd, tot het juiste wachtwoord geraden wordt. Een voorbeeld van hacking door overheden is de infiltratie van de Chinese telefoonfabrikant Huawei door de Amerikaanse NSA. Door het binnendringen van de systemen van Huawei werd het voor de Amerikaanse overheid mogelijk om erachter te komen wie een bepaalde telefoon gebruikte en waarvoor. Voor de meeste landen is het mogelijk om de daders via het nationale recht aan te klagen – spionage is vaak technologieneutraal strafbaar gesteld. Toch is er een tweede optie, voor het geval een nationale oplossing geen soelaas biedt. Bijna alle landen ter wereld zijn aangesloten bij het Trips-verdrag, een verdrag dat intellectuele eigendom beschermt. Ondertekenaars van dit verdrag dienen bepaalde minimumstandaarden in hun nationale wetgeving te verwerken. Worden er handelsgeheimen gestolen door hackers, of zij nou te verbinden zijn aan buitenlandse overheden of alleen lijken te handelen, dan kunnen zij in elk land dat het verdrag ondertekend heeft voor de rechter worden gesleept. ((http://www.globaltraderelations.net/images/Malawer.China_Cyber_Economic_Espionage_Lead_Article_Georgetown_Int_l_Affairs_J._June_2015_.pdf.))

Sabotage

Internationaalrechtelijk gezien is deze categorie misschien wel het meest interessant. Hoewel ondermijning en spionage vaak op zichzelf genomen straf- en vervolgbaar zijn, is voor sabotage geen eenduidig juridisch kader. Talloze systemen worden wereldwijd bestuurd door computers, waaronder watervoorzieningen, elektriciteitssystemen en nucleaire installaties. Worden deze systemen aangevallen en platgelegd, dan kan dat miljoenen aan schade en zelfs doden tot gevolg hebben. Een voorbeeld hiervan is het eerdergenoemde Stuxnet-incident, dat het Iraanse kernprogramma jaren vertraagde. De mogelijkheden voor sabotage zijn eindeloos – de poorten van een dam kunnen worden opengezet, telefooncentrales kunnen worden stilgezet of overheidswebsites kunnen worden platgelegd. De wijzen waarop dit plaatsvindt komen vaak overeen met de manier waarop spionage wordt georganiseerd, via hacking en malware, dus is het misschien interessanter om even stil te staan bij het juridische kader omtrent zulke aanvallen. In het oorlogsrecht wordt een aanval in de zin van het oorlogsrecht meestal gekenmerkt door drie eigenschappen. De aanval moet als doel hebben een andere staat ergens toe te dwingen, er moet een politieke motivatie achter zitten en de aanval moet gewelddadig zijn. ((T. Rid, Cyber War Will Not Take Place, Oxford: Oxford University Press 2013.)) De eerste twee elementen zijn vaak aanwezig, maar het derde element levert vaak discussie op. Kan bijvoorbeeld een aanval gewelddadig zijn als er geen slachtoffers zijn? Artikel 51 van het VN-Handvest geeft staten de mogelijkheid tot zelfverdediging als er sprake is van een gewapende aanval. In zaken die voor het Internationaal Gerechtshof zijn gekomen zijn er drie criteria ontwikkeld waar een aanval aan moet voldoen voordat deze zelfverdediging rechtvaardigt. Allereerst moet er een intentie zijn geweest om schade aan te brengen. Daarnaast moet de aanval zo heftig zijn geweest dat er aanzienlijke schade is aangebracht aan het volk, de economie, de infrastructuur of de bestuurlijke autoriteit van een land. De laatste eis is dat de aanval gewapend moet zijn. In dit kader betekent gewapend echter niet dat er specifiek een wapen moet zijn gebruikt, maar is het bedoeld als een onderscheiding tussen het soort van geweld dat een reactie verdient en ‘gewoon’ geweld. Het verschil tussen deze twee soorten kan per geval verschillen, maar wordt meestal bepaald door het afwegen van het aantal slachtoffers, de gebruikte aanvalstechnieken, de schade, de intentie en de plaats van de aanval. ((IGH 27 juni 1986, Military and Paramilitary Activities in and against Nicaragua (The Republic of Nicaragua vs. The United States of America), IGH 28 augustus 2001, Oil Platforms (Islamic Republic of Iran v. United States of America).)) Zelfverdediging mag ook pas als het gebruik van geweld als reactie ook daadwerkelijk de aanval kan stoppen. Wordt er gereageerd nadat het kwaad al geschied is, dan is dit een wraakactie in plaats van zelfverdediging ((S.R. Ratner, Self Defense Against Terrorists: The Meaning of Armed Attack, Ann Arbor: University of Michigan Law School 2012.)) Door de aard van cyberaanvallen, die vaak maar enkele seconden hoeven te duren om de schade te verrichten, maakt dit vaak dat zelfverdediging geen optie is en landen toch niet kunnen reageren.

Cyberoorlog is geen vreemd begrip meer, het gebeurt regelmatig dat landen oorlogsinstrumenten inzetten tegen elkaar op het web. Het juridische kader om deze aanvallen heen moet vaak opgerekt en ruim geïnterpreteerd worden om er maar voor te zorgen dat mensen niet wegkomen met bijvoorbeeld spionage. De wereld is dan ook klaar voor oorlogsvoering, maar zodra het stof is neergewaaid, staan de slachtoffers van deze oorlogvoerende naties internationaalrechtelijk met lege handen.